Riesgos Iso 31000 PDF

DOCUMENTO TCNICO N 70
Versin 0.2
MINISTERIO SECRETARA GENERAL DE LA PRESIDENCIA
IMPLANTACIN, MANTENCIN Y
MINISTERIO
ACTUALIZACIN DEL PROCESO DE SECRETARA GENERAL
DE LA PRESIDENCIA
GESTIN DE RIESGOS EN EL SECTOR
PBLICO
Este documento tiene como principal objetivo facilitar a las

organizaciones gubernamentales, la implementacin y cumplimiento
del Proceso de Gestin de Riesgos, as como su mantencin y
mejora continua. El enfoque tcnico est basado principalmente en
la Norma Chilena NCh-ISO 31000:2012, Gestin del Riesgo -
Principios y Orientaciones, y en menor medida en el Marco de
Gestin de Riesgos Corporativos ERM COSO II.
Ministerio Secretara General de la Presidencia, 2016.

N Registro Propiedad Intelectual: A-273595
CAIGG
Marzo 2016 rea de Estudios
Consejo de Auditora Interna General de Gobierno
TABLA DE CONTENIDOS
MATERIAS PGINA
PRESENTACIN 3
I.- INTRODUCCIN 4
II.- OBJETIVO GENERAL DEL DOCUMENTO 6
III.- RELACIN CON EL ASEGURAMIENTO 6
IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS 6
V.- PROCESO DE GESTIN DE RIESGOS

7
1.- Conceptos Generales sobre Riesgos 7
2.- Conceptos Generales sobre Gestin de Riesgos 8
3.- Modelos para la Gestin de Riesgos 9
4.- Marco de Trabajo de la Norma NCh ISO 31000:2012 11
5.- Fases Genricas en el Proceso de Gestin de Riesgos 14
VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

17
PROCESO DE GESTIN DE RIESGOS EN LAS ORGANIZACIONES GUBERNAMENTALES
A.- Marco de Trabajo de la Gestin de Riesgos 17
B.- Mantencin y Mejoramiento del Proceso de Gestin de Riesgos 17
1.- Fase Establecimiento del Contexto 17
2.- Fase Identificacin de Riesgos 35
3.- Fase Anlisis de Riesgos 39
4.- Fase Valoracin de Riesgos 41
5.- Fase Tratamiento de Riesgos 44
6.- Fase Monitoreo y Revisin 49
7.- Fase Comunicacin y Consultas 50
C.- Registro del Proceso de Gestin de Riesgos 54
D.- Reportes del Proceso de Gestin de Riesgos al Consejo de Auditora Interna 55
VII.- BIBLIOGRAFA 56
1
ANEXO N 1: EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS 57
ANEXO N 2: EJEMPLO DE DEFINICIN DE ROLES 59
ANEXO N 3: ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE 60

RIESGOS EN EL SECTOR GUBERNAMENTAL
ANEXO N 4: GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS 62

PROCESOS Y MODELAMIENTO DE RIESGOS
ANEXO N 5: TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS 65
ANEXO N 6: EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO 71
ANEXO N 7: EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS 80
ANEXO N 8: EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL 83

GOBIERNO ELECTRNICO
ANEXO N 9: CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL 86

ADECUADO CONSIDERADOS EN EL MODELO
ANEXO N 10: EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS 100
ANEXO N 11: MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO 101
ANEXO N 12: CONCEPTOS SOBRE DELITOS DE LAVADO DE ACTIVOS (A), 103

FINANCIAMIENTO DEL TERRORISMO (FT) Y DELITOS FUNCIONARIOS (DF)
ANEXO N13: EJEMPLOS DE SEALES DE ALERTA GENRICAS PARA DELITOS 107

LA/FT/DF
ANEXO N 14: SEALES DE ALERTA LA/FT/DF NO ASOCIADAS CON LOS RIESGOS 117
INCLUIDOS EN LA MATRIZ DE RIESGOS ESTRATGICA
2
PRESENTACIN
Como una de las iniciativas tendientes al fortalecimiento de la Auditora Interna considerado

en el Programa de Gobierno de S.E. la Presidenta de la Repblica, Michelle Bachelet; el Consejo
de Auditora Interna General de Gobierno, entidad asesora en materias de auditora interna,
control interno, gestin de riesgos y gobernanza, tiene el rol de promover la mejora continua
de la funcin de auditora interna gubernamental, y entregar recursos a la red de auditores
para la generacin de competencias y perfeccionamiento tcnico de su trabajo, considerando
las ltimas tendencias de auditora interna y las mejores prcticas aceptadas a nivel nacional e
internacional.
En este mbito, se pone a disposicin de la Administracin del Estado, el Documento Tcnico N

70, denominado Implantacin, Mantencin y Actualizacin del Proceso de Gestin de Riesgos
en el Sector Pblico. Este documento est concebido para ser una gua a ser aplicada en el
Estado, en la implementacin, mantencin y mejora continua del Proceso de Gestin de
Riesgos.
Santiago, marzo 2016.
Daniella Caldana Fulss

Auditora General de Gobierno
3
I.- INTRODUCCIN
En la actualidad un factor fundamental para el xito de la gestin de una entidad, sea pblica o
privada, la constituye su Gobierno Corporativo, descrito como el sistema mediante el cual las
empresas son dirigidas y controladas para contribuir a la efectividad y rendimiento de la
organizacin. Su fin ltimo es contribuir a la maximizacin del valor de las compaas, en un
horizonte de largo plazo.1 Segn la Organizacin para la Cooperacin y el Desarrollo
Econmicos (OCDE), el Gobierno Corporativo es el sistema por el cual las sociedades del
sector pblico y privado son dirigidas y controladas. La estructura del Gobierno Corporativo
especifica la distribucin de los derechos y de las responsabilidades entre los diversos actores
de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los Directores,
accionistas y otros terceros proveedores de recursos. Sin perjuicio de la definicin que quiera
aceptarse, el concepto de Gobierno Corporativo considera los esfuerzos por manejar una
entidad y mejorar su gestin. Una de las herramientas o mecanismos claves para ello, es la
implementacin de procesos de gestin de riesgos, que ayuda a las organizaciones al
cumplimiento de sus metas estratgicas y operativas y al mejoramiento de sus procesos.
En este sentido, y con la finalidad que las organizaciones gubernamentales mejoren sus
procesos y maximicen las posibilidades de cumplir sus metas y objetivos en forma adecuada,
es necesario que las organizaciones gubernamentales, mantengan y mejoren las actividades
del Proceso de Gestin de Riesgos que se viene desarrollando en la Administracin del Estado
desde el ao 2007. Lo anterior, considerando el levantamiento de procesos de la institucin o la
revisin del mismo; la identificacin, anlisis y valorizacin de los riesgos crticos y sus
controles y, en especial, la formulacin de medidas de tratamiento de dichos riesgos.
A contar del ao 2014, el enfoque metodolgico se basa principalmente, pero no en forma
exclusiva, en las Normas Chilenas NCh-ISO 31000:2012, Gestin del Riesgo - Principios y
Orientaciones, NCh-ISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo,
NCh- ISO Gua 73:2012, Gestin del Riesgo Vocabulario y NCh-ISO 31004:2014 Gestin del
Riesgo Orientacin para la implementacin de ISO 31000. Todas estas, emitidas por el
Instituto Nacional de Normalizacin (INN), organismo que tiene a su cargo el estudio y
preparacin de las normas tcnicas en Chile.
La Norma Chilena NCh-ISO 31000:2012 se estudi a travs del Comit Tcnico de Gestin de
Riesgo del INN, para entregar los principios y orientaciones acerca de la implementacin de
una gestin del riesgo, como tambin el establecimiento de su marco de trabajo y sus
procesos. Dicha norma es idntica a la versin en ingls de la Norma Internacional ISO
31000:2009 Risk Management - Principles and Guidelines, norma que fue utilizada como
referencia en materia de gestin del riesgo por el Consejo de Auditora desde el ao 2010
hasta el ao 2013.
Sin perjuicio de lo previamente sealado, y en consideracin al actual estado de madurez que
ha alcanzado la implementacin del proceso de gestin de riesgos en las entidades del sector
pblico, las organizaciones gubernamentales podrn previa solicitud y aprobacin por parte del
Consejo de Auditora, proponer e implementar, si corresponde, un modelo de gestin de
riesgos basado principalmente en la Norma Chilena NCh-ISO 31000:2012 o en otros marcos
aceptados, que estn adaptados a las caractersticas y particularidades especficas de la
organizacin y a los requerimientos del CAIGG.
1
Gobierno Corporativo en Chile despus de la Ley de OPAS, Teodoro Wigodski S1, Franco Ziga G,
Departamento de Ingeniera Industrial. Universidad de Chile.
4
En lo que se refiere a la funcin de auditora interna, sta tendr un rol de apoyo para que la
Direccin pueda alinear el enfoque y las prcticas de gestin de riesgos con la norma NCh-ISO
31000:2012, as como contribuir a mantener estas prcticas alineadas de manera continua.
Adems, debe proveer aseguramiento a la Direccin sobre la efectividad de la gestin de los
riesgos, cuyos resultados en conjunto con las directrices emitidas por el Consejo de Auditora
Interna de Gobierno, servirn para retroalimentar el proceso.
En el presente documento se ha consolidado toda la informacin disponible referida al Proceso
de Gestin de Riesgos en el Sector Gubernamental, establecindose la siguiente estructura:
Como punto I esta introduccin; en el punto II se seala el objetivo general del documento;
en el punto III, la relacin con la Auditora de Aseguramiento del Proceso de Gestin de
Riesgos; en el punto IV, el marco metodolgico para el Proceso de Gestin de Riesgos bajo
NCh-ISO 31000:2012; en el punto V, se establecen conceptos bsicos y fundamentales de
la Gestin de Riesgos; en el punto VI se seala el anlisis de las fases del Proceso de
Gestin de Riesgos que deben ser aplicadas por las organizaciones gubernamentales;
tambin se seala en el punto VI, la necesidad que las organizaciones gubernamentales
enven al CAIGG los reportes derivados del Proceso de Gestin de Riesgos en los trminos,
plazos y formatos que esta entidad comunique oportunamente, y en el punto VII, se
presenta la Bibliografa que sustenta el presente documento.
Finalmente, se adjuntan 14 anexos: en el Anexo N 1, se incorpora un ejemplo de poltica

de gestin de riesgos; en el Anexo N 2 un ejemplo de asignacin de roles y
responsabilidades; en el Anexo N 3 la descripcin del rol del auditor interno en el Proceso
de Gestin de Riesgos; en el Anexo N 4 se entrega una gua para el levantamiento de
procesos; el Anexo N 5 establece las tablas de valuacin para riesgos, controles y
exposicin; el Anexo N 6 entrega un ejemplo de levantamiento de procesos; el Anexo N 7
enuncia tcnicas de evaluacin de riesgos y oportunidades, bajo NCh-ISO 31010:2013; el
Anexo N 8 entrega un ejemplo de riesgos genricos que afectan los procesos mejorados
con Tecnologas de Informacin; el Anexo N 9 define los conceptos generales de control
adecuado; el Anexo N 10 presenta un ejemplo de plan de tratamiento de riesgos con
estrategias, acciones e indicadores y, por ltimo en el Anexo N 11 se acompaa un
ejemplo de Matriz de Riesgos Estratgica construida con la metodologa descrita en el
documento; en el Anexo N 12 se entregan conceptos y definiciones sobre delitos de lavado
de activos (LA), financiamiento del terrorismo (FT) y delitos funcionarios (DF); el Anexo
N13 contiene ejemplos de seales de alerta genricas para delitos LA/FT/DF y el Anexo N
14, incluye una estructura para levantar informacin sobre seales de alerta de delitos
LA/FT/DF no asociadas con los riesgos incluidos en la Matriz de Riesgos Estratgica.
Hay que relevar, que cada organizacin gubernamental debe tener implementado un Proceso
de Gestin de Riesgos que sea til para identificar y gestionar aquellos eventos que puedan
afectar el logro de sus objetivos estratgicos y misin institucional. Para ello deben aplicarse
todas las fases que se definen en el presente Documento Tcnico, con la finalidad de tener una
gestin de riesgos slida. Peridicamente, el Consejo de Auditora podr solicitar algunos
reportes derivados del Proceso de Gestin de Riesgos, pero para obtener estos reportes la
organizacin gubernamental debe ejecutar la metodologa contenida en la presente gua, para
conseguir por una parte un Proceso de Gestin de Riesgos robusto funcionando en la
organizacin gubernamental y por otra, reportes de calidad, que entreguen informacin
adecuada para la Presidencia de la Repblica, para la coordinacin y gestin adecuada de los
diversos organismos del Gobierno.
5
Es necesario recordar que la entrega de informacin al Consejo de Auditora Interna General

de Gobierno deber focalizarse en informar sobre los riesgos reales y potenciales para la
organizacin gubernamental, para efectos de hacer una gestin ms eficiente, priorizando los
temas y materias de mayor relevancia y criticidad en cada proceso o actividad que desempea.
II.- OBJETIVO GENERAL DEL DOCUMENTO
Documentar los procedimientos y facilitar a las Organizaciones Gubernamentales, la

implantacin y cumplimiento satisfactorio del Proceso de Gestin de Riesgos, as como su
mantencin y actualizacin. Para ello, todas las organizaciones deben cumplir al menos los
siguientes objetivos:
Dar cumplimiento a las directrices que sobre la materia, formule el Consejo de Auditora
Interna, de acuerdo a lo definido en el Decreto Supremo N 12 del ao 97.
Asumir la responsabilidad de la adopcin de medidas tendientes a la gestin efectiva de
los riesgos, especialmente los de mayor criticidad para la entidad, informando de ello al
Consejo de Auditora Interna General de Gobierno.
Disponer de los recursos necesarios para la correcta implementacin y funcionamiento del
Proceso de Gestin de Riesgos en la entidad.
El Proceso de Gestin de Riesgo en las organizaciones gubernamentales, estar regido por el

presente Documento Tcnico y por las dems normativas e instrucciones que el CAIGG
determine en forma complementaria.
III.- RELACIN CON EL ASEGURAMIENTO
A la Unidad de Auditora Interna, le corresponder entregar aseguramiento sobre el Proceso de

Gestin de Riesgos que desarrolle la organizacin gubernamental, de acuerdo con las
directrices establecidas por el Consejo de Auditora en esta materia. Se contribuir as, a la
revisin permanente y mejora continua del proceso, que permita prevenir y mejorar aspectos
del funcionamiento del Proceso de Gestin de Riesgos como un todo. Cabe sealar que la
retroalimentacin especfica, entregada en los Informes de Auditora, que refiere a procesos en
particular sometidos a evaluacin durante el ao, conforme al Plan Anual de Auditora, tambin
es parte del aseguramiento al Proceso de Gestin de Riesgos.
En este marco, es necesario tambin, que los auditores internos entreguen aseguramiento
razonable a sus Jefes de Servicio, acerca del nivel de cumplimiento de los planes de
tratamiento de los riesgos identificados y presentados al Consejo de Auditora en forma
peridica. De esta manera, el auditor interno entregar su opinin acerca del tratamiento de los
riesgos crticos priorizados en la organizacin gubernamental y si los planes formulados han
logrado mitigar los riesgos hasta un nivel aceptable para la misma o si por el contrario se
requiere reformular dichas medidas.
IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS
El modelo metodolgico para la Gestin de Riesgos en las organizaciones gubernamentales

estar basado principalmente en las disposiciones de las Normas Chilenas ya mencionadas
anteriormente: NCh-ISO 31000:2012 - Gestin del Riesgo - Principios y Orientaciones, NCh-
ISO 31010:2013 - Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo, NCh-Gua ISO
73:2012 Gestin del Riesgo - Vocabulario, y NCh-ISO 31004:2014 Gestin del Riesgo
6
Orientacin para la implementacin de ISO 31000 y, en menor medida, en otros marcos de

gestin de riesgos corporativos2.
A contar del ao 2016 se han incorporado elementos conceptuales y metodolgicos para

identificar y analizar seales de alerta para delitos de lavado de activos (LA), financiamiento del
terrorismo (FT) y delitos funcionarios (DF).
El presente documento se entender como el marco tcnico de referencia para la implantacin,

mantencin y actualizacin del Proceso de Gestin de Riesgos en el Estado.
V.- PROCESO DE GESTIN DE RIESGOS
1.- Conceptos Generales sobre Riesgos
La Norma NCh-ISO Gua 73:2012 define riesgo como el efecto de la incertidumbre sobre los
objetivos y destaca que con frecuencia, el riesgo se caracteriza por referencia a potenciales
eventos y consecuencias, o a una combinacin de ambos. Por su parte, en el Marco Integrado
de Control Interno COSO I (Versin 2013) el riesgo se define como la posibilidad
(probabilidad) de que un acontecimiento ocurra y afecte (consecuencia o impacto)
negativamente a la consecucin de los objetivos. La evaluacin del riesgo implica un proceso
dinmico e iterativo para identificar y evaluar los riesgos de cara a la consecucin de los
objetivos. Dichos riesgos deben evaluarse en relacin a unos niveles preestablecidos de
tolerancia. De este modo, la evaluacin de riesgos constituye la base para determinar cmo se
gestionarn. Una condicin previa a dicha evaluacin es el establecimiento de objetivos
asociados a los diferentes niveles de la entidad.
El Marco Integrado de Control Interno COSO I (Versin 2013) incluye adicionalmente a los
atributos clsicos de evaluacin de riesgos: probabilidad y consecuencia o impacto, dos nuevos
elementos a tener en cuenta; especficamente se incluye el concepto de velocidad y el de
persistencia de los riesgos:
La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la entidad, es

decir, se refiere al ritmo con el que se espera que la entidad experimente el impacto.
La persistencia de un riesgo hace referencia a la duracin del impacto en la entidad
despus de que el riesgo se haya materializado.
En forma complementaria, el documento Risk Assessment in Practice Thought Paper, de la

organizacin COSO3 emitido el ao 2012, incluye en la evaluacin del riesgo los elementos de
velocidad de ocurrencia y vulnerabilidad, cuyo concepto corresponde a la incapacidad de
resistencia cuando se presenta un fenmeno amenazante, o la incapacidad para reponerse
despus de que haya ocurrido un desastre.
Sin perjuicio de lo previamente sealado, y en consideracin a que estos conceptos son an

muy preliminares en teora de riesgos, la evaluacin del nivel de severidad del riesgo en el
modelo metodolgico que se presenta ms adelante en este documento, se realizar en base a
los criterios clsicos, es decir, en base a la probabilidad de ocurrencia e impacto del riesgo.
2
Marco Gestin de Riesgos Corporativos ERM, Modelo de Capacidad GRC - OCEG, entre otros.
3
www.coso.org
7
2.- Conceptos Generales sobre Gestin de Riesgos
Como se seal, las tendencias en materias de administracin estn dirigidas a la creacin y

mantenimiento de Gobiernos Corporativos fuertes que propendan a la transparencia en el
quehacer de las entidades, a la responsabilidad y probidad de los integrantes del Directorio y
los administradores y a la creacin de valor para los interesados o stakeholders, en este caso,
para el ciudadano. Para lograr todo ello, la alta direccin cuenta con herramientas como la
gestin de riesgos y el control interno. La primera como un proceso para identificar, evaluar,
manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un
aseguramiento razonable respecto del alcance de los objetivos de la organizacin; y el
segundo, entendido como un sistema de acciones y medidas asumidas por quienes toman las
decisiones para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y
metas establecidas.4
En el mbito de la gestin de riesgos, organizaciones de todos los tipos y tamaos se enfrentan

a factores internos y externos que hacen incierto saber si y cundo van a alcanzar sus
objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organizacin, se
denomina riesgo5. La Gestin de Riesgos es un proceso estructurado, consistente y continuo
implementado a travs de toda la organizacin para identificar, evaluar, medir y reportar
amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Todos en la
organizacin juegan un rol en el aseguramiento de xito de la Gestin de Riesgos, pero la
responsabilidad principal de la misma recae sobre la Direccin.6
La definicin anterior se puede complementar con otros importantes elementos:
La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora

organizacional a travs del perfeccionamiento de los procesos.
Puede ser aplicada a todos los niveles de una organizacin, es decir, en los niveles
estratgicos, tcticos y operacionales.
Tambin puede ser aplicada a proyectos especficos, para sustentar decisiones especficas
o para administrar reas especficas de riesgo.
Para cada fase del Proceso de Gestin de Riesgos deberan mantenerse registros
adecuados, suficientes como para satisfacer a una auditora externa o certificacin
independiente.
No slo considera la identificacin y tratamiento de riesgos, sino que tambin las
oportunidades que contribuyan al logro de los objetivos.
La aplicacin del marco terico del Proceso de Gestin de Riesgos siempre debe
adecuarse a la entidad y al sector que sta pertenece.
Beneficios Potenciales de la Aplicacin de la Gestin de Riesgos
Mejora las posibilidades de alcanzar los objetivos en la organizacin.

Incrementa el entendimiento de riesgos claves y sus implicaciones en la organizacin.
Se identifica y comparte la responsabilidad de la administracin de los riesgos del negocio.
Genera y fortalece el enfoque en asuntos que realmente importan a la organizacin.
4
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas Internacionales
para el Ejercicio Profesional de la Auditora Interna THEIIA.
5
NCh-ISO 31000:2012.
6
Cfr. Marco Integrado de Gestin de Riesgos COSO II.
8
Contribuye a disminuir las sorpresas y crisis en la organizacin.

Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados
en mejor forma.
Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y
econmicas.
Genera mayor informacin y con ms transparencia sobre los riesgos identificados,
tomados y las decisiones realizadas.
La gestin de riesgos debe considerar al definir los criterios de riesgo, el Apetito del Riesgo de
la organizacin gubernamental. Este concepto se ha definido en algunos marcos de control
interno y de gestin de riesgos como: la cantidad de riesgo, desde un punto de vista amplio,
que una organizacin est dispuesta o desea aceptar en la persecucin de valor7; el riesgo que
se est dispuesto a aceptar en la bsqueda de la misin/visin de la entidad8 o la cantidad y
tipo de riesgo que una organizacin desea retener o perseguir9. Esto es, cuanto riesgo se
puede aceptar para dar cumplimiento a su misin institucional, objetivos estratgicos y entregar
un servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. El
apetito de riesgo debe ser revisado por la Direccin por lo menos una vez al ao, junto con la
estrategia de la organizacin y los procesos de planificacin.
Tambin hay que considerar el concepto de Tolerancia al Riesgo, que es el nivel aceptable de
la variacin alrededor del logro de un objetivo de negocio especfico, el que debe alinearse con
el apetito del riesgo de una organizacin. Este considera cunta variacin puede aceptarse en
el cumplimiento de los objetivos y la atencin a los ciudadanos. Dicho de otra forma, la
tolerancia al riesgo es la cantidad mxima de un riesgo que una organizacin gubernamental
est dispuesta a aceptar para lograr sus objetivos.
Otro concepto importante que se debe considerar al definir los criterios, es la Capacidad de
Riesgo, que hace referencia a la cantidad y tipo de riesgo mximo que una organizacin
pblica es capaz de soportar en la persecucin de sus objetivos.
Los conceptos antes sealados deben ser considerados al implementar el Proceso de Gestin
de Riesgos, especialmente cuando las organizaciones gubernamentales formulen y presenten
para su aprobacin al Consejo de Auditora, un modelo adaptado a sus caractersticas y
necesidades especficas. Lo anterior, teniendo en cuenta que hay organizaciones
gubernamentales que manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo
social potencialmente son ms riesgosas por el tipo de usuario vulnerable) y cada una tiene
niveles distintos de tolerancia y capacidad de riesgos.
3.- Modelos para la Gestin de Riesgos
Si bien existe una diversidad de modelos o framework para la gestin de riesgos, en principio
su concepto global es el mismo, con fundamentos financieros, matemticos o analticos quiz
distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma NCh-ISO
31000:2012.
7
Marco Integrado de Gestin de Riesgos COSO II.
8
Marco Integrado de Control Interno COSO I (Versin 2013).
9
NCh-ISO GUIA 73:2012.
9
Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren

continuamente un marco cuyo objetivo es integrar el proceso de gestin de riesgos en general
en la gobernanza de la organizacin, la estrategia y la planificacin, la gestin, los procesos de
informacin, las polticas, los valores y la cultura, de manera que sea un proceso integrado en
toda la entidad.
La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en
cualquier momento, as como a las funciones especficas, proyectos y actividades.
Para que la gestin del riesgo sea eficaz, las organizaciones deberan cumplir en todos sus
niveles con los principios siguientes:
a) La gestin del riesgo crea y protege el valor
La gestin del riesgo contribuye al logro demostrable de los objetivos y a la mejora del
desempeo. Por ejemplo, en lo referente a la salud y seguridad de las personas, al
cumplimiento de los requisitos legales y reglamentarios, a la aceptacin por el pblico, a la
proteccin ambiental, a la calidad del producto, a la gestin del proyecto, a la eficiencia en las
operaciones, y a su gobernanza y reputacin.
b) La gestin del riesgo es una parte integral de todos los procesos de la organizacin
La gestin del riesgo no es una actividad independiente separada de las actividades y procesos
principales de la organizacin. La gestin del riesgo es parte de las responsabilidades de
gestin y una parte integral de todos los procesos de la organizacin, incluyendo la
planificacin estratgica y todos los procesos de la gestin de proyectos y de cambios.
c) La gestin del riesgo es parte de la toma de decisiones
La gestin del riesgo ayuda a quienes toman las decisiones a seleccionar opciones informadas,
a priorizar las acciones y a distinguir entre planes de accin alternativos.
d) La gestin del riesgo trata explcitamente la incertidumbre
La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza de esa

incertidumbre, y la manera en que se puede tratar.
e) La gestin del riesgo es sistmica, estructurada y oportuna
Un enfoque sistemtico, oportuno y estructurado de la gestin del riesgo contribuye a la

eficiencia y a resultados coherentes, comparables y fiables.
f) La gestin del riesgo se basa en la mejor informacin disponible
Los elementos de entrada del proceso de gestin del riesgo se basan en fuentes de
informacin tales como datos histricos, experiencia, retroalimentacin de las partes
interesadas, observacin, pronsticos y juicios de expertos. No obstante, quienes toman las
decisiones deberan informarse y tener en cuenta todas las limitaciones de los datos o modelos
utilizados, as como las posibles divergencias entre expertos.
10
g) La gestin del riesgo se adapta
La gestin del riesgo se alinea con el contexto externo e interno de la organizacin y con el
perfil del riesgo.
h) La gestin del riesgo integra los factores humanos y culturales
La gestin del riesgo permite identificar las capacidades, las percepciones y las intenciones de
las personas externas e internas que pueden facilitar u obstruir el logro de los objetivos de la
organizacin.
i) La gestin del riesgo es transparente y participativa
El involucramiento apropiado y oportuno de las partes interesadas y, en particular, aquellos que

toman decisiones en todos los niveles de la organizacin, asegura que la gestin del riesgo se
mantenga pertinente y actualizada. El involucramiento tambin permite a las partes interesadas
estar correctamente representadas y que sus opiniones se consideren en la determinacin de
los criterios de riesgo.
j) La gestin del riesgo es dinmica, iterativa, y responde a los cambios
La gestin del riesgo est continuamente percibiendo los cambios y respondiendo a ellos.
Mientras ocurren eventos externos e internos, cambian el contexto y los conocimientos, se
realiza el monitoreo y la revisin de riesgos, surgen nuevos riesgos, algunos cambian y otros
desaparecen.
k) La gestin del riesgo facilita la mejora continua de la organizacin
Las organizaciones deberan desarrollar e implementar estrategias para mejorar su madurez en

la gestin del riesgo junto a los dems aspectos de la organizacin.
4.- Marco de Trabajo de la Norma NCh-ISO 31000:2012
El xito de la gestin de riesgos depender de la efectividad del marco para manejar los
riesgos, que provee las bases y fundamentos que traspasa la organizacin en todos sus
niveles. El marco colabora en la gestin efectiva de los riesgos, a travs de procesos de
administracin de riesgos en varios escenarios y contextos de la organizacin gubernamental.
El marco asegura que la informacin derivada de ese proceso sea adecuadamente comunicada
y se utilice como una base para la toma de decisiones por parte de la autoridad y para la
rendicin de cuentas o accountability de las mismas.
El marco de trabajo no pretende prescribir un sistema de gestin, sino ms bien ayudar a la

organizacin a integrar la gestin del riesgo en su sistema de gestin global. Por ello, las
organizaciones deberan adaptar los componentes del marco de trabajo a sus necesidades
especficas.
Si las prcticas y procesos de gestin existentes en una organizacin incluyen componentes de

gestin del riesgo, o si la organizacin ya ha adoptado un proceso formal de gestin del riesgo
para tipos o situaciones particulares de riesgo, entonces stos se deberan revisar y evaluar de
11
forma crtica de acuerdo con esta norma, a fin de determinar si la gestin de riesgos ha sido
adecuada y eficaz.
El marco describe los elementos necesarios para la gestin de riesgos y la forma cmo estos
componentes se interrelacionan entre s, como se seala en el Cuadro N 1 a continuacin.
Cuadro N 1: Elementos del Marco de Trabajo de la Gestin del Riesgo
La descripcin de los elementos del marco de trabajo de la gestin del riesgo comprende:
4.1.- Mandato y Compromiso
La introduccin de la gestin del riesgo y el aseguramiento de su eficacia continua requieren un

compromiso fuerte y sostenido de la direccin de la organizacin gubernamental, as como
establecimiento de una planificacin estratgica y rigurosa para lograr el compromiso a todos
los niveles.
12
4.2.- Diseo del Marco de Trabajo de la Gestin del Riesgo
4.2.1.- Comprensin de la Organizacin y de su Contexto. Antes de iniciar el diseo y la

implementacin del marco de trabajo de la gestin del riesgo, es importante evaluar y entender
el contexto externo y el contexto interno de la organizacin, dado que ambos pueden influir
significativamente en el diseo del marco de trabajo.
4.2.2.- Establecimiento de la Poltica de Gestin del Riesgo. La poltica de gestin del

riesgo debera indicar claramente los objetivos y el compromiso de la organizacin en materia
de la gestin del riesgo.
4.2.3.- Obligacin de Rendir Cuentas (Accountability). La organizacin se debera asegurar

que la obligacin de rendir cuentas, la autoridad y las competencias apropiadas para gestionar
el riesgo estn establecidas, incluyendo la implementacin y la mantencin del proceso de
gestin del riesgo y asegurando la idoneidad, eficacia y eficiencia de todos los controles.
4.2.4.- Integracin en los Procesos de la Organizacin. La gestin del riesgo debera estar
integrada en todas las prcticas y procesos de la organizacin, de una manera que sea
pertinente, eficaz y eficiente. El proceso de gestin del riesgo debera formar parte de los
procesos de la organizacin, y no ser independiente de ellos. En particular, la gestin del riesgo
debera estar integrada en el desarrollo de la poltica, en la planificacin y revisin de la
actividad y la estrategia, y en los procesos de gestin de cambios.
4.2.5.- Recursos. La organizacin debera proporcionar los recursos adecuados para gestin
del riesgo.
4.2.6.- Establecimiento de los Mecanismos Internos de Comunicacin y de Reporte. La

organizacin debera establecer mecanismos internos de comunicacin y de reporte con objeto
de apoyar y fomentar la obligacin de rendir cuentas y la propiedad del riesgo.
4.2.7.- Establecimiento de los Mecanismos Externos de Comunicacin y de Reporte. La

organizacin debera desarrollar e implementar un plan para comunicarse con las partes
interesadas externas.
4.3.- Implementacin del Marco de Trabajo de la Gestin del Riesgo y del Proceso de
Gestin del Riesgo
4.3.1.- Implementacin del Marco de Trabajo de la Gestin del Riesgo. Para esta actividad
la organizacin debera:
Definir el calendario y la estrategia apropiados para la implementacin del marco de trabajo;

Aplicar la poltica y el proceso de gestin del riesgo a los procesos de la organizacin;
Cumplir los requisitos legales y reglamentarios;
Asegurar que la toma de decisiones, incluyendo el desarrollo y el establecimiento de los
objetivos, se alinean con los resultados de los procesos de gestin del riesgo;
Organizar sesiones de informacin y de entrenamiento; y
Comunicar y consultar a las partes interesadas para garantizar que su marco de trabajo de
la gestin del riesgo continua siendo apropiado.
13
4.3.2.- Implementacin del Proceso de Gestin del Riesgo. La gestin del riesgo se debera
implementar de manera que se asegure que el proceso de gestin del riesgo, se aplica
mediante un plan de gestin del riesgo en todos los niveles y funciones pertinentes de la
organizacin, como parte de sus prcticas y procesos.
4.4.- Monitoreo y Revisin del Marco de Trabajo
Con objeto de asegurar que la gestin del riesgo es eficaz y contribuye a ayudar al desempeo
de la organizacin sta debera:
Medir el desempeo de la gestin del riesgo respecto a los indicadores, que se revisan
peridicamente en cuanto a su idoneidad;
Medir peridicamente el progreso y las desviaciones respecto al plan de gestin del riesgo.
Revisar peridicamente si el marco de trabajo, la poltica y el plan de gestin del riesgo
siguen siendo apropiados, a la vista del contexto interno y externo de la organizacin;
Establecer informes sobre los riesgos, sobre el progreso del plan de gestin del riesgo y
sobre la forma en que se est siguiendo la poltica de gestin del riesgo; y
Revisar la eficacia del marco de trabajo de gestin del riesgo.
4.5.- Mejora Continua del Marco de Trabajo
En base a los resultados obtenidos del monitoreo y de las revisiones, se deberan tomar
decisiones sobre cmo mejorar el marco de trabajo, la poltica y el plan de gestin del riesgo.
Estas decisiones deberan conducir a mejoras en la gestin del riesgo por parte de la
organizacin, as como a mejoras de su cultura de gestin del riesgo.
5.- Fases Genricas en el Proceso de Gestin de Riesgos
Sin perjuicio que en la actualidad existen una serie de modelos para la gestin de riesgos de
mayor o menor difusin, el Consejo de Auditora ha decidido utilizar un modelo genrico, que
recoge en su mayor parte los elementos del Proceso de Gestin de Riesgos contenidos en la
Norma NCh-ISO 31000:2012, que en su desarrollo y mejora a travs del tiempo permita a las
organizaciones gubernamentales adecuarlo a otros ms especficos, si es que aquello fuese
necesario.
Las fases en que se desagrega dicho modelo genrico y que debern desarrollarse para
implementar el Proceso de Gestin de Riesgos en organizaciones gubernamentales, se
sealan a continuacin:
Establecimiento del Contexto: Definicin de los parmetros externos e internos a tener en

cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo
para la poltica de gestin del riesgo. Comprende establecer los contextos estratgico,
organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos.
Deben establecerse los objetivos de la evaluacin del riesgo, los criterios contra los cuales
se evaluarn los riesgos, el programa de evaluacin del riesgo y definirse la estructura de
anlisis, los roles y responsabilidades.
Evaluacin del Riesgo: La evaluacin del riesgo es el proceso global de identificacin del
riesgo, de anlisis del riesgo y de valoracin del riesgo.
14
Identificacin del Riesgo: Proceso de bsqueda, reconocimiento y descripcin de

riesgos. Comprende identificar los riesgos que podran impedir, degradar o demorar el
cumplimiento de los objetivos estratgicos y operativos de la organizacin, as como las
oportunidades que puedan contribuir al logro de los referidos objetivos. Tambin se
deben identificar seales de alerta de delitos LA/FT/DF asociadas a los riesgos, cuando
corresponda.
Anlisis del Riesgo: Proceso que permite comprender la naturaleza del riesgo y
determinar el nivel de riesgo. El anlisis del riesgo proporciona las bases para la
valoracin del riesgo y para tomar las decisiones relativas al tratamiento del riesgo. El
anlisis debera considerar el rango de consecuencias potenciales y cun probable es
que los riesgos puedan ocurrir. Consecuencia y probabilidad se combinan para producir
un nivel estimado de riesgo segn la definicin de la organizacin. Adicionalmente se
debe identificar y analizar los controles mitigantes existentes.
Valoracin del Riesgo: Proceso de comparacin de los resultados del anlisis del
riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud es
aceptable o tolerable. Comprende comparar los niveles de riesgo encontrados contra los
criterios de riesgo aceptado preestablecidos por la organizacin, considerando el
balance entre beneficios potenciales y resultados adversos. Ordenar y priorizar
mediante un ranking los riesgos analizados.
Tratamiento del Riesgo: Una vez completada la valuacin del riesgo, el tratamiento del
riesgo involucra la seleccin y el acuerdo para aplicar una o varias opciones pertinentes
para cambiar la probabilidad de que los riesgos ocurran, los efectos de los riesgos, o
ambas, y la implementacin de estas opciones. A continuacin de esto, sigue un proceso
crtico de reevaluacin del nuevo nivel de riesgo, con la intencin de determinar su
tolerancia con respecto a los criterios previamente establecidos, para decidir si se requiere
tratamiento adicional. De acuerdo al ranking de riesgos y al nivel de riesgo aceptado
preestablecido por la organizacin, definir su tratamiento y/o monitoreo, desarrollando e
implementando estrategias y planes de accin especficos, que mantengan el riesgo dentro
de los niveles aceptados por la organizacin.
Monitoreo y Revisin: Como parte del proceso de gestin del riesgo, los riesgos y los
controles se deben monitorear y revisar de manera regular. Comprende definir y utilizar
mecanismos para la verificacin, supervisin, observacin crtica o determinacin del
estado de los riesgos y controles con objeto de identificar de una manera continua los
cambios que se puedan producir en el nivel de desempeo requerido o esperado y dar
cuenta de la evolucin del nivel del riesgo en procesos crticos para la administracin.
Comunicacin y Consulta: Los procesos continuos e iterativos que realiza una

organizacin para proporcionar, compartir u obtener informacin y para comprometer el
dilogo con las partes interesadas en relacin con la gestin del riesgo. Comprende definir
y utilizar mecanismos para comunicar y consultar con los interesados internos y externos,
segn resulte apropiado en cada etapa del Proceso de Gestin de Riesgos. Dichos
mecanismos deben permitir a las autoridades tomar decisiones en forma oportuna respecto
de los riesgos con mayores desviaciones en relacin a los niveles aceptados.
15
A continuacin, en el Cuadro N 2, se presenta un esquema representativo de la relacin entre

las fases genricas que componen un Proceso de Gestin de Riesgos, bajo la perspectiva que
se ha adoptado para su implementacin.
Cuadro N 2: Esquema representativo del Proceso de Gestin de Riesgos NCh-ISO

