Post on 25-Dec-2015
GESTIÓN DE LOS RIESGOS EN LA PLANIFICACIÓN
Y EJECUCIÓN DE UN PLAN DE AUDITORÍA
* NIVEL ESTRATÉGICO:
MATRIZ DE RIESGOS ESTRATÉGICA
INSTITUCIONAL
PLAN ESTRATÉGICO DE
AUDITORIA
* NIVEL OPERATIVO:
MATRIZ DE RIESGOS OPERATIVOS DE PROCESOS.
PROGRAMA DE AUDITORÍA
PROCESO
PLAN
ESTRATÉGICO DE
AUDITORÍA
MATRIZ “ESTRATÉGICA
DE RIESGOS”
(INSTITUCIONAL) MATRIZ ABIERTA - 2.xls
F(x): •Misión
•Objetivos estratégicos
•Riesgos estratégicos
•Procesos
•Riesgos inherentes y de control
•Riesgo combinado
EJECUCIÓN DE
PROGRAMAS DE
AUDITORÍA
MATRICES DE
“RIESGOS OPERATIVOS”
POR
PROCESOS
ACTUALIZACIÓN
•LEVANTAMIENTO DE
PROCESOS/SUBPROCESOS
•ACTIVIDADES
•FACTORES DE RIESGO
•INCIDENCIAS
•NIVELES DE RIESGOS
•INHERENTES Y DE
•CONTROL
•RIESGOS COMBINADOS
•Orientaciones estratégicas
•Recursos humanos, técnicos y
financieros.
•Prioridades de la autoridad
•Otras demandas de la comunidad
• DESCRIPCIÓN GLOBAL DE LA METODOLOGÍA
– El modelamiento del negocio municipal y la identificación de los macroprocesos, procesos y subprocesos correspondientes.
– Aplicación de la metodología de auditoría. Ejecución de programas de auditoría.(control deliberado)
APLICACIÓN DE LA METODOLOGÍA
I.- MODELAMIENTO DEL NEGOCIO.
IDENTIFICACIÓN DE LOS MACROPROCESOS CRÍTICOS.
• Selección de los macroprocesos críticos de una Municipalidad, en relación con el cumplimiento de los objetivos estratégicos y de la doctrina institucional .
• Uso de una escala de calificación para determinar el nivel de incidencia de un determinado macroproceso y la matriz de identificación de macroprocesos críticos.
• Determinación de los Macroprocesos, procesos y subprocesos de una Municipalidad/Entidad a partir de un análisis del Negocio.
MISIÓN Y OBJETIVOS ESTRATÉGICOS
• Producto estratégico: auditorías
Garantizar el
Desarrollo de la
Comuna , mediante una
Gestión con un alto
nivel de excelencia.
Propender al
resguardo y
cumplimiento
de la Probidad
Administrativa
Resguardar el
Patrimonio
Público garantizando
Que los recursos
Sean administrados
eficientemente y
Con transparencia
Proveer
información
oportuna y de
calidad a los
diversos usuarios
Misión: Garantizar el desarrollo comunal, atendiendo al ordenamiento jurídico, la protección y debido uso del patrimonio
público, la preservación y fortalecimiento de la probidad administrativa
y la fidelidad y transparencia de la gestión municipal.
Finalidades que deben lograrse con un alto nivel de
excelencia.
APLICACIÓN DE LA METODOLOGÍA…
• Todos los Macroprocesos de la Municipalidad/Entidad se llevan a una “Matriz de Identificación de Macroprocesos Críticos”, con objetivos de la doctrina institucional.
• Criterio para calificar los procesos como críticos:
– según su nivel de incidencia en el cumplimiento de cada uno de los objetivos de la doctrina institucional.
• Uso de una escala de calificación que va de 0 a 3.
APLICACIÓN DE LA METODOLOGÍA…
• Se relacionan todos los macroprocesos con los objetivos estratégicos, calculándose el promedio de los niveles de incidencia de cada uno.
• Finalmente se seleccionan los macroprocesos críticos, utilizando para ello la misma escala de calificación , considerándose como crítico, aquellos procesos cuyo nivel promedio de incidencia fluctúa entre 2 y 3.
• En una primera aplicación se sugiere que todos macroprocesos tengan un nivel de incidencia alto (entre 2 y 3), por lo tanto, todos ellos sean considerados críticos en la Matriz de Riesgo de la Municipalidad/Entidad .
