Documente Academic
Documente Profesional
Documente Cultură
De acuerdo con el artículo 118 de las Normas Generales y de conformidad con el presupuesto
aprobado, el Inspector General le debe presentar al Consejo Permanente, antes del fin de cada año, un
plan de actividades de investigación y auditoría de los programas, servicios y actividades de la
SG/OEA para el siguiente período de dos años y actualizarlo anualmente (Plan de Auditorías). El
Consejo Permanente puede solicitar la inclusión de investigaciones o auditorías específicas tras
revisar dicho plan.
Este documento presenta el modelo de análisis de riesgos empleado por la OIG para apoyar
el proceso de planeación anual basado en riesgos de conformidad con las ISPPIA.
De acuerdo con las ISPPIA, el Inspector General debe establecer planes basados en riesgos
para determinar las prioridades de las actividades de auditoría interna, de manera congruente con los
objetivos y fines de la SG/OEA, y debe comunicar los planes y los requisitos o limitaciones de
recursos, incluyendo los cambios temporales significativos, al Secretario General, el Consejo
Permanente y la Junta de Auditores Externos para revisión, consideración o aprobación. El Inspector
General debe tomar en cuenta el marco de gestión de riesgos de la SG/OEA, incluyendo el uso del
nivel de disposición a asumir riesgos que la administración debe establecer para las distintas
actividades o áreas de la Organización. De no existir un marco, el Inspector General debe aplicar su
propio juicio de los riesgos tras consultar con el Secretario General, el Consejo Permanente y la Junta
de Auditores Externos. Se debe considerar el uso de consultorías con base en su posibilidad de
mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la Organización. El plan debe
incluir las consultorías aceptadas.
Sin embargo, la OIG utiliza su propio juicio sobre los riesgos porque la SG/OEA no ha
establecido todavía los niveles de disposición a asumir riesgos. Cada año, la OIG revisa el universo
de áreas auditables de la SG/OEA, evalúa el riesgo de cada una de ellas, identifica a los sujetos
auditables para el año siguiente y estima los recursos necesarios para las actividades del año
siguiente. Este proceso comprende la actualización del universo de auditoría, la referencia cruzada de
los fines declarados de la Organización, los planes operativos y los riesgos y considera los resultados
de las auditorías anteriores y las recomendaciones pendientes. La OIG también revisa anualmente la
metodología de evaluación de riesgos (en ejecución) y el modelo para áreas que es posible mejorar.
Desarrollar un
Obtener
plan de Revisión y
información de Evaluación de
auditoria en aprobación por
por las partes Riesgo
conjunto con la SG PC y BEA
interesadas
gerencia
I - Crítico
II - Importante
III - Sugerido
5. Revisión y aprobación del Secretario General: De acuerdo con las ISPPIA el plan de
auditoría debe remitirse al Secretario General para su revisión y aprobación.
Monitoreo
Evaluación
Análisis
Informes
Recomendación de mejoras.
De acuerdo con las mejores prácticas establecidas por el Instituto de Auditores Internos, la
OIG puede ampliar su participación en el proceso de evaluación de riesgos, siempre que se apliquen
ciertas condiciones, a saber:
Universo de auditoría
Organizaciones de la SG/OEA
Familias de segmentos
Las familias de segmentos son macroprocesos resultantes del agrupamiento lógico de los
segmentos de auditoría:
Gastos
Ciclo de vida de los proyectos
Capital humano
Gestión financiera
Tecnología de información
Riesgos y controles
Código de Ética
Riesgos inherentes
Los riesgos inherentes son los que plantearía una actividad si no se dispone de controles u
otros factores mitigantes (el riesgo bruto, o el riesgo previo a los controles). Los riesgos inherentes se
determinan por la posibilidad y el impacto de la ocurrencia de un acontecimiento,
independientemente de los controles que puedan existir para abordarlo. También se conoce como
riesgo no mitigado, en contraposición del riesgo mitigado (después de considerar la eficacia de los
controles).
Controles
La OIG también identifica y evalúa los controles relacionados con cada riesgo inherente. La
eficacia y la eficiencia de los controles se determinan por la posibilidad y el impacto de la ocurrencia
de la actividad mitigante.
Existen controles en dos niveles distintos dentro de una organización: a nivel institucional
(controles para toda la organización) que afecta el entorno de control y tiene un efecto generalizado
sobre la manera en que se implementan y aplican los demás controles (por ejemplo, las políticas para
la contratación de los empleados o los programas contra el fraude y la corrupción) y a nivel de
actividades, que se refiere a las acciones emprendidas para lograr un objetivo específico dentro de un
proceso de transacción (por ejemplo, cómo asegurar que los pagos a terceros sean válidos para los
servicios prestados, las reconciliaciones bancarias, etc.)