31000:2012
Si el lector requiere ahondar en la teora que sustenta la Gestin de Riesgos Corporativos,

puede acudir, entre otras, a las siguientes fuentes de informacin:
Norma NCh-ISO 31000:2012 - Principios y Directrices para la Gestin de Riesgos.

www.inn.cl.
Norma ISO 31000:2009 Risk management - Principles and Guidelines. www.iso.org.
Marco COSO ERM. www.erm.coso.org. y www.coso.org.
Estndar Australiano/Neozelands AS/NZS 4360:1999.
OCEG, Red Book GRC Capability Model. www.oceg.org.
16
VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

PROCESO DE GESTIN DE RIESGOS EN LAS ORGANIZACIONES GUBERNAMENTALES
En los prrafos siguientes, se revisar cada una de las fases del Marco de Trabajo y del
Proceso de Gestin de Riesgos:
A. MARCO DE TRABAJO DE LA GESTIN DE RIESGOS
Desde el ao 2014, las actividades comprendidas en cada elemento del Marco de Trabajo de la
Gestin del Riesgo, se han venido implementando y actualizando en forma paralela y
complementaria con las actividades de implantacin del Proceso de Gestin de Riesgos
principalmente en base a la NCh-ISO 31000:2012. Lo anterior, es factible producto del nivel de
avance de las actividades y del actual estado de madurez que han alcanzado en su
funcionamiento los elementos y estructuras de gestin de riesgos que se han venido
implementando en base al Estndar Australiano/Neozelands AS/NZS 4360:1999 y a la Norma
Internacional ISO 31000:2009 en la administracin gubernamental desde el ao 2007.
Los elementos componentes del Marco de Trabajo de la Gestin del Riesgo fueron descritos en
este documento, en el punto V. N 4.- Marco de Trabajo de la Norma NCh-ISO 31000:2012.
B. MANTENCIN Y MEJORAMIENTO DEL PROCESO DE GESTIN DE RIESGOS
1.- FASE ESTABLECIMIENTO DEL CONTEXTO
En esta fase genrica, se contempla el establecimiento de los contextos estratgico,

organizacional y de gestin en los cuales tendr lugar el Proceso de Gestin de Riesgos.
Comprende el contexto interno, el externo y el contexto de gestin de riesgos.
1.1.- Contexto Interno y Externo
Para establecer el contexto organizacional o interno, es necesario comprender, entre otros, la

organizacin, su estructura interna, recursos humanos, filosofa y valores, polticas, misin,
metas, objetivos y estrategias para lograrlos.
Para establecer el contexto estratgico o externo, es necesario analizar el entorno en que

opera la organizacin, considerando aspectos tales como los financieros, operacionales,
competitivos, polticos, de imagen, sociales, culturales, legales, clientes y proveedores,
comunidad local y sociedad.
Como una fuente de informacin para el establecimiento del contexto interno y externo, se
sugiere utilizar como insumo los anlisis que se han realizado en la organizacin
gubernamental, en el marco del control de gestin, en las Definiciones Estratgicas (ver
Instrucciones para la Formulacin - Formulario A1 Ficha de Definiciones Estratgicas DIPRES),
ya que en ese mbito, se han examinado y definido la misin ministerial e institucional, visin,
ley orgnica, programas, ejes estratgicos, productos, clientes, indicadores, etc. Otros insumos
que pueden utilizarse son la Evaluacin Comprehensiva del Gasto, la Evaluacin de
Programas, la Evaluacin de Impacto, entre otros antecedentes.
En forma adicional, deben incorporarse en un Proceso de Gestin de Riesgos, una poltica de

gestin de riesgos, la definicin de roles y sus responsables y un diccionario de riesgos.
17
i) Establecer la Poltica de Gestin de Riesgos: Corresponde a la declaracin de las

intenciones y orientaciones globales de una organizacin en relacin con la gestin del
riesgo10. La poltica de riesgos se debe definir y documentar, aprobndose por la direccin y
debe contener al menos los siguientes elementos:
La razn fundamental de la organizacin gubernamental en materia de gestin del riesgo

(el objetivo o propsito de la gestin de riesgos).
Los enlaces entre los objetivos y las polticas de la organizacin y la poltica de la gestin
del riesgo.
Las obligaciones de rendir cuentas y las responsabilidades en materia de gestin del
riesgo.
La manera en la que se tratan los intereses que entran en conflicto.
El compromiso con el fin de tener disponibles los recursos necesarios para ayudar a
aquellos con la obligacin de rendir cuentas y responsables por la gestin del riesgo.
La manera en la que se mide e informa el desempeo de la gestin del riesgo.
El compromiso para revisar y mejorar la poltica de gestin del riesgo y el marco de trabajo,
peridicamente y como respuesta a un evento o a un cambio de las circunstancias.
La Direccin debe asegurar que la poltica de riesgos se incluya y sea coherente con la poltica
de Calidad de la organizacin gubernamental, y que sea publicada y comunicada a travs de
todos los niveles de dicha organizacin, estableciendo responsables de las comunicaciones. En
Anexo N 1 se entrega un ejemplo de poltica de gestin de riesgos.
Acciones a Desarrollar Peridicamente
En esta fase debe definirse la poltica de gestin de riesgos y aprobarse por el Jefe de Servicio
mediante Resolucin. En el caso de estar dictada, debe revisarse, para determinar su
consistencia con las polticas y objetivos estratgicos de la organizacin gubernamental,
poniendo especial nfasis en que la poltica de riesgos considere todos los procesos que
ejecuta y que sea consistente con la poltica de calidad de la entidad.
ii) Establecer los Responsables y sus Roles: Se deben definir, documentar y aprobar los
roles de las personas relacionadas con las siguientes materias:
Iniciar acciones para prevenir o reducir los efectos de los riesgos.

Controlar el tratamiento de los riesgos.
Identificar y registrar cualquier problema relacionado con la gestin de los riesgos.
Iniciar, recomendar o proveer soluciones a travs de estrategias.
Verificar a travs del monitoreo la implementacin de las soluciones contenidas en las
estrategias.
En Anexo N 2, se presenta un ejemplo de asignacin de roles y responsabilidades.
Es importante sealar que el Auditor Interno de la organizacin gubernamental no puede ser

nombrado como responsable en estos temas, ya que se estara afectando su objetividad e
independencia al momento de auditar el funcionamiento y efectividad del Proceso de Gestin
de Riesgos (actividad de aseguramiento). En Anexo N 3 se entrega un resumen del rol de la
10
NCH-ISO GUIA 73:2012
18
auditora interna en un Proceso de Gestin de Riesgos, destacndose aquellas funciones que

puede realizar y aquellas que no le estn permitidas11.
La organizacin gubernamental deber definir los roles y las responsabilidades relacionados

con el Proceso de Gestin de Riesgos, por el Jefe de Servicio mediante Resolucin. Para ello
se debe tener en cuenta el tamao de la organizacin, su estructura y cultura organizacional, la
jerarqua y la disponibilidad del personal para asumir posiciones de coordinacin y/o
responsabilidad. En caso de existir una asignacin de roles y responsabilidades, sta debe
analizarse para determinar si responde en forma adecuada a los requerimientos del Proceso,
examinando la necesidad de modificar roles, crear o eliminar instancias, mejorar la definicin
de responsabilidades, entre otros elementos. Siempre es importante considerar en este anlisis
el cambio de lineamientos y directrices que experimente la organizacin gubernamental cuando
hay un cambio de Administracin, ya sea a nivel de la Jefatura de la misma organizacin o a
nivel de Gobierno.
iii) Establecer un Diccionario de Riesgos: A nivel terico y prctico se considera la

necesidad de formular un diccionario de riesgos para la entidad. En este caso, como se trata de
organizaciones gubernamentales, el diccionario de riesgos ha sido confeccionado y remitido
por el Consejo de Auditora Interna a todas las organizaciones del Sector Pblico para que lo
utilicen.
En general, siempre que sea necesario, la organizacin gubernamental puede incorporar

conceptos adicionales propios, a fin de hacer ms completo e ir actualizando el Diccionario de
Riesgos, sin perjuicio de las medidas complementarias que al respecto pudiera tomar el
Consejo de Auditora.
1.2.- Contexto de Gestin de Riesgo
Para establecer el contexto de gestin debe constituirse y definirse el alcance de aplicacin del
anlisis de riesgos.
De acuerdo al modelo metodolgico adoptado por el Consejo de Auditora, el Proceso de

Gestin de Riesgos debe aplicarse a nivel de procesos, desagregados en subprocesos, etapas,
actividades y riesgos especficos.
Dentro de la sealada desagregacin en procesos, subprocesos y etapas, se incorporan

conceptos como la clasificacin en procesos transversales en la Administracin del Estado, la
tipificacin de riesgos y la ponderacin porcentual de la importancia estratgica de los
subprocesos que componen los procesos en la organizacin, que tambin deben ser
incorporados dentro del contexto de la gestin de riesgos.
11
Se hace de acuerdo a la mirada del Instituto de Auditores Internos Global (IIA).
19
1.2.1.- Desagregacin de Procesos Crticos y Modelamiento de Riesgos

Para levantar informacin de los procesos, la tcnica a utilizar para documentar y estructurar el
trabajo corresponde a la desagregacin de la informacin de procesos crticos de la institucin
(el porcentaje mnimo se informar oportunamente por el Consejo de Auditora Interna General
de Gobierno) en una Matriz de Riesgos Estratgica (Ver NCh-ISO 31010:2013 - Matriz de
Consecuencia/Probabilidad). Esta tcnica permite correlacionar la estructura desagregada de
un proceso (subprocesos, etapas y actividades) con los objetivos operativos, el nivel de riesgo,
el nivel de eficiencia de los controles claves mitigantes y, finalmente, con el nivel de exposicin
al riesgo. En general, el Proceso de Gestin de Riesgos se inicia con los procesos ms crticos
de la entidad, para ir amplindose a una mayor cobertura, de manera de considerar todos los
procesos que incidan en el logro de los objetivos de la organizacin gubernamental.
Esta tcnica tiene las siguientes ventajas:
Obliga al personal encargado a conocer e interactuar en forma integral con su

organizacin.
Permite construir la Matriz de Riesgos de la organizacin gubernamental de tipo global y
las matrices especficas para cada proceso relevante o materia especfica que se requiera
analizar.
Se genera una slida base para aplicar y documentar el Proceso de Gestin de Riesgos.
Una vez identificados los procesos que desarrolla la organizacin gubernamental se debe
realizar la desagregacin de procesos y el modelamiento de los riesgos y los controles.
i.- Metodologa
Paso N 1: Identificacin y Priorizacin de Procesos Crticos en la Institucin
Para efectos de este documento, se entender como proceso un conjunto de actividades

ntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene uno o
ms clientes y proveedores, internos y/o externos a la organizacin en que opera. Podemos
agregar a esta definicin, que aquellos identificados como claves para el logro de la misin
institucional a travs del cumplimiento de los objetivos estratgicos, sern los procesos crticos.
Es necesario reiterar que la identificacin de procesos, subprocesos y etapas es una labor que
las organizaciones gubernamentales deberan tener realizada y respaldada a travs de
documentos formales, tales como; bases tcnicas, trminos de referencia, reglamentos y
normativas internas de los programas y servicios que entregan las instituciones.
En caso que dichas estructuras estn implcitas en la documentacin o no estn formalizadas,

se debe analizar e identificar en conjunto con los ejecutivos y directivos responsables, la
estructura de los procesos. Con esa informacin se debe analizar la relacin entre la misin
objetivos estratgicos formales declarados y los procesos organizacionales, identificando para
cada proceso especfico, el nivel de contribucin que realiza a cada objetivo estratgico,
mediante la metodologa definida por el Consejo de Auditora Interna General de Gobierno.
20
Tal como se seal, hay que tener presente que muchos procesos inciden en forma indirecta
en el logro de los objetivos, ya que constituyen soporte para la realizacin de diversas acciones
de negocio, otros en cambio, inciden en forma directa. Debido a estas particularidades en la
organizacin, se ha estimado necesario formular un mtodo que permita distinguir entre el nivel
de contribucin o relevancia de cada uno de los procesos.
El nivel de contribucin que realiza un determinado proceso al cumplimiento de los objetivos

estratgicos de la organizacin gubernamental, ya sea un proceso relevante que desarrolla
esta organizacin tanto a nivel estratgico externo, con el objetivo de satisfacer a sus usuarios;
como a nivel interno, con la finalidad de definir el soporte administrativo de la labor de la
Institucin, se medir de acuerdo con la siguiente escala:
Escala para Medir el Nivel de Contribucin que Afecta el Cumplimiento del Objetivo
Estratgico
Clasificacin
Descripcin del Nivel de Contribucin Valor
del Nivel
El proceso aporta de manera fundamental en el cumplimiento del

Alto 3
objetivo estratgico.
El proceso aporta de manera importante en el cumplimiento del

Medio 2
objetivo estratgico.
El proceso aporta de manera menor en el cumplimiento del objetivo

Bajo 1
estratgico.
Nulo El proceso no aporta en el cumplimiento del objetivo estratgico. 0
A continuacin se presenta un esquema matricial que permite identificar los procesos crticos
de acuerdo con esta metodologa, al relacionar cada uno de los procesos de la organizacin
gubernamental con los objetivos estratgicos de la misma. El procedimiento especfico
corresponder al siguiente:
Una vez identificados todos los procesos que existen en la organizacin, se debe aplicar la
siguiente metodologa para determinar la priorizacin de los procesos en base a su nivel de
contribucin para todos los objetivos estratgicos. Anlisis que posteriormente servir para
determinar cules sern los procesos crticos que se les realizar el modelamiento de riesgos.
21
Esquema de Relacin y Priorizacin de Procesos Relevantes en la Institucin en

Relacin a los Objetivos Estratgicos
Misin Institucional: xxxxxxx
Objetivos Nivel de Proceso

Contribucin seleccionado
Objetivo Objetivo Objetivo Objetivo
Promedio del (2,0 3,0)
Estratgico Estratgico Estratgico Estratgico
Procesos Proceso al
1 2 ... n
institucionales Cumplimiento de
los Objetivos
Alto (3), Alto (3), Alto (3), Alto (3),
Medio(2), Medio(2), Medio(2), Medio(2), Promedio
Proceso 1 X
Bajo(1), Bajo(1), Bajo(1), Bajo(1), Aritmtico Proceso
Nulo(0) Nulo(0) Nulo(0) Nulo(0) 1
Proceso 2 X
Proceso 3 -
... .......... .......... .......... .......... .......... -
Proceso n Alto (3), Alto (3), Alto (3), Alto (3), X
Promedio
Medio(2), Medio(2), Medio(2), Medio(2),
aritmtico Proceso
Bajo(1), Bajo(1), Bajo(1), Bajo(1),
n
Nulo(0) Nulo(0) Nulo(0) Nulo(0)
En el esquema anterior, se incluyen todos los procesos organizacionales y todos los objetivos
estratgicos de la organizacin gubernamental. Se analiza cada proceso en relacin con el
nivel en que aporta al cumplimiento de cada objetivo, pudiendo ser de nivel Alto, Medio, Bajo o
Nulo, de acuerdo con la escala anteriormente definida.
Finalmente, cuando se han relacionado todos los procesos con todos los objetivos estratgicos,
se calcula el promedio entre los niveles de contribucin individual entre procesos y objetivos,
obtenindose el nivel promedio por cada proceso. Por consiguiente, se contar con la
informacin necesaria para determinar si se seleccionar el proceso para el anlisis y
modelamiento de riesgos.
La seleccin final de cada proceso crtico estar basada en la misma escala para el nivel en
que afecta el cumplimiento del objetivo estratgico. Se deber escoger para el anlisis de
procesos crticos, los que presenten un nivel de contribucin promedio entre 2,0 y 3,0 puntos,
es decir, se seleccionarn los procesos claves que contribuyen desde un nivel importante a
fundamental en el cumplimiento de todos los objetivos estratgicos institucionales, o dicho de
otra forma, la relevancia de los procesos estar dada por el nivel de influencia o contribucin
que tiene cada proceso en el logro de los objetivos.
22
Ejemplo: Seleccin de procesos crticos en una organizacin que cuenta con tres objetivos
estratgicos:
Misin Institucional : xxxxxxxx
Objetivos
Objetivo Objetivo Objetivo Nivel de contribucin Proceso
Estratgico Estratgico Estratgico promedio del seleccionado
Procesos 1 2 3 proceso al (2,0 3,0)
institucionales cumplimiento de los
objetivos
Abastecimiento 3 2 3 2,6 x
Financiero 2 1 0 1,0
Crediticio 1 2 1 1,6
Recursos Humanos 3 2 1 2,0 x
Comercializacin 1 2 1 1,3
Para este ejemplo, se debe realizar el anlisis para los procesos crticos: Abastecimiento y
Recursos Humanos.
En todo caso, independiente de la clasificacin previamente explicada, la organizacin

gubernamental debe considerar en el reporte al CAIGG, el porcentaje mnimo (valor porcentual
mnimo) de procesos crticos que deben analizarse en la organizacin, que este Consejo
informe oportunamente.
Paso N 2: Identificacin de Subprocesos en los Procesos Crticos
Una vez seleccionados los procesos crticos, de acuerdo con la metodologa descrita, se deben
identificar los subprocesos que integran cada uno de ellos (depender de la estructura del
proceso y de las caractersticas organizacionales de la organizacin gubernamental). Los
subprocesos corresponden a aquellos componentes principales en el desarrollo de los
procesos. Al igual que los procesos, los subprocesos que los componen pueden ser de diversa
importancia y tener distinta influencia en la generacin de los productos o servicios.
Paso N 3: Identificacin de Etapas en cada Subproceso
Cuando sea posible seguir desagregando la estructura para anlisis dentro de cada
subproceso (depender de las caractersticas y estructura del proceso y de la organizacin,
entre otras variables), se deber identificar las etapas que lo conforman y que equivalen a las
acciones o actividades que en conjunto forman el subproceso.
Hay que destacar que existen casos en que la estructura de desagregacin mxima posible
ser el subproceso y en otros ser posible desagregar hasta el nivel de etapa que componen
los subprocesos. Esta variable de anlisis, tambin depender de la naturaleza y estructura de
cada organizacin gubernamental.
Una vez definido el ltimo nivel de desagregacin de cada proceso, se proceder a identificar
los objetivos operativos.
23
Paso N 4: Identificacin de Objetivos Operativos
Se entender por objetivos operativos, aquella meta o finalidad que se persigue cumplir
mediante la ejecucin de una etapa o mediante la ejecucin de un subproceso; si la
desagregacin fue slo a nivel de subproceso. Siempre hay que tener presente que los
objetivos del proceso, subproceso o etapa estn establecidas a travs de documentos formales
(bases administrativas o tcnicas, normas internas, programas, trminos de referencia, etc.) en
forma explcita o implcita, lo que implica una labor de estudio y anlisis de la documentacin
regulatoria y de soporte en los procesos.
Paso N 5: Identificacin de Riesgos Operativos Relevantes
Una vez identificados los objetivos operativos correspondientes a etapas o subprocesos

relevantes, segn sea la mxima desagregacin de los procesos donde se realizar el
levantamiento, es necesario identificar los riesgos relevantes que se presentan asociados a los
objetivos en cada proceso crtico o subproceso o etapa, entendiendo como tales a la
incertidumbre sobre los objetivos operativos, as como a la posibilidad (probabilidad) de que un
acontecimiento ocurra y afecte (consecuencia o impacto) negativamente a la consecucin total
o parcial de los objetivos operativos.
Luego de la identificacin del riesgo, se debe proceder a su medicin (nivel de severidad del
riesgo, de acuerdo con la escala presentada en el Anexo N 5 de este documento). Evaluando
en trminos de su probabilidad, como posibilidad de la ocurrencia del riesgo potencial y de su
impacto, como consecuencia que puede ocasionar a la organizacin la materializacin del
riesgo. Lo anterior nos va a entregar la severidad del riesgo y su clasificacin, de acuerdo a la
matriz de impacto y probabilidad que se expone ms adelante en este documento12.
En forma complementaria debe calificarse la fuente y tipologa de los riesgos de acuerdo a lo

sealado al punto 1.2.4 de este documento.
Adicionalmente, a contar del ao 2016, para cada riesgo operativo relevante contenido en la
Matriz de Riesgos Estratgica, se analizan e identificarn si corresponde, seales de alerta
relacionadas con los delitos de lavado de activos (LA), financiamiento del terrorismo (FT) o
delitos funcionarios (DF), de acuerdo a lo sealado al punto 2.2.2.- Identificar Seales de Alerta
para Delitos LA/FT/DF, asociadas a los riesgos.
Paso N 6: Reconocimiento y Levantamiento de los Controles Claves
El prximo paso consiste en el reconocimiento y levantamiento de los controles que tiene la

organizacin gubernamental y que se orientan a mitigar los riesgos operativos identificados. En
este punto, debe hacerse un anlisis de los controles relevando slo aquellos claves, cuyo
objetivo es la mitigacin de los riesgos. Deben clasificarse y calificarse los controles, de
acuerdo a su nivel de cumplimiento con los elementos de un control adecuado especificados en
el modelo y segn su oportunidad, periodicidad y automatizacin, utilizando para ello la
metodologa del Consejo de Auditora (tablas para valuacin se presentan en el Anexo N 5).
Luego, debe calcularse el nivel de exposicin al riesgo, que corresponde al nivel de riesgo una
vez considerada la calificacin de los controles. El nivel de exposicin al riesgo, se determinar
12
Una gua bsica para levantar procesos y los elementos que deben considerarse, se contiene en el Anexo N 4 de
este documento.
24
por riesgo, por etapa, por subproceso y por proceso (tablas para valuacin se presentan en el
Anexo N 5). Debe calcularse el riesgo ponderado por subproceso.
Paso N 7: Formulacin de la Matriz de Riesgos Estratgica
De la aplicacin de este procedimiento se obtendr como producto la Matriz de Riesgos

Estratgica de la organizacin gubernamental al momento del anlisis de los procesos crticos,
la que contendr los siguientes elementos:
Procesos crticos de la organizacin (previamente priorizados).

Identificacin de subprocesos componentes de los procesos crticos de la organizacin y
su ponderacin.
Identificacin de etapas en cada subproceso (si corresponde).
Identificacin de los objetivos operativos por etapa o subproceso.
Identificacin de todos los riesgos operativos relevantes.
Identificacin de la fuente del riesgo y su tipologa.
Valor y clasificacin de la severidad de los riesgos operativos.
Identificacin, valor y clasificacin de la efectividad de los controles mitigantes asociados al
riesgo operativo.
Valor de la exposicin al riesgo individual, por etapa, subproceso y proceso crtico.
Valor de la exposicin ponderada por subproceso.
Es importante destacar que la informacin recabada en la Matriz de Riesgos Estratgica de la

organizacin gubernamental, corresponde al momento en el cual se realiza este levantamiento
de informacin, y debe ser actualizada en forma peridica. Un ejemplo de levantamiento de
proceso, se establece en el Anexo N 6.
Para la desagregacin de procesos crticos y el modelamiento de riesgos, la organizacin

gubernamental debe:
a) Identificar los procesos que desempea la organizacin.

b) Priorizar los procesos crticos segn su nivel de contribucin al cumplimiento de los
Objetivos Estratgicos.
c) Clasificar los procesos entre los procesos transversales definidos en este Documento
Tcnico.
d) Identificar los subprocesos que componen los citados procesos crticos.
e) Ponderar los subprocesos en relacin a su importancia para el proceso crtico que
componen (Ver punto 3.1.2).
f) Identificar las etapas que componen los subprocesos del proceso crtico (si corresponde).
g) Identificar los objetivos o finalidades que tienen cada una de las etapas o subprocesos,
segn corresponda. Esta informacin debe derivarse de documentacin formal de la
organizacin gubernamental, como reglamentos e instructivos o de informacin emanada
de los encargados de los procesos crticos.
h) Identificar los riesgos que pueden impedir o retrasar el logro de los objetivos de la etapa o
subproceso segn corresponda. Para esta identificacin se pueden utilizar diversas
herramientas como los talleres o la lluvia de ideas (Anexo N 7).
i) Clasificar los riesgos por tipo y origen definidos en este Documento Tcnico.
25
j) Identificar seales de alerta de delitos LA/FT/DF asociados a los riesgos.

k) Valuar los riesgos en relacin a su probabilidad e impacto y a su nivel de severidad (tablas
consideradas en Anexo N 5).
l) Identificar los controles claves asociados a los riesgos identificados, respondiendo las
preguntas qu control se realiza?, cmo se realiza?, quin los realiza?, cundo o en
qu oportunidad se ejecuta el control?
m) Valuar los controles claves en relacin a la efectividad de su diseo.
n) Determinar la exposicin al riesgo por riesgo, etapa, subproceso y proceso, segn
corresponda.
En el caso de haberse trabajado en la implementacin de procesos de gestin de riesgos con

anterioridad en la organizacin gubernamental, es necesario revisar nuevamente la
desagregacin de procesos, y subprocesos, as como los objetivos, riesgos y controles,
determinando si esta desagregacin y la identificacin de riesgos y controles son adecuadas y
corresponde a la realidad de la entidad. Otro punto en los que debe tenerse especial
consideracin, son en los cambios que hayan enfrentado los lineamientos de la organizacin
gubernamental, considerando que las nuevas autoridades o nuevas funciones, en los casos
que as sean, aportarn nuevos enfoques y nfasis que hay que tener en cuenta en la Gestin
de Riesgos.
1.2.2.- Procesos Transversales en la Administracin del Estado
Los procesos transversales son procesos definidos a nivel global de acuerdo a sus objetivos y
productos finales. Dentro de ellos se agrupan los procesos especficos informados por las
organizaciones gubernamentales con distintas denominaciones, pero que responden a una
misma raz.
Para un adecuado Proceso de Gestin de Riesgos y el cumplimiento de la metodologa

contenida en este Documento Tcnico, las organizaciones gubernamentales, debern clasificar
sus procesos en las categoras de procesos transversales que se sealan en el siguiente
Cuadro N 3.
Cuadro N 3: Clasificacin y Descripcin de Procesos Transversales en la

Administracin del Estado
Procesos Transversales
en la Administracin del Descripcin
Estado
Procesos de Negocio
Subsidios a privados de Se entienden aquellos cuyo objetivo es promover, mediante
fomento incentivos econmicos, que los particulares realicen por s mismos
actividades productivas.
Subsidios a privados social Se entienden como tales los procesos cuyo objetivo es la promocin
de ciertos objetivos sociales como la integracin, etc.
Subsidios a privados Consisten en procesos cuya finalidad es entregar ayuda de

asistencial subsistencia a particulares.
Transferencias a/de otras Son procesos en que, por ley o convenios, se entregan o reciben
26
Estado
entidades pblicas recursos de otro organismo del Estado.
Servicios de atencin al Procesos que se orienten a servir a todos los ciudadanos a travs de
ciudadano contraprestacin la entrega de atencin, servicios o productos.
Servicios de atencin social/ Procesos que se orienten a prestar una atencin de salud,
previsional /salud previsional o social a personas que tengan ciertas calidades (Ej.:
pensionados pblicos, ancianos, personas de las fuerzas armadas,
etc.)
Crditos - recuperacin Se refiere a procesos de entrega de prstamos, incluyndose los
prestamos procesos de planificacin, ejecucin y cobranzas.
Almacenamiento y distribucin Procesos que consistan en bodegaje, mantenimiento de stock y

distribucin de materiales o bienes.
Infraestructura Procesos que se refieran a los bienes muebles e inmuebles de la
organizacin gubernamental que se utilizan para cumplimiento del rol
de la misma.
Asesora a infraestructura Procesos que impliquen estudios y acciones que apoyen decisiones
sobre la infraestructura.
Estudios para marco cultural Procesos de estudios culturales que releven las artes, literatura,
pintura y todo lo relacionado a temas culturales.
Estudios para regulaciones, Procesos de estudios que sirvan o puedan servir de base para la
normativa y fijacin tarifaria emisin de normativa, regulaciones, tarifas, etc.
Administracin de bienes Proceso a travs del cual la organizacin gestiona aquellos bienes
estratgicos que son indispensables para el cumplimiento de su funcin; que son
de la esencia de su negocio.
Otorgamiento y/o En el caso de aquellas organizaciones que entregan derechos o
reconocimiento de derechos beneficios a personas naturales como ser parte de un registro,
derechos de aguas, etc.
Aquellos estudios cuyo sentido es investigar un tema econmico,
Estudios e investigaciones
financiero, de mercado u otra situacin determinada importante para
la organizacin.
Desarrollo de acciones legales y/o judiciales como negocio de la
Legal estratgico
organizacin gubernamental.
Control de outsourcing Equivalen a la gestin y monitoreo de los contratos que externalizan
funciones propias de la organizacin gubernamental.
Proceso relacionado con seguridad que realizan determinados entes
del estado en relacin a las personas en distintas calidades:
Seguridad y Control de
victimas, imputados, reos, reclutas y la ciudadana en general. Esto
Personas y/o Recintos
podra incluir operaciones de distinta naturaleza como vigilancia,
traslados, control u otros de ndole distinta, relacionados con la
seguridad.
Procesos relacionados con seguridad operacional y respuestas ante
situaciones de emergencias de los servicios de transporte terrestre,
Seguridad del transporte martimo y areo, as como de las instalaciones portuarias y
aeroportuarias o de cualquier otra ndole, en donde exista trfico de
pasajeros o carga.
Calificacin ambiental Procesos relacionados a anlisis, autorizaciones y permisos medio

ambientales.
Produccin de bienes Corresponde a aquellos procesos productivos que generan bienes
materiales materiales como resultado
27
Estado
Comercializacin Procesos que desarrollan aquellas organizaciones gubernamentales

que venden productos y/o servicios a terceros.
Coordinacin de Acciones de Procesos asociados a la ejecucin y coordinacin de operaciones de
Emergencia emergencia, gestin de recursos para emergencias, monitoreo y
anlisis de los diversos factores y elementos relacionados con
situaciones de emergencia o catstrofes.
Procesos Gerenciales o de Direccin Estratgica
Planificacin presupuestaria Proceso anual que se realiza en la organizacin para programar la
presupuestacin de las diversas acciones que ejecuta.
Planificacin estratgica Proceso que realiza la organizacin gubernamental en el que fija sus
objetivos, sus metas y la forma como las cumplir.
Coordinacin entre instancias Procesos que implican relaciones entre diversos niveles, personas o
entidades cuya organizacin y canalizacin son de responsabilidad
de la organizacin gubernamental.
Gobierno Electrnico Procesos integrales para mejorar los servicios e informacin
ofrecidos a los ciudadanos, aumentar eficiencia y eficacia de la
gestin pblica e incrementar la transparencia del sector pblico y la
participacin de los ciudadanos a travs del uso de las tecnologas
de informacin y comunicaciones (TIC).
Procesos de Inversin
Iniciativas de inversin Todos los procesos de inversin considerados en el subttulo 31,
desde los estudios a la ejecucin.
Mercado financiero Inversin en instrumentos financieros y de mercado accionario que
realizan algunas organizaciones gubernamentales autorizadas.
Procesos de Informacin
Sistemas de informacin Aquellos sistemas de informacin que entregan reportes y datos a
administrativos los que puedan tener acceso terceros
Sistemas informticos Soporte informtico interno de la organizacin gubernamental, que
comprende sistemas de informacin contable, financieros y
operativos que contienen datos internos de dicha organizacin.
Procesos de Control Operativo de los Recursos Pblicos
Fiscalizacin Procesos a travs de los cuales las organizaciones gubernamentales
controlan a entes externos en el cumplimiento de normas y
estndares.
Evaluacin y control de Proceso de control de substancias peligrosas.
substancias
Control de gestin Proceso a travs del cual la organizacin controla el cumplimiento de
las metas, logros e indicadores que se ha definido en su
planificacin.
Procesos de Soporte
Financiero Procesos contables, de tesorera, registro presupuestario, etc.
Legal Asesora y apoyo jurdico dirigido al quehacer interno de la
Comunicaciones Acciones de difusin y publicidad de los programas y acciones
desarrolladas por la organizacin gubernamental.
Adquisiciones y Incluye la programacin de compra, licitacin, compra, recepcin y

abastecimiento distribucin de los bienes y servicios adquiridos.
Recursos humanos Incluye todos los procesos relacionados al personal, su capacitacin,
remuneraciones, feriados y bienestar.
28
Estado
Administracin/mantenimiento Procesos de gestin de los recursos materiales de la organizacin
recursos gubernamental, inventario, baja y traslado.
Gestin documental Procesos de administracin, direccin, manejo, registro, archivo y
almacenamiento de documentacin de la organizacin
gubernamental, con o sin apoyo de sistemas informticos, referido
tanto a documentacin interna como externa de dicha organizacin.
Auditora Interna Proceso independiente y objetivo de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una
organizacin. Se orienta a la prevencin y contempla actividades de
planificacin, programacin, ejecucin, informe y seguimiento.
Recursos materiales Incluye todos los procesos relacionados a los bienes muebles o
races que utiliza la organizacin gubernamental para cumplimiento
de sus objetivos.
Mejoramiento de la gestin Entendiendo todos aquellos proceso relacionados al PMG, convenios
de desempeo y otros estmulos por metas.
Es necesario relevar que las organizaciones gubernamentales deben clasificar sus procesos
slo en una de las categoras antes definidas, basados en las caractersticas organizacionales
y en los objetivos de stos. Cuando existan dudas o diferencias respecto de la clasificacin de
uno o ms procesos dentro de la categora de procesos transversales, deber consultarse y
discutirse con el respectivo asesor de riesgos del Consejo de Auditora, para la creacin de un
nuevo proceso transversal, si fuese necesario.
Hay que tener presente que la clasificacin que se hace en procesos de soporte, gerenciales,
de negocio, entre otros, es slo genrica, ya que pueden existir organizaciones
gubernamentales cuyos procesos de negocio correspondan a los que generalmente para las
dems instituciones son de soporte, como los procesos de contabilidad, de seleccin de
recursos humanos, entre otros.
En el cuadro siguiente se entrega un ejemplo de dicha clasificacin.
Cuadro N 4: Ejemplo de Clasificacin de Procesos Crticos
Proceso Transversal Proceso Subproceso Etapas Objetivos

----
Crditos recuperacin de Entrega de crditos de Subproceso 1 Etapa 1 . .
prstamos fomento Subproceso 2 . . .
Subsidios a privados de Programa de beneficios
fomento econmicos para mujeres . . . .
emprendedoras
Subsidios a privados social Subsidios para capacitacin . . . .
Subsidios a privados de Entrega de bonos para
. . . .
fomento produccin de leche
Recursos Humanos Personal . . . .
Coordinacin de Acciones de Proceso de alerta temprana
. . . .
Emergencia
Adquisiciones y abastecimiento Compras y contrataciones . . . .
29
1.2.3.- Ponderacin Estratgica por Subprocesos Componentes de Procesos Crticos
Considerando que no todos los subprocesos tienen la misma importancia estratgica dentro de
un proceso crtico, debe definirse por la direccin el peso relativo que cada subproceso tiene
dentro de un proceso crtico, esto atendiendo a la relevancia o importancia estratgica que
tiene cada subproceso en la consecucin exitosa de los objetivos de cada proceso crtico. Esta
ponderacin de los subprocesos debe ser justificada adecuadamente, considerndose para
esta labor algunas variables como las siguientes:
El impacto de la concrecin de los riesgos en el subproceso para el proceso y la

El grado de complejidad de las etapas que se identifican al interior del subproceso.
Especializacin del personal que se requiere para desarrollar las diversas etapas y
actividades del subproceso.
Los recursos involucrados y su cobertura regional.
El uso de sistemas de medios de informacin, entre otros.
Eficiencia de los sistemas de informacin del subproceso.
Competencia, aptitud e integridad del personal.
Nivel de sistemas computarizados de informacin.
Oportunidad y efectividad de los sistemas de control interno.
Cambios organizacionales, operacionales, tecnolgicos y econmicos.
Caractersticas de los usuarios, clientes y proveedores.
Complejidad y volatilidad de las actividades desarrolladas en el subproceso.
Cambios organizacionales, operacionales, tecnolgicos y econmicos producidos.
La ponderacin porcentual distribuida en todos los subprocesos componentes de un proceso

crtico, debe sumar 100%.
Cuando existan dudas o diferencias que surjan respecto de la ponderacin estratgica de los
subprocesos, deber consultarse y discutirse con el respectivo asesor o sectorialista del
Consejo de Auditora.
Para la adecuada implantacin, mantencin y actualizacin del Proceso de Gestin de Riesgos,

las organizaciones gubernamentales deben ponderar y/o revisar las ponderaciones anteriores,
considerando los siguientes puntos:
Todos los subprocesos identificados deben ponderarse.