ESCALA DE CALIFICACION DE MACROPROCESOS CRITICOS
Nivel Descripción Calificación
Alto El macroproceso incide de manera fundamental en la
determinación del nivel de riesgo de la Municipalidad, en
relación con el cumplimiento de los objetivos estratégicos
institucionales.
3
Medio El macroproceso incide de manera importante en la
determinación del nivel de riesgo de la Municipalidad, en
relación con el cumplimiento de los objetivos estratégicos
institucionales.
2
Bajo El macroproceso incide de manera menor en la determinación
del nivel de riesgo de la Municipalidad, en relación con el
cumplimiento de los objetivos estratégicos institucionales.
1
Nulo El macroproceso NO incide en la determinación del nivel de
riesgo de la Municipalidad, en relación con el cumplimiento de
los objetivos estratégicos institucionales.
0
¿Qué y para qué es una Matriz de Riesgo?
Herramienta de control y de gestión normalmente
utilizada para:
a.- Identificar las actividades (procesos y productos)
más importantes de una institución financiera,
b.- Identificar el tipo y nivel de riesgos inherentes a
estas actividades y los factores externos e internos
que engendran estos riesgos (factores de riesgo).
¿Qué y para qué…. es una Matriz de Riesgo?...
• Permite evaluar la efectividad de una adecuada gestión
y administración de los riesgos “estratégicos” (nivel
estratégico de análisis) y “operativos” ( nivel operativo
de análisis), que impactan la misión de la organización.
Controles.
• La matriz debe ser una herramienta flexible que
documente los procesos y evalúe de manera global el
riesgo de una institución.
¿Qué.. Y para qué es una Matriz de Riesgo?...
• Permite realizar un diagnóstico objetivo de la situación
global de riesgo de una institución.
• Permite una participación más activa de las unidades
de negocios, operativas y funcionales en la definición de
la estrategia institucional de riesgo de la entidad.
• Finalmente, una Matriz de Riesgo adecuadamente
diseñada y efectivamente implementada se convierte
en soporte conceptual y funcional de un efectivo
Sistema Integral de Gestión de Riesgo.
1.- IDENTIFICAR MACROPROCESOS / PROCESOS
INSTITUCIONALES.
IMPORTANTE: PROCESOS DISTINTOS PARA CADA AREA
DE GESTIÓN: MUNICIPAL – DAEM -
DASM - CORPORACIÓN
• Municipalidad. Área central:
Ej.: MACROPROCESO: “GENERACIÓN DE INGRESOS”
PROCESOS:
PERMISOS DE CIRCULACION
PATENTES CIPA
DERECHOS VARIOS
IDENTIFICAR MACROPROCESOS - PROCESOS
INSTITUCIONALES…
MATRICES PLENAS\Matriz_DEM.xls
• Municipalidad : Departamento de Administración de
la Educación – DAEM .
Ej.: MACROPROCESO: SUBVENCIÓN “SEP”
PROCESO:
Suministro de Bs. Y Ss.
R.R.H.H.
• Municipalidad: Departamento de Administración de
salud Atención Primaria.
• Ej: MACROPROCESO: ABASTECIMIENTO
PROCESO:
Compra de fármacos
2.- IDENTIFICAR FACTORES DE RIESGOS DE
LOS PROCESOS
Ejs.: Que el registro de permisos y/o derechos esté
desactualizado.
Que se utilicen formas erróneas en las compras y
contrataciones, contravención a la ley 19886
Que algunos bienes no ingresen a bodega
Ausencia de rendiciones
Distracción de recursos en fines ajenos.
3.- PONDERAR IMPORTANCIA O INCIDENCIA DE CADA
PROCESO ( SUMA DE PROCESOS = 100% = MACROPROCESO ).
MACROPROCESO : INGRESOS DE
OPERACIÓN.
PROCESOS PONDERACION
P.CIRCULACION 40%
PATENTES 40%
DERECHOS 20%
100%
4.- PONDERAR INCIDENCIA DEL FACTOR DE RIESGO.
(SUMA DE PONDERACIONES DE FACTORES = 100% = PROCESO).