La ponderacin de todos los subprocesos debe sumar cien por ciento (100%).
La ponderacin es reflejo de la importancia del proceso en el quehacer de la organizacin
gubernamental, de ello que los subprocesos que contribuyen a generar productos
estratgicos de dicha organizacin, deberan tener mayor ponderacin.
La justificacin debe fundamentarse en algn criterio de los antes mencionados. No basta
sealar en qu consiste el subproceso, ni tampoco es suficiente indicar que se trata de un
subproceso clave al interior de la organizacin gubernamental, sino que es necesario
sealar el porqu de su relevancia.
La ponderacin y su justificacin deben considerar la relevancia financiera y los recursos
que involucran los procesos identificados.
30
A continuacin en el Cuadro N 5 se entrega, a modo de ejemplo, la ponderacin de

subprocesos componentes de un proceso crtico de una organizacin ficticia, con la justificacin
correspondiente:
Cuadro N 5: Ejemplo de Justificacin de la Ponderacin Estratgica de Subprocesos

componentes de un Proceso Crtico
Proceso Descripcin Subprocesos Pond.13 Justificacin de la ponderacin
La ponderacin baja considera que la

postulacin es una accin externa, propia de
Postulacin 10%
las usuarias.
crdito
Se trata del proceso principal de la
organizacin gubernamental, que Este subproceso es importante para el xito del
cumple el objetivo estratgico de proceso por cuanto las deficiencias en la
entregar apoyo a las iniciativas de evaluacin del crdito afectan la recuperacin
Evaluacin
la mujer microempresaria, del mismo y la imagen de la organizacin
crdito
involucra sobre M$ 20.000, y se 30% gubernamental, por otra parte se trata de una
Crdito de orienta a usuarias en situacin labor altamente especializada, para la cual no
fomento para vulnerable, con ingresos anuales siempre se cuenta con personal idneo. Una
mujeres inferiores a las 200 UF. Adems mala evaluacin puede dejar sin crdito a una
microempresar es un instrumento para colaborar mujer que perdi su negocio en el sismo.
ias con la recuperacin de las mujeres Su nivel de complejidad es medio, pero se le
microempresarias afectadas por el Entrega crdito pondera con este porcentaje puesto que una
terremoto 25%
mala entrega podra afectar a otros usuarios
beneficiarios de los incentivos.
La baja recuperacin repercute en el

presupuesto de la organizacin gubernamental,
Recuperacin
afectando directamente a las otras usuarias y la
crdito 35%
imagen de la organizacin, adems en la
actualidad se hace manualmente y los errores
en su registro son frecuentes.
Se trata de un beneficio conocido por la

poblacin objetivo, del cual se realiza difusin
desde hace seis aos con buena respuesta de
las usuarias. El personal tiene experiencia y se
Postulacin 20%
cuenta con un sistema de informacin para el
ingreso y validacin de datos de los
postulantes.
Se trata de un proceso importante,

ya que colabora al cumplimiento
del el objetivo estratgico de
Capacitacin entregar apoyo a las iniciativas de Se trata de cursos contratados en el mercado,
para los la mujer microempresaria, entregados por personal externo a la
negocios involucra un presupuesto superior organizacin, que debe ser monitoreado a fin
a M$ 3.000 y se dirige a mujeres que entregue materias requeridas por las
Capacitacin 50%
en situacin vulnerable con baja usuarias, con un nivel comprensible para el
escolaridad pblico objetivo, con la flexibilidad necesaria
para mujeres y no siempre se cuenta con
personal adecuado y recursos para la
supervisin.
Es importante ya que es la forma de medir

como se ha recibido por las usuarias los
contenidos de los cursos y evaluar los
Evaluacin 30% resultados de los cursos. No se cuenta con
personal idneo en todas las materias para
hacer la evaluacin del curso y una mala
capacitacin afecta la imagen de la
13
Porcentaje de Ponderacin Estratgica de los subprocesos en relacin con los objetivos del proceso.
31
Proceso Descripcin Subprocesos Pond.13 Justificacin de la ponderacin
Se trata de un proceso de soporte, Su importancia se debe a la complejidad de

que colabora a la ejecucin de los Planificacin 40% realizar una planificacin adecuada con
procesos que genera los antecedentes efectivos de los recursos que se
Presupuesto y productos estratgicos de la utilizarn en el ao.
Contabilidad organizacin gubernamental Pagos 30% Un pago mal realizado afecta la planificacin y
el registro, sin embargo, la adecuada
planificacin facilita el control de los pagos.
Registro 30% ..
1.2.4.- Tipologa de Riesgos
En el marco del levantamiento de procesos, debe utilizarse una tipologa o categorizacin de

riesgos. En estas categoras deben clasificarse los riesgos operativos que se identifiquen en la
prxima fase. La tipologa de riesgos, sirve para agrupar aquellos riesgos que tienen
caractersticas y elementos comunes.
En relacin a la fuente u origen de los riesgos, se puede sealar que existen riesgos de fuente
externa y riesgos de fuente interna14. Los riesgos de fuente externa, son aquellos que tienen su
origen en situaciones que estn fuera de la administracin y control de la organizacin
gubernamental, como los cambios polticos y sociales. Al contrario, son de fuente interna, los
que se originan al interior de la Organizacin, como los relacionados a las capacidades del
personal y a la efectividad de los sistemas de informacin.
En el Cuadro N 6, se sealan ejemplos de los tipos de riesgos, considerando los elementos

que caracterizan a cada uno. Es necesario indicar que la clasificacin propuesta es una
adaptacin de la establecida en el Marco COSO ERM, que se ha modificado para ser aplicada
en la metodologa de Gestin de Riesgos emitida por el Consejo de Auditora.
Cuadro N 6: Ejemplos de Tipificacin de Riesgos
Elementos que los

Tipos de Riesgos Ejemplos de Riesgos Especficos
Caracteriza
- Mal uso de los recursos
Se relacionan con el uso
- Desviacin de recursos
adecuado de los recursos
Financieros - Entrega de recursos a no beneficiarios
entregados por el Estado a
- Malversacin de fondos
sus organizaciones
- Uso de recursos con fines distintos a los aprobados
- Falta de disponibilidad presupuestaria
- Modificaciones presupuestarias por deficiente
ejecucin
- Errores en el servicio de la deuda
Se relacionan con - Servicio de la deuda muy alto
elementos financieros, - Exceso de compromisos de la Organizacin
Econmicos
comerciales y Gubernamental que afecten su presupuesto
presupuestarios - Malas inversiones en mercado de capitales
- Deficiencias en la ejecucin presupuestaria de la
Organizacin Gubernamental
- Falta de Suplementos del Ministerio de Hacienda o
falta de oportunidad en los mismos.
Se relacionan con - Deficiente comportamiento de usuarios (bajo
Sociales elementos de comunidad compromiso, bajo cumplimiento, etc.)
social, cultural, demogrfica, - Problemas con los datos personales y privados de los
14
Cfr. COSO II. Gestin de Riesgos Corporativos.
32
Elementos que los

Caracteriza
comportamientos sociales. clientes o proveedores
- Falta de responsabilidad social de la Organizacin
Gubernamental o excesivamente gravosa
- Cambios culturales en los usuarios de la Organizacin
Gubernamental (bajo inters, dificultades para aplicar
polticas, etc.)
- Interrupcin de servicios
- Complejidades del Comercio Electrnico gravosas
para la Organizacin Gubernamental
Acerca de las tecnologas
- Complejidades y requisitos del Gobierno Electrnico
de la informacin como
- Falta de cumplimiento de las obligaciones emanadas
concepto y los cambios que
Tecnolgicos del Gobierno Electrnico
producen a nivel global en el
- Falta de confiabilidad de los datos externos
sector o la Organizacin
- Desactualizacin de la Organizacin Gubernamental
Gubernamental
debido a las tecnologas emergentes
- Falta de poder adquisitivo de la Organizacin
Gubernamental frente a las nuevas tecnologas.
Aspectos claves para el - Falta de planificacin en los cambios de gobierno
desarrollo de la - Deficiencias en el conocimiento, comprensin y
Organizacin aplicacin de las polticas pblicas por parte de la
Estratgicos Gubernamental, que se Organizacin Gubernamental
relaciona con decisiones - Nuevas regulaciones y tarifas dificultan el quehacer
superiores y poltica de institucional o lo hacen ms gravoso
Gobierno
- Falta de cumplimiento normativo en las emisiones y
Aspectos que afectan la residuos
calidad del medioambiente, - Dificultades con el uso de la energa
Medioambientales
sean ocasionados por el - Situaciones producidas por catstrofes naturales
hombre o la naturaleza - Falta de garantas de desarrollo sustentable
- Malas decisiones de impacto medioambiental
- Deficiencias en el diseo del proceso
Elementos que se
- Ejecucin errnea de los procesos
relacionan con los distintos
- Ejecucin inoportuna de los procesos
aspectos de los procesos
- Falta de supervisin
que desarrolla la
- Falta de responsables de ejecutar la supervisin y
Procesos Organizacin
monitoreo
Gubernamental; como el
- Falta de medidas adoptadas ante la supervisin, o se
diseo, la ejecucin, la
adoptan medidas que no son adecuadas
supervisin y los clientes
- Falta de cumplimiento o deficiencias en el mismo por
parte de los clientes
Aspectos de cumplimiento y - Falta de actualizacin por cambios en la legislacin
de conformidad del actuar - Aumento de los requerimientos por cambio de
de la Organizacin legislacin
Legal
Gubernamental con la - Falta de cumplimiento de normas por deficiencias en
normativa pblica general y las mismas (normas oscuras o contradictorias, vacos
especfica aplicable a sta. legales)
- Falta de capacidad del personal
- Personal sin capacitacin
Aspectos relacionados al
- Actividad fraudulenta del personal
personal de la Organizacin
- Deficiencias en la seguridad e higiene y en el
Personas Gubernamental, desde su
ambiente de trabajo de la Organizacin
ingreso hasta su egreso del
Gubernamental.
mismo.
- Deficiencias en el cumplimiento de normas de
personal (dotacin, escalafn, etc.)
Aspectos relacionados con - Escndalos
el perfil de la Organizacin - Corrupcin
Imagen
Gubernamental y la - Incumplimiento de las funciones de la Organizacin
reputacin social del mismo. Gubernamental
33
Elementos que los

Caracteriza
Percepcin de la comunidad - Disconformidad de los usuarios
del actuar de la - Mal uso de recursos
Organizacin
Gubernamental
- Falta de integridad y confiabilidad de datos
Relacionado con los
- Falta de disponibilidad de datos y sistemas
sistemas de informacin de
- Deficiencias en la seleccin de sistemas
la Organizacin
Sistemas - Deficiencias en el desarrollo y despliegue de los
Gubernamental, las
sistemas
tecnologas que posee y los
- Deficiencias en el mantenimiento
datos que maneja.
- Falta de interoperabilidad de los sistemas
- Excesiva antigedad de los bienes
Se relacionan con - Difciles condiciones de proteccin de los bienes
elementos asociados a los - Vulnerabilidad de los bienes ante el uso o ante
recursos materiales elementos externos que aceleran su deterioro
Bienes muebles e muebles o bienes races - Incumplimiento o falta de planes de proteccin y
inmuebles que utiliza la Organizacin resguardo de bienes
Gubernamental para el - Desaparicin fsica de bienes, el deterioro de los
cumplimiento de sus bienes que imposibiliten cumplir su funcin
objetivos institucionales. - Mal uso de los bienes o en forma distinta a su
naturaleza

la organizacin gubernamental debe calificar los riesgos identificados de acuerdo a esta
tipologa de riesgos. La definicin de estos criterios debe ser aplicada en la siguiente Fase de
Identificacin del Riesgo. La clasificacin y/o la revisin de las tipologas de riesgo deben tener
en consideracin los siguientes puntos:
Todos los riesgos deben tener asignado slo una fuente, interna o externa, de acuerdo con
el origen que sea ms relevante para el riesgo.
Todos los riesgos deben clasificarse slo en una tipologa.
Las tipologas deben asignarse de acuerdo a donde se originan los riesgos no segn sus
consecuencias. Por ejemplo, si se incumple la normativa de Gobierno Electrnico y ello
afecta a los usuarios en la accesibilidad y disponibilidad, este hecho afectar la imagen de
la entidad, pero se trata de un riesgo de tipo tecnolgico.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
stas debern consultarse y discutirse con el respectivo asesor de riesgos del Consejo de
Auditora.
34
2.- FASE IDENTIFICACIN DE RIESGOS
La metodologa del Consejo de Auditora, considera la identificacin, anlisis y valoracin de

riesgos y oportunidades que pueden afectar la consecucin de los objetivos estratgicos de la
organizacin gubernamental. Las oportunidades y riesgos, son eventos, que se definen como
un incidente que emana de fuentes internas o externas que afectan la implementacin de la
estrategia o logro de los objetivos.
Los eventos pueden generar impactos positivos o negativos, o ambos. Los impactos positivos,
se denominan oportunidades, y los negativos son conocidos como riesgos.15 El riesgo es el
efecto de la incertidumbre sobre el objetivo.16
Como puede apreciarse, la identificacin de eventos consta de dos aspectos, oportunidades y

riesgos.
2.1.- Identificacin de Oportunidades
Un aspecto importante a considerar al identificar oportunidades, es la existencia de eventos

que pueden producir efectos negativos y positivos a la vez, por ejemplo, la prioridad que le da
el Gobierno a ciertos programas, produce el efecto positivo de tener mayores recursos y mayor
apoyo para desarrollarlos, pero a la vez podra eventualmente producir una mayor exposicin
de los mismos a la opinin pblica.
La identificacin de oportunidades es de vital importancia para retroalimentar las estrategias en

la organizacin, siendo tambin relevante para orientar el tratamiento de los riesgos, por lo que
stas deben ser conocidas y evaluadas oportunamente por la direccin de la organizacin
gubernamental.
A continuacin, en el Cuadro N 7 se entrega un ejemplo de identificacin de oportunidades a

travs de eventos.
Cuadro N 7: Ejemplo de Identificacin de Oportunidades por Proceso
Entidad Misin Procesos Eventos/Oportunidades

Est dentro de los lineamientos del nuevo Gobierno.
Cambios sociales que apuntan a un papel protagnico de la
mujer.
Sistema Crediticio
de Fomento La mujer estadsticamente es ms cumplidora y responsable con
sus deudas y compromisos.
Entregar apoyo Se han aumentado los fondos para apoyar a microempresarias
crediticio de afectadas por el terremoto
Servicio Apoyo fomento a
La mujer en general, es responsable en asistencia a los cursos.
al Microcrdito grupos
(ficticio). vulnerables, de Los jvenes reclaman alternativas de mejoramiento.
mujeres y En los ltimos aos ha existido una gran demanda por
jvenes. Apoyo a la capacitacin.
Capacitacin Existen muchos organismos tcnicos en el mercado que ofrecen
diversas alternativas.
El presupuesto de este ao contempla ms recursos que el ao
anterior para este proceso.
Recursos ..
15
De acuerdo a COSO II, los eventos son todas aquellas circunstancias que pueden afectar la consecucin de los
objetivos estratgicos de una organizacin. Las que lo afectan en forma positiva se denominan oportunidades y las
que afectan en forma negativa, se denominan riesgos.
16
NCh-ISO 31000:2012.
35
Humanos
Sistemas de ..
Informacin
Contabilidad y ..
Presupuesto

se debe identificar oportunidades a nivel global de procesos de negocio. Es importante la
realizacin de esta actividad, puesto que las oportunidades sirven a la institucin para
retroalimentar las estrategias, en especial para incorporar los nuevos nfasis de Gobierno.
2.2.- Identificacin del Riesgo
La identificacin de los eventos que puedan afectar negativamente el cumplimiento de los

objetivos es fundamental en un Proceso de Gestin de Riesgos. En el Anexo N 7 se
acompaan ejemplos de tcnicas de identificacin de eventos generadores de riesgos y
oportunidades.

la organizacin gubernamental debe identificar los riesgos o revisar y mejorar su identificacin
de riesgos, poniendo especial nfasis en los siguientes puntos:
Identificar o actualizar los riesgos, considerando los cambios normativos, presupuestarios o

de los lineamientos del Gobierno o direccin, en especial los nuevos enfoques y nfasis de
Gobierno y de los jefes de la organizacin gubernamental u otras autoridades.
Identificar en la forma ms completa y desagregada posible los riesgos que se relacionan a
una etapa dentro de un proceso. Para ello se sugiere examinar las actividades al interior de
las etapas, identificando los riesgos que se asocian a dichas actividades.
Identificar en forma prioritaria los riesgos asociados con aspectos econmicos y
financieros, considerando los recursos involucrados en los procesos y subprocesos.
Considerar que una etapa puede tener, y en general es as, ms de un riesgo.
Considerar que una buena y completa descripcin del objetivo operativo de la etapa facilita
la identificacin de riesgos.
Evaluar y determinar si es necesario actualizar las seales de alerta de delitos LA/FT/DF
que afectan a la organizacin, estn o no incluidas en la Matriz de Riesgos Estratgica.
Por otra parte, en la identificacin y revisin de los controles que se asocian a los riesgos, se
sugiere:
Identificar controles claves (ver definicin en el Anexo N 9). Para ello, es necesario
establecer la definicin del control clave con un breve detalle de las actividades del control
realizado.
Mejorar la descripcin de los controles, sealando la norma o gua que lo instruye, quin lo
realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
Analizar si est documentado, esto es, formalizado por escrito.
36
Analizar si existe segregacin de funciones, esto es, si la persona que autoriza es distinta a
la que ejecuta.
En base a la descripcin del control realizado, clasificar en forma consistente la efectividad
del diseo, es decir, su periodicidad, oportunidad y automatizacin.
Considerar que los controles claves que se identifican deben estar directamente
relacionados con el riesgo que tericamente mitigan.
2.2.1.- Aplicacin de la Tipologa de Riesgos: Junto con identificar los riesgos, es importante
clasificarlos segn la tipologa genrica formulada en la fase de establecimiento del contexto
estratgico, considerando las categoras de riesgos a los que se pueden ver expuestas las
entidades.

se debe sealar, de acuerdo a la tipologa entregada, a qu tipo genrico de riesgo
corresponde el riesgo operativo determinado y cul es su fuente (externa o interna), como se
seala a continuacin en el ejemplo del Cuadro N 8. Lo anterior implica poner un especial
cuidado en dilucidar si el riesgo identificado, tiene su origen al interior de la entidad, por lo tanto
es manejable por sta, o si, en caso contrario se origina externamente y slo pueden tomarse
acciones paliativas que afecten indirectamente el riesgo. Por ejemplo, cuando se trata de
decisiones que son de responsabilidad de otras reparticiones del Estado, tales como la
Direccin de Presupuestos (modificaciones presupuestarias), Ministerio de Desarrollo Social
(RS de inversiones), entre otros casos.
Cuadro N 8: Ejemplo de Clasificacin de Riesgos de Acuerdo a su Tipologa

Proceso Fuente de Tipo de
Proceso Subproceso Pond. Etapas Objetivos Riesgos especficos Prob. Cons.
Transversal Riesgos riesgo
Recuperar Falta de acciones
Interna Procesos 3 3
oportunamente oportunas de cobranza
los crditos Insolvencia de los
Externa Econmico 2 4
Cobranza deudores
Contar con
garantas de los Falta de garantas Interna Procesos 1 4
crditos
Crditos Ingreso inoportuno o

de 25% Interna Personas 4 3
Crditos Recuperaci incompleto de pagos
fomento a
Recuperacin n del crdito
mujeres
de prstamos
microempr Ingresar los
esarias Ingreso Errores en la digitacin de
fondos
fondos Interna Personas 3 4
recuperados en los montos
recuperados
forma oportuna y
completa Problemas en la
transformacin de la
informacin del sistema Interna Tecnolgico 2 4
de la Organizacin
Gubernamental al SIGFE

Se deber revisar la clasificacin de los riesgos realizada de acuerdo a la tipologa desplegada

en el Cuadro N 6 anterior, prestando especial atencin a dos puntos especficos:
a) Los riesgos deben ser clasificados segn su fuente como externos o internos. Para ello
debe estarse principalmente al origen del riesgo, esto es a su causa. Por ejemplo, un
riesgo relacionado con la mala calidad de los datos e informacin de la organizacin
gubernamental, es un riesgo de origen interno, independientemente que la administracin
del sistema de informacin se haya externalizado, ya que el riesgo parte de una debilidad
37
interna. En cualquier caso, debe clasificarse slo en una fuente, no siendo vlido un riesgo
interno/externo, debiendo optarse por aquella fuente que tenga mayor importancia en el
origen del riesgo.
b) Los riesgos deben ser clasificados slo en una de las tipologas definidas en esta gua
tcnica. Para ello, debe considerarse principalmente la causa del mismo. Por ejemplo, si se
identifica un riesgo de corrupcin o de falta de probidad en el personal, nos encontramos
con un riesgo que se clasifica en la tipologa personas an cuando sus consecuencias
afectan tambin a la imagen de la organizacin gubernamental.
Cuando existan dudas o diferencias que surjan en la tipificacin de los riesgos especficos,
deber consultarse y discutirse con el respectivo asesor de riesgos del Consejo de Auditora.
2.2.2.- Identificar Seales de Alerta para Delitos LA/FT/DF, asociadas a los riesgos
Este punto del documento ha sido formulado con el aporte de los especialistas de la Unidad de
Anlisis Financiero (UAF), con la finalidad de generar un procedimiento que permita cumplir
con los requerimientos del Oficio Circular N 20/2015 del Ministerio de Hacienda, respecto de
velar por la inclusin de los riesgos relacionados con el Sistema Preventivo y los derivados de
los cambios sobre Delitos LA/FT/DF, en los mapas de riesgos institucionales.
a) Para cada riesgo identificado en la Matriz de Riesgos Estratgica, se deber asociar, si

corresponde, seales de alerta para delitos LA/FT/DF17. Tambin debe identificarse el o los
cargos funcionarios que se relacionen tericamente con la seal de alerta. Para realizar
dicha labor se sugiere revisar los siguientes antecedentes:
Anexo N 12. Conceptos sobre delitos de Lavado de Activos (LA), Financiamiento del
Terrorismo (FT) y Delitos Funcionarios (DF). Este contiene conceptos, descripciones y
definiciones bsicas sobre los delitos con los cuales se relacionan las seales de alerta.
Anexo N 13. Ejemplos de seales de alerta genricas para delitos LA/FT/DF. Este
contiene, solo a modo de ejemplo, algunas banderas rojas o seales de alerta genricas,
que se pueden identificar en las actividades operativas en cualquier organizacin y que
pueden ser indicativas, debiendo examinarse debidamente para ver si corresponden a
situaciones anmalas. Sin perjuicio de lo anterior, las seales de alerta, siempre deben ser
identificadas y analizadas de acuerdo al contexto del sector donde est incorporada la
organizacin.
Gua Seales de Alerta, publicada en la pgina web de la Unidad de Anlisis Financiera
(UAF); http://www.uaf.gob.cl/entidades/tipo_senales.aspx
Oficio Circular N 20/2015 del Ministerio de Hacienda. Orientaciones generales para el
Sector Pblico en relacin al inciso sexto del artculo 3 de la ley N 19.913.
Gua de Recomendaciones para el Sector Pblico en la implementacin de un sistema
preventivo contra los delitos funcionarios, el lavado de activos y el financiamiento del
terrorismo (Adjunta al Oficio Circular N 20/2015 del Ministerio de Hacienda).
Material del curso E-Learning para prevenir el lavado de activos y el financiamiento del
terrorismo en las Instituciones Pblicas, entregado por la Unidad de Anlisis Financiero
(UAF).
17
Las seales de alerta de delitos LA/FT/DF se pueden concebir como; indicadores, indicios, condiciones,
comportamientos o sntomas de ciertas operaciones o personal que podran permitir potencialmente detectar la
presencia de una operacin sospechosa de lavado de activos, delitos funcionarios o financiamiento del terrorismo
(Adaptado de definiciones realizadas por la Unidad de Anlisis Financiero (UAF), ver Anexo N 13.
38
b) Sin perjuicio de las seales de alerta de delitos LA/FT/DF incluidas en la Matriz de Riesgos
Estratgica, se deber adicionalmente:
Identificar riesgos o seales de alerta LA/FT/DF en los procesos, subprocesos, etapas,

proyectos, sistemas, etc. que no hayan sido considerados en la Matriz de Riesgos
Estratgica, por no estar dentro del porcentaje mnimo (valor porcentual mnimo) de
procesos crticos que deben analizarse en la organizacin, segn lo informado por el
CAIGG. En el caso que todos los procesos de la Organizacin estn incluidos en la Matriz
de Riesgos Estratgica, no ser necesario considerar este requerimiento.
Identificar cuando sea posible, otras seales de alerta de delitos LA/FT/DF relacionados
con procesos, subprocesos, etapas, etc. que por su naturaleza y caractersticas, no se han
podido asociar a los riesgos operativos incluidos en la Matriz de Riesgos Estratgica. Se
recomienda ver ejemplos en Anexo N 13.
Para levantar la informacin e informar del resultado del anlisis de los requerimientos de la
letra b) al CAIGG, se debe cumplir con lo dispuesto en el Anexo N 14. Seales de Alerta
LA/FT/DF No Asociadas con los Riesgos Incluidos en la Matriz de Riesgos Estratgica.
3.- FASE ANLISIS DE RIESGOS
3.1.- Anlisis General de Riesgos
Las Organizaciones Gubernamentales despus de desarrollar la identificacin de riesgos

operativos, deben analizarlos, examinando los riesgos en relacin a su probabilidad y
consecuencias. A su vez, los controles deben ser analizados en trminos de efectividad, para
finalmente identificar el nivel de exposicin al riesgo por proceso, subproceso, etapa y riesgo
especfico.
Existen dos elementos que deben considerarse en esta fase:
3.1.1.- Anlisis de los Riesgos: Las Organizaciones Gubernamentales debern poner al da

su anlisis de riesgos, en base a los criterios definidos en este Documento Tcnico,
actualizando la Matriz de Riesgos Estratgica de la organizacin gubernamental y
considerando en forma especial todos aquellos procesos nuevos que desarrolle la
organizacin, con sus respectivos riesgos y controles, analizando especialmente los riesgos
nuevos y los nuevos nfasis de Gobierno que han definido los Jefes de Servicio y otras
autoridades.

la organizacin gubernamental debe analizar los riesgos y oportunidades, poniendo especial
nfasis en los siguientes puntos:
Analizar y/o actualizar los riesgos y su calificacin de probabilidad e impacto, de acuerdo a

las ltimas auditoras, los antecedentes histricos que se tengan y a los cambios que
hayan afectado a la institucin (modificaciones presupuestarias, nuevos objetivos,
eliminacin de programas, cambios en las polticas gubernamentales, modificaciones en la
orientacin y lineamientos de la direccin, entre otras situaciones).
39
Analizar y/o actualizar los riesgos, con especial nfasis en los riesgos asociados con
aspectos estratgicos y financieros, considerando los recursos involucrados en los
procesos y subprocesos y el uso de los mismos.
Considerar la retroalimentacin de la auditora interna, ya sea a travs de las auditorias de
aseguramiento y seguimiento del Proceso de Gestin de Riesgos, as como las auditoras
a los diversos procesos de la organizacin gubernamental.
Analizar y/o actualizar los riesgos de Gobierno Electrnico, analizando qu procesos han
sido mejorados con TIC y cmo ello influye en su desarrollo, teniendo en consideracin
que muchas veces el mejoramiento de las TIC se realiza en etapas o actividades del
proceso, pero su influencia e impacto irradia la totalidad del mismo.
Analizar y/o actualizar los riesgos de la organizacin gubernamental, considerando los
nuevos enfoques y lineamientos del Gobierno, as como los cambios que experimentan los
riesgos identificados en aos anteriores.
Evaluar y determinar si es necesario actualizar las seales de alerta de delitos LA/FT/DF
que afectan a la organizacin, estn o no incluidas en la Matriz de Riesgos Estratgica.
Relacionar adecuadamente los riesgos con el objetivo de la etapa. Esto implica que la
concrecin de un riesgo debe afectar el cumplimiento o logro de la etapa en forma directa,
de tal manera que los riesgos identificados impidan o dificulten el resultado esperado por la
organizacin gubernamental al desarrollar esa etapa.
Analizar y/o actualizar la descripcin de los controles de acuerdo a los resultados de las
auditoras realizadas, los antecedentes histricos que se tengan y a los cambios que hayan
afectado a la organizacin gubernamental (modificaciones presupuestarias, nuevos
objetivos, eliminacin de programas, entre otras situaciones); determinando si estos
controles estn documentados y si existe segregacin de funciones. Ver Anexo N 9.
Describir y analizar los controles claves que mitigan los riesgos despus de un anlisis
profundo de los mismos, detallando qu se hace, cmo se hace, quin lo hace y cundo
lo hace. Por ejemplo: Se realiza una visacin de los contratos de mutuo (qu se hace) a
travs de comparar una muestra de al menos 30% de los contratos firmados con las
resoluciones y la informacin del sistema (cmo se hace); dicha labor se realiza por el Jefe
de la Divisin de Crditos (quin lo hace) en forma semestral (cundo lo hace) emitiendo
un reporte al Jefe de Servicio (cmo se hace).
Ajustar las exposiciones al riesgo de acuerdo a las actualizaciones realizadas a los riesgos
y controles.
3.1.2.- Incorporacin del Concepto de Ponderacin Estratgica: Debe aplicarse el concepto

de ponderacin estratgica a nivel de subproceso para cada proceso crtico. En efecto, para
determinar el nivel de exposicin al riesgo ponderada de los subprocesos, deber multiplicarse
el nivel de exposicin al riesgo de cada subproceso18 por el porcentaje de ponderacin
estratgica que a cada uno de ellos le fue asignado, de la forma que se explica en el cuadro a
continuacin:
18
Nivel determinado en base a las escalas definidas en el Anexo N 5 de este documento.
40
Cuadro N 9: Ejemplo de Ponderacin Estratgica por Subprocesos

Nivel de Exposicin al Riesgo
Nivel de Exposicin al Riesgo
Proceso Pond. Ponderada
Proceso Subproceso 19 Etapas
Transversal Riesgo
Etapa Subproceso Proceso Subproceso
Especfico
Subproceso Etapa 1 3 3 3 x 70% = 2,1
70% 3
Proceso Proceso 1 Etapa 2 3 3 2,8
Transversal 1 Subproceso Etapa 3 3 3
1 30% 2,5 2,5 x 30% = 0,75
2 Etapa 4 2 2
Subproceso Etapa 5 5 5
60% 3,5 3,5 x 60% = 2,1
Proceso Proceso 3 Etapa 6 2 2 3,8
Transversal 2 Subproceso Etapa 7 2 2
2 40% 4 4 x 40% = 1,6
4 Etapa 8 6 6
Subproceso Etapa 9 2 2
Proceso Proceso 5 50% Etapa 10 2 2 2 2 x 50% = 1
Transversal 3 Subproceso Etapa 11 2 2 2,7
3 6 50% Etapa 12 4 4 3,3 3,3 x 50% = 1,65
Etapa 13 4 4
Del Cuadro N 9, es posible apreciar que la ponderacin estratgica releva la importancia del
proceso en el contexto de la Institucin y del subproceso en el contexto del proceso, acercando
el resultado a la posicin y relevancia de stos.

la organizacin gubernamental debe definir las ponderaciones o revisarlas y mejorarlas, de
acuerdo a lo sealado en el punto 1.2.3 de este documento, teniendo presente que los cambios
de polticas de Gobierno, las modificaciones presupuestarias y la orientacin en los
lineamientos de la Direccin, las afectan directamente. En especial, debe considerarse el
enfoque de los directivos y la relacin de los procesos con el cumplimiento de la misin
institucional de la organizacin gubernamental y los recursos financieros involucrados.
4- FASE VALORACIN DE RIESGOS
La Fase de Valoracin de los Riesgos considera dos pasos. Primero la definicin y

confirmacin del criterio que se escoger (definido en la Fase de Definicin del Contexto de la
Gestin de Riesgos) y segundo la confeccin de un ranking de riesgos en la organizacin.
4.1.- Definicin y Confirmacin de Criterios
En el caso de los Procesos se utilizar como criterio para la confeccin del Ranking, el nivel de
exposicin al riesgo de los mismos. En cuanto a los subprocesos, se utilizar el criterio
asociado al nivel de exposicin al riesgo ponderada, esto es, el riesgo residual que subsiste
despus de aplicados todos los controles claves existentes. Para un adecuado desarrollo del
Proceso de Gestin de Riesgos, el nivel de exposicin al riesgo debe considerar la ponderacin
estratgica de subprocesos, de acuerdo a lo sealado en los prrafos anteriores. Esto implica
que el criterio considerado para la evaluacin del riesgo es el de exposicin al riesgo
ponderada para los subprocesos (exposicin al riesgo x ponderacin estratgica). Esta
evaluacin se determina considerando los niveles de exposicin al riesgo de las etapas de
acuerdo al promedio aritmtico de los riesgos especficos de contiene cada una de las etapas
del Subproceso.
41
En el Cuadro N 10 que se presenta a continuacin, se muestra la relacin entre los distintos

componentes del anlisis de riesgos.
Cuadro N 10: Relacin entre Severidad del Riesgo y Exposicin al Riesgo
SEVERIDAD DEL EXPOSICIN AL

RIESGO RIESGO
(Probabilidad X (Severidad del Riesgo/
Consecuencias) Efectividad del Control)
Los riesgos sin los Nivel del Riesgo

efectos mitigadores del Residual determinado
control Controles existentes para mitigar despus de aplicados los
la Severidad del Riesgo controles existentes
EFECTIVIDAD DEL CONTROL
4.2.- Ranking de Riesgos
Basado en la informacin contenida en la Matriz de Riesgos Estratgica de la organizacin

gubernamental construida en las fases anteriores del proceso, se debe evaluar en cules
mbitos organizacionales se requiere actuar en forma prioritaria (procesos, subprocesos y
etapas).
Para dar cumplimiento a esta tarea, la organizacin debe construir un Ranking de Riesgos en
base al nivel de exposicin al riesgo para los procesos crticos (promedio aritmtico de la
exposicin al riesgo de los subprocesos) y en base al nivel de exposicin al riesgo ponderado
para los subprocesos que componen dichos procesos:
a.- Ranking de Procesos por Nivel de Exposicin al Riesgo
En el Cuadro N 11 se presenta el esquema del anlisis a realizar para un proceso crtico que
fue desagregado hasta el nivel de riesgo operativo.
Cuadro N 11: Ejemplo de Ranking de Procesos por Nivel de Exposicin al Riesgo
Ranking para priorizar

Procesos Nivel de Exposicin al estrategias de tratamiento
Riesgo de los riesgos en los
Procesos Crticos
Entrega Crditos 4,0 1
Capacitacin 3,5 2
Contabilidad y Presupuesto 3,0 3
. .
De lo anterior, se deduce que la organizacin gubernamental comenzar a definir y aplicar

estrategias para efectuar el tratamiento de los riesgos asociados al proceso con mayor nivel en
42
el ranking, es decir, en el ejemplo comenzar por el Proceso de Entrega de Crditos, seguir

con el de Capacitacin y as sucesivamente.
b.- Ranking de Subprocesos por Nivel de Exposicin al Riesgo Ponderado (ponderacin

estratgica)
Una vez identificados los procesos crticos dnde se aplicarn primero las estrategias para
tratar los riesgos, se deben identificar en base al nivel de exposicin al riesgo ponderado, los
subprocesos que componen los procesos crticos donde se aplicarn en forma prioritaria las
estrategias.
Dentro de los subprocesos priorizados deben ser tratados los riesgos, correspondientes a las
actividades que se desarrollan al interior de todas las etapas que los componen, priorizados de
acuerdo al nivel de exposicin al riesgo para cada etapa.
De esta manera, en el ejemplo el Ranking podra aparecer como sigue:
Cuadro N 12: Ejemplo de Ranking de Subprocesos (Cuadro Considera el Ranking de

Etapas por nivel de exposicin al riesgo)
Nivel de Ranking para

Ranking para
Exposicin al Nivel de priorizar Fundamentos
priorizar
Riesgo Exposicin estrategias de para la
estrategias de
Procesos Subprocesos Ponderado Etapas al Riesgo tratamiento de los Priorizacin
tratamiento en
por por Etapa riesgos en las
los subprocesos
Subproceso etapas
Formar
Etapa 1 2,1 1
Parte del
Plan de
Subproceso 1 Tratamiento
1,8 1
a nivel de
1 Etapa 2 1,9 2 Subproceso y
Entrega a nivel de
Crditos Etapa
Subproceso 2
1,0 2

. . .