PROCESO FACTORES DE
RIESGO
PONDERACION
TRANSFERENCIAS Carencia de procedimientos
formalmente aprobados en
la recaudación efectiva de
depósito de los recursos
transferidos
40%
Deficiencias en el ingreso y
registro de la totalidad de
las remesas
35%
Contabilización inoportuna
de las operaciones
25%
5.- EVALUAR EL “RIESGO INHERENTE” DEL RESPECTIVO
FACTOR DE RIESGO DEL PROCESO.
• Riesgo Inherente: Son aquellos que se presentan
independientes a las características del Sistema de
Control Interno.
• Los riesgos asociados con la naturaleza de la temática.
• CAIGG. Es la posibilidad de que existan errores o
irregularidades en la gestión administrativa y
financiera, antes de verificar la eficiencia del control
interno diseñado y aplicado por el ente a ser auditado.
Este riesgo tiene relación directa con el contexto global
de una institución e incluso puede afectar a su gestión.
• El auditor determina el nivel de riesgo inherente, en base a juicio experto, considerando el análisis del diseño de dichos macroproceso:
– Un macroproceso bien diseñado es aquel que no presenta posibilidades viables de reducir o eliminar sus factores de riesgos, por lo cual su nivel de riesgo es bajo.
– Un macroproceso con un diseño regular es aquel que presenta posibilidades viables de reducir o eliminar sólo algunos de sus factores de riesgos, por lo cual su nivel de riesgo es medio.
– Un macroproceso mal diseñado es aquel que presenta posibilidades viables de reducir o eliminar gran parte de sus factores de riesgos, por lo cual su nivel de riesgo es alto.
5.- EVALUAR EL “RIESGO INHERENTE” DEL RESPECTIVO
FACTOR DE RIESGO DEL PROCESO.
Factor Riesgo
NIVEL RIESGO
INHERENTE DEL
FACTOR DE RIESGO
COLOR ASOCIADO
(CONVENCION)
Mala formulación del
Presupuesto
ALTO
ROJO
Subestimación del
presupuesto de gastos
MEDIO
AMARILLO
Déficit presupuestario BAJO
VERDE
6.- EVALUAR EL “ RIESGO DE CONTROL” ASOCIADO AL
FACTOR DE RIESGO DEL PROCESO.
Nota: 1er. Proceso ( construcción de matriz), según opinión de
auditor experto .
• Riesgo de Control: Aquel que existe y que se propicia por
falta de control de las actividades de la entidad. Directa
relación con deficiencias del Sistema de Control Interno.
• El riesgo de que los controles sobre la temática no existan u
operen inefectivamente.
• CAIGG. Es la posibilidad de que los procedimientos de control
interno incluyendo a la unidad de auditoría interna, no
puedan prevenir o detectar los errores significativos de
manera oportuna.
• El Auditor debe analizar posteriormente el “Riesgo de Control”, en base al juicio experto, con el objetivo de calificar dicho riesgo de acuerdo a lo siguiente:
– Un control bien diseñado es aquel que previene o mitiga totalmente el factor de riesgo (BAJO).
– Un control con un diseño regular es aquel que permite que en ocasiones el factor de riesgo ocurra (MEDIO).
– Un control con un mal diseño es aquel que permite que el factor de riesgo ocurra siempre (ALTO).
• Concluir sobre el “Riesgo Combinado” en base al análisis del Riesgo Inherente y del Riesgo de Control calificando dicho riesgo en alto, medio o bajo.
6.- EVALUAR EL “ RIESGO DE CONTROL” ASOCIADO AL
FACTOR DE RIESGO DEL PROCESO.
Nota: 1er. Proceso ( construcción de matriz), según opinión de auditor
experto .
FACTOR DE RIESGO NIVEL RIESGO DE
CONTROL
COLOR ASOCIADO
(CONVENCION)
Que lo recaudado “no
ingrese”.
ALTO ROJO
Cheques girados y
cobrados sin el respaldo
de un egreso.
MEDIO AMARILLO
Pagos con respaldo
parcial o insuficiente.
BAJO VERDE
7.- DETERMINAR EL “RIESGO COMBINADO” DE:
a.- FACTOR DE RIESGO
b.-PROCESO
c.- MACROPROCESO
• Concluir sobre el “Riesgo Combinado” en base al análisis del Riesgo Inherente y del Riesgo de Control calificando dicho riesgo en alto, medio o bajo.