Subproceso 2 Etapa 2
1,7 1
Etapa 1
2
Subproceso 1 1,0 2
Capacitacin

. . .

No formar
parte del
Plan de
. . . .
Tratamiento
por razones
de costos
Este ranking indica que se debe comenzar a trabajar en los subprocesos 1 y 2 del proceso
crtico Entrega de Crditos, riesgos de las etapas 1 y 2, y as sucesivamente con los dems.
43
Para el adecuado desarrollo del Proceso de Gestin de Riesgos, la organizacin

gubernamental debe hacer un ranking de procesos, de subprocesos y etapas. Se sugiere la
utilizacin de los cuadros N 11 y N 12, respectivamente, como apoyo para el sealado
ranking.
Es importante que, en base la informacin proporcionada por los Ranking de Procesos y

Subprocesos (incluyendo el Ranking de Etapas), la organizacin gubernamental determine qu
etapas, subprocesos y procesos sern abordados con acciones para tratar los riesgos
especficos. Dicha determinacin debe fundamentarse debidamente, en consideracin de
aquellos riesgos para los cuales no se tomarn acciones para disminuir los niveles de riesgo.
Para una adecuada fundamentacin, se debern considerar variables tales como la importancia
estratgica de los procesos y subprocesos, aspectos presupuestarios, nfasis de las
autoridades y todas aquellas variables que permitan justificar adecuadamente su tratamiento
versus las materias que no sern abordadas con planes de tratamiento.
5.- FASE TRATAMIENTO DE RIESGOS
La Fase Tratamiento de Riesgos, implica que la direccin debe tomar todas las acciones
necesarias en forma concreta para administrar los riesgos una vez que han sido analizados y
priorizados en el ranking de riesgos.
Por la importancia que esta fase adquiere en un Proceso de Gestin de Riesgos en el Sector
Gubernamental, se ha estimado necesario entregar algunos elementos que permitan una mejor
comprensin de la misma.
5.1.- Formular Estrategias para el Tratamiento y Monitoreo de los Riesgos
Una vez evaluados y priorizados los riesgos en las fases respectivas, la direccin debe asumir
la realizacin de las acciones concretas necesarias para tratarlos y monitorearlos, generando
una respuesta lo suficientemente adecuada para mantener la exposicin del riesgo en un nivel
aceptado.
Sin perjuicio de lo anterior, en los casos con niveles de exposicin al riesgo de nivel Bajo,
pese a que se identificaran controles muy efectivos en relacin al riesgo, habr que analizar la
severidad del riesgo en forma individual, en especial, el nivel de impacto que se producira de
materializarse dichos riesgos. Tambin debe realizarse un monitoreo que permita actualizar el
impacto o probabilidad oportunamente.
5.2.- Estrategias Genricas para Tratamiento de los Riesgos
La NCh-ISO 31000:2012 seala que el tratamiento del riesgo supone un proceso cclico de:
Evaluar un tratamiento del riesgo.

Decidir si los niveles de riesgo residual son tolerables.
Si no son tolerables, generar un nuevo tratamiento del riesgo.
Evaluar la eficacia de este tratamiento.
44
Tambin aclara que las opciones de tratamiento del riesgo no se excluyen necesariamente
unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo
siguiente:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo)
Retener el riesgo en base a una decisin informada.
Por su parte, el Marco de Gestin de Riesgos Corporativos ERM - COSO II, seala que existen
cuatro estrategias globales que permiten enfrentar la problemtica de gestionar los riesgos,
desde el punto de vista de su nivel de severidad (probabilidad y consecuencias) y del nivel de
la exposicin al riesgo (severidad efectividad control), estas estrategias globales o genricas
son:
Evitar: Salir de las actividades que generen los riesgos. Cuando esto sea realizable y no
afecte los requerimientos legales o la eficiencia operacional. La aplicacin de esta estrategia
en el sector pblico est muy limitada, ya que la mayora de su quehacer se encuentra
normado en sus leyes orgnicas u otros cuerpos legales, por lo cual el salir de una actividad,
generalmente no es una decisin que se pueda adoptar en forma independiente.
Reducir: Implica llevar a cabo acciones para reducir la probabilidad o las consecuencias del
riesgo o ambos a la vez. Adicionalmente puede analizarse si es posible mejorar la
efectividad del control asociado al riesgo.
Compartir: La probabilidad o las consecuencias del riesgo se reducen trasladando o, de

otro modo, compartiendo una parte del riesgo. Adicionalmente puede analizarse si es
posible mejorar la efectividad del control asociado al riesgo.
Aceptar: No se emprende ninguna accin que afecte a la probabilidad, las consecuencias

del riesgo o la efectividad del control asociado al riesgo (por ejemplo, la relacin costo
beneficios no lo justifica).
A continuacin se presentan algunos ejemplos para las estrategias genricas de tratamiento

del riesgo que se encuentran en la literatura, las que slo tienen la finalidad de ejemplificar esta
materia.
Cuadro N 13: Ejemplos de Medidas para Tratar el Riesgo Desde el Punto de la Severidad
del Riesgo y de la Exposicin al Riesgo
EVITAR COMPARTIR
o Prescindir de las actividades de una unidad o Adoptar seguros contra prdidas inesperadas
de negocio, agencia regional o subsidiaria. significativas.
o Suspender la produccin de una lnea de o Establecer acuerdos con otras organizaciones
servicio o producto. gubernamentales o privadas.
45
o Terminar con las actividades de un programa, o Protegerse contra los riesgos utilizando
proyecto o sistema. instrumentos del mercado de capital a largo
o Decidir no emprender nuevas plazo, cuando se tenga autorizacin para ello.
iniciativas/actividades que podran dar lugar a o Externalizar procesos de negocio riesgosos
riesgos excesivos. siempre que no correspondan al ejercicio mismo
de sus facultades.
o Distribuir el riesgo mediante acuerdos
contractuales con entidades que acten como
clientes, proveedores u otros interesados.
REDUCIR ACEPTAR
o Diversificar las ofertas de servicios y o Provisionar las posibles prdidas.

productos. o Confiar en las compensaciones naturales
o Establecer lmites en la ejecucin del existentes dentro de una cartera.
presupuesto por regin o unidad. o Aceptar el riesgo si se adapta al nivel mximo
o Establecer procesos de negocio eficaces. preestablecido.
o Aumentar la implicacin de la direccin en la
toma de decisiones y el seguimiento.
o Reasignar los recursos presupuestarios entre
las unidades operativas.
5.3.- Evaluar y Seleccionar las Estrategias de Tratamiento de los Riesgos
Una vez conocidas las estrategias genricas para tratar los riesgos, es necesario a travs de la
evaluacin de los costos y beneficios potenciales, determinar qu estrategia va a utilizar la
organizacin gubernamental y hacia dnde orientarlas. Para ello, es necesario tener presente
algunas consideraciones:
Las opciones pueden ser evaluadas sobre la base del grado de reduccin de la Severidad
del Riesgo (impacto y/o probabilidades), y las mejoras en la efectividad de los controles.
Deben considerarse una cantidad de opciones individualmente o combinadas. Es posible

que una estrategia de respuesta afecte a mltiples riesgos.
El costo de administrar un riesgo, necesariamente debe ser compensado con beneficios

relacionados, sean sociales y/o econmicos.
Considerar que los requerimientos legales podran estar por sobre los resultados del
anlisis costo-beneficio antes referido.
Se debe tener en cuenta que un tratamiento al riesgo mediante una estrategia podra
introducir nuevos riesgos. Estos tambin deben identificarse y tratarse adecuadamente.
El objetivo principal de la seleccin de las estrategias siempre debe ser el reducir la

severidad del riesgo y/o aumentar la efectividad del control existente, acciones que
finalmente repercuten en bajar el nivel de la exposicin al riesgo.
En el Cuadro N 14 se presenta una relacin comparativa de la aplicacin de las estrategias y

su efecto potencial en la severidad del riesgo y en la efectividad del control.
46
Cuadro N 14: Relaciones Generales Entre las Estrategias y su Efecto en el Riesgo y

Efectividad del Control
Efecto potencial en los Efecto potencial en Situacin esperada en

Estrategias componentes de la Severidad del la Efectividad del relacin con el Nivel de
Genricas Riesgo Control Exposicin al Riesgo
El Nivel de Exposicin al Riesgo
est fuera de los lmites
La probabilidad e impacto no se
Evitar aceptados por la organizacin.
reducen. -
No se ve afectada.
El nivel de probabilidad o impacto El Nivel de Exposicin al Riesgo

Reducir
se reducen (o ambos). Mejora su efectividad disminuye.

El nivel de probabilidad o impacto
Compartir Mejora su efectividad disminuye.
se reducen (o ambos).
debiera estar ya dentro de los
Aceptar La probabilidad e impacto no se
- lmites con que la organizacin
reducen.
puede aceptar operar.
5.4.- Preparar e Implementar Planes de Tratamiento y Monitoreo
La Direccin de la organizacin gubernamental debe aprobar los planes y estrategias

seleccionadas. En consideracin a que dentro de los procesos y subprocesos priorizados,
deben tratarse todos los riesgos que corresponden a la actividades de las etapas que stos
ltimos contienen, as como los riesgos de entrada y salida de cada subproceso, es
recomendable gestionar los riesgos bajo una perspectiva de cartera o portafolio, esto implica
analizar los riesgos en su conjunto, considerando cmo los riesgos individuales se
interrelacionan en el mbito organizacional.
Debe definirse responsables de la estrategia, plazos, indicadores de logro, periodo de

medicin, etc.
Para un adecuado desarrollo del Proceso de Gestin de Riesgos, la organizacin

gubernamental debe confeccionar un Plan de Tratamiento de Riesgos, que contenga todos los
riesgos crticos de dicha entidad, de acuerdo a la priorizacin realizada.
El Plan de Tratamiento deber realizarse teniendo en consideracin los siguientes puntos:
Los riesgos escogidos para el tratamiento deben ser adecuados para gestionar el riesgo
del o los procesos y subprocesos priorizados, esto implica que dentro de un proceso
deberan tratarse los riesgos relevantes o crticos que faciliten que ste mejore de manera
de mantener sus riesgos (a nivel de proceso) dentro de los lmites tolerables.
Las estrategias escogidas deberan ser: reducir, aceptar, compartir o evitar, teniendo
presente que las estrategias de aceptar o evitar, no tienen efecto sobre la severidad del
riesgo o la efectividad del control, y que la estrategia evitar es de aplicacin muy limitada
en el sector pblico.
47
Las acciones definidas deben ser aptas para mitigar el riesgo al cual se asocian, de
manera que esas acciones acten de manera directa en el riesgo que se espera afectar.
Cuando se requiera mejorar un control como medida de tratamiento de los riesgos, la
accin debe demostrar que el control actual se actualizar o complementar, en ningn
caso que se mantendr.
Los indicadores deben ser de resultado y sealar explcitamente qu es lo que se quiere
medir. Debe expresarse como una medida y establecer las variables y operaciones que se
deben realizar para el clculo del indicador.
La meta debe ser el valor deseado del indicador que se espera alcanzar.
El verificador debe ser apto para dar seguridad de que se alcanz la meta.
Para mayor claridad de los puntos anteriores, ver un ejemplo en Anexo N 10.
De acuerdo a lo anterior, debe emitirse un Plan de Tratamiento que contendr las medidas a
adoptarse ante los riesgos crticos de la organizacin gubernamental. Se sugiere el uso del
formato del Cuadro N 15 siguiente:
Cuadro N 15: Formato para informar del plan de tratamiento de los riesgos priorizados
Efecto Periodo
Potencial en Medicin Evidencia
Ranking Descripcin
Proceso Fuente del Tipo de la Severidad Responsable del que se
de Riesgo Estrategia de la Indicador Meta
Transversal Proceso Riesgo Riesgo de Riesgo y/o de la Plazo Indicador Observar
Procesos Subproceso Etapa Especfico Genrica Estrategia a de Logro (16)
(1) (2) (7) (8) Efectividad Estrategia (13) (15) (17)
(3) (4) (5) (6) (9) Aplicar (14)
del Control (12)
(10)
(11)
Descripcin de la informacin solicitada en el formato dispuesto en el cuadro N 15

N Descriptor Significado
Proceso genrico, transversal o megaproceso al cual corresponde el proceso priorizado, de
(1)
acuerdo a la clasificacin del documento (Cuadro N 3).
(2) Denominacin especfica que el proceso tiene en la Organizacin Gubernamental.
(3) Prioridad de tratamiento del proceso, de acuerdo al nivel de exposicin al riesgo.
(4) Subprocesos que conforman el proceso priorizado.
(5) Etapas que conforman cada uno de los subprocesos del proceso priorizado.
Riesgos que se identifican en la etapa, en relacin a actividades que en dicha etapa se llevan a
(6)
cabo.
Origen externo o interno de los riesgos, de acuerdo al control que tiene la Organizacin
(7)
Gubernamental de la fuente que los produce.
(8) Clasificacin del riesgo, de acuerdo a la tipologa que entrega el documento en el Cuadro N 6.
Tipo de estrategia que se adopt para tratar ese riesgo de acuerdo al punto 5.2 (evitar, reducir,
(9)
compartir, aceptar).
Detalle de la estrategia genrica que se va a utilizar. Pormenorizar las acciones y actividades que
(10)
se desarrollarn para llevar a cabo la estrategia genrica.
Sealar si la estrategia apunta a disminuir la severidad del riesgo (probabilidad, impacto o ambos)
(11)
y/o a potenciar el control y de qu manera.
Sealar quien es la persona y cargo responsable de la implementacin de las acciones
(12)
especficas de la estrategia.
(13) Definir en qu plazo se debe implementar la estrategia.
Corresponde a la forma cuantitativa o cualitativa como se evala el nivel de cumplimiento de la
(14) estrategia definida. Debe tratarse de un indicador de resultado, que demuestre cmo la estrategia
mitiga el riesgo al cual se asocia.
Sealar periodos en que se va a medir el indicador dependiendo de la naturaleza del mismo
(15)
(mensual, trimestral, semestral, etc.)
(16) Resultado tangible que se espera lograr con la implementacin de la estrategia.
(17) Documento o instrumento que se utilizar en la medicin del indicador.
48
6.- FASE MONITOREO Y REVISIN
En esta fase es necesario nombrar responsables de monitorear la efectividad de todos los

pasos del Proceso de Gestin de Riesgos, para asegurar que se est cumpliendo
adecuadamente y que las circunstancias cambiantes no alteran las prioridades al afectar las
ponderaciones estratgicas, las probabilidades o impactos de los riesgos, etc.
Para esta fase del Proceso de Gestin de Riesgos, la organizacin gubernamental debe
establecer formalmente responsables del monitoreo y formular estructuras de reportes tiles a
la organizacin, que le permita a la direccin, obtener informacin relevante, en forma oportuna
y peridica sobre el estado de los riesgos en cualquier etapa del proceso.
Tambin es conveniente, internalizar en la cultura organizacional la implantacin y utilizacin

de modelos de autoevaluacin de riesgos.
Actividades Recomendadas para Monitorear los Planes de Tratamiento y Monitoreo
Seguimiento de las estrategias seleccionadas y monitoreo de las actividades requeridas.
Verificar peridicamente el avance en la implementacin de la estrategia de tratamiento de

los riesgos.
Tambin se deben analizar y evaluar los controles existentes que contribuyen a asegurar el
cumplimiento de las medidas tomadas para mitigar los riesgos.
La auditora interna tiene un rol fundamental en esta actividad, los planes de auditora
deben considerar la evaluacin de las actividades de monitoreo y el seguimiento de la
implantacin de las estrategias de tratamiento de los riesgos.
Sin perjuicio a que la Fase de Monitoreo y Revisin es transversal al resto de las fases del
Proceso de Gestin de Riesgos, se requiere que la organizacin gubernamental realice el
monitoreo en base al Plan de Tratamiento que defini. Se sugiere que se utilice el formato que
se seala en el siguiente Cuadro N 16.
Cuadro N 16: Formato Bsico para Informar del Monitoreo de las Estrategias de
Tratamiento de los Riesgos
Periodo de Resultados
Descripcin evaluacin de de la Evidencia del Proyecciones de
Proceso Recomendaciones
Riesgo Estrategia de la implementacin medicin de cumplimiento cumplimiento
transversal Proceso Subproceso Etapa (e)
especfico genrica estrategia a de la estrategia la metas (c) (d)
aplicar (a) (b)
49
Descripcin de la informacin solicitada en el formato dispuesto en el Cuadro N 16 (slo aquellos

conceptos no explicados con ocasin del formato N 15)
Nmero de
Significado
descriptor
(a) Sealar en qu fecha se evalu la implementacin de la estrategia.
Sealar el resultado que se obtuvo de la medicin de las metas. (Cumplida, parcialmente cumplida,
(b)
porcentaje de cumplimiento, etc.)
Expresar y detallar en que documentos o que informacin se utiliz para tener evidencia suficiente y
(c)
adecuada del cumplimiento.
En caso de no haberse cumplido totalmente la meta, como se proyecta que ser el cumplimiento.
(d)
(En unidades de tiempo, o si no se podr cumplir).
Sugerencias que realiza el responsable del monitoreo y revisin para que se obtenga el logro de la
(e)
meta, o se mejore en trminos de oportunidad y calidad.
7.- FASE COMUNICACIN Y CONSULTAS
Sin perjuicio que para efectos metodolgicos esta Fase se explicar ahora, en general es una
de las primeras que se debera desarrollar en la implantacin de un Proceso de Gestin de
Riesgos. En ella se desarrollarn planes de comunicacin y consulta, a travs de informar y
consultar con los interesados internos y externos, segn resulte apropiado en cada etapa del
Proceso de Gestin de Riesgos. La informacin es identificada, capturada y comunicada de
manera que todos puedan cumplir con sus roles y deberes y para asegurarse que aquellos
responsables de la implementacin del Proceso y las partes interesadas comprenden las bases
que han servido para tomar decisiones y las razones por las que son necesarias determinadas
acciones.
La idea es que los interesados internos (la organizacin gubernamental) y los externos que
corresponda (Autoridades, Consejo de Auditora, etc.) estn informados de la marcha del
Proceso de Gestin de Riesgos y de qu manera se van implementando las medidas para el
tratamiento de riesgos. Para esto es importante que los informes y sistemas de informacin
ofrezcan suficientes datos relevantes para posibilitar una comunicacin y control eficaz.
En consideracin a que el objetivo fundamental de esta fase es obtener y entregar informacin

confiable en todas las fases del Proceso de Gestin de Riesgos, en primer lugar se debera
elaborar o actualizar Planes de Comunicacin y Consulta, adaptados a la realidad de la
organizacin, considerando como mnimo los siguientes componentes y antecedentes:
7.1.- Componente: Temas Relativos al Riesgo
Entre los antecedentes que se pueden considerar estn:
Reportes de anlisis de indicadores relacionados con el Proceso de Gestin de Riesgos en

general.
Reportes de anlisis relacionados con la Matriz de Riesgos Estratgica al Jefe de Servicio
y responsables de las reas en la organizacin.
Reportes de actualizacin del anlisis de riesgos.
Reportes del Plan de Tratamiento de Riesgos al Jefe de Servicio y responsables de las
reas en la organizacin.
Algunos ejemplos de criterios e indicadores (la organizacin gubernamental debe disear sus
propios indicadores de acuerdo a su naturaleza y necesidades) que pueden establecerse en
50
relacin al anlisis de la informacin derivada del Proceso de Gestin de Riesgos, se muestran

a continuacin en el Cuadro N 17.
Sin perjuicio de la periodicidad en que el Jefe de Servicio y el Consejo de Auditora requiera el

envo de los resultados de los indicadores y en general de los distintos reportes, la organizacin
debera definir responsables y plazos para monitorear los cambios de estos resultados y as
obtener informacin oportuna que ayude a la toma de decisiones de la Direccin.
Cuadro N 17: Ejemplos de Criterios e Indicadores para Anlisis de Informacin del

Proceso de Gestin de Riesgos
Posibles Indicadores para Anlisis

Criterio Responsable Plazos
(La lista no es taxativa)
Asociados a Comprensin del Proceso de Gestin de Riesgos

reas con mayor cantidad de participantes. Encargado de Riesgos En el mes de
Calidad
Materias de mayor complejidad para los en conjunto con los enero de cada
Cursos y coordinadores de ao.
alumnos.
Talleres
reas de mejor rendimiento en el curso. riesgos.
reas que mejor desarrollan el Proceso. Encargado de Riesgos En el mes de
Nivel de % de personas involucradas por rea. en conjunto con los enero de cada
Aplicacin coordinadores de ao.
riesgos.
Asociados a los Reportes del Proceso de Gestin de Riesgos
Cumplimiento con la distribucin del reporte. Encargado de Riesgos En el mes de
Oportunidad Das de retraso respecto del Plan de en conjunto con los enero de cada
Reportes comunicacin. coordinadores de ao.
riesgos.
Exactitud de la informacin del reporte. Encargado de Riesgos En el mes de
Calidad Completitud de anlisis del reporte. en conjunto con los enero de cada
Contenido Nivel de medidas correctivas y preventivas coordinadores de ao.
comprometidas en reporte de tratamiento. riesgos.
Asociados a la Matriz de Riesgos Estratgica del Proceso de Gestin de Riesgos
Procesos con ms altas severidades del riesgo. Encargado de Riesgos En el mes de
Subprocesos con ms altas severidades de en conjunto con los enero de cada
Severidad riesgo. coordinadores de ao.
del Riesgo Etapas con ms altas severidades de riesgo. riesgos.
Procesos con ms altas exposiciones al riesgo.
Subprocesos con ms altas exposiciones al Encargado de Riesgos En los meses
Exposicin riesgo. en conjunto con los de enero y
al Riesgo Etapas con ms altas exposiciones al riesgo. coordinadores de octubre de
riesgos. cada ao.
Procesos con riesgos de impactos ms altos.
Subprocesos con riesgos de impactos ms Encargado de Riesgos En el mes de
Impacto al altos. en conjunto con los enero de cada
Riesgo Etapas con riesgos de impactos ms altos. coordinadores de ao.
riesgos.
Tipologas de Riesgos que ms se repiten. Encargado de Riesgos En el mes de
Tipos de Tipos de riesgos con mayor exposicin. en conjunto con los enero de cada
Riesgos Tipos de riesgos con mayor impacto. coordinadores de ao.
riesgos.
Procesos con controles ms efectivos.
Procesos con controles menos efectivos. Encargado de Riesgos En el mes de
Controles Riesgos extremos con controles menos en conjunto con los enero de cada
efectivos. coordinadores de ao.
riesgos.
51
Posibles Indicadores para Anlisis

Criterio Responsable Plazos
(La lista no es taxativa)
Procesos en los primeros lugares del ranking y
su relacin al negocio. Encargado de Riesgos En el mes de
Ranking Procesos en los primeros lugares del ranking y en conjunto con los enero de cada
su relacin al soporte. coordinadores de ao.
Procesos priorizados y profundidad del riesgos.
levantamiento realizado.
Asociados a Otras Dimensiones del Proceso de Gestin de Riesgos
. . . .
7.2.- Componente: Realizar Comunicaciones y Consultas Internas y Externas Eficaces
El objetivo es asegurarse que los responsables de la implementacin del Proceso de Gestin

del Riesgo y las partes interesadas en la organizacin comprenden las bases que han servido
para tomar decisiones y las razones por las que son necesarias determinadas acciones. Entre
los antecedentes que se pueden considerar estn:
Identificar usuarios o clientes internos y externos, y su nivel e importancia para el Proceso

de Gestin de Riesgos.
Definir qu tipo de informacin se espera recibir y remitir en el proceso.
Definir roles y responsables de la calidad y confiabilidad para la informacin a recibir y
remitir.
Definir periodicidad para la informacin a recibir y remitir.
Identificar y definir sistemas, canales y mecanismos para manejar la informacin de gestin
de riesgos al interior de la organizacin y para remitirla externamente.
Definir qu tipo de reportes tendr el proceso. Definir Tipo de anlisis que se incluirn en
los reportes.
Definir el procedimiento de cmo se realizar la comunicacin, identificar los soportes y
tecnologas requeridas.
Definir cmo y quines tendrn acceso a la comunicacin, sealar los criterios para definir
perfiles por tipo de informacin.
Definir cmo se recolectarn opiniones que genere la comunicacin, espacios de
participacin, forma como se har efectiva la participacin.
Posteriormente, se debera analizar, a una fecha dada, los resultados de la aplicacin de los
Planes de Comunicacin y Consulta y emitir un informe. Solicitar a los usuarios de la
informacin contestar algunas de las siguientes preguntas relacionadas con el contenido,
oportunidad, actualidad, exactitud y accesibilidad de los reportes internos y externos, puede ser
de utilidad para esta tarea. Entre otros se pueden considerar las siguientes:
En relacin al contenido. Contiene toda la informacin necesaria?

En relacin con la oportunidad. Se facilita en el tiempo adecuado?
En lo relativo a la actualidad. Es la ms reciente disponible?
En relacin con la exactitud. Los datos son correctos?
Por ltimo, en relacin a la accesibilidad. Puede ser obtenida fcilmente por las personas
adecuadas?
Debe propenderse a mejorar la calidad de la informacin, incorporndose las tecnologas de

informacin que le permitan interoperar entre distintos sistemas y plataformas, en forma interna
52
y externa, obteniendo datos en lnea de las actividades del negocio y en particular del Proceso
de Gestin de Riesgos.
Es importante reiterar que el desarrollo de cada una de las fases del Proceso de Gestin de
Riesgos es en primer lugar responsabilidad del Jefe Superior de la organizacin gubernamental
y luego tambin es responsabilidad de todos los ejecutivos responsables de cada proceso y
finalmente de todo el personal. La auditora interna por su parte, debe apoyar a la referida
autoridad a coordinar la mantencin y mejoramiento del proceso y a monitorear su adecuado
avance en las diferentes fases, sin perjuicio de las actividades de aseguramiento contempladas
en el Plan Anual de Auditora aprobado por la Direccin.
Para un adecuado desarrollo del Proceso de Gestin de Riesgos, se debe permanentemente

revisar y mejorar la informacin que fluye en el Proceso de Gestin de Riesgos orientndose a
que sta refleje un uso adecuado en dicho proceso. Para lo anterior, el Jefe de Servicio debe
aprobar un Plan de Comunicacin y Consulta que deber implementarse al inicio del Proceso
de Gestin de Riesgos20, considerando los plazos y roles definidos por la organizacin y que
contenga al menos los siguientes componentes:
Definir Componente Reportes Sobre Temas Relativos al Riesgo:
Tipo, contenido y periodicidad de reportes de anlisis de indicadores

relacionados con el Proceso de Gestin de Riesgos en general. Se recomienda
examinar los ejemplos de criterios e indicadores de la informacin del Proceso de
Gestin de Riesgos que se muestran en el Cuadro N 17.
Tipo, contenido y periodicidad de reportes de anlisis relacionados con la Matriz

de Riesgos Estratgica al Jefe de Servicio y responsables de las reas en la
organizacin. Se recomienda formular un resumen de los principales puntos o temas
de inters que arroja el examen y anlisis de la Matriz de Riesgos Estratgica, como por
ejemplo; reas que no han informado de sus procesos y riesgos oportunamente,
procesos ms crticos de la institucin, de mayor severidad, menos controlados, los que
aparecen excesivamente controlados en relacin a su severidad, etc. Este reporte
puede contener informacin de los indicadores generales del Proceso de Gestin de
Riesgos, como tambin de otras fuentes. El reporte debera ser elaborado por personal
que se relacione con el Proceso de Gestin de Riesgos y debera ser remitido al Jefe de
Servicio al menos una vez en el ao y al Consejo de Auditora cuando ste lo solicite.
Tipo, contenido y periodicidad de reportes de actualizacin del anlisis de

riesgos. Incluir nuevos riesgos o riesgos emergentes, cambios significativos en la
probabilidad o el impacto de los riesgos existentes, cambios en factores de riesgos, etc.
Tipo, contenido y periodicidad del reporte del Plan de Tratamiento de Riesgos al

Jefe de Servicio y responsables de las reas en la organizacin. considerar los
elementos considerados en el punto V.- Plan de Tratamientos, de este Documento
Tcnico.
20
Sin perjuicio de las actualizaciones posteriores que se requiera hacer al Plan de Comunicacin y Consulta.
53
Definir Componentes de las Comunicaciones y Consultas Internas y Externas
El Jefe del Servicio debe aprobar formalmente los siguientes temas:
Identificar usuarios o clientes internos y externos, y su nivel e importancia para el

Proceso de Gestin de Riesgos.
Definir qu tipo de informacin se espera recibir y remitir en el proceso.
Definir roles y responsables de la calidad y confiabilidad para la informacin a recibir y
remitir.
Definir periodicidad para la informacin a recibir y remitir.
Identificar y definir sistemas, canales y mecanismos para manejar la informacin de
gestin de riesgos al interior de la organizacin y para remitirla externamente.
Definir qu tipo de reportes tendr el proceso. Definir Tipo de anlisis que se incluirn
en los reportes.
Definir el procedimiento de cmo se realizar la comunicacin, identificar los soportes y
tecnologas requeridas.
Definir cmo y quines tendrn acceso a la comunicacin, sealar los criterios para
definir perfiles por tipo de informacin.
Definir cmo se recolectarn opiniones que genere la comunicacin, espacios de
participacin, forma como se har efectiva la participacin.
El Plan de Comunicacin y Consulta deber enviarse al menos anualmente al Jefe de Servicio

y al Consejo de Auditora cuando ste lo solicite.
C.- REGISTRO DEL PROCESO DE GESTIN DE RIESGOS
De acuerdo con la NCh-ISO 31000:2012, las actividades de gestin del riesgo deberan ser
trazables. En el Proceso de Gestin del Riesgo los registros proporcionan la base para la
mejora de los mtodos y de las herramientas, as como del proceso en su conjunto.
Las decisiones relativas a la creacin de registros deberan tener en cuenta:
Las necesidades de la organizacin en materia de aprendizaje continuo.

Los beneficios de reutilizar la informacin para fines de gestin.
Los costos y los esfuerzos que involucran la creacin y la mantencin de los registros.
Las necesidades legales, reglamentarias y operacionales para efectuar los registros.
El mtodo de acceso, la facilidad de recuperacin y los medios de almacenaje.
El perodo de conservacin.
El carcter sensible de la informacin.
Para una adecuada implantacin, mantencin y actualizacin del Proceso de Gestin de

Riesgos, la organizacin gubernamental deber definir los registros que llevar con la finalidad
de documentar dicho proceso, indicando al menos:
Tipo de registro.
Contenido del registro.
Responsable del registro.
54
Cmo se tendr acceso al registro.

Cmo se almacenarn los registros.
Por cunto tiempo se deben almacenar y quin puede destruirlos y reemplazarlos.
Si existen temas sensibles en l o los registros y qu medidas se tomarn en dicho caso.
D.- REPORTES DEL PROCESO DE GESTIN DE RIESGOS AL CONSEJO DE AUDITORA

INTERNA GENERAL DE GOBIERNO
El Consejo de Auditora Interna General de Gobierno podr definir en forma peridica qu

reportes derivados del Proceso de Gestin de Riesgos desarrollado por las Organizaciones
Gubernamentales deben ser reportados, as como la oportunidad y formato de dichos reportes.
55
VII.- BIBLIOGRAFA
Consejo de Auditora Interna General de Gobierno, Documento Tcnico N 41 Gestin de

Riesgos, 2009.
Riesgos, 2010.
Riesgos, 2014.
Gua de Recomendaciones para el Sector Pblico en la implementacin de un sistema
preventivo contra los delitos funcionarios, el lavado de activos y el financiamiento del
terrorismo (Adjunta al Oficio Circular N 20/2015 del Ministerio de Hacienda).
Gua Seales de Alerta, publicada en la pgina web de la Unidad de Anlisis Financiera
(UAF); http://www.uaf.gob.cl/entidades/tipo_senales.aspx
Instituto de Auditores Internos (IIA), Practice Guide: Assessing the Adequacy of Risk
Management Using ISO 31000, 2010.
Instituto de Auditores Internos (IIA), International Professional Practices Framework (IPPF),
EEUU, 2011.
International Organization for Standardization, ISO 31000:2009 - Principios y Orientaciones
para la Gestin de Riesgos, 2009.
International Organization for Standardization, Internacional ISO/TR 31004:2013. Risk
management - Guidance for the implementation of ISO 31000, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31000:2012 - Principios y Directrices
para la Gestin de Riesgos, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO Gua 73:2012 - Gestin del Riesgo
Vocabulario, 2012.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31010:2013 - Gestin del Riesgo -
Tcnicas de Evaluacin del Riesgo, 2013.
Instituto Nacional de Normalizacin, Norma NCH-ISO 31004:2014 Gestin del Riesgo
Orientacin para la implementacin de ISO 31000.
Instituto de Auditores Internos de Espaa, Definicin e Implantacin de Apetito de Riesgo,
2013.
Oficio Circular N 20/2015 del Ministerio de Hacienda. Orientaciones generales para el
Sector Pblico en relacin al inciso sexto del artculo 3 de la ley N 19.913.
Organizacin para la Cooperacin y el Desarrollo Econmicos - Principios de Gobierno
Corporativo de la OCDE, 2004.
Open Compliance & Ethics Group, OCEG Red Book GRC Capability Model, 2013.
Sponsoring Organizations of the Treadway Commission (COSO), Gestin de Riesgos
Corporativos, Marco Integrado Resumen Ejecutivo Marco, Espaa, 2004.
Sponsoring Organizations of the Treadway Commission (COSO), Internal Control -
Integrated Framework, 2013.
56
ANEXO N 1
EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS
La gestin de riesgos proporciona a nuestro (Servicio, Empresa, entidad, etc.,) la capacidad

para identificar, evaluar y gestionar todo el espectro de riesgos y posibilitar que todo el personal
mejore su comprensin del riesgo, lo que permite obtener:
Aceptacin responsable del riesgo.

Apoyo a la direccin.
Mejoras en los resultados.
Responsabilidad reforzada.
Liderazgo superior.
La presente poltica, que asigna especial importancia a la reduccin de los riesgos, obedece al
propsito de mejorar la gestin institucional, a fin de contribuir al cumplimiento de sus objetivos
estratgicos y con ello, al logro de su misin.
Como elementos importantes en la Gestin de Riesgos se considerarn:
La utilizacin de la norma chilena ISO NCh-ISO 31000:2012 como marco principal para la
gestin de riesgos integral en la organizacin.
La integridad y consistencia de los procedimientos administrativos y procesos asociados.
La calidad de la gestin de los recursos humanos a travs, fundamentalmente, de sus
habilidades, perfiles y entrenamiento.
La infraestructura.
La pertinencia, oportunidad y seguridad de la informacin.
Prevalecer el enfoque PREVENTIVO y PROACTIVO.
El proceso de Gestin de Riesgos dar cumplimiento a los siguientes aspectos:
La existencia de un ambiente controlado de gestin de riesgos que, definido por la

Direccin, establezca estrategias corporativas y una estructura de supervisin adecuada
que garantice su operatividad.
La definicin y documentacin de la exposicin al riesgo a lo largo de los procesos y
lineamientos, de acuerdo con los criterios de las Normas de Calidad.
La cuantificacin del impacto y probabilidad de ocurrencia para cada uno de los riesgos
identificados.
Evaluacin y seguimiento permanente de eventos que generen perjuicios a la entidad.
Nuestra Misin consiste en entregar apoyo a la mujer microempresaria, entregndole soporte a

la mujer emprendedora con instrumentos de fomento, crditos flexibles y capacitacin para los
negocios. Lo anterior implica importantes riesgos pero tambin oportunidades. Por una parte, la
mujer ha tomado un papel de importancia en la sociedad y ha escalado posiciones de poder y
empresariales de relevancia. Adems, la mujer en general, es puntual en el pago de sus
obligaciones y en el cumplimiento de sus compromisos. Sin embargo, tambin surgen riesgos
relacionados con la vulnerabilidad del sector al que est orientada la organizacin, ya que se
trata de mujeres de bajos ingresos y nivel cultural. Adems la expansin del comercio
57
electrnico obliga a capacitar a nuestras usuarias en el uso y manejo de las tecnologas que les
permitan insertarse en el mundo de los negocios.
Consideramos que enfrentamos un gran desafo y estamos conscientes que debemos capacitar
a nuestras usuarias para que enfrenten el complejo mundo de los negocios, esto implicar una
gran inversin en recursos humanos y tecnolgicos y una constante medicin de nuestros
resultados, para determinar nuestros avances y retrocesos.
Para el Proceso de Gestin de Riesgos, se incorporarn todos los procesos que desarrolla la
organizacin, tanto aquellos de negocio, esto es, los que se relacionan directamente con el
cumplimiento de su Misin, como los de soporte.
En el marco del proceso de Gestin de Riesgos, la Direccin Ejecutiva utilizar la metodologa

del Consejo de Auditora esto es, se levantarn estos procesos, desagregndose por
subproceso, etapas, actividades y riesgos y priorizar los procesos y subprocesos en funcin
de la importancia relativa de cada uno de ellos en el cumplimiento de la misin institucional y
objetivos estratgicos, para luego ser administrados, utilizando alguna de las siguientes
estrategias genricas, que no se excluyen necesariamente unas a otras, ni son apropiadas en
todas las circunstancias., adecuadas a la realidad de la organizacin gubernamental:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Modificar las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la financiacin del riesgo).
Retener el riesgo en base a una decisin informada.
Cualquiera estrategia que se elija, debe estar justificada y estar aprobada por la direccin.
La Direccin de la organizacin gubernamental se compromete peridicamente a realizar una

revisin de la poltica de riesgos aqu establecida.
58
ANEXO N 2
EJEMPLO DE DEFINICIN DE ROLES
59
ANEXO N 3
ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE RIESGOS EN EL

SECTOR GUBERNAMENTAL
Cuando nos encontramos en una entidad gubernamental que cuenta con un Proceso de
Gestin de Riesgos en operacin; la formulacin de Matriz de Riesgos y las estrategias para
tratar y monitorear los riesgos pasan a ser parte de los elementos que la auditora interna
siempre debe considerar en su planificacin y programacin.
Por lo tanto, en base a normas de auditora interna21 y en la experiencia que se ha obtenido en

el levantamiento de riesgos en el Sector Gubernamental, se puede concluir que el rol
fundamental de la auditora interna en el Proceso de Gestin de Riesgos ser proveer
aseguramiento objetivo a la direccin sobre la efectividad de las actividades del proceso de
gestin de riesgos para ayudar a asegurar que los riesgos claves de negocio estn siendo
gestionados apropiadamente y que el sistema de control interno est siendo operado
efectivamente.
En las organizaciones se debe comprender que la Jefatura Superior siempre mantiene la

responsabilidad de la gestin de riesgo y que los auditores internos deben proveer asesora, y
motivar las decisiones gerenciales sobre riesgos, y no tomar decisiones sobre gestin de
riesgo.
Estas directrices22 deben afectar en forma gradual el enfoque y las orientaciones con las que
en la actualidad se definen las actividades de auditora:
1.- Roles para la auditora interna en el Proceso de Gestin de Riesgos en el Sector

Gubernamental
Los principales factores que los auditores internos deben tomar en cuenta cuando determinen
el rol de auditora interna son si la actividad representa alguna amenaza sobre la
independencia y objetividad al realizar su trabajo, y si podra mejorar los Procesos de Gestin
de Riesgo y el control interno en la organizacin.
1.1.- Principales Roles recomendados en el Proceso de Gestin de Riesgos en el Sector

Gubernamental
Realizar evaluacin y entregar aseguramiento sobre el Proceso de Gestin de Riesgo a la

direccin.
Brindar aseguramiento de que los riesgos son correctamente evaluados en el Proceso de
Gestin de Riesgos.
Evaluar los procesos de gestin de riesgos.
Revisin del manejo y evaluacin de reportes de riesgos claves.
Evaluar la elaboracin de informes sobre los riesgos clave.
Revisar la gestin de riesgos clave.
21
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna Instituto de Auditores Internos - THEIIA.
22
Adaptado de The Role of Internal Auditing in Enterprise-wide Risk Management, January 2009 THEIIA.
60
1.2.- Algunos Roles que deben realizarse con independencia y objetividad en el Proceso
de Gestin de Riesgos en el Sector Gubernamental
Facilitacin, identificacin y evaluacin de riesgos.

Entrenamiento a la alta direccin sobre respuesta a riesgos.
Coordinacin de actividades del Proceso de Gestin de Riesgos.
Mantenimiento y desarrollo del marco del Proceso de Gestin de Riesgos.
Defender el establecimiento del Proceso de Gestin de Riesgos.
Desarrollo de estrategias de gestin de riesgo para aprobacin de Jefatura de la
Asesorar a la direccin para responder a los riesgos.
Coordinar actividades del Proceso de Gestin de Riesgos.
Consolidar la elaboracin de informes sobre riesgos.
2.- Algunos Roles que auditora interna NO deben realizar en el Proceso de Gestin de
Riesgos en el Sector Gubernamental
Establecer el nivel de Riesgo Aceptado.

Imponer Procesos de Gestin de Riesgos.
Manejar el aseguramiento sobre los riesgos.
Tomar decisiones en respuesta a los riesgos.
Implementar respuestas a riesgos.
Tener roles y responsabilidad de la gestin de los riesgos.
61
ANEXO N 4
GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS PROCESOS Y

MODELAMIENTO DE RIESGOS23
Con el fin de entregar una gua elemental para mejor comprender la estructura de los procesos
crticos de la organizacin gubernamental y la identificacin de stos, sus subprocesos y
etapas, es posible sealar que un proceso, como concepto, es un conjunto de actividades,
tareas, eventos y responsabilidades que se realizan o suceden con un determinado fin, que
recibe uno o ms insumos o pasos (inputs) y crea un producto de valor para otro usuario o
cliente, formando una cadena orientada a obtener un resultado final (outputs). De su diseo y
documentacin depende el xito de la gestin en la organizacin.
Por consiguiente podemos identificar que los elementos bsicos de un proceso son:
Existencia de un objetivo para el proceso.

La existencia de un conjunto de actividades, tareas, eventos y responsabilidades.
Todas ellas se realizan con un determinado fin.
Reciben uno o ms insumos, pasos o inputs.
Crean un producto de valor para otro usuario o cliente.
Forman una cadena orientada a obtener un resultado final u output.
Para realizar un adecuado anlisis es necesario identificar y describir detalladamente, al mayor

nivel posible, como se conforman los procesos en la institucin.
Un proceso puede descomponerse en un nmero determinado de subprocesos que se

relacionan en que los outputs de unos son los inputs de los siguientes, hasta que el ltimo
subproceso genera como output el producto o servicio final del proceso.
En todo caso, perfectamente podran existir procesos crticos en que, por su naturaleza y
caractersticas particulares, no sea posible desagregarlos en subprocesos. En estos casos, el
anlisis se debe realizar en razn de las etapas que componen el proceso, ya que este
corresponde al mayor nivel de detalle posible de desagregacin.
Las etapas son las principales fases que componen un subproceso o proceso. stas se
conforman por una serie de actividades que se realizan con la finalidad de lograr el objetivo
perseguido en la etapa y que est directamente relacionado con los objetivos de los
subprocesos y el proceso.
El mecanismo de anlisis recomendado por este Consejo de Auditora considera, en primer

lugar, identificar y comprender, entre otros, los siguientes elementos en cada proceso crtico
(Informacin obtenida de la Fase Genrica: Obtencin de Informacin de la organizacin
gubernamental y del Contexto Externo y de la Fase Genrica: Comprensin de los Procesos de
la organizacin y del Contexto Externo):
El tipo de proceso; estratgico o de soporte.

l o los responsables de la gestin.
23
Se recomienda leer en forma complementaria, el Documento Tcnico sobre metodologas para el levantamiento y
modelamiento de procesos, publicado por el Consejo de Auditora.
62
Determinar si existen subprocesos y cules son las etapas que lo componen.

Determinar las actividades que conforman las etapas.
El inicio y fin de cada proceso, subproceso y etapa.
Las personas implicadas que desarrollan el conjunto de actividades, tareas y eventos.
El objetivo o misin del proceso, subprocesos y etapas.
Las entradas o recursos requeridos y los requisitos de calidad de los subprocesos y
procesos.
Las salidas o resultados esperados y los requisitos de calidad de los subprocesos y
procesos.
Los clientes y sus requerimientos (valoracin de las salidas).
Los proveedores y los requerimientos.
Los controles existentes para las entradas y actividades desarrolladas en cada etapa.
La documentacin de apoyo.
Los registros que se generan y que se analizan.
Los indicadores de desempeo que existen para partes o para el total del proceso (de
eficacia y/o eficiencia).
Las metas asociadas a la gestin en los procesos.
Especial atencin debe darse al objetivo operativo de cada etapa, es decir, cual es la finalidad
que sta tiene en la consecucin de la salida o producto del subproceso o proceso, segn
corresponda.
Posteriormente, se deben identificar todos los eventos que podran afectar negativamente la
consecucin del objetivo operativo de cada etapa. Este aspecto es recomendable analizarlo
desde el punto de vista de cmo afectan a dicho objetivo, las amenazas, errores o deficiencias
de las entradas al subproceso o proceso en cada etapa, especialmente, en la etapa que
comienza a ejecutarse un subproceso o proceso y, cmo afectan estas mismas variables, a las
actividades o tareas de gestin y control realizadas en el desarrollo de cada etapa.
Para efecto de este anlisis, las actividades desarrolladas en la etapa tambin consideran en
forma implcita las tareas necesarias para producir y controlar las salidas del subproceso o
proceso.
Este tipo de anlisis tiene como principal finalidad, identificar donde se encuentran, al mayor
nivel de detalle posible, en un determinado proceso, los puntos crticos que deben ser
evaluados y controlados, respecto del nivel de severidad y/o exposicin que presentan los
riesgos que se han identificado en el estudio realizado.
Para efecto de una mejor comprensin de lo previamente sealado, se presenta un esquema

explicativo a continuacin:
63
Esquema Grfico para Desagregacin y Anlisis de Procesos Crticos
E PROCESO CRTICO S
SUBPROCESO 1 . SUBPROCESO n
E S
T S E T
ETAPA 1
.
ETAPA n
. . .
E S
Actividad 1 Actividad 1
Actividad 2 Actividad 2
Actividad n Actividad n
Objetivos
operativos de la .
Objetivos
operativos de la . . .
etapa 1
etapa n
Riesgos
operativos de la .
Riesgos
operativos de la . . .
etapa 1 etapa n
Controles
mitigantes de
Controles
mitigantes de . . .
los riesgos
los riesgos
E Entrada o inputs: Recursos necesarios para producir la salida.
T Transformacin: Tareas, actividades y responsabilidades.
S Salidas u outputs: Producto, servicio y finalidad del subproceso o proceso.
64
ANEXO N 5
TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS
1.- SEVERIDAD DEL RIESGO
1.1.- Cuadro N 1: Categoras de Probabilidad:
Categora Valor Descripcin
Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de
Casi certeza 5
seguridad que ste se presente en el ao en curso. (90% a 100%).
Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89%
Probable 4
de seguridad que ste se presente en el ao en curso.
Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65%
Moderado 3
de seguridad que ste se presente en el ao en curso.
2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de
Improbable
seguridad que ste se presente en el ao en curso.
Muy 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10%
improbable de seguridad que ste se presente en el ao en curso.
1.2.- Cuadro N 2: Categoras de Impacto:
Categora Valor Descripcin
Riesgo cuya materializacin puede generar prdidas financieras ($) que tendrn un
impacto catastrfico en el presupuesto y/o comprometen totalmente la imagen pblica
Catastrficas de la organizacin y del Gobierno. Su materializacin daara gravemente el desarrollo
5
del proceso y el cumplimiento de los objetivos, impidiendo finalmente que estos se
logren en el ao en curso.
impacto importante en el presupuesto y/o comprometen fuertemente la imagen pblica
Mayores de la organizacin y del Gobierno. Su materializacin daara significativamente el
4
desarrollo del proceso y el cumplimiento de los objetivos, impidiendo que se
desarrollen total o parcialmente en forma normal en el ao en curso.
impacto moderado en el presupuesto y/o comprometen moderadamente la imagen
Moderadas pblica de la organizacin y del Gobierno. Su materializacin causara un deterioro en
3
el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos,
impidiendo que ste se desarrolle parcialmente en forma normal en el ao en curso.
impacto menor en el presupuesto y/o comprometen de forma menor la imagen pblica
Menores de la organizacin y del Gobierno. Su materializacin causara un bajo dao en el
2
desarrollo del proceso y no afectara el cumplimiento de los objetivos en el ao en
curso.
Riesgo cuya materializacin no genera prdidas financieras ($) ni compromete de
ninguna forma la imagen pblica de la organizacin y del Gobierno. Su materializacin
Insignificantes
1 puede tener un pequeo o nulo efecto en el desarrollo del proceso y que no
afectara el cumplimiento de los objetivos en el ao en curso.
65
1.3.- Cuadro N 3: Nivel de Severidad del Riesgo:
NIVEL PROBABILIDAD NIVEL IMPACTO SEVERIDAD DEL RIESGO

(P) (I) S = (P x I)
Casi Certeza (5) Catastrficas (5) EXTREMO ( 25)
Casi Certeza (5) Mayores (4) EXTREMO (20 )
Casi Certeza (5) Moderadas (3) EXTREMO (15 )
Casi Certeza (5) Menores (2) ALTO (10)
Casi Certeza (5) Insignificantes (1) ALTO (5)
Probable (4) Catastrficas (5) EXTREMO (20)
Probable (4) Mayores (4) EXTREMO (16 )
Probable (4) Moderadas (3) ALTO (12)
Probable (4) Menores (2) ALTO (8)
Probable (4) Insignificantes (1) MODERADO (4)
Moderado (3) Catastrficas (5) EXTREMO (15 )
Moderado (3) Mayores (4) EXTREMO (12 )
Moderado (3) Moderadas (3) ALTO (9)
Moderado (3) Menores (2) MODERADO (6)
Moderado (3) Insignificantes (1) BAJO (3)
Improbable (2) Catastrficas (5) EXTREMO (10 )
Improbable (2) Mayores (4) ALTO (8)
Improbable (2) Moderadas (3) MODERADO (6)
Improbable (2) Menores (2) BAJO (4)
Improbable (2) Insignificantes (1) BAJO (2)
muy improbable (1) Catastrficas (5) ALTO (5)
muy improbable (1) Mayores (4) ALTO (4)
muy improbable (1) Moderadas (3) MODERADO (3)
muy improbable (1) Menores (2) BAJO (2)
muy improbable (1) Insignificantes (1) BAJO (1)
En el cuadro anterior se muestra el resultado de la combinacin entre las categoras del nivel
de impacto del riesgo y las categoras del nivel de probabilidad de ocurrencia del riesgo, es
decir, el nivel de severidad.
De ese esquema se puede observar que las categoras de impacto tienen una mayor incidencia
en el nivel de severidad asignado, puesto que aunque la probabilidad de ocurrencia sea menor,
al tratarse de riesgos con impactos altos, cualquier materializacin del riesgo (aunque sea en
slo una oportunidad) tendr una consecuencia significativa en el uso de los recursos y en el
cumplimiento de los objetivos del proceso examinado.
Esto explica los casos en que a igual valor, la severidad del riesgo es distinta. A modo de
ejemplo se presentan las siguientes relaciones:
NIVEL PROBABILIDAD NIVEL IMPACTO SEVERIDAD DEL RIESGO

(P) (I) S = (P x I)
muy improbable (1) Mayores (4) ALTO (4)
Probable (4) Insignificantes (1) MODERADO (4)
Probable (4) Moderadas (3) ALTO (12)
Moderado (3) Mayores (4) EXTREMO (12 )
66
2.- CLASIFICACIN DEL CONTROL CLAVE
2.1.- Diseo del control
Cuadro N 4: Oportunidad de la Aplicacin del Control (O):
Clasificacin Descripcin
Preventivo (Pv) Controles claves que actan antes o al inicio de una actividad.
Correctivo (Cr) Controles claves que actan durante el proceso y que permiten corregir las
deficiencias.
Detectivo (Dt) Controles claves que slo actan una vez que el proceso ha terminado.
Cuadro N 5: Periodicidad en la Aplicacin del Control (PD):
Permanente (Pe) Controles claves aplicados durante todo el proceso, es decir, en cada operacin.
Peridico (Pd) Controles claves aplicados en forma constante slo cuando ha transcurrido un
perodo especfico de tiempo.
Ocasional (Oc) Controles claves que se aplican slo en forma ocasional en un proceso.
Cuadro N 6: Automatizacin en la Aplicacin del Control (A):
Controles claves incorporados en el proceso, cuya aplicacin es

100% automatizado (At) completamente informatizada. Estn incorporados en los sistemas
informatizados.
Controles claves incorporados en el proceso, cuya aplicacin es
Semi automatizado (Sa)
parcialmente desarrollada mediante sistemas informatizados.
Controles claves incorporados en el proceso, cuya aplicacin no

Manual (Ma)
considera uso de sistemas informatizados.
67
2.2.- Cuadro N 7: Escala de Clasificacin de la Efectividad de los Controles
CUMPLIMIENTO CON CARACTERSTICAS DISEO CONTROL

CLAVE/FUNDAMENTAL VALOR DEL
NORMAS O
CLASIFICACIN DISEO DEL
REQUISITOS DE
PERIODICIDAD OPORTUNIDAD AUTOMATIZACIN CONTROL
CONTROL
(PD) (O) (A)
PERMANENTE PREVENTIVO INFORMATIZADO
CUMPLIMIENTO PERMANENTE
ADECUADO PREVENTIVO SEMI INFORMAT
PERMANENTE PREVENTIVO MANUAL OPTIMO 5
PERMANENTE CORRECTIVO INFORMATIZADO
CUMPLIMIENTO
PERMANENTE CORRECTIVO SEMI INFORMAT
ADECUADO
PERMANENTE CORRECTIVO MANUAL
CUMPLIMIENTO PERMANENTE DETECTIVO INFORMATIZADO

ADECUADO PERMANENTE DETECTIVO SEMI INFORMAT
PERMANENTE DETECTIVO MANUAL BUENO 4
PERIODICO PREVENTIVO INFORMATIZADO
CUMPLIMIENTO
PERIODICO PREVENTIVO SEMI INFORMAT
ADECUADO
PERIODICO PREVENTIVO MANUAL
PERIODICO CORRECTIVO INFORMATIZADO
CUMPLIMIENTO
PERIODICO CORRECTIVO SEMI INFORMAT
ADECUADO
PERIODICO CORRECTIVO MANUAL MAS QUE
3
PERIODICO DETECTIVO INFORMATIZADO REGULAR
CUMPLIMIENTO
PERIODICO DETECTIVO SEMI INFORMAT
ADECUADO
PERIODICO DETECTIVO MANUAL
OCASIONAL PREVENTIVO INFORMATIZADO
CUMPLIMIENTO
OCASIONAL PREVENTIVO SEMI INFORMAT
ADECUADO
OCASIONAL PREVENTIVO MANUAL
REGULAR 2
OCASIONAL CORRECTIVO INFORMATIZADO
CUMPLIMIENTO
OCASIONAL CORRECTIVO SEMI INFORMAT
ADECUADO
OCASIONAL CORRECTIVO MANUAL
CUMPLIMIENTO OCASIONAL DETECTIVO INFORMATIZADO
OCASIONAL DETECTIVO SEMI INFORMAT DEFICIENTE 1
ADECUADO
OCASIONAL DETECTIVO MANUAL
NO NO NO
INSUFICIENTE DETERMINADO DETERMINADO DETERMINADO INEXISTENTE 1
Para examinar un control, en primer lugar debe expresarse con un breve detalle de las
actividades de control realizadas, analizando su nivel de documentacin y segregacin de
funciones (quin autoriza o revisa debe ser distinta a quin ejecuta). Hay que relevar que el
control debe expresarse claramente, sealando qu se hace, cmo se hace, quin lo hace y
cundo lo realiza. Una vez definido, se debe evaluar si el control mitigante asociado a un riesgo
tiene un nivel de cumplimiento adecuado respecto de los requisitos de control bsicos que en
este modelo se han relevado para dar razonable seguridad de cumplimiento de los objetivos y
metas. Esto implica realizar un anlisis integral de los referidos requisitos (segregacin,
autorizacin, formalizacin, etc.) y determinar si stas se cumplen de para un control examinado
en particular.
Producto de este anlisis, se puede dar que los referidos requisitos se cumplan
satisfactoriamente, es decir, que el control est sustentado en una estructura bsica slida.
Posteriormente, se debe seguir con el anlisis del diseo del control, este aspecto es relevante,
ya que los riesgos son por naturaleza dinmicos y requieren que los controles tengan una
estructura que se oriente a la prevencin de la materializacin del efecto de los riesgos
dinmicos.
68
Finalmente, se debe clasificar el nivel de efectividad del control examinado, de acuerdo con el
esquema presentado, asignndole el valor respectivo segn la escala.
En caso que esto no ocurra, es decir, los requisitos no presentan un cumplimiento suficiente en
el control examinado, debe entenderse que su nivel de cumplimiento es insuficiente y
corresponde clasificarlo como si se tratara de un control inexistente, con valoracin de 1, sin que
ya sea necesario evaluar la efectividad en el diseo del control respecto de la ocurrencia del
riesgo.
Por consiguiente, debe clasificarse como inexistente, con nivel de eficiencia del control
examinado de 1, de acuerdo con la escala contenida en el esquema presentado.
Para ver mayores detalles de los requisitos de control adecuado considerados en este modelo
ver Anexo N 9.
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema).
3.- NIVELES DE CLASIFICACIN DEL NIVEL DE EXPOSICIN AL RIESGO
La exposicin al riesgo est determinada por la severidad del riesgo dividida por la eficiencia
del control asociado a ese riesgo. Estos elementos se obtienen de las relaciones detalladas
previamente en este anexo. A continuacin se presenta la escala de nivel de exposicin al
riesgo que los califica:
Cuadro N 8: Escala del Nivel de Exposicin al Riesgo
INDICADOR DE EXPOSICIN AL VALOR NIVEL DE EXPOSICIN

RIESGO AL RIESGO
8,0 25,0 NO ACEPTABLE (Na)
4,0 7,99 MAYOR (Ma)

NIVEL SEVERIDAD DEL RIESGO
NIVEL EFICIENCIA DEL CONTROL
3,0 3,99 MEDIA (Md)
0,2 - 2,99 MENOR (Me)
Tal como se seal, la escala previamente presentada, ha sido construida en base a la relacin
entre el nivel de severidad del riesgo (Bajo, Moderado, Alto. Extremo) y el nivel de eficiencia del
control asociado a ese riesgo (Deficiente, Regular, Ms que regular, Bueno, ptimo). Dicha
relacin se presenta en el Cuadro N 9.
Un primer anlisis de dicha escala observara que los niveles de exposicin al riesgo Mayor y
No Aceptable, pudiesen tener un rango muy extenso de valores; 4,0 a 7,99 y 8,0 a 25 puntos
respectivamente, pero al realizar un anlisis ms riguroso, se debera observar que en realidad
69
los niveles de exposicin al riesgo con valores ms altos, corresponden a las combinaciones
entre los niveles de riesgo ms severos y los niveles de eficiencia del control ms Bajos, o a las
combinaciones entre los riesgos con severidad ms altas y con controles que tienen un nivel
de efectividad slo de Regular.
Por otra parte, los niveles de exposicin al riesgo ms bajos estn conformados por las
combinaciones entre los niveles de riesgos menos severas y los niveles de eficiencia del
control ms altos, o por las combinaciones entre riesgos con severidades Bajas y controles con
niveles de efectividad Deficiente o Regular, o por las combinaciones entre riesgos con
severidad altas, pero con controles con nivel de efectividad ptimo o Bueno.
Por ejemplo, en el Cuadro N 9 se observa que el nivel de exposicin al riesgo E1 (Nivel de

exposicin al riesgo No Aceptable), est conformado por un nivel de severidad del riesgo,
Extremo y un nivel de efectividad de control, Regular.
En el caso del nivel de exposicin E2 (Nivel de exposicin al riesgo Mayor), est conformado
por un nivel de severidad del riesgo, Alto y un nivel de efectividad de control, Ms que Regular.
Finalmente, el nivel de exposicin E3 (Nivel de exposicin al riesgo Menor), est conformado

por un nivel de severidad del riesgo, Moderado y un nivel de efectividad de control, ptimo.
Cuadro N 9: Relaciones Entre Severidad del Riesgo y Efectividad del Control que
Determinan la Escala del Nivel de Exposicin al Riesgo
70
ANEXO N 6
EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO
A continuacin se presenta un ejemplo de levantamiento de informacin del subproceso

Compra de bienes y servicios, que forma parte del proceso crtico denominado Compras y
Abastecimiento en una entidad ficticia.
Con la finalidad de lograr una mejor comprensin del ejemplo, se har un anlisis detallado de
los riesgos y controles para las etapas de Seleccin y Adjudicacin.
Cuadro N 1: Levantamiento de Informacin de cada Proceso
Entradas del Salidas del

Proceso Subprocesos Etapas subproceso o subproceso o
proceso proceso
Planificacin operativa . . .
anual de compras. . . .
. . .
Definicin naturaleza del Bienes y servicios
proceso. (insumos) de calidad
Confeccin y publicacin que satisfagan los
Compra de bienes y Plan Operativo
de Bases. requerimientos para
servicios. de compras.
Compras y produccin de la
Seleccin.
abastecimiento organizacin
Adjudicacin. gubernamental.
.... . .
Recepcin y evaluacin
de bienes y servicios . . .
adquiridos.
. . .
. . . .
. . . .
Cuadro N 2: Levantamiento de Informacin de las Etapas Seleccin y Adjudicacin
Objetivo Actividades de la etapa

Etapas operativo de la Responsables
etapa De gestin De control
1.- El Comit de Compras, en
Etapa Definir de acuerdo a base a lo establecido en el
Definicin de la las caractersticas Plan de Compras define cmo
del bien o servicio a se realizar cada adquisicin Comit de Compras
naturaleza del
proceso de comprar, la forma (licitacin pblica, privada o
compras a utilizar de adquirirlo en el trato directo).
(convenio marco, mercado, de
conformidad a la 2.- El Jefe de Finanzas
licitacin pblica, y de la Unidad Jurdica Jefe Finanzas
privada, trato normativa de
compras. visan la definicin del Jefe Unidad Jurdica
directo). Comit.
1.- Se realiza la definicin de Encargado de

Etapa Confeccin
especificaciones tcnicas especificaciones
y publicacin de
(caractersticas, plazos, tcnicas de compras
bases.
volmenes, calidades, etc.).
71

Jefe de
2.-Validan y visan la
Abastecimiento
definicin tcnica.
y Jefe Unidad solicitante
3.- Confeccionar bases de Jefe de Finanzas
licitacin oportunas y Jefe de la Unidad
completas (de acuerdo con el Jurdica
procedimiento formal de la
organizacin gubernamental).
4.- Aprobacin Jefe de la Unidad
oportuna de las Bases Jurdica
Establecer de Licitacin. Jefe de Servicio
formalmente bases 5.- Publicar en diarios en Jefe de Finanzas
administrativas y forma completa, oportuna y
tcnicas adecuadas legal
a la especificacin 6.- Aclarar en forma completa Jefe de Finanzas
tcnica de lo e igualitaria las dudas de los Jefe de la Unidad
requerido y que oferentes. Jurdica
respeten la
transparencia e
igualdad de los 7.- Verificacin que
oferentes. todas las compras
cuenten con una Encargado de anlisis
carpeta con del rea de compras
antecedentes de
licitacin, bases y
publicacin.
Licitaciones privada y pblica
1.- Recepcin de todas las Comit de Compras
ofertas remitidas (igualdad de
oferentes).
2.- Chequeo
automatizado de Encargado Sistema de
cumplimiento de Informacin de Compras
Plazos.
Comit de Compras
3.- Apertura de acuerdo a la
normativa de compras, a
Encargado del Sistema
travs del sistema de
de Informacin de
Chilecompras.
Compras
4.- Participacin de Funcionario de la Unidad
Ministro de Fe en la Jurdica
apertura.
Realizar una
seleccin 5.- Confeccin de acta Encargado Of. de Partes
transparente, de recepcin de
Etapa ofertas, especificando Jefe de Finanzas
garantizando la
Seleccin da y hora de las
participacin
igualitaria de los ofertas recibidas.
oferentes. 6.- Confeccin de acta Comit de Compras
de apertura con todos
los participantes que Ministro de Fe
cumplen requisitos.
7.- Entrega de reportes Encargado del sistema

del sistema al comit de compras y supervisor
de compras.
72

Compra directa
1.- Se designan cotizadores al Jefe de Finanzas y
interior de la organizacin Comit de Compras
gubernamental.
2.- Cruces de datos Jefe de Abastecimiento
entre funcionarios
participantes del
proceso de compras y
proveedores.
3.- Obtencin de a lo menos Cotizadores designados.
tres cotizaciones en el caso
de trato directo.
1.- Evaluacin tcnica,
de acuerdo a criterios Comit de Compras.
previos y objetivos
dispuestos en
procedimiento.
2.- Se levanta un acta de
proposicin de adjudicacin Comit de Compras.
con el fundamento de la
decisin segn desarrollo del
proceso.
3.- Revisin de la Jefe de Abastecimiento

adjudicacin para
determinar su
conformidad al
Adjudicar la compra procedimiento y
Etapa Bases.
al oferente que
Adjudicacin
presente la oferta 4.- Revisin de la Jefe de la Unidad
ms conveniente consistencia y Jurdica
para la legalidad del proceso.
organizacin. 5.- Se verifica que el Jefe de Finanzas.
proveedor adjudicado
no tengan Jefe de Recursos
inhabilidades respecto Humanos.
de funcionarios de la
organizacin
gubernamental y
cumplan obligaciones
laborales.
6.- Visacin de la Jefe de la Unidad
adjudicacin Jurdica
7.- Aprobacin de Jefe de Servicio o
Adjudicacin delegatario.
73
Cuadro N 3: Ejemplo de Identificacin de Riesgos Asociados a las Actividades Realizadas para

Lograr los Objetivos Operativos de las Etapas Seleccin y Adjudicacin
Objetivo operativo Riesgos asociados a la

Etapa de la etapa Actividades de la etapa realizacin de las actividades
Etapa
Etapa
Licitaciones privada y pblica
Recepcin de ofertas fuera de plazo.
1.- Recepcin de todas las ofertas
remitidas. (Igualdad de oferentes). Recepcin de ofertas en forma distinta a
la sealada en las bases.
La apertura no se realiza a travs del
sistema y no se cumple el procedimiento
2.- Apertura de acuerdo a la aprobado.
normativa de compras a travs del La apertura se realiza en da y hora
sistema de Chilecompras. distinta al establecido en las bases.
3.- Participacin de Ministro de Fe
Ministro de Fe con incompatibilidades.
en la apertura.
Etapa Seleccin 4.- Confeccin de acta de En caso de recepcin en papel, no se
recepcin de ofertas, especificando confecciona Acta de recepcin o sta es
da y hora de las ofertas recibidas. incompleta o errnea.
5.- Confeccin de acta de apertura
Realizar una seleccin Las actas se firman posteriormente por
con todos los participantes que
transparente, las personas que no asisten a la
cumplen con lo requisitos.
garantizando la apertura.
participacin igualitaria No se entregan reportes en forma
de los oferentes. 6.- Entrega de reportes del sistema oportuna o tienen datos errneos.
al comit de compras.
Compra directa
1.- Se designan cotizadores al
Designacin de cotizadores con
interior de la organizacin
incompatibilidades.
gubernamental.
No se realizan cruces de datos entre
2.- Cruces de datos entre
funcionarios y proveedores
funcionarios participantes del
No se cuenta con la informacin para
proceso de compras y proveedores
cruzar datos
Falta de tres cotizaciones para trato
3.- Obtencin de a lo menos tres directo sin fundamento.
cotizaciones en el caso de trato
directo. Cotizaciones manejadas para favorecer
a un proveedor.
Errores en evaluacin tcnica.