Macroproceso: “Recursos en Administración”
Proceso: “Proyectos”
Factor Riesgo
Ponderaci
on del
factor
Riesgo
Inherente
Riesgo
Control
Riesgo
Combinado
del Factor
Riesgo
Riesgo
Combinado
del Proceso
Desvío de
recursos MEDIO BAJO BAJO
Falta de
rendiciones MEDIO ALTO MEDIO
Aplicación de
recursos a objetivos
distintos del
programa
ALTO BAJO MEDIO
Evaluar el Riesgo Combinado y Concluir Sobre el Control Interno
Evaluar
Riesgo Combinado
( Inherente y de Control)
Elemento de
Base para
Diseñar
Procedimientos
de Auditoría
Evaluar el
Riesgo
de Control
Evaluar el
Riesgo
Inherente
Conclusión de Evaluación de
Entorno de Control General y de
Control Informático y el Riesgo de
Fraude
Matriz de
Riesgo
Combinado
Actividad
Siguiente
Concluir Riesgo
en Auditorías
Específicas
8.- LA EJECUCIÓN DE AUDITORÍAS PERMITE
RETROALIMENTAR LA MATRIZ DE RIESGOS
(MODIFICÁNDOLA), CAMBIANDO
EVENTUALMENTE LAS PRIORIDADES PARA
POSTERIORES PLANIFICACIONES.
Matriz de riesgos
Estratégica institucional
Proceso de
Planificación del
control.
( Plan de Auditoría )
9.- LA FORMULACIÓN DE UN PLAN DE AUDITORÍA NO
ES SOLO LA RESULTANTE DE UN ANÁLISIS DE LOS
RIESGOS.
TAMBIÉN INFLUYEN OTROS FACTORES EN LA
FORMA DE UNA “DEMANDA NO CONTROLADA”:
políticas y/o programas gubernamentales, comunidad, entre
otros.
OBJETIVOS + RIESGOS – CONTROLES = EXPOSICIÓN
• CONSTITUCIÓN POLÍTICA
• LEY ORGÁNICA
• LEY DE ADM FINANCIERA
• OTROS CUERPOS LEGALES.
• PLANES GUBERNAMENTALES
• PLANES MINISTERIALES.
• CIUDADANOS EN GENERAL.
• ERRORES ACCIDENTALES.
• Operacionales.
• Financieros.
• Legales.
• Tecnológicos.
• ERRORES INTENCIONALES.
• Operacionales.
• Financieros.
• Legales.
• Tecnológicos.
• FALTAS A LA PROBIDAD.
• Negación de Servicios.
• Abuso de Poder
• Malversación
• Fraudes:
• Económicos.
• Tecnológicos.
•Etc
NORMAS LEGALES
• PRESUPUESTO
• ORGÁNICAS INSTITUCIONALES.
• CULTURA ORGANIZACIONAL
• RESPONSABILIDAD
ADMINISTRATIVA
• AUDITORIAS ANTERIORES
• AUDITORIAS INTERNAS
• CAPACITACIÓN
PLAN ESTRATEGICO DE
AUDITORIA•
EFECTUAR AUDITORIAS
CON LA FINALIDAD DE:
DETENER O DISMINUIR
EL RIESGO
• DECISIÓN DE NO EFECTUAR
AUDITORIAS SIGNIFICA:
ASUMIR EL RIESGO
CUMPLIR
REQUERIMIENTOS
DE CONTROL
ESTABLECIDOS POR:
AMENAZAS
EXISTENTES EN LA
COBERTURA DE
FISCALIZACIÓN.
RESGUARDOS LEGALES,
NORMATIVOS, TECNICOS ,
QUE FACILITAN EL
LOGRO DE LAS METAS.
FASE DE
DEFINICIÓN DE
LAS ACCIONES DE
AUDITORIA A
DESARROLLAR
Misión, Objetivos
Estratégicos y Prioridades
Institucionales
MODELO DE PLANIFICACIÓN
DEL CONTROL
Proyectos Especiales
Servicio/Entidad
Municipio/Daem/Dasm/
Matriz de Riesgo Estratégica
Institucional
PLANIFICACIÓN
Demanda Autogenerada
Prioridad de Auditorias
Demanda Imprevisible
RECURSOS Programas de Auditorías
Ejecución de Auditoría
Control de Gestión
CORPORATIVOS