1.- Evaluacin tcnica, de acuerdo
a criterios previos y objetivos
dispuestos en procedimientos. Adjudicacin con criterios distintos a los
establecidos en la ley, las bases y los
procedimientos.
2.- Se levanta un acta de
proposicin de adjudicacin con el Adjudicacin no es consistente con el
Adjudicar la compra al fundamento de la decisin segn proceso de evaluacin.
oferente que presente la desarrollo del proceso.
oferta ms conveniente 3.- Revisin de la adjudicacin para La adjudicacin no es consisten con las
para la organizacin. determinar su conformidad al Bases o con el procedimiento
procedimiento y Bases. establecido.
Etapa
Adjudicacin El proceso presenta deficiencias legales
4.- Revisin de la consistencia y
de forma o fondo
legalidad del proceso.
5.- Se verifica que el proveedor Inexistencia de antecedentes para

adjudicado no tenga inhabilidades realizar la verificacin
74
Objetivo operativo Riesgos asociados a la

Etapa de la etapa Actividades de la etapa realizacin de las actividades
respecto de funcionarios de la Funcionarios que realizan verificacin no
organizacin gubernamental y cuentan con las competencias
cumplan obligaciones laborales. necesarias.
No se cuenta con todos los

6.- Visacin de Adjudicacin. antecedentes para visar la operacin.
El funcionario que aprueba no tiene la

7.- Aprobacin de la adjudicacin. facultades delegadas
Cuadro N 4: Ejemplo de Identificacin de Riesgos Asociados a las Entradas del Subproceso o

Proceso
Riesgos asociados a las

Objetivo operativo de
Etapas que afecta Entradas al subproceso o entradas del subproceso o
la etapa
proceso proceso
1.- Deficiencias tcnicas en la

formulacin del Plan.
El Plan no representa las
Realizar una seleccin Plan Operativo de Compras. necesidades de compra de la
Etapa Seleccin transparente, organizacin gubernamental.
garantizando la
participacin igualitaria de 2.- Falta de aprobacin o
los oferentes. autorizacin del Plan.
75
Cuadro N 5: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Asociado a las
Actividades Realizadas en las Etapas de Seleccin y Adjudicacin
Riesgos asociados a la
Etapas realizacin de las Controles operativos mitigantes clave Responsables
actividades
Licitacin privada y pblica
Qu: Chequeo automatizado de plazo.
Cmo: El sistema de informacin ADBG,
contiene un algoritmo que controla y chequea
la hora y la fecha de la apertura. Encargado Sistema de
Cundo: Lo anterior se realiza por cada Informacin de Compras
apertura para todas las ofertas.
Quin: Este chequeo lo hace el Encargado de
Recepcin de ofertas fuera Sistema de Informacin de Compras.
de plazo. Qu: Chequeo manual de plazo y confeccin
de Acta de Recepcin.
Seal de Alerta LA/FT/DF Cmo: En caso de ofertas no recibidas por el
Asociada: S. sistema, el encargado de la Oficina de Partes,
levanta un acta con individualizacin de da y Encargado Oficina de
hora de las ofertas recibidas, que es visada por Partes
el Jefe de Finanzas. Jefe de Finanzas
Cundo: Esto se hace en cada licitacin para
todos los oferentes.
Quin: Encargado oficina de Partes / Jefe de
Finanzas.
Qu: Chequeo de recepcin y confeccin de
Acta de Apertura.
Cmo: El comit de compras controla el
proceso de recepcin y levanta un Acta de
Comit de Compras
Recepcin de ofertas en todas las ofertas recibidas, con participacin de
forma distinta a la sealada un Ministro de Fe.
Ministro de Fe
en las bases. El sistema o el encargado (si son extra
sistema) mantiene los antecedentes de las
Seal de Alerta LA/FT/DF consultas y respuestas a los oferentes, con
Encargado del Sistema
Etapa Seleccin Asociada: S. fecha.
de Compras
Quin: Comit de Compras / Encargado
Sistema de Compras / Ministro de Fe.
Qu: Revisin uso del sistema.
Cmo: La recepcin y apertura de las ofertas
La apertura no se realiza a
deben realizarse a travs del portal de
travs del sistema y no se
Chilecompras. Este procedimiento es verificado Encargado de Sistema
cumple el procedimiento
diariamente, por el Encargado del Sistema de de Informacin y su
aprobado.
Informacin mediante un reporte que se emite supervisor
en el rea abastecimiento, visado por el
Seal de Alerta LA/FT/DF
supervisor
Asociada: S.
Cundo: Diariamente.
Quin: Encargado sistema / supervisor.
Qu: Verificacin de la apertura.
Cmo: Si es una apertura extra sistema, se
debe realizar en dependencias de la
La apertura se realiza en da
organizacin gubernamental con la asistencia
y hora distinta al establecido
de un Ministro de Fe, abogado de la Unidad
en las bases. Funcionario de la
Jurdica, que certifica que el da y hora
Unidad Jurdica
corresponde a las Bases.
Asociada: S.
Quin: Funcionario unidad jurdica como
Ministro de Fe.
Ministro de Fe con
incompatibilidades.
Sin control -
Asociada: S.
76
actividades
Qu: Chequeo de asistencia y visto bueno.
Cmo: En el caso de apertura en soporte de
Las actas se firman
papel, existe un Acta elaborada por el Comit
posteriormente por las
de Compras que da cuenta de la apertura Comit de Compras
personas que no asisten a la
firmada por la entidad y los oferentes presentes
apertura.
en la apertura, con la asistencia de un Ministro Ministro de Fe
de Fe.
Cundo: Esto se hace en cada apertura en
Asociada: S.
soporte papel para todos los oferentes.
Quin: Comit de Compras / Ministro de Fe.
Qu: Revisin de reportes y autorizacin.
Cmo: La informacin se revisa por el
No se entregan reportes en Encargado Sistema de
Encargado del Sistema de Compras y se
forma oportuna o tienen datos Compras
autoriza por el supervisor.
errneos.
Cundo: Cada vez que se emite un reporte por
Supervisor
el sistema, y al menos mensualmente.
Quin: Supervisor del Sistema de Informacin
Asociada: N/A.
/ Encargado Sistema de Compras.
Compra directa
Qu: Cruce de datos.
Cmo: Se realiza un cruce de datos de los
Designacin de cotizadores
funcionarios involucrados en el proceso de
con incompatibilidades.
compras y los con poder de decisin y los Jefe de Recursos
proveedores frecuentes de la organizacin Humanos
gubernamental.
Asociada: S.
Cundo: Semestralmente.
Quin: Jefe de Recursos Humanos.
Falta de tres cotizaciones
para trato directo sin
fundamento. Sin control
-
Asociada: S.
Cotizaciones manejadas para
favorecer a proveedor.
Sin control -
Asociada: S.
Qu: Revisin de la evaluacin y visto bueno.
Cmo: Se analizan las ofertas a travs de los
Errores en la evaluacin requisitos establecidos en la Ley, las bases y el
tcnica. procedimiento, emitiendo un informe tcnico, Comit de Compras
con visto bueno del Jefe de Abastecimiento.
Seal de Alerta LA/FT/DF Cundo: Esto se realiza por cada proceso de Jefe de Abastecimiento
Asociada: N/A licitacin.
Quin: El Comit de Compras y Jefe de
Etapa Abastecimiento.
Adjudicacin Qu: Examen de criterios y aplicacin de
check list.
Adjudicacin con criterios
Cmo: Se revisa cada adjudicacin en contra
distintos a los establecidos en
de los requisitos de las bases (check list) y
la Ley y las bases.
pone visto bueno slo si se cumplen todos los Jefe de Abastecimiento
requisitos.
Cundo: Esto se realiza por cada proceso de
Asociada: S.
licitacin que se adjudica.
Quin: Jefe de Abastecimiento.
77
actividades
Qu: Chequeo de consistencia.

Cmo: Se revisa y se da visto bueno a la
Adjudicacin no es
resolucin de adjudicacin antes de la firma del
consistente con el proceso de
Jefe Superior y revisa la consistencia del
evaluacin. Jefe de la Unidad
proceso.
Jurdica
Cundo: Cada resolucin es revisada y
chequeada.
Asociada: S.
Quin: Unidad Jurdica.
Inexistencia de antecedentes
Qu: Examen a las competencias y
para realizar la verificacin.
herramientas de verificacin.
Cmo: Hay un encargado de mantener y
conseguir las herramientas necesarias para Jefe de Finanzas
Asociada: N/A.
realizar los cruces de datos (bases de datos
pblicas, declaraciones de inters y otros
Funcionarios que realizan
antecedentes) y de capacitar a los funcionarios
verificacin no cuentan con
que realizan esta labor en el manejo de bases
las competencias necesarias.
de datos y consultas, y en el manejo de la
normativa y jurisprudencia administrativa
asociadas a temas de probidad. Jefe de Recursos
Cundo: El examen de herramientas y la Humanos
Asociada: N/A.
determinacin de competencias se hace al
menos una vez al ao.
Quin: Jefe de Recursos Humanos
No se cuenta con todos los
antecedentes para visar la
operacin.
Sin control -
Asociada: S.
Qu: Chequeo de facultades.
Cmo: se visa la aprobacin, revisando los
El funcionario que aprueba no
aspectos de forma y fondo y las atribuciones
tiene las facultades
del firmante.
delegadas.
Cundo: Cada adjudicacin y resolucin que Jefe Unidad Jurdica
la apruebe es revisada por la unidad Jurdica
de la organizacin gubernamental.
Asociada: S.
Quin: La Unidad Jurdica previa a la
aprobacin.
78
Cuadro N 6: Identificacin de Controles Mitigantes para Cada Riesgo Operativo Identificado

Asociado a las Entradas del Subproceso o Proceso
Riesgos
Etapa que asociados a las
afecta entradas del Controles operativos mitigantes claves Responsables
subproceso o
proceso
Qu: Revisin del Plan. Jefe de Finanzas
Cmo: Existe informacin en la organizacin
gubernamental histrica acerca del gasto y Jefe de Cada Unidad
adquisiciones de la Organizacin Gubernamental que Operativa
1.- Deficiencias maneja el Jefe de Finanzas.
tcnicas en la Cundo: Cada Unidad hace llegar a la Comisin de
formulacin del Plan. Planificacin, al 15 de noviembre de cada ao, un
Etapa El Plan no representa programa operativo anual con los requerimientos y
Seleccin las necesidades de la necesidades para el prximo ao, calendarizadas y
organizacin presupuestadas.
gubernamental. Quin: Jefe de Finanzas.
Jefe de Servicio
Seal de Alerta Qu: Participacin en distintos niveles.
LA/FT/DF Asociada: Cmo: Existen procedimientos formales con Comisin de
N/A. participacin de las diversas instancias para definir el Planificacin
Plan (Comisin de Planificacin), que se revisa y
aprueba anualmente por el Jefe de Servicio previo
informe de la Comisin de Planificacin y del Jefe de
Finanzas.
Cundo: Anualmente.
Quin: Comisin de Planificacin / Jefe de Servicio.
2.- Falta de
Qu: Aprobacin del Plan.
aprobacin o
Cmo: Se revisa el Plan y se consideran los anlisis de Jefe de Servicio
autorizacin del Plan.
la Comisin de Planificacin y del Jefe de Finanzas
para aprobar, rechazar o modificar el Plan propuesto. Comisin de
Seal de Alerta
Cundo: Hasta el 30 de diciembre de cada ao. Planificacin
LA/FT/DF Asociada:
Quin: Jefe de Servicio.
S.
79
ANEXO N 7
EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS
La metodologa de evaluacin de riesgos (identificacin, anlisis y valoracin) de una entidad

puede comprender una combinacin de tcnicas, junto con herramientas de apoyo. Por
ejemplo, para la identificacin de riesgos la direccin puede usar talleres interactivos de trabajo
como parte de dicha metodologa, con un monitor que emplee alguna herramienta tecnolgica
para ayudar a los participantes.
Entre los factores que influyen en la seleccin de las tcnicas de evaluacin del riesgo se
cuentan los siguientes:
La complejidad del problema y de los mtodos que se necesitan para analizarlo.

La naturaleza y el grado de incertidumbre de la evaluacin del riesgo, basados en la
cantidad de informacin disponible y que se requiere para satisfacer los objetivos.
La amplitud de los recursos requeridos en funcin del tiempo y del nivel de conocimientos
tcnicos, de las necesidades de datos o de los costos.
Si el mtodo puede proporcionar un resultado cuantitativo.
Segn la NCh-ISO 31010:2013 las tcnicas de evaluacin del riesgo (identificacin, anlisis y
valoracin) se pueden clasificar de varias maneras para ayudar a comprender sus cualidades
relativas de solidez y debilidad. En la Norma, cada una de las 31 tcnicas presentadas se
desarrollan en detalle segn la naturaleza de la evaluacin que proporcionan, y se dan
directrices para su aplicabilidad para determinadas situaciones. Algunos ejemplos de las
tcnicas clasificadas como Muy Recomendadas en la norma NCh-ISO 31010:2013 son las
siguientes:
1.- Ejemplos de Tcnicas de Identificacin de Riesgos:
1.1.- Matriz de Consecuencias/Probabilidad
Es un medio de combinar clasificaciones cualitativas o semicuantitativas de consecuencia y

probabilidad para producir un nivel de riesgo o una clasificacin del riesgo. El formato de la
matriz y las definiciones que se apliquen dependen del contexto en el que se usa, y es
importante que se utilice un diseo apropiado a las circunstancias.
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orgenes de riesgo o

tratamientos del riesgo sobre la base del nivel de riesgo. Normalmente, se utiliza como una
herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir
cules son los riesgos que necesitan anlisis adicionales o ms detallados, cules son los que
se han de tratar primero, o cules se han de referenciar a un nivel de gestin ms elevado.
1.2.- Tormenta de Ideas
Esta tcnica implica el estmulo y el fomento de conversaciones fluidas entre un grupo de

personas competentes, con objeto de identificar los posibles modos de falla y los peligros
asociados, los riesgos, los criterios para la toma de decisiones, y/o las opciones de tratamiento.
El trmino "tormenta de ideas" se utiliza frecuentemente de forma muy imprecisa cuando se
80
aplica a cualquier tipo de debate en grupo. Sin embargo, la tormenta de ideas verdadera
implica tcnicas particulares para tratar de garantizar que se fuerza la imaginacin de las
personas mediante las ideas y declaraciones de otras personas del grupo.
En esta tcnica es muy importante la facilitacin eficaz e incluye la estimulacin del debate
desde el principio, las indicaciones peridicas del grupo sobre otras reas importantes, y la
aceptacin de los resultados obtenidos en el debate (que normalmente suele ser bastante
animado).
1.3.- Tcnica Delphi
Un medio de combinar las opiniones de expertos que puede apoyar la identificacin del origen
y de la influencia, la estimacin de la probabilidad y de la consecuencia, y la valoracin del
riesgo. Es una tcnica de colaboracin para crear el consenso entre expertos. Implica el
anlisis independiente y la votacin de los expertos.
2.- Ejemplos de Tcnicas de Anlisis de Riesgos:
2.1.- Estructura Y SI? (SWIFT)
Es un sistema para ayudar a un equipo en la identificacin de riesgos. Normalmente se utiliza

dentro de un taller de trabajo dirigido. Por lo general est relacionado con una tcnica de
anlisis y valoracin del riesgo.
2.2.- Anlisis de Modos y Efectos de Fallas (FMEA)
Es una tcnica que identifica los modos y mecanismos de falla y sus efectos.
Existen varios tipos de anlisis FMEA: FMEA del Diseo (o del producto), que se aplica a
componentes y a productos; FMEA del Sistema, que se aplica a sistemas; FMEA del Proceso,
que se aplica a procesos de fabricacin y de montaje; FMEA de la organizacin gubernamental
y FMEA del Software.
El FMEA puede ir seguido por un anlisis de criticidad que defina la importancia de cada modo
de falla de forma cualitativa, semicuantitativa o cuantitativa (FMECA2). El anlisis de criticidad
se puede basar en la probabilidad de que el modo de falla provocar la falla del sistema, o en
el nivel de riesgo asociado al modo de falla, o en un nmero de prioridad del riesgo.
3.- Ejemplos de Tcnicas de Valoracin de Riesgos:
3.1.- Anlisis de Peligros y de Puntos Crticos de Control (HACCP)
Es un sistema metdico, proactivo y preventivo para asegurar la calidad del producto, la

fiabilidad y seguridad de los procesos, mediante la medicin y monitoreo de las caractersticas
especficas que se requiere que estn dentro de unos lmites definidos.
3.2.- Anlisis de la Causa Raz (RCA)
El anlisis de una prdida importante para prevenir que vuelva a ocurrir se conoce como
Anlisis de la Causa Raz (RCA), Anlisis de Falla de la Causa Raz (RCFA) o anlisis de
81
prdida. El anlisis RCA se centra en las prdidas de activos debido a diversos tipos de fallas,
mientras que el anlisis de prdidas se aplica principalmente a las prdidas financieras o
econmicas debidas a factores externos o a catstrofes. Este anlisis intenta identificar las
causas raz u originales en vez de tratar nicamente los sntomas inmediatamente obvios. Se
reconoce que la accin correctiva no siempre puede ser totalmente eficaz y que puede ser
necesaria una mejora continua. El anlisis RCA se aplica con bastante frecuencia para la
evaluacin de una prdida importante, pero tambin se puede utilizar para analizar prdidas
sobre una base ms global para determinar donde se pueden realizar mejoras.
Para mayor informacin sobre esta materia se recomienda leer la norma NCh-ISO 31010:2013,
emitida por el Instituto Nacional de Normalizacin, INN (www.inn.cl) y el Documento Tcnico N
75: Tcnicas y Herramientas para el Control de Procesos y la Gestin de la Calidad, para su
uso en la Auditora Interna y en la Gestin de Riesgos, disponible en
http://www.auditoriainternadegobierno.cl/.
82
ANEXO N 8
EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL GOBIERNO

ELECTRNICO
Para identificar adecuadamente los riesgos que pueden afectar los procesos mejorados con
Tecnologa de la Informacin, es necesario tener presentes las siguientes consideraciones
generales:
1) Fragilidad de los Sistemas de Informacin
Al identificar los riesgos en las etapas o actividades de los procesos desagregados, hay que
tener presente que los sistemas de informacin informatizados son vulnerables a una
diversidad de amenazas y atentados por parte de:
Personas tanto internas como externas de la organizacin.

Desastres naturales.
Servicios, suministros y trabajos no confiables e imperfectos.
Incompetencia y las deficiencias cotidianas.
Abuso en el manejo de los sistemas informticos.
Desastres a causa de intromisin, robo, fraude, sabotaje o interrupcin de las actividades
de cmputos.
2) Inseguridad de la Informacin
Otro punto importante a considerar, al identificar los riesgos en los procesos desagregados, es
que la informacin contenida en soporte electrnico, en trminos generales puede presentar las
siguientes situaciones de riesgo:
Riesgos de Integridad: Este riesgo abarca todos aquellos relacionados con la

autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las
aplicaciones utilizadas en una organizacin. Estos riesgos existen en cada aspecto de un
sistema de soporte de procesamiento de negocio y estn presentes en la Interfase del
usuario, procesamiento de errores y administracin de cambios.
Riesgos de Usabilidad: Se refiere a los riesgos relacionados al uso oportuno de la
informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la
informacin de toma de decisiones (Informacin y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).
Riesgos de Acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e
informacin. Abarcan los riesgos de segregacin inapropiada de trabajo, los riesgos
asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos
asociados a la confidencialidad de la informacin.
Riesgos de Recuperabilidad: Relacionados con las deficiencias en las tcnicas de
recuperacin/restauracin usadas para minimizar la ruptura de los sistemas y los Backups
y planes de contingencia que controlan desastres en el procesamiento de la informacin,
entre otros.
Riesgos en la Infraestructura: Estos riesgos se refieren a que en las organizaciones no
existe una estructura de informacin tecnolgica efectiva (hardware, software, redes,
83
personas y procesos) para soportar adecuadamente las necesidades futuras y presentes

de los negocios con un costo eficiente.
Riesgos de Seguridad General: Referidos a los Riesgos de choque de elctrico, riesgos
de incendio, de niveles inadecuados de energa elctrica, de radiaciones, mecnicos, etc.
3) Riesgos Relacionados con los Documentos Electrnicos
Por ltimo, es importante destacar que en las organizaciones, cuyas actividades constan en
documentos electrnicos y stos son el respaldo de las transacciones y operaciones que
desarrolla la institucin, pueden presentarse algunos riesgos relacionados con stos
documentos, que deben ser considerados:
Riesgos de Autorizacin: Relacionados al hecho que la informacin electrnica haya sido

creada, procesada, grabada, corregida, enviada, archivada, accesada y destruida slo por
personas autorizadas y responsables.
Riesgo de Autenticacin: Referidos a los medios para verificar la identidad declarada de
un usuario y la autorizacin o denegacin del acceso al sistema, y la forma como la
autenticacin permite a cada lado de la comunicacin asegurarse de que el otro es quien
dice ser.
Riesgo de Integridad: Son aquellos que se relacionan con la exactitud, completitud y
oportunidad de los datos, referidos a la modificacin de la informacin, por error o
intencionalmente.
Riesgos de Confidencialidad: Referidos la capacidad de mantener un documento
electrnico protegido y accesible para su divulgacin o revelacin slo a una lista
determinada de personas autorizadas y responsables.
Riesgos de No Repudio: Relativo a la capacidad del sistema de permitir a cada lado de la
comunicacin, probar fehacientemente que el otro lado ha participado; de tal forma que el
origen no pueda negar haberlo enviado y el destino no pueda negar haberlo recibido.
Riesgos de Accesibilidad: Relativo a la mantencin de datos disponibles
permanentemente para cumplir con su misin y con sus obligaciones legales, tributarias y
para propsitos de auditora.
Para identificar los controles, se debe tener presente que en el caso de sistemas de
informacin, es posible encontrar controles generales, que pueden intervenir en forma habitual
a los riesgos relevados en los procesos, como los son las polticas y procedimientos aprobados
y difundidos acerca de la seguridad sobre accesos digitales y fsicos, la segregacin de
funciones incompatibles y accesos de control, la retencin, archivo o almacenamiento,
accesibilidad, distribucin y destruccin de documentos electrnicos y otros datos, la
administracin de pistas o rastros de auditora (Audit Trail). Tambin pueden considerarse
como controles generales los contratos con proveedores de servicios de tecnologas de
informacin, la capacitacin y generacin de competencias, las instrucciones sobre correo
electrnico seguro, el monitoreo del cumplimiento de los procedimientos establecidos y la
tecnologa basada en encriptacin de datos, firmas electrnicas y certificados digitales.
Por otra parte, es necesario considerar que pueden existir controles especficos para los
riesgos especficos, a saber:
Controles para Riesgos de Autenticacin: Smart card o tokens, Password, Biometra,

PKI Infraestructura de clave pblica, certificados digitales, Firewalls, etc.
84
Controles para Riesgos de Integridad: Control de acceso a aplicaciones, funciones

automticas que permitan segregacin de funciones, validacin de datos, reportes de
excepciones, controles de secuencia numrica y de coincidencia, control de rastros de
correcciones, firma electrnica, firewalls entre otros.
Controles para Riesgos de No Repudio: Tcnicas criptogrficas, certificados digitales,
firma electrnica avanzada, time stamping, entre otros.
Controles para Riesgos de Autorizacin: Controles de acceso, definicin de perfiles de
usuario en redes, aplicaciones y sistemas; firma electrnica, certificados digitales, etc.
Controles para Riesgos de Disponibilidad: Controles asociados a la adquisicin,
desarrollo y mantenimiento de sistemas, mecanismos de recuperacin de prdida de
datos, planes de contingencia, polticas de respaldo peridico de la informacin, y otros.
Controles para Riesgos de Confiabilidad: Cifrado o encriptacin, controles de acceso
lgico y fsicos a los sistemas y servidores, procedimientos de manipulacin de copiado,
almacenamiento, transmisin y destruccin, documentos reservados con niveles de acceso
determinados, protocolos de seguridad sobre Internet (SSL), firewalls, entre otros.
85
ANEXO N 9
CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL ADECUADO

CONSIDERADOS EN EL MODELO
1. Definicin de Control Interno
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin

y el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento24.
Esta definicin refleja ciertos conceptos fundamentales. El control interno:
Est orientado a la consecucin de objetivos en una o ms categorasoperaciones,

informacin y cumplimiento.
Es un proceso que consta de tareas y actividades continuases un medio para llegar a un
fin, y no un fin en s mismo.
Es efectuado por las personasno se trata solamente de manuales, polticas, sistemas y
formularios, sino de personas y las acciones que stas aplican en cada nivel de la
organizacin para llevar a cabo el control interno.
Es capaz de proporcionar una seguridad razonableno una seguridad absoluta, al consejo y
a la alta direccin de la entidad.
Es adaptable a la estructura de la entidadflexible para su aplicacin al conjunto de la
entidad o a una filial, divisin, unidad operativa o proceso de negocio en particular.
Esta definicin es intencionadamente amplia. Incluye conceptos importantes que son

fundamentales para las organizaciones respecto a cmo disear, implantar y desarrollar el
control interno, constituyendo as una base para su aplicacin en entidades que operen en
diferentes estructuras organizacionales, sectores y regiones geogrficas.
Respecto de los Procesos de Control se pueden decir que corresponden a las polticas,
procedimientos (manuales y automticas) y actividades, los cuales forman parte de un enfoque
de control, diseados y operados para asegurar que los riesgos estn contenidos dentro del las
tolerancias establecidas por el proceso de evaluacin de riesgos nivel que una organizacin
est dispuesta a aceptar25.
Por su parte, el Control se puede considerar como cualquier medida que tome la direccin, el
Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los
objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las
acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los
objetivos y metas26.
Se pueden complementar estas definiciones sealando que el control ha sido definido bajo dos
grandes puntos de vista, un punto de vista limitado y un punto de vista amplio.
24
COSO I
25
COSO I
26
Normas Generales de Auditora Interna y de Gestin del Colegio de Contadores de Chile y Normas
Internacionales para el Ejercicio Profesional de la Auditora Interna THEIIA.
86
Desde el punto de vista limitado, puede sealarse que, el control se concibe como la
verificacin a posteriori de los resultados conseguidos en el seguimiento de los objetivos
planteados y el control de gastos invertido en el proceso realizado por los niveles directivos.
Desde un punto de vista amplio, puede sealarse que el control es una actividad no slo a nivel
directivo, sino de todos los niveles y miembros de la entidad, orientando a la organizacin hacia
el cumplimiento de los objetivos propuestos bajo mecanismos de medicin cualitativos y
cuantitativos. Este enfoque hace nfasis en los factores sociales y culturales presentes en el
contexto institucional ya que parte del principio que es el propio comportamiento individual
quien define en ltima instancia la eficacia de los mtodos de control elegidos por la gestin
El control es una etapa primordial en la administracin, pues, aunque una entidad tenga
excelentes controles tericos, una estructura organizacional adecuada y una direccin eficiente,
es necesario que exista un mecanismo que verifique e informe si los hechos y actividades de la
entidad se estn desarrollando segn los objetivos.
2. Tipos de Actividades de Control
Entre los tipos de actividades de control de transacciones ms comunes se encuentran:
Autorizaciones y Aprobaciones: Una autorizacin confirma que una transaccin es vlida

segn los criterios definidos por la organizacin. Una autorizacin se expresa mediante una
conformidad formal proporcionada por una persona con un perfil adecuado y previamente
definido en la organizacin.
Ejemplo: autorizacin de un informe de rendicin de gastos una vez que ha revisado su

razonabilidad y que su monto y naturaleza es consistente con la poltica de la organizacin
en esta materia.
Verificaciones: Las verificaciones comparan dos o ms elementos entre s o bien

comparan un elemento con criterios definidos en una poltica o norma, y llevan a cabo un
seguimiento cuando los dos elementos en cuestin no coinciden o el elemento no es
coherente con los criterios de la poltica o norma.
Ejemplo: comparaciones automatizadas en el sistema para determinar, entre otras cosas;

que est aprobado el pago por el usuario que tenga el perfil adecuado, que existan
comprobantes que justifiquen el desembolso, que se haya pagado el importe correcto y que
est bien registrado el pago.
Controles Fsicos: Los equipos, existencias, valores, efectivo y otros bienes o activos se
resguardan de manera fsica, se contabilizan peridicamente y se comparan con los montos
reflejados en los registros y documento de control.
Ejemplo: bodegas de bienes con acceso restringido y protegidas con guardias o con
vigilancia a travs de cmaras digitales.
Controles sobre Datos Vigentes: Los datos vigentes, como puede ser por ejemplo el
archivo maestro de perfiles de autorizacin en una organizacin, se utilizan a menudo para
contrastar automticamente la autorizacin de determinadas transacciones contra quienes
tienen formalmente esa responsabilidad dentro de un proceso de negocio.
87
Ejemplo: contraste y verificacin de autorizaciones vlidas para la orden de compra, el

envo y la factura; autorizacin de la aplicacin de descuentos pactados segn la poltica de
ventas de la organizacin.
Reconciliaciones: Las reconciliaciones comparan dos o ms elementos de datos y, en

caso de que se identifiquen diferencias, se deben tomar medidas por las personas
responsables para definir los datos correctos.
Ejemplo: Realizar conciliacin diaria sobre el efectivo recibido, con respecto a los saldos
contables, con la finalidad de evaluar su integridad, precisin y validez.
Controles de Supervisin: Los controles de supervisin corresponden a las actividades de

revisin peridicas o permanentes que se realizan sobre las actividades de control de
transacciones habituales y que se asocian a las de mayor riesgo para la organizacin.
Ejemplo: Supervisin peridica de que las modificaciones de los programas fuentes

informticos estn autorizadas por las personas responsables segn la poltica de la
organizacin.
3. Requisitos del Control Adecuado
Un control adecuado es el que est presente si la direccin ha planificado y organizado

(diseado) las operaciones de manera tal que proporcionen un aseguramiento razonable de
que los objetivos y metas de la organizacin sern alcanzados de forma eficiente y
econmica27.
En consideracin a lo anterior, un control, para poder ser declarado como adecuado debe tener
propiedades como las siguientes:
Permitir la correccin de fallas y errores: El control debe detectar e indicar errores de

planeacin, organizacin o direccin.
Contribuir a la previsin de fallas o errores futuros: el control, al detectar e indicar errores
actuales, debe prevenir errores futuros, ya sean de planeacin, organizacin o direccin.
4. Importancia del Control

El control es importante toda vez que permite medir el desempeo organizacional y cmo se
van cumpliendo los objetivos de una entidad. Hasta el mejor de los planes se puede desviar. El
control se emplea entre otros propsitos para:
Mejorar la calidad de los procesos y actividades: Las fallas se detectan y el proceso se
corrige para eliminar errores.
Enfrentar el cambio: Este forma parte ineludible del ambiente de cualquier organizacin.
Las directrices de gobierno cambian, el comportamiento de los usuarios de los servicios o
beneficios se modifica, surgen exigencias nuevas, aparecen tecnologa emergentes, se
aprueban o modifican leyes y reglamentos, etc. La funcin del control sirve a la direccin
para responder a las amenazas o las oportunidades de todo ello, porque les ayuda a
27
Normas Internacionales para el Ejercicio de la Profesin de Auditora Interna - IIA
88
detectar los cambios que estn afectando los productos y los servicios de sus
organizaciones.
Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas
competitivas. El principal objetivo de una organizacin debera ser "agregar valor" a su
producto o servicio, de tal manera que los usuarios puedan aprovechar eficiente y
eficazmente sus beneficios. Con frecuencia, este valor agregado adopta la forma de una
calidad por encima de la medida lograda aplicando procedimientos de control.
Facilitar la delegacin y el trabajo en equipo: La tendencia contempornea hacia la
administracin participativa tambin aumenta la necesidad de delegar autoridad y de
fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la
responsabilidad ltima de la direccin. Por el contrario, cambia la ndole del proceso de
control. Por tanto, el proceso de control permite que la direccin controle el avance de los
funcionarios, sin entorpecer su creatividad o participacin en el trabajo.
5. Secuencia Tpica de Control Adecuado
Fijacin de estndares: Es la primera etapa del control, que establece los estndares o
criterios de evaluacin o comparacin. Un estndar es una norma o un criterio que sirve de
base para la evaluacin o comparacin de alguna cosa.
Seleccin de puntos crticos de control: Debe definirse cules sern los puntos o
aspectos claves de control que deben monitorearse.
Comparacin y verificacin contra los estndares. Se compara el desempeo con lo
que fue establecido como estndar, para verificar si hay desvo o variacin, esto es, algn
error o falla con relacin al desempeo esperado.
Reporte de desviaciones significativas al nivel jerrquico correspondiente. En el caso
de existir desviaciones del estndar, debe informarse al jefe correspondiente
Tomar acciones correctivas. La accin correctiva es siempre una medida de correccin y
adecuacin de algn desvo o variacin con relacin al estndar esperado.
Determinacin si la accin tomada es efectiva para corregir las desviaciones
tomadas.
Revisar y modificar los estndares si corresponde.
6. Elementos Bsicos Considerados en el Modelo para Determinar un Control Adecuado
Son los medios, mecanismos o procedimientos que permiten alcanzar los objetivos de control.
Comprenden las polticas especficas, los procedimientos, los planes de la organizacin
(incluida la divisin de las tareas) y los dispositivos fsicos (tales como cerraduras o alarmas
contra incendio), si bien no se limitan exclusivamente a estos aspectos. Los controles deben
proporcionar una seguridad razonable de que se logren continuamente los objetivos del control
interno. Para ello, deben ser eficaces y estar diseados de forma que operen como un sistema
integrado y no individualmente.
Los controles, para que sean adecuados, deben cumplir con el propsito previsto en la
aplicacin real. Es posible que los controles diseados para funcionar en un ambiente manual
no sean eficaces en uno automatizado. Por consiguiente, los controles seleccionados deben
cumplir el propsito previsto y funcionar siempre que el caso lo requiera. En cuanto a su
eficiencia, los controles deben estar diseados para poder obtener el mximo beneficio con un
esfuerzo adecuado. Los controles que se examinen para verificar su adecuacin deben ser los
89
que se utilizan en la prctica y deben ser evaluados peridicamente para asegurar su

aplicacin constante en la prevencin de riesgos.
Los elementos que se presentan a continuacin son los que se utilizan generalmente en una
estructura de control interno adecuada. Los mtodos y procedimientos especficos que se
describen en relacin a cada uno de ellos, no pretenden ser exhaustivos sino que deben ser
considerados como ejemplos. Entre otros se cuentan: la organizacin, la documentacin, el
registro oportuno y adecuado de las transacciones y hechos, autorizacin y ejecucin de las
transacciones y hechos, divisin de las tareas, supervisin y acceso a los recursos y registros y
responsabilidad ante los mismos.
a) Documentacin en Papel y/o Medios Electrnicos
Deben documentarse las estructuras de control interno y todas las transacciones y hechos
internos, incluyendo sus objetivos y procedimientos de control, y todos los aspectos pertinentes
de las transacciones y hechos significativos. Asimismo, la documentacin en papel y
electrnica debe estar disponible y ser fcilmente accesible para su verificacin por el personal
apropiado y los auditores.
La documentacin relativa a las estructuras de control interno debe incluir aspectos sobre la
estructura y polticas de una institucin, sobre sus categoras operativas, objetivos y
procedimientos de control. Esta informacin debe figurar en documentos tales como planes o
guas, las polticas administrativas y los manuales de operacin y de contabilidad.
La documentacin sobre transacciones y hechos significativos debe ser completa y exacta y

facilitar el seguimiento de la transaccin o hecho, antes, durante y despus de su realizacin.
La documentacin de las estructuras de control interno, de las transacciones y de hechos

importantes debe tener un propsito claro, ser apropiada para alcanzar los objetivos de la
institucin y servir a los directivos para controlar sus operaciones y a los auditores para analizar
dichas operaciones.
En los casos en que existen sistemas informticos integrados en la institucin, que generen
como soporte respaldatorio de las operaciones, documentos electrnicos con existencia legal,
se deber obtener evidencia electrnica respecto del origen, firmas, integridad, completitud,
archivo o registro, accesibilidad y disponibilidad y no-repudio de la informacin.
b) Registro Oportuno y Adecuado de las Transacciones y Hechos
Las transacciones y hechos importantes deben registrarse inmediatamente y debidamente

clasificados.
Las transacciones deben registrarse en el mismo momento en que ocurren a fin de que la
informacin siga siendo relevante y til para los directivos que controlan las operaciones y
adoptan las decisiones pertinentes. Ello es vlido para todo el proceso o ciclo de vida de una
transaccin; abarcando el inicio y la autorizacin, todos los aspectos de la transaccin mientras
se realiza y su anotacin final en los registros. Tambin conviene actualizar rpidamente toda
la documentacin con objeto de mantener su validez.
90
Se requiere, asimismo, una clasificacin pertinente de las transacciones y hechos a fin de

garantizar que la direccin disponga continuamente de una informacin fiable. Una clasificacin
pertinente significa organizar y procesar la informacin a partir de la cual se elaboran los
informes, los planes y los estados financieros y presupuestarios.
El registro inmediato y pertinente de la informacin es un factor esencial para asegurar la

oportunidad y fiabilidad de toda la informacin que la institucin maneja en sus operaciones y
en la adopcin de decisiones.
En los casos en que existen sistemas informticos integrados en la institucin, que generan
se deber obtener evidencia electrnica respecto de la firma, integridad, completitud y archivo o
registro.
c) Autorizacin y Ejecucin de las Transacciones y Hechos
Las transacciones y hechos relevantes solo podrn ser autorizados en papel o

electrnicamente y ejecutados por aquellas personas que acten dentro del mbito de sus
competencias.
La direccin es quien decide el canje, la transferencia, la utilizacin o la asignacin de fondos

para atender metas especficas en condiciones particulares. La autorizacin es la principal
forma de asegurar que slo se efecten transacciones y hechos vlidos de conformidad con lo
previsto por la direccin. La autorizacin debe estar documentada fsica o electrnicamente y
ser comunicada explcitamente a los directivos y a los empleados, incluyendo los trminos y
condiciones especficos conforme a los cuales se concede una autorizacin. La conformidad
con los trminos de una autorizacin significa que los empleados ejecutan las tareas que les
han sido asignadas de acuerdo con las directrices y dentro del mbito de competencias
establecido por la direccin o la legislacin.
se deber obtener evidencia electrnica respecto del origen, firmas e integridad de la
informacin.
d) Segregacin de Funciones
Las tareas y responsabilidades principales ligadas a la autorizacin, tratamiento, registro y

revisin de las transacciones y hechos deben ser asignadas a personas diferentes.
Con el fin de reducir el riesgo de errores, despilfarros o actos ilcitos, o la probabilidad de que
no se detecten este tipo de problemas, es preciso evitar que todos los aspectos fundamentales
de una transaccin u operacin se concentren en manos de una sola persona o seccin. Las
funciones y responsabilidades deben asignarse sistemticamente a varias personas para
asegurar un equilibrio eficaz entre los poderes. Entre las funciones claves figuran la
autorizacin y el registro de las transacciones, la emisin y el recibo de los haberes, los pagos
y la revisin o fiscalizacin de las transacciones. Sin embargo, la colusin puede reducir o
eliminar la eficacia de esta tcnica de control interno.
91
Una pequea organizacin puede que no tenga suficientes empleados para aplicar esta tcnica
plenamente. En tal caso, la direccin debe ser consciente del riesgo que ello implica y
compensar el defecto con otros controles. La rotacin del personal contribuye a que los
aspectos centrales de las transacciones o hechos contables no se concentren en una sola
persona por un espacio de tiempo prolongado. Debe promoverse e incluso exigirse tambin el
uso del perodo vacacional anual para ayudar a reducir estos riesgos.
e) Supervisin
Debe existir una supervisin para garantizar el logro de los objetivos de control interno.
Los supervisores deben examinar y aprobar cuando proceda, el trabajo encomendado a sus
subordinados. Asimismo, deben proporcionar al personal las directrices y la capacitacin
necesarias para minimizar los errores, el despilfarro y los actos ilcitos y asegurar la
comprensin y cumplimiento de las directrices especificas de la direccin.
La asignacin, revisin y aprobacin del trabajo del personal exige:
Indicar claramente las funciones y responsabilidades del trabajo del empleado.

Examinar sistemticamente el trabajo de cada empleado, en la medida que sea necesario.
Aprobar el trabajo en puntos crticos del desarrollo para asegurarse de que avanza segn lo
previsto.
La asignacin, revisin y aprobacin del trabajo del personal debe tener como resultado el
control apropiado de sus actividades. Ello incluye: la observancia de los procedimientos y
requisitos aprobados, la constatacin y eliminacin de los errores, los malentendidos y las
prcticas inadecuadas, la reduccin de las probabilidades de que ocurran o se repitan actos
ilcitos y el examen de la eficiencia y eficacia de las operaciones. La delegacin del trabajo de
los supervisores no exime a estos de la obligacin de rendir cuentas de sus responsabilidades
y tareas.
f) Acceso a los Recursos y Registros y Responsabilidades Ante los Mismos
El acceso a los recursos y registros debe limitarse a las personas autorizadas para ello,
quienes estn obligadas a rendir cuentas de la custodia o utilizacin de los mismos. Para
garantizar dicha responsabilidad, se debe cotejar peridicamente los recursos con los registros
y verificar si coinciden. La frecuencia de estas comparaciones depende de la vulnerabilidad y
relevancia de los activos.
La restriccin del acceso fsico y lgico a los recursos permite reducir el riesgo de una
utilizacin no autorizada o de prdida y contribuir al cumplimiento de las directrices de la
direccin. El grado de limitacin depende de la vulnerabilidad de los recursos y del riesgo
potencial de prdida. Ambos deben evaluarse peridicamente. Por ejemplo, el acceso a los
documentos sumamente vulnerables y la responsabilidad ante los mismos, tales como cheques
en blanco, puede restringirse:
Mantenindolos en una caja fuerte.

Asignando a cada documento un nmero de serie.
Encargando su custodia a personas responsables.
92
Al determinarse la vulnerabilidad de un activo, debe considerarse tambin su costo, la

facilidad de transporte y el riesgo de prdida o de utilizacin indebida.
se deber obtener evidencia electrnica respecto del origen, firmas, integridad y accesibilidad y
disponibilidad. Adems de deber evaluar los niveles de seguridad de los accesos lgicos a las
base de datos de la organizacin.
7.- Componentes y Principios del Marco Integrado de Control Interno COSO I, versin
2013
El control interno es un proceso llevado a cabo por el consejo de administracin, la direccin y

el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos relacionados con las operaciones,
la informacin y el cumplimiento28.
El Marco COSO versin 1992 fue mejorado en el 201329 a travs de la ampliacin de la

categora de objetivos de la informacin financiera, incluyendo otras formas importantes de
reporting, como por ejemplo la informacin no financiera y el reporting interno. Asimismo, el
Marco COSO I, versin 2013 refleja los cambios en el entorno empresarial y operativo de las
ltimas dcadas, entre los que se incluyen:
Las expectativas de supervisin del gobierno corporativo.

La globalizacin de los mercados y las operaciones.
Los cambios y el aumento de la complejidad de las actividades empresariales.
Demandas y complejidades de las leyes, reglas, regulaciones y normas.
Expectativas de las competencias y responsabilidades.
Uso y dependencia de tecnologas en evolucin.
Expectativas relacionadas con la prevencin y deteccin del fraude.
El Marco COSO I establece tres categoras de objetivos, que permiten a las organizaciones
centrarse en diferentes aspectos del control interno:
Objetivos operativos. Hacen referencia a la efectividad y eficiencia de las operaciones de la

entidad, incluidos sus objetivos de rendimiento financiero y operacional, y la proteccin de
sus activos frente a posibles prdidas.
Objetivos de informacin. Hacen referencia a la informacin financiera y no financiera interna
y externa y pueden abarcar aspectos de confiabilidad, oportunidad, transparencia, u otros
conceptos establecidos por los reguladores, organismos reconocidos o polticas de la propia
entidad.
Objetivos de cumplimiento. Hacen referencia al cumplimiento de las leyes y regulaciones a
las que est sujeta la entidad.
El control interno consta de cinco componentes integrados: Entorno de Control, Evaluacin de

Riesgos, Actividades de Control, Informacin y Comunicacin y Actividades de Supervisin.
28
COSO I
29
La Versin 2013 del Marco COSO sustituir a la Versin 1992 al final del perodo de transicin, es decir, el 15 de diciembre de
2014.
93
Existe una relacin directa entre los objetivos, que es lo que una entidad se esfuerza por
alcanzar, los componentes, que representa lo que se necesita para lograr los objetivos y la
estructura organizacional de la entidad (las unidades operativas, entidades jurdicas y dems).
La relacin puede ser representada en forma de cubo.
Las tres categoras de objetivos operativos, de informacin y de cumplimiento estn

representadas por las columnas.
Los cinco componentes estn representados por las filas
La estructura organizacional de la entidad est representada por la tercera dimensin.
Adems de este Marco, la organizacin COSO public simultneamente el documento Control

Interno sobre la Informacin Financiera Externa: un compendio de mtodos y ejemplos para
proporcionar enfoques prcticos y ejemplos que ilustran cmo los componentes y principios
enunciados en el Marco se pueden aplicar en la preparacin de los estados financieros.
Otra de las publicaciones emitidas por la organizacin COSO es la Gestin de riesgos

Corporativos - Marco Integrado (Marco ERM). Este y el Marco COSO I son complementarios y
no se sustituyen entre s. Sin embargo, aunque estos marcos son diferentes y proporcionan
enfoques distintos, abordan determinadas reas comunes. El Marco ERM abarca tambin el
control interno, y reproduce varias partes del texto del Control Interno - Marco Integrado original
(COSO I).
En consecuencia, el Marco ERM sigue siendo un marco viable y adecuado para el diseo, la
implementacin, la ejecucin y la evaluacin de la gestin de riesgos corporativos.
El Marco COSO I, versin 2013, establece un total de diecisiete principios que representan los
conceptos fundamentales asociados a cada uno de los cinco componentes integrados. Dado
que estos diecisiete principios proceden directamente de los Componentes, una entidad puede
alcanzar un control interno efectivo aplicando todos los principios. La totalidad de los principios
son aplicables a los objetivos operativos, de informacin y de cumplimiento. A continuacin se
enumeran los principios que soportan los componentes del control interno.
Componentes y Principios del Control Interno
Entorno de Control
1. La organizacin demuestra compromiso con la integridad y los valores ticos.

2. La mxima autoridad30 demuestra independencia de la direccin y ejerce la supervisin del
desempeo del sistema de control interno.
3. La direccin establece, con la supervisin del consejo, las estructuras, las lneas de reporte y
los niveles de autoridad y responsabilidad apropiados para la consecucin de los objetivos.
4. La organizacin demuestra compromiso para atraer, desarrollar y retener a profesionales
competentes, en alineacin con los objetivos de la organizacin
5. La organizacin define las responsabilidades de las personas a nivel de control interno para
la consecucin de los objetivos.
30
En las organizaciones del Sector Pblico el equivalente al Consejo es la Mxima Autoridad o Jefe de Servicio.
94
Evaluacin de Riesgos
6. La organizacin define los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de los riesgos relacionados.
7. La organizacin identifica los riesgos para la consecucin de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre la cual determinar cmo se deben
gestionar.
8. La organizacin considera la probabilidad de fraude al evaluar los riesgos para la
consecucin de los objetivos.
9. La organizacin identifica y evala los cambios que podran afectar significativamente al
sistema de control interno.
Actividades de Control
10. La organizacin define y desarrolla actividades de control que contribuyen a la mitigacin

de los riesgos hasta niveles aceptables para la consecucin de los objetivos.
11. La organizacin define y desarrolla actividades de control a nivel de entidad sobre la
tecnologa para apoyar la consecucin de los objetivos.
12. La organizacin despliega las actividades de control a travs de polticas que establecen
las lneas generales del control interno y procedimientos que llevan dichas polticas a la
prctica.
Informacin y Comunicacin
13. La organizacin obtiene o genera y utiliza informacin relevante y de calidad para apoyar el
funcionamiento del control interno.
14. La organizacin comunica la informacin internamente, incluidos los objetivos y
responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control
interno.
15. La organizacin se comunica con los grupos de inters externos sobre los aspectos clave
que afectan al funcionamiento del control interno.
Actividades de Supervisin
16. La organizacin selecciona, desarrolla y realiza evaluaciones continuas y/o independientes

para determinar si los componentes del sistema de control interno estn presentes y en
funcionamiento.
17. La organizacin evala y comunica las deficiencias de control interno de forma oportuna a
las partes responsables de aplicar medidas correctivas, incluyendo la alta direccin y el
consejo, segn corresponda.
Para mayor informacin se recomienda leer el Marco Integrado de Control Interno COSO I,
versin 2013, emitido por la organizacin COSO (www.coso.org).
8.- Identificacin y Anlisis de Controles Claves
Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la
institucin, los que tericamente mitigan los riesgos, esto es, todas las medidas que ha tomado
la administracin con la finalidad de evitar la ocurrencia de un riesgo potencial. Estos controles
deben ser evaluados en el nivel de cumplimiento de los elementos de un control adecuado y
95
calificados de acuerdo a su diseo, es decir, su oportunidad (en que momento del proceso se
aplican; preventivos, correctivos, detectivos), periodicidad (si son permanentes, peridicos u
ocasionales), grado de automatizacin (manual, semi automatizado, 100% automatizado) y
evaluados en trminos del cumplimiento de normas especficas de control.
Los controles deben ser identificados con una descripcin del mismo que contenga al menos
los siguientes antecedentes:
Qu se realiza.
Cmo se realiza el control.
Quin lo realiza.
Cundo lo ejecuta.
Por ejemplo, para describir un control de acceso a los servidores de la organizacin

gubernamental, se sugiere:
Restricciones de Acceso (Qu).

Existe una restriccin de acceso a la sala de servidores, ya que slo pueden ingresar
quienes cuentan con tarjeta especial y clave de acceso, la cual slo se entrega a tres
funcionarios responsables de la Divisin de Sistemas (Cmo).
La emisin de tarjeta de autorizacin para el acceso y la entrega de claves se realizan por
el Jefe de la Divisin de Sistemas, previa aprobacin del Jefe de Servicio de los
funcionarios habilitados (Quin).
Las autorizaciones se revisan mensualmente por el Jefe de la Divisin de Sistemas, que
emite un reporte al Jefe de Servicio (Cundo).
Una vez determinada claramente la existencia de todos los controles asociados a los riesgos
relevantes que operan en el proceso en estudio, ser necesario en primer lugar, definir si existe
uno o ms controles asociados a cada riesgo especfico identificado.
Cuando exista ms de un control por riesgo especfico, ser necesario identificar si se trata de
controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo, o si
alguno de los controles identificados no tienen esa caracterstica y slo se trata de controles
que no contribuyen significativamente a mitigar el riesgo. En general para este ltimo tipo de
controles, es recomendable informar a la Direccin, para su eliminacin o fortalecimiento, si
corresponde (relacin costo/beneficio).
Cuando se identifique que un riesgo especfico tiene varios controles asociados y stos tienen
distinto nivel de efectividad medida en forma individual, el auditor debe slo evaluar el nivel de
efectividad que se genera al actuar en conjunto los distintos controles clasificados como claves,
desechando para efectos de este anlisis a los controles no fundamentales (ver ejemplo en
pginas siguientes).
El segundo paso corresponde a determinar (identificar, analizar y cuantificar) el nivel de

efectividad de los controles en base al diseo del control y cumplimiento de los elementos de
un control adecuado. Nivel definido por los atributos periodicidad, oportunidad y nivel de
automatizacin del control, en base al esquema que se presenta en la pgina siguiente.
96
El siguiente paso corresponde a analizar para cada uno de los controles claves identificados
con los riesgos, el grado de cumplimiento de los elementos de un control adecuado.
En resumen, lo que se persigue con este procedimiento, no es slo verificar la existencia y el
grado de cumplimiento de normas especficas para todos los controles, sino que evaluar si
existen controles claves o fundamentales asociados a un riesgo en particular y si stos
adems de cumplir con los elementos de un control adecuado, estn diseados con la finalidad
de mitigar los efectos que se puedan producir ante la materializacin del riesgo.
A continuacin se presenta un procedimiento que permite dejar evidencia del anlisis realizado
al auditor. Para este efecto, se sugiere utilizar el siguiente esquema:
Cuadro N 1: Anlisis de Controles Claves
Importancia del control presente para

Descripcin del mitigar los riesgos al interior del proceso
Control identificado en el
Riesgo
Etapa proceso
Relevante Clave/Fundamental No es Fundamental
( asociado a un riesgo
determinado)
Ejemplo de determinacin de una evaluacin de la efectividad de los controles claves:
i.- Cuadro N 2: Ejemplo para Identificacin de Controles Claves en la Etapa Clculo de

Horas Extraordinarias
Importancia del control

presente para mitigar los
Descripcin del
riesgos al interior del
Riesgo Control identificado en el proceso
Etapa proceso
Relevante ( asociado a un riesgo determinado)
Clave/ No es
fundamental fundamental
Qu: Registro automatizado.
Cmo: El sistema de control biomtrico
registra las horas trabajadas y calcula
aquellas que exceden de las 44 horas
Clculo de ordinarias. X
horas Errores o Cundo: Diariamente registra las horas
extraordinarias irregularid y calcula semanalmente
ades en el Quin: responsable sistema biomtrico.
clculo de Qu: Visacin
las horas Cmo: Se revisa y aprueba el clculo
extraordin de horas para su pago.
X
arias Cundo: mensualmente
Quin: Jefe de la Unidad de
remuneraciones
El encargado de remuneraciones lleva
un archivador con el detalle del las
X
horas extras por funcionario
97
En este caso, se identifican tres controles mitigantes asociados directamente o indirectamente

al riesgo Errores o irregularidades en el clculo de las horas extraordinarias, por lo que debe
realizarse en primer lugar un anlisis de la importancia de cada control para mitigar el riesgo,
es decir, determinar si se trata de un control clave.
El resultado del anlisis muestra en el ejemplo que, el control descrito como El encargado de
remuneraciones lleva un archivador con el detalle del las horas extras por funcionario, no es
un control clave, por lo que no se analizar en cuanto al nivel de cumplimiento con los
requisitos o normas que considera el modelo.
ii.- Cuadro N 3: Ejemplo de Anlisis del Cumplimiento de Requisitos del Modelo de

Control en los Controles Mitigantes Examinados
Nivel de cumplimento de los elementos de control adecuado asociado

Niveles de cumplimiento: adecuado, regular, insuficiente
Riesgo Relevante
Divisin o
Documentacin Registro Autorizacin Supervisin Acceso
Segregacin
Errores o
irregularidades en Nivel adecuado Nivel Nivel Nivel Nivel
Nivel adecuado
el clculo de las adecuado adecuado adecuado regular
horas
extraordinarias
Conclusin respecto del nivel del control: Adecuado
iii.- Cuadro N 4: Ejemplo Determinacin de la Efectividad de los Controles Claves
Nivel de Caractersticas en el diseo de los controles

Cumplimiento
Controles claves/fundamentales
de los
Claves/fundament
elementos de
ales
control Oportunidad Periodicidad Automatizacin Clasificacin Valor
adecuado
El sistema
biomtrico de
control horario,
contiene un Preventivo Peridico Automatizado y ptimo 5
algoritmo que Adecuado (previene (a la fecha de Manual
calcula las horas respecto a los errores y se corte mensual
trabajadas, elementos de encuentra al para pago)
indicando en forma principio del
precisa aquellas control del proceso)
que exceden de las modelo
44 semanales.
El jefe de
remuneraciones
revisa el reporte del
sistema y aprueba
el clculo para su
pago.
98
9.- Limitaciones de un Sistema de Control Interno
Si bien el control interno proporciona una seguridad razonable acerca de la consecucin de los
objetivos de la entidad, existen limitaciones. El control interno no puede evitar que se aplique
un deficiente criterio profesional o se adopten malas decisiones, o que se produzcan
acontecimientos externos que puedan hacer que una organizacin no alcance sus objetivos
operacionales. Es decir, incluso en un sistema de control interno efectivo puede haber fallos.
Las limitaciones pueden ser el resultado de:
La falta de adecuacin de los objetivos establecidos como condicin previa para el control
interno.
El criterio profesional de las personas en la toma de decisiones puede ser errneo y estar
sujeto a sesgos.
Fallos humanos, como puede ser la comisin de un simple error.
La capacidad de la direccin de anular el control interno.
La capacidad de la direccin y dems miembros del personal y/o de terceros, para eludir
los controles mediante connivencia entre ellos.
Acontecimientos externos que escapan al control de la organizacin.
La relacin costo beneficio: El control no debera superar el valor de lo que se quiere
controlar.
Estas limitaciones impiden que la direccin de la entidad gubernamental tenga la seguridad

absoluta de la consecucin de los objetivos de la entidad, es decir, el control interno
proporciona una seguridad razonable, pero no absoluta. A pesar de estas limitaciones
inherentes, la direccin debe ser consciente de ellas cuando seleccione, desarrolle y
despliegue los controles que minimicen, en la medida de lo posible, estas limitaciones.
10.- Descripcin de Controles Claves
Al describir los controles existentes, se debe sealar al menos: la norma o gua que lo instruye,
quin lo realiza, qu actividades desarrolla, cmo las ejecuta y cundo y cmo se evidencia su
cumplimiento (registros documentales o electrnicos en el sistema). Adems como ya se
seal, al describir los controles siempre se deben responder las preguntas, qu?, cmo?,
quin? y cundo?, esto es, debera especificarse qu se hace, cmo o de qu forma se lleva
a efecto el control, quin lo ejecuta y cundo.
99
ANEXO N 10
EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS
Periodo
Efecto potencial Evidencia
Ranking Fuente Descripcin Medicin
Proceso Tipo de en la severidad Responsable que se
de Riesgo del Estrategia de la Indicador del Meta
transversal Proceso riesgo de riesgo y/o de la Plazo observar
procesos Subproceso Etapa Especfic riesgo genrica estrategia a de logro Indicador (16)
(1) (2) (8) efectividad del estrategia (13) (17)
(3) (4) (5) o (6) (7) (9) aplicar (14) (15)
control (11) (12)
(10)
Se establecer Las acciones
una instancia tienden a mejorar
de revisin del el control del
Comit de riesgo que es
Crdito que dbil
deber revisar estableciendo una Porcentaj
cada crdito y instancia que e
cotejar la controle al Comit crditos Carpeta del
garanta de de Crdito y una sin crdito
acuerdo al tipo aplicacin al garanta
Crditos
de crdito sistema. Informacin
Crdito de
Ejecucin Tambin se (N total del sistema
Recuperaci fomento a Recuperacin Falta de Jefe de 6
1 de Interna Procesos Reducir Se adicionar espera disminuir de mensual - 3%
n de mujeres del crdito garantas Operaciones meses
Garantas un mdulo al la probabilidad crditos Actas
prestamos microemp
sistema de que se concrete la mensuale Comit
resarias
informacin de falta de garantas s / N de
crditos, para crditos Actas de
que si un sin revisin
crdito no tiene garanta)
incorporado el * 100
nmero de
pliza de
garanta no
permita cursar
el crdito
100
ANEXO N 11 - 1/2
MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO
LEVANTAMIENTO DE INFORMACIN DE PROCESOS

RIESGOS CRTICOS
Seal de Cargo(s) Probabilidad Impacto Severidad

Proceso Proceso Pd. Descripcin Fuente
Subproceso Etapas Objetivos Tipo de Alerta Funcionario del Riesgo
Transversal Crtico (1) Riesgos de
Riesgo LA/FT/DF Relacionado
Especficos Riesgos
Asociada Clasif Valor Clasif Valor Clasif Valor
(2) (3)
Crditos de
Crdito
fomento a
Recuperacin
mujeres Postulacin 10% .
de prestamos
microempres
arias
Crditos de
Crdito fomento a
Recuperacin mujeres Evaluacin 35% . .
de prestamos microempres
arias C
Crditos de o
Crdito fomento a n
Entrega de
Recuperacin mujeres 20% .. t
crditos
de prestamos microempres i
arias
n
Obtener el
Crditos de pago
Falta de a
Crdito fomento a completo y
Recuperacin acciones Jefe Depto. Modera Moder
Recuperacin mujeres 35% Cobranza oportuno de Procesos SI 3 3 Alto 9
del crdito oportunas de Interna Cobranza do ado
de prestamos microempres los crditos e
cobranza
arias otorgados a n
las usuarias
Obtener el
Crditos de pago l
Crdito fomento a completo y Insolvencia a
Recuperacin Jefe Depto. Improb Mayor
Recuperacin mujeres 35% Cobranza oportuno de de los Externa Econmico SI 2 4 Alto 8
del crdito Cobranza able es
de prestamos microempres los crditos deudores p
arias otorgados a
las usuarias g
Obtener el
Crditos de pago
i
Crdito fomento a completo y Muy n
Recuperacin Falta de Jefe Depto. Mayor a
Recuperacin mujeres 35% Cobranza oportuno de Interna Procesos SI improb 1 4 Alto 4
del crdito garantas Cobranza es
de prestamos microempres los crditos able
arias otorgados a s
las usuarias i
Obtener el g
Crditos de pago
Ingreso u
Recuperacin Ingreso inoportuno o Jefe Depto. Probabl Moder i
Recuperacin mujeres 35% oportuno de Personas SI 4 3 Alto 12
del crdito fondos incompleto Cobranza e ado
de prestamos microempres los crditos Interna e
de pagos
arias otorgados a n
las usuarias t
Obtener el e
Crditos de pago
Crdito fomento a completo y Errores en la
Recuperacin Ingreso Modera Mayor Extre
Recuperacin mujeres 35% oportuno de digitacin de Personas NO _ 3 4 12
del crdito fondos do es mo
de prestamos microempres los crditos los montos Interna
arias otorgados a
las usuarias
Problemas
Obtener el
en la
Crditos de pago
transformaci
Recuperacin Ingreso n de la NO Improb Mayor
Recuperacin mujeres 35% oportuno de Tecnolgico - 2 4 Alto 8
del crdito fondos informacin able es
de prestamos microempres los crditos Interna
del sistema
arias otorgados a
del Servicio
las usuarias
al SIGFE
Recursos

Humanos
Capacitacin

(1) Ponderacin estratgica del subproceso en relacin a los objetivos del proceso crtico y otras variables relevantes.
(2) Se debe determinar, si es posible asociar una seal de alerta de delito LA/FT/DF al riesgo identificado, si este es el caso, se
debe indicar SI. En el caso que no sea posible asociar una seal de alerta de delito LA/FT/DF al riesgo, debe indicarse que No.
(3) Se debe identificar el o los cargos funcionarios que se relacionan de manera terica y ms directamente con el riesgo y/o Seal
de Alerta LA/FT/DF asociada.
101
ANEXO N11 - 2/2
MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO

VALOR Y CLASIFICACIN DE LA EXPOSICIN AL RIESGO Y EXPOSICIN AL RIESGO PONDERADA
CONTROLES CLAVES EXISTENTES
Riesgo Etapa Subproceso Proceso
Descripcin
Controles
(Norma, quin lo realiza, Cumple
Nivel Valor Nivel Valor Nivel Valor
qu actividades Elementos Valor ER Nivel ER Valor
Nivel de Valor ER ER ER ER Ranking ER ER Ranking
desarrolla, cmo las de Control (3) (3) ERP (4)
Efectividad (3) (3) (3) (3) (3) (3)
ejecuta y cundo y cmo Adecuado
se evidencia su
cumplimiento)
PD O A
Mayor 6 Mayor Media 3,8
Mayor 6 6 0,6 3 1
V Media 3,8
Media 3 Media 3 Media 3 1,05 2 1
i
e
menor 2,5 menor 2,5 menor 2,5 0,5 4 Media 3,8 1
n
e Qu: Aviso automtico:
Cmo: El Sistema avisa
d los vencimiento al Jefe
e de Cobranzas
S Pd Cr S 3 Media 3 Mayor 5 medio 3,8 1,33 1 Media 3,8 1
Quin y Cundo: El
Jefe finanzas revisa
l mensualmente las
a cobranzas.
No
p Sin control. - - - - 1 8 Mayor 5 medio 3,8 1,33 1 Media 3,8 1
aceptable
g El Comit de crdito no
i puede entregar crdito No - - - 1 Mayor 5 medio 3,8 1,33 1 Media 3,8 1
Mayor 4
sin garanta.
n
Qu: Validacin de
a pagos:
Cmo y quin: El
a Tesorero ingresa los
n pagos al sistema que
t autovalida los datos.
Para abonos o pagos S Pe Pr S 5 Menor 2,4 Menor 2,5 medio 3,8 1,33 1 Media 3,8 1
e
fuera de plazo se
r requiere autorizacin del
i superior.
o Cundo: Mensualmente
r los reportes los revisa el
jefe de Finanzas
Qu: Validacin de
pagos
Cmo: Se ingresan los
pagos al sistema que
autovalida los datos.
Para abonos o pagos 5
fuera de plazo se S Pe Pr S Menor 2,4 Menor 2,5 medio 3,8 1,33 1 Media 3,8 1
requiere autorizacin del
superior.
Quien: El tesorero.
Cundo: Mensualmente
los reportes los revisa el
jefe de Finanzas.
Qu: Visacin
transformacin de datos.
Cmo: Se revisa la
transformacin de todos
los datos
Quin: El Jefe de S Pd Cr M 3 Menor 2,7 Menor 2,5 medio 3,8 1,33 1 Media 3,8 1
Finanzas
Cundo: Se revisa la
transformacin antes de
remitirse los datos al
exterior.
. . 2
. . 3
. . . .
(3) ER= Nivel de Exposicin al Riesgo.

(4) ERP= Nivel de Exposicin al Riesgo Ponderada.
102
ANEXO N 12
CONCEPTOS SOBRE DELITOS DE LAVADO DE ACTIVOS (LA), FINANCIAMIENTO DEL

TERRORISMO (FT) Y DELITOS FUNCIONARIOS (DF)
Este anexo ha sido formulado con el aporte de los especialistas de la Unidad de Anlisis
Financiero (UAF), con la finalidad de entregar conceptos y definiciones bsicas sobre delitos de
lavado de activos (LA), financiamiento del terrorismo (FT) y delitos funcionarios (DF).
Para mayor informacin sobre la materia, se recomienda acceder a la pgina web de la UAF
(www.uaf.cl).
A.- LAVADO DE ACTIVOS (LA)
El que de cualquier forma oculte o disimule el origen ilcito de determinados bienes, a

sabiendas de que provienen, directa o indirectamente, de la perpetracin de hechos
constitutivos de alguno de los delitos base, o bien, a sabiendas de dicho origen, oculte o
disimule estos bienes.
El que adquiera, posea, tenga o use los referidos bienes, con nimo de lucro, cuando al
momento de recibirlos ha conocido su origen ilcito.
A.1.- Caractersticas del Lavado de Activos
Segn la Unidad de Anlisis Financiero (UAF), el fenmeno del lavado de activos presenta una
serie de caractersticas que son las que sirven de explicacin al proceso que pretende darle
apariencia de legalidad a recursos que tienen un origen ilcito, entre las que destacan:
Naturaleza internacional
El fenmeno del lavado de activos se vera en extremo limitado si no existiera un entorno

internacional liberalizado. Esto es as, porque alejar el origen ilcito de los recursos implica un
importante desplazamiento de los recursos del lugar donde se originaron, a fin de dificultar su
persecucin por parte de las autoridades y facilitar su encubrimiento.
Quienes se dedican a esta actividad se benefician de la diversidad de los sistemas jurdicos

sobre la materia en los distintos pases del mundo, las deficiencias de su normativa, las
debilidades institucionales, etc., que les permiten eludir a las autoridades que persiguen estos
delitos, aprovechndose de esas debilidades.
Volumen del fenmeno
Es prcticamente imposible sealar los montos que genera a escala mundial la delincuencia
organizada, y que son objeto del proceso de lavado de activos, ya que debido a su naturaleza
ilcita no se cuenta con estadsticas.
No obstante, organismos y grupos de importancia universal, como la Organizacin de las

Naciones Unidas (ONU), el Fondo Monetario Internacional (FMI), as como el Grupo de Accin
103
Financiera (GAFI), en informes y artculos sobre el tema han puesto de manifiesto que se trata
de sumas verdaderamente considerables.
La cifra ms citada de los montos asociados al lavado de activos es la entregada por el FMI en
el ao 1988, la cual indica que se encontrara entre el 2% y 5% del PIB mundial. Un anlisis de
los resultados de diversos estudios sugiere que esta cifra asciende al 3,6% del PIB mundial,
equivalente a cerca de US$2,1 billones de dlares (2009). Por eso, resulta evidente que el
volumen de la actividad revela la magnitud del fenmeno, por lo que atenta contra el orden
social, econmico y poltico de los pases, as como la estabilidad de los mercados financieros
globales.
Profesionalizacin
Dados los altos volmenes envueltos en el proceso de lavado de activos, y la complejidad que
conlleva la estructuracin de operaciones para tener xito en insertar en el sistema financiero
con apariencia de legalidad activos que tienen un origen ilcito, se requiere que quienes estn
al frente del diseo de las estrategias para tal propsito sean autnticos profesionales, de la
banca, finanzas, contabilidad, leyes, que tengan por dems un amplio conocimiento del entorno
regulatorio internacional sobre la materia, a fin de poder aprovechar las debilidades existentes
en los distintos pases.
Variedad y variacin de las tcnicas empleadas
El xito del lavado de activos requiere la utilizacin de una amplia gama de tcnicas, a travs
de las cuales, en las distintas etapas del fenmeno, logren eludirse las regulaciones
preventivas dispuestas por la autoridad.
Es por ello que el Grupo de Accin Financiera (GAFI) monitorea y realiza informes anuales
respecto de las tcnicas o tipologas usadas por los lavadores, para proporcionar a las
autoridades del mbito preventivo y persecutorio, las herramientas indispensables para el
diseo de sus polticas. A su vez, proporciona las nuevas seales de alerta que hayan sido
detectadas, de manera que sean utilizadas por las entidades reportantes para la deteccin de
operaciones sospechosas. Esto, debido a que los lavadores van innovando su forma de operar
para evitar ser descubiertos, por lo que las tipologas y seales de alerta tambin van
cambiando.
B.- DELITOS BASE O PRECEDENTES
Tambin conocidos como delitos precedentes o subyacentes. Son aquellos en que se originan
los recursos ilcitos que los lavadores de dinero buscan blanquear. En la normativa chilena
estn descritos en la Ley N 19.913, artculo 27, letras a y b. Entre otros, se incluye al
narcotrfico, financiamiento del terrorismo, el trfico de armas, la malversacin de caudales
pblicos, el cohecho, el trfico de influencias, el contrabando (artculo 168 de la Ordenanza
General de Aduanas), el uso de informacin privilegiada, la trata de personas, la asociacin
ilcita, el fraude y las exacciones ilegales, el enriquecimiento ilcito, la produccin de material
pornogrfico utilizando menores de 18 aos, y el delito tributario (artculo 97, N4, inciso 3 del
Cdigo Tributario), entre otros.
El listado completo de los delitos precedentes de lavado de activos se encuentra disponible en

la pgina web de la UAF (www.uaf.cl). Es importante destacar que a las instituciones pblicas
104
no les corresponde detectar ningn tipo de delito. Su deber es reportar las operaciones
sospechosas que adviertan en el ejercicio de sus funciones.
C.- FINANCIAMIENTO DEL TERRORISMO (FT)
La Ley N 18.314 que determina conductas terroristas y fija su penalidad, en su artculo 8

incluye el delito de financiamiento del terrorismo El que por cualquier medio, directa o
indirectamente, solicite, recaude, o provea fondos con la finalidad de que se utilicen en la
comisin de cualquiera de los delitos terroristas sealados en el artculo 2, ser castigado con
la pena de presidio menor en su grado medio a presidio mayor en su grado mnimo, a menos
que en virtud de la provisin de fondos le quepa responsabilidad en un delito determinado,
caso en el cual se le sancionar por este ltimo ttulo, sin perjuicio de lo dispuesto en el artculo
294 bis del Cdigo Penal."
D.- DELITOS FUNCIONARIOS (DF)
Los delitos funcionarios o delitos de corrupcin, son todas aquellas conductas ilcitas cometidas
por funcionarios pblicos en el ejercicio de sus cargos, o aquellas que afectan el patrimonio del
Fisco en sentido amplio. Estos delitos, tipificados principalmente en el Cdigo Penal, pueden
ser cometidos activa o pasivamente por funcionarios pblicos, definidos como todo aquel que
desempee un cargo o funcin pblica, sea en la Administracin Central o en instituciones o
empresas semifiscales, municipales, autnomas u organismos creados por el Estado o
dependientes de l, aunque no sean del nombramiento del Jefe de la Repblica ni reciban
sueldos del Estado.
Entre los delitos precedentes de lavado de activos se contemplan algunos delitos funcionarios,
por lo tanto, no todos los delitos funcionarios son delitos precedentes de lavado de activos.
Los delitos funcionarios precedentes de lavado de activos, segn la ley N 19.913, son:
Cohecho: Tambin conocido como soborno o coima, es cometido por quien ofrece, y por
quien solicita o acepta en su condicin de funcionario pblico, dinero a cambio de realizar u
omitir un acto que forma parte de sus funciones. Se considera que se comete el delito de
cohecho incluso si no se realiza la conducta por la que se recibi dinero.
Cohecho a funcionario pblico extranjero: Incurren en l quienes ofrecen, prometen o

dan un beneficio econmico, o de otra ndole, a un funcionario pblico extranjero para el
provecho de ste o de un tercero, con el propsito de que realice u omita un acto que
permitir obtener o mantener un negocio, o una ventaja indebida en una transaccin
internacional.
Fraudes y exacciones ilegales: Incluyen el fraude al fisco; las negociaciones

incompatibles con el ejercicio de funciones pblicas; el trfico de influencias cometido por
la autoridad o funcionario pblico que utiliza su posicin para conseguir beneficios
econmicos para s o para terceros; y exacciones ilegales, consistentes en exigir en forma
injusta el pago de prestaciones multas o deudas.
105
Malversacin de caudales pblicos: Cuando se utilizan recursos fiscales, de cualquier

clase, para un fin distinto al que fueron asignados.
Prevaricacin: Delito que comete un juez, una autoridad o un funcionario pblico, por la
violacin a los deberes que les competen cuando se produce una torcida administracin
del derecho.
Mayores antecedentes sobre esta materia tambin se pueden encontrar en el Documento

Tcnico N 91: Conceptos Generales sobre Delitos Funcionarios, emitido por el CAIGG.
Disponible en: http://www.auditoriainternadegobierno.cl.
E.- OPERACIN SOSPECHOSA
La Ley N 19.913, en su artculo 3, define como operacin sospechosa todo acto, operacin o
transaccin que, de acuerdo con los usos y costumbres de la actividad de que se trate, resulte
inusual o carente de justificacin econmica o jurdica aparente o pudiera constituir alguna de
las conductas contempladas en el artculo 8 de la ley N 18.314 (de conductas terroristas), o
sea realizada por una persona natural o jurdica que figure en los listados de alguna resolucin
del Consejo de Seguridad de las Naciones Unidas, sea que se realice en forma aislada o
reiterada.
F.- REPORTE DE OPERACIN SOSPECHOSA (ROS)
El Reporte de Operacin Sospechosa es la remisin de la informacin que ha tenido a la vista

la institucin y que ha considerado sospechosa mediante el sistema seguro UAF.
G.- FUNCIONARIO RESPONSABLE
Funcionario responsable de reportar operaciones sospechosas a la Unidad de Anlisis

Financiero, y de coordinar polticas y procedimientos para prevenir los delitos de lavado de
activos, delitos funcionarios y financiamiento del terrorismo en los Servicios Pblicos.
106
ANEXO N13
EJEMPLOS DE SEALES DE ALERTA GENRICAS PARA DELITOS LA/FT/DF
Este anexo se ha formulado con el aporte de los especialistas de la Unidad de Anlisis

Financiero (UAF), con la finalidad de entregar conceptos y definiciones bsicas sobre delitos de
lavado de activos (LA), financiamiento del terrorismo (FT) y delitos funcionarios (DF).
Para mayor informacin sobre la materia, se recomienda acceder a la pgina web de la UAF
(www.uaf.cl).
Las seales de alerta de delitos LA/FT/DF se pueden concebir como; indicadores, indicios,
condiciones, comportamientos o sntomas de ciertas operaciones o personal que podran
permitir potencialmente detectar la presencia de una operacin sospechosa de lavado de
activos, delitos funcionarios o financiamiento del terrorismo31.
Estas materias producto de los cambios de la ley 19.913, que se plasmaron en la ley 20.818, y
del Oficio Circular N 20/2015 del Ministerio de Hacienda, han relevado la necesidad de que
sean conocidas por todo el personal de las organizaciones pblicas incluidas en el alcance de
estas disposiciones.
Es de vital importancia que las instituciones pblicas, en base a la identificacin y anlisis de

riesgos asociados al lavado de activos, delitos funcionarios o financiamiento del terrorismo,
generen sus propias seales de alerta, que les permitir fortalecer el sistema de Prevencin de
Delitos LA/FT/DF implementado en la organizacin.
Tambin se recomienda que las organizaciones gubernamentales revisen peridicamente la

Gua Seales de Alerta, publicada en la pgina web de la Unidad de Anlisis Financiero (UAF):
http://www.uaf.gob.cl/entidades/tipo_senales.aspx
A continuacin se mencionan solo a modo de ejemplo, seales de alerta genricas, que se

pueden identificar en las actividades operativas en cualquier tipo de organizacin y que pueden
ser indicativas, debiendo examinarse debidamente para ver si corresponden a situaciones
anmalas. Sin perjuicio de lo anterior, las seales de alerta, siempre deben ser identificadas y
analizadas de acuerdo al contexto del sector donde est incorporada la organizacin.
Estos ejemplos de seales de alerta genricas fueron recopilados desde fuentes de

informacin provenientes de; la Unidad de Anlisis Financiero (UAF), del Grupo de Accin
Financiera (GAFI), de la Oficina de las Naciones Unidas contra la Droga y el Delito (ONUCD),
de la Direccin de Compras y Contratacin Pblica (Chilecompra), y del Consejo de Auditora
Interna General de Gobierno (CAIGG).
31
Definicin adaptada de la (1) Gua de Recomendaciones para el Sector Pblico en la Implementacin del Sistema
Preventivo contra los Delitos funcionarios, Lavado de Activos y Financiamiento del Terrorismo y del (2) Catlogo de
Delitos Precedentes de Lavado de Dinero en Chile, ambos emitidos por la Unidad de Anlisis Financiero (UAF).
107
I.- ASOCIADAS A LA PROBIDAD FUNCIONARIA
Recibir, en el cumplimiento de funciones pblicas, donaciones, regalos o cualquier otro

bien o servicio bajo cualquier concepto, proveniente de personas naturales o jurdicas.
Uso de fondos pblicos en actividades que no sean reconocidas como gastos de

representacin de la organizacin gubernamental.
Uso de fondos pblicos para actividades o compras ajenas a la organizacin

gubernamental.
Uso de fondos pblicos para la compra de regalos o donaciones que no estn autorizadas
por ley.
Uso del automvil institucional para motivos personales y/o fuera de das laborales sin
justificacin alguna.
Adquisicin de activos innecesarios para la organizacin gubernamental o que no cumplen

con lo requerido por sta, usualmente con el propsito de obtener una comisin del
proveedor.
II.- ASOCIADAS A CONFLICTOS DE INTERS
Relaciones cercanas de parentesco, sociales o de negocios de una de las contrapartes

una operacin con un funcionario pblico relacionado a la aceptacin de dicha operacin.
Funcionarios pblicos que ejercen como propietarios, directores o ejecutivos de una

persona jurdica que participa directa o indirectamente de una licitacin o contrato.
Una Persona Expuesta Polticamente (PEP) es director o propietario efectivo de una

persona jurdica, la cual, a su vez, es contratista de una organizacin gubernamental.
III.- ASOCIADAS A MANEJO DE INFORMACIN
Otorgamiento de privilegios o permisos distintos al perfil del usuario de una cuenta, o a

usuarios no autorizados.
Funcionario pblico que divulga informacin personal de otros funcionarios de su

organizacin gubernamental a empresas que manejan bases de datos.
Funcionario pblico que revela informacin secreta de su organizacin gubernamental a

los medios de comunicacin o a las entidades reguladas por su institucin, pudiendo recibir
algn tipo de retribucin por ello.
Funcionario que revela, de forma ilegal, informacin confidencial a determinada(s)

empresa(s), en el marco de una licitacin pblica.
Proveedor que no cumple con alguna clusula de confidencialidad estipulada en un

contrato de prestacin de servicios.
108
Existencia de evidencias que soportan el sabotaje en el uso de claves de acceso para el

ingreso a los sistemas.
Existencia de evidencias que soportan un posible ocultamiento de la informacin y/o

maquillaje de la informacin reportada.
IV.- ASOCIADAS A PROCESO DE FISCALIZACIN Y SANCIN DE ENTIDADES

REGULADAS
Actualizar el registro con datos de entidades reguladas desajustados de la realidad o

derechamente falsos, por incentivos o relaciones inadecuadas del funcionario con ellos.
Favorecer a entidades reguladas en procedimientos infraccionales sancionatorios.
Funcionarios que omiten ejercer las funciones de control y sancin asignadas a la

institucin pblica.
V.- ASOCIADAS A FUNCIONARIOS DE LA ADMINISTRACIN PBLICA
Funcionario pblico que se niega o dificulta la prestacin de sus servicios, sugiriendo

realizar pagos irregulares para agilizar su cometido o bien para pasar por alto un
determinado trmite.
Funcionarios pblicos que, pese a no atender pblico, son visitados regularmente por
clientes externos.
Acciones demostradas de obstruccin de las investigaciones, tales como prdida de

expedientes de investigaciones disciplinarias, ruptura deliberada de las cadenas de
custodia de la informacin, entorpecimiento de las visitas de las autoridades competentes
de realizar el control, prdida de computadores que contienen informacin relacionada,
etctera.
Frecuentemente es renuente a entregar informacin rutinaria al auditor o fiscalizador.
Funcionario pblico que, con frecuencia recibe y acepta obsequios y regalas por parte de
determinadas empresas.
Funcionarios o directivos de organizaciones gubernamentales que repentinamente

presentan cambios en su nivel de vida o presentan comportamientos poco habituales.
Funcionarios pblicos que con frecuencia permanecen en la oficina ms all de la hora del
cierre o concurren a ella por fuera del horario habitual sin causa justificada.
Funcionarios pblicos que dificultan o impiden que otro personal atienda a determinados
clientes /usuarios.
Funcionarios pblicos que frecuentemente e injustificadamente se ausentan del lugar del

trabajo.
109
Funcionarios pblicos que, a menudo, se descuadran en caja con explicacin insuficiente o

inadecuada.
Funcionarios pblicos renuentes a hacer el uso de su feriado legal (vacaciones).
Gran centralizacin de varias funciones en una misma persona y resistencia a delegar

trabajo.
Utilizacin de equipos computacionales y tcnicos para trabajar fuera del horario laboral,
sin justificacin.
La informacin proporcionada por la persona no se condice con la informacin pblica que

se dispone (declaraciones de patrimonio o remuneraciones oficiales publicadas).
VI.- ASOCIADAS A INVENTARIOS
Alta cantidad de ajustes de inventario por responsable y por proveedor.
Alto nivel de mermas por tipo de inventario, locacin, etctera.
Antigedad excesiva de mercadera en trnsito.
Falta de controles de ingreso y egreso de bienes para reparacin.
Identificar tems con costo o cantidades negativas.
Identificar un mismo tem con diferente costo unitario segn locacin.
tems con variaciones de costos mayores a un cierto porcentaje, entre perodos, definidos
por la organizacin.
tems con vida til (antes de la fecha de vencimiento) inferior a un nmero de das,
definidos por la organizacin.
tems depositados en lugares de difcil acceso o sitios inusuales que hacen difcil su
revisin o se encuentran inmovilizados durante mucho tiempo.
Modificaciones a los stocks mnimos de seguridad.
Movimientos de inventarios duplicados.
Programas de inventarios donde varios usuarios pueden modificar los datos.
tems en stock inmovilizados durante mucho tiempo.
Altos niveles de devoluciones por tem/proveedor.
110
VII.- ASOCIADAS A TRANSACCIONES FINANCIERAS UTILIZANDO FONDOS PBLICOS
Cheques anulados y no reemitidos, cuando s corresponda.
Cheques emitidos no asociados a rdenes de pago o duplicados.
Cobros de cheques en efectivo por terceros por sumas significativas de dinero

provenientes desde cuentas de una institucin pblica.
Crditos bancarios por depsito, no asociados a liquidaciones de Tesorera.
Cuentas bancarias que no se concilian de manera oportuna.
Dbitos y crditos bancarios no asociados a cheques emitidos o generados por

transferencias inconsistentes.
Depsito frecuente de cheques girados desde cuentas de organizaciones gubernamentales

que son depositados en cuentas de particulares y que inmediatamente son retirados o
transferidos.
Depsito frecuentes de cheques girados por la organizacin gubernamental desde la

cuenta de un particular.
Operaciones fraccionadas para eludir sistemas de control.
Pagos a la orden de una empresa o persona distinta del proveedor.
Retiros de dinero con cargo a cuentas pblicas que se realizan en lugares y horas
diferentes o con patrones de comportamiento que no estn acordes a este tipo de cuentas.
Arreglos especiales con bancos para establecer transacciones poco claras (giros,
prstamos, etctera.)
Ausencia, alteracin o simulacin de documentos que soportan el origen de las

transacciones financieras relacionadas con la organizacin gubernamental.
Solicitudes de pago de ltimo momento, sin el suficiente respaldo documental.
Colocar en la caja chica vales o cheques sin fecha, con fecha adelantada o con fecha
atrasada.
Deudas vencidas impagas por mucho tiempo.
Documentos financieros frecuentemente anulados.
Facturas en fotocopias sin certificacin de autenticidad (cuando corresponda).
Falta de control de consistencia en rendiciones de fondos de caja.
111
Inexistencia de revisin independiente de las conciliaciones bancarias y movimientos de

dinero en la organizacin gubernamental.
Ruptura de correlatividad en la numeracin de los cheques.
VIII.- ASOCIADAS AL PAGO DE REMUNERACIONES
Contratacin o ingresos de funcionario pblico que fue desafectado o despedido, sin

justificacin.
Cuando se dificulta la distincin entre los flujos de fondos personales y aquellos derivados
de su actividad profesional.
Depsitos de sueldos en cuentas bancarias a nombre de un beneficiario distinto del

personal.
Funcionarios con datos compartidos (nombre, domicilio, RUT) y con distinto nmero de
carpeta o registro.
Ingresos y egresos de funcionario pblico, sin autorizacin adecuada.
Pagos a funcionarios fantasmas (empleados inventados), sueldos ficticios o duplicados.
Pagos realizados a funcionarios pblicos por conceptos distintos a los estipulados para sus
remuneraciones.
Ranking de horas extras por empleado/jefe autorizante, falsificacin de carga horaria.
IX.- ASOCIADAS A PROCESOS DE CONTRATACIN DE FUNCIONARIOS PBLICOS
Contratar a funcionarios incumpliendo el procedimiento de reclutamiento interno o legal.
Contratar a personal en cargos de la organizacin gubernamental en razn de la obtencin

de contraprestaciones de provecho particular para el funcionario involucrado.
Contratar en cargos de la organizacin gubernamental a personas con relaciones de

parentesco consanguneo o por afinidad, en cualquiera de sus grados, respecto del
funcionario de la organizacin gubernamental a cargo de dicha contratacin.
Cambios frecuentes de perfiles de cargos y del manual de funciones para ajustar los
requerimientos a los perfiles especficos de las personas que se quiere beneficiar.
Contratacin de personas que no cumplen con los perfiles requeridos para los cargos en
cuestin o con las condiciones e idoneidad requerida para el cargo, especialmente en los
cargos de supervisin, o que demuestren posteriormente una evidente incompetencia en
el ejercicio de sus funciones.
Creacin de cargos y contratacin injustificada de nuevos funcionarios que no

corresponden a las necesidades reales de la organizacin gubernamental, en algunas
112
oportunidades en calidad de asesores que solventen las deficiencias que se presentan en

el perfil del directivo contratado.
Inters de una de las contrapartes por acordar servicios sin contrato escrito.
Modificaciones frecuentes e injustificadas de las tablas de honorarios, o desconocimiento

de las mismas a la hora de determinar los honorarios de las personas que se vincularn.
X.- ASOCIADAS A LICITACIONES Y COMPRAS PBLICAS
1.- Planificacin de Compras
Juntar pedidos y hacer pedidos excesivos y en corto plazo de entrega para beneficiar al
proveedor que tiene un acuerdo especial.
Modificaciones significativas del plan anual de adquisiciones de la entidad en un perodo

relativamente corto.
Fragmentacin de licitaciones y/o contratos por motivos injustificados y repetitivos.
2.- Proceso de Licitacin y Adjudicacin
Otorgar contratos a proveedores en razn de la existencia de lazos de parentesco

consanguneo o por afinidad en cualquiera de sus grados.
Deteccin de errores idnticos o escrituras similares en los documentos presentados por

distintas empresas en una licitacin.
Evidencia de actuaciones de abuso de poder de los jefes, es decir, de la utilizacin de las

jerarquas y de la autoridad para desviar u omitir los procedimientos al interior de la
institucin pblica, para de esta forma adaptar el proceso de acuerdo a los intereses
particulares (Ejemplo: Excesivo inters de los directivos, imposicin de funcionarios para
que participen indebidamente en el proceso, etctera).
Falta de divisin de responsabilidad de funcionarios que participan en el diseo de las

pautas de licitaciones y aquellos que evalan las propuestas.
Imposibilidad para identificar la experiencia de los proponentes a una licitacin.
Presentacin de varias propuestas idnticas en el proceso de licitacin o de adquisicin.
Proveedor hace declaraciones falsas o inconsistentes con el propsito de adjudicarse una

determinada licitacin o contrato.
Proveedor presenta vnculos con pases o industrias que cuentan con historial de
corrupcin.
Sociedades que participan de un proceso de licitacin y/o contrato con el sector pblico
que presentan el mismo domicilio, mismos socios o mismos directivos.
113
Sospechas del involucramiento de terceros en la elaboracin de los estudios previos a una

licitacin y/o compra pblica, o que estos estuvieron notablemente direccionados.
Proveedor carece de experiencia con el producto, servicio, sector o industria, cuenta con
personal insuficiente o mal calificado, no dispone de instalaciones adecuadas, o de alguna
otra forma parece ser incapaz de cumplir con la operacin propuesta.
Adjudicacin del contrato a un proponente que no cumple con los requisitos solicitados en
las bases de licitacin publicadas.
Presencia de mltiples y pequeas sociedades recin constituidas en un proceso de

licitacin, las que no presentan la capacidad financiera para adjudicarse la misma y que a
la vez se asocian a un mismo proponente.
Tiempo entre cierre y adjudicacin muy acotado. Esto puede ser indicativo de 1) la
evaluacin no se hizo adecuadamente o 2) exista un proveedor seleccionado con
anterioridad, a quien le ser adjudicado el proceso.
Un mismo proveedor gana todas las licitaciones o ciertas empresas presentan

frecuentemente ofertas que nunca ganan, o da la sensacin de que los licitantes se turnan
para ganar licitaciones.
Destinacin de grandes recursos de capital a obras de primera necesidad como

alcantarillado, suministro de agua potable, expansin de la red elctrica, etctera, que son
iniciadas pero nunca terminadas, o que superan varias veces el costo presupuestal.
Usos de trato directo sin causa legal que lo justifique y/o sin resolucin que lo autorice.
Realizacin del proceso de compra sin haber cumplido de manera adecuada con el
procedimiento interno y/o el reglamento de compras pblicas (evaluacin tcnica y
econmica del bien o servicio, constitucin de un comit evaluador, aprobacin de los
estudios tcnicos, entre otros).
Elaboracin de conceptos tcnicos equivocados, mal intencionados o direccionados por

parte de los funcionarios que intervienen en el proceso de licitacin, con el objeto de
favorecer a un posible oferente del mercado.
Licitante seleccionado no cumple con requisitos solicitados por la institucin pblica

contratante.
Determinacin de una nica persona para la conformacin y evaluacin de las propuestas

que se presentan a la institucin pblica, sin que intervengan otros funcionarios de la
institucin pblica.
Evidencias de que el personal involucrado en el proceso de licitacin y/o compras carecen

del perfil o de las competencias, habilidades, experiencia y conocimiento adecuado sobre
los procedimientos necesarios para el desarrollo del proceso.
114
Presentacin de propuestas y/o adjudicacin de contratos por valores significativamente

mayores o inferiores a los precios de mercado de los bienes o servicios en cuestin.
Marcado inters de algn funcionario evaluador por una propuesta en particular, cuando
existen otras propuestas en igualdad de condiciones.
Sospechas relacionadas con solicitudes de sobornos o coimas realizadas para avalar

estudios o emitir opiniones tcnicas favorables a un proponente, por parte de la persona
relacionada al proceso de licitacin pblica y/o contratacin.
Una de las contrapartes de una licitacin u contrato involucra a mltiples intermediarios o a

terceros que no se requieren en la operacin.
3.- Procesos de Pagos de Contratos
Crecimiento excesivo e injustificado de las cuentas por cobrar de la institucin pblica, con
respecto al comportamiento de los mismos rubros en periodos anteriores.
Definicin desproporcionada de los anticipos asignados sin que se garantice la respectiva

ejecucin del contrato.
Diferencias entre orden de compra, informes de recepcin y factura por proveedor, entre
esta ltima y la orden de pago.
Dispersin de recursos a terceros diferentes a los gestores del contrato, como

consecuencia de esquemas de subcontratacin y/o tercerizacin de las obligaciones
contractuales.
Existencia de evidencias que soportan que se ha realizado alteracin de facturas y

adulteracin de documentos.
Facturas de varios proveedores en un mismo papel, formato y hasta con el mismo detalle.
Inexistencia de soportes que prueben la recepcin de los dineros como consecuencia de la

recaudacin dentro de los trminos establecidos en el contrato.
Pagos fechados antes del vencimiento de la factura.
Proporcin excesiva que representan las notas de dbito y de crdito sobre las compras de
cada proveedor.
Proveedores con pagos individualmente inmateriales, pero significativos en su conjunto.
4.- Procesos de Gestin de Contratos
Liquidacin anticipada de contratos de manera frecuente en la institucin pblica, sin la

justificacin necesaria.
115
Omisin reiterada de los procedimientos administrativos para hacer efectiva las

condiciones acordadas en caso de incumplimiento de contrato.
Prdida de documentos esenciales, en especial las plizas de seguro y otras garantas a

travs de las cuales se busca proteger los intereses de la institucin pblica.
Prdida de expedientes de investigaciones disciplinarias e imposicin de obstculos a los

procesos de reubicacin laboral por parte de los funcionarios involucrados en la
conformacin y supervisin de los contratos.
Ambigedad y generalidad en los trminos de referencia de la contratacin, modificaciones

injustificadas, prrrogas de los mismos y/o cambios en la modalidad de contratacin, que
impiden la pluralidad de oferentes.
Diferencia marcada en la interpretacin tcnica de aspectos relevantes para la ejecucin

del contrato.
Modificaciones sustanciales e injustificadas en las condiciones y/o requisitos contractuales

establecidos inicialmente para el cumplimiento del contrato (Ejemplo: Ampliacin de
trminos, prrrogas y adiciones injustificadas en el contrato).
Realizacin de pagos por adelantado o de aumentos en las compensaciones antes de

terminar un proyecto u otorgarse una concesin, contrato u otro tipo de acuerdo, incluso
por trabajos o asesoras no realizadas.
Alta rotacin o cambios injustificados de los funcionarios responsables de hacer la

conformacin y/o supervisin de los contratos.
Resistencia de los funcionarios a suministrar la informacin relacionada con los contratos.
Visitas frecuentes de un directivo de una entidad contraparte de un contrato con la

institucin pblica, sin que haya razones institucionales para que estas se realicen.
Ruptura de la correlatividad en la numeracin de las rdenes de compra, informes de

recepcin y rdenes de pago.
Para conocer ms sobre riesgos relacionados con el Proceso de Compras Pblicas, se
recomienda leer el Documento Tcnico N 69: Aseguramiento al Proceso de Compras
Pblicas, emitido por el Consejo de Auditora Interna General de Gobierno (CAIGG), disponible
en http://www.auditoriainternadegobierno.cl
116
ANEXO N 14
SEALES DE ALERTA DE DELITOS LA/FT/DF NO ASOCIADAS CON LOS RIESGOS

INCLUIDOS EN LA MATRIZ DE RIESGOS ESTRATGICA
Sin perjuicio de las seales de alerta de delitos LA/FT/DF incluidas en la Matriz de Riesgos
Estratgica, adicionalmente se deber:
Identificar riesgos o seales de alerta LA/FT/DF en los procesos, subprocesos, etapas,

proyectos, sistemas, etc. que no hayan sido considerados en la Matriz de Riesgos
Estratgica, por no estar dentro del porcentaje mnimo (valor porcentual mnimo) de
procesos crticos que deben analizarse en la organizacin, segn lo informado por el
CAIGG. En el caso que todos los procesos de la Organizacin estn incluidos en la Matriz
de Riesgos Estratgica, no ser necesario considerar este requerimiento.
Identificar cuando sea posible, otras seales de alerta de delitos LA/FT/DF relacionados
con procesos, subprocesos, etapas, etc. que por su naturaleza y caractersticas, no se han
podido asociar a los riesgos operativos incluidos en la Matriz de Riesgos Estratgica. Se
recomienda ver ejemplos en Anexo N 13.
Para levantar la informacin sobre estas materias debe considerarse la siguiente estructura:
Cuadro N 1: Estructura de Informacin a Levantar Relacionada con Seales de Alerta

LA/FT/DF No Asociadas con los Riesgos Incluidos en la Matriz de Riesgos Estratgica
Proceso,
Cargo(s)
Subproceso, Identificacin/ Nivel de Medidas
Funcionario Control
Etapa, Descripcin de Cobertura de Correctivas y/o
Relacionado(s) Asociado
Sistema, la Seal de la Seal de Preventivas
(4)
Proyecto, etc. Alerta LA/FT/DF Alerta (6)
(3)
(1) (2) (5)
(1)Identificar el mbito organizacional donde se encuentra ubicada la Seal de Alerta

LA/FT/DF. Por ejemplo; proceso, subproceso, etapa, sistema, proyecto, etc.
(2) Describir la Seal de Alerta LA/FT/DF de la manera ms completa posible.
(3) Se debe identificar el o los cargos funcionarios que se relacionan de manera terica y ms
directamente con el riesgo y/o Seal de Alerta LA/FT/DF.
(4) Describir el control mitigante existente, que est asociado a la Seal de Alerta LA/FT/DF.
(5) Identificar el nivel de cobertura del control sobre la seal de alerta. Las categoras de los
niveles de cobertura son: Alta, Media, Baja, segn la descripcin contenida en el
Cuadro N 2.
(6) Cuando corresponda, se deben describir medidas correctivas y/o preventivas que la
administracin tomar; idealmente para mejorar los niveles de cobertura del control
asociado a la Seal de Alerta LA/FT/DF, clasificados como Baja y Media.
117
Cuadro N 2: Escala del Nivel de Cobertura de la Seal de Alerta LA/FT/DF
NIVEL DE DESCRIPCIN
COBERTURA
El control asociado a la seal de alerta de delitos LA/FT/DF es insuficiente, por lo que la
BAJA cobertura es baja, dejando a la organizacin muy expuesta a la materializacin del delito
(riesgo)
El control asociado a la seal de alerta de delitos LA/FT/DF es regular, por lo que la
MEDIA cobertura es media, dejando a la organizacin regularmente expuesta a la materializacin
del delito (riesgo)
El control asociado a la seal de alerta de delitos LA/FT/DF es adecuado, por lo que la
ALTA cobertura es alta, dejando a la organizacin poco expuesta a la materializacin del delito
(riesgo)
Como ya se seal, el Consejo de Auditora Interna General de Gobierno podr definir qu

informes derivados del Proceso de Gestin de Riesgos desarrollado por las Organizaciones
Gubernamentales deben ser reportados, as como la oportunidad y formato de dichos reportes.
118
Registro de Propiedad Intelectual.

Inscripcin N A-273595, ao 2016.
Santiago de Chile.
Se autoriza la reproduccin parcial de esta obra, a condicin de que se cite su

fuente, ttulo y autora.
119

Riesgos Iso 31000 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Riesgos Iso 31000 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

DOCUMENTO TCNICO N 70

MINISTERIO SECRETARA GENERAL DE LA PRESIDENCIA

Este documento tiene como principal objetivo facilitar a las

Ministerio Secretara General de la Presidencia, 2016.

II.- OBJETIVO GENERAL DEL DOCUMENTO 6

III.- RELACIN CON EL ASEGURAMIENTO 6

IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS 6

V.- PROCESO DE GESTIN DE RIESGOS

2.- Conceptos Generales sobre Gestin de Riesgos 8

3.- Modelos para la Gestin de Riesgos 9

4.- Marco de Trabajo de la Norma NCh ISO 31000:2012 11

5.- Fases Genricas en el Proceso de Gestin de Riesgos 14

VI.- CONCEPTOS Y ELEMENTOS A INCORPORAR PARA EL MARCO DE TRABAJO Y

A.- Marco de Trabajo de la Gestin de Riesgos 17

B.- Mantencin y Mejoramiento del Proceso de Gestin de Riesgos 17

1.- Fase Establecimiento del Contexto 17

2.- Fase Identificacin de Riesgos 35

3.- Fase Anlisis de Riesgos 39

4.- Fase Valoracin de Riesgos 41

5.- Fase Tratamiento de Riesgos 44

6.- Fase Monitoreo y Revisin 49

7.- Fase Comunicacin y Consultas 50

C.- Registro del Proceso de Gestin de Riesgos 54

D.- Reportes del Proceso de Gestin de Riesgos al Consejo de Auditora Interna 55

ANEXO N 1: EJEMPLO ILUSTRATIVO DE POLTICA DE GESTIN DE RIESGOS 57

ANEXO N 2: EJEMPLO DE DEFINICIN DE ROLES 59

ANEXO N 3: ROL DE LA AUDITORA INTERNA EN EL PROCESO DE GESTIN DE 60

ANEXO N 4: GUA BSICA PARA EL LEVANTAMIENTO DE INFORMACIN DE LOS 62

ANEXO N 5: TABLAS DE VALUACIN PARA CONSTRUIR LA MATRIZ DE RIESGOS 65

ANEXO N 6: EJEMPLO DE LEVANTAMIENTO DE INFORMACIN DE UN PROCESO 71

ANEXO N 7: EJEMPLOS DE TCNICAS DE EVALUACIN DE RIESGOS 80

ANEXO N 8: EJEMPLOS DE RIESGOS Y CONTROLES RELACIONADOS CON EL 83

ANEXO N 9: CONCEPTOS GENERALES SOBRE REQUISITOS BSICOS DE CONTROL 86

ANEXO N 10: EJEMPLO: INFORMACIN PARA EL TRATAMIENTO DE RIESGOS 100

ANEXO N 11: MATRIZ DE RIESGOS ESTRATGICA FORMATO TIPO 101

ANEXO N 12: CONCEPTOS SOBRE DELITOS DE LAVADO DE ACTIVOS (A), 103

ANEXO N13: EJEMPLOS DE SEALES DE ALERTA GENRICAS PARA DELITOS 107

Como una de las iniciativas tendientes al fortalecimiento de la Auditora Interna considerado

En este mbito, se pone a disposicin de la Administracin del Estado, el Documento Tcnico N

Santiago, marzo 2016.

Daniella Caldana Fulss

Finalmente, se adjuntan 14 anexos: en el Anexo N 1, se incorpora un ejemplo de poltica

Es necesario recordar que la entrega de informacin al Consejo de Auditora Interna General

II.- OBJETIVO GENERAL DEL DOCUMENTO

Documentar los procedimientos y facilitar a las Organizaciones Gubernamentales, la

El Proceso de Gestin de Riesgo en las organizaciones gubernamentales, estar regido por el

III.- RELACIN CON EL ASEGURAMIENTO

A la Unidad de Auditora Interna, le corresponder entregar aseguramiento sobre el Proceso de

IV.- MARCO METODOLGICO PARA EL PROCESO DE GESTIN DE RIESGOS

El modelo metodolgico para la Gestin de Riesgos en las organizaciones gubernamentales

Orientacin para la implementacin de ISO 31000 y, en menor medida, en otros marcos de

A contar del ao 2016 se han incorporado elementos conceptuales y metodolgicos para

El presente documento se entender como el marco tcnico de referencia para la implantacin,

V.- PROCESO DE GESTIN DE RIESGOS

1.- Conceptos Generales sobre Riesgos

La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la entidad, es

En forma complementaria, el documento Risk Assessment in Practice Thought Paper, de la

Sin perjuicio de lo previamente sealado, y en consideracin a que estos conceptos son an

2.- Conceptos Generales sobre Gestin de Riesgos

Como se seal, las tendencias en materias de administracin estn dirigidas a la creacin y

En el mbito de la gestin de riesgos, organizaciones de todos los tipos y tamaos se enfrentan

La definicin anterior se puede complementar con otros importantes elementos:

La Gestin de Riesgos es un proceso iterativo que debe contribuir a la mejora