Riesgos residuales
Los riesgos residuales son los riesgos restantes después de considerar y evaluar la eficacia y
la eficiencia de los controles. Son los riesgos remanentes una vez que se toman en cuenta los
controles (el riesgo neto, o el riesgo después de los controles). De manera similar a los riesgos
inherentes, los riesgos residuales se expresan en términos de su impacto y posibilidad de ocurrencia,
tras considerar las acciones de gestión de riesgos existentes (la reducción de los riesgos a través de
controles mitigantes o de la transferencia del riesgo). Las acciones de aceptación del riesgo por la
administración no se consideran en la evaluación de los riesgos residuales. Para los fines de la
evaluación de riesgos, la evaluación de los riesgos residuales debe mantenerse sin cambios y con la
aceptación de la administración.
Posibilidad e impacto: Los riesgos inherentes, los riesgos residuales y los controles se
evalúan con base en dos variables: posibilidad e impacto. Las combinaciones posibles de posibilidad
e impacto determinan uno de tres niveles predefinidos:
I - Crítico
II - Importante
III - Sugerido
I - Ineficaz
II - Parcialmente eficaz
III - Eficaz
4 - Bajo (raro) no es
Grado III - Sugerido Grado III - Sugerido Grado II - Importante Grado I - Crítico Grado I - Crítico
probable que ocurra
3 - Medio (posible)
Grado III - Sugerido Grado III - Sugerido Grado II - Importante Grado II - Importante Grado I - Crítico
muy probable
2 - Medio bajo
(improbable) cierta
Grado III - Sugerido Grado III - Sugerido Grado III - Sugerido Grado II - Importante Grado II - Importante
probabilidad de que
ocurra
1 - Bajo (raro) no es
Grado III - Sugerido Grado III - Sugerido Grado III - Sugerido Grado III - Sugerido Grado II - Importante
probable que ocurra
Importancia ● Solamente unas ● Un número mínimo ● Un número ● Un número importante ● Todas o casi todas
operativa cuantas transacciones de transacciones de la moderado de de transacciones de la las transacciones de
Organización transacciones de la Organización la Organización
Organización
Importancia para los ● Un servidor, ● Compromete o ● Compromete o ● Compromete recursos ● Compromete toda
recursos informáticos computadora o afecta negativamente afecta negativamente informáticos que apoyan la infraestructura
proceso informático un recurso un recurso informático uno o varios procesos o informática de
no crítico informático, con importante crítico, funciones operativos de recursos de TI que
consecuencias que no pero con la Organización, con apoyan uno o varios
necesariamente se consecuencias consecuencias en toda la procesos operativos o
extienden a nivel departamentales Organización funciones de apoyo
departamental de la Organización,
con consecuencias en
toda la Organización
9
Los riesgos inherentes, los riesgos residuales y también los controles se identifican y evalúan
consistentemente en distintos niveles del universo de auditoría. Desde una perspectiva de abajo arriba
es posible identificar y evaluar individualmente los riesgos y controles dentro de las auditorías
específicas y posteriormente se pueden subir al segmento superior que le corresponde a la auditoría.
Los riesgos y controles consolidados dentro de cada segmento se utilizan para evaluar los riesgos y
controles de manera conjunta por entidad, familia y segmento.
El modelo también considera los fines y objetivos globales de la SG/OEA, tal como se
representan en la Visión para las Américas compartida, http://oasconnect/Default.aspx?tabid=66.
La estrategia institucional y sus fines y objetivos globales se consideran en el modelo de las
siguientes maneras:
El modelo reconoce y toma en cuenta el marco de gestión de riesgos en proceso que está
desarrollando la Organización. No obstante, el Inspector General aplica su propio juicio con respecto
a los riesgos porque la SG/OEA no ha establecido todavía los niveles de disposición a asumir riesgos.
El modelo considerará el marco de gestión de riesgos, una vez completado, para identificar y evaluar
los riesgos. Cada riesgo específico se categoriza como sigue:
Estratégico y de desarrollo
Operativo
De informes (es decir, presupuesto, financiero)
De cumplimiento
Se establece un nivel de riesgo para cada segmento utilizando el promedio de todos los
riesgos relevantes. Existen tres niveles de riesgo predefinidos (alto, medio y bajo). A partir de esa
base, la OIG formula el plan de auditoría basado en riesgos identificando y priorizando las tareas de
auditoría que se llevarán a cabo.
Gobernanza y Planeación
Organización y
entorno de estratégica y Gestión de riesgos Ética e integridad Servicios de secretaría
estructura
control desarrollo
Ciclo de vida de
Evaluación del
los proyectos
Aprobación del proyecto y
(aprobación, Diseño de proyecto Supervisión técnica Supervisión fiduciaria Gestión del conocimiento
proyecto lecciones
ejecución y
aprendidas
evaluación)
Administración Cumplimiento
Desarrollo Selección,
de de reglamentos Compras - Administración Terminación Administración
Capital humano profesional y reclutamiento y
compensación y y normas del contratistas de nómina, de empleados de pensiones
desempeño contratación
beneficios personal
Gestión Financiamiento de
Gestión de efectivo Inversiones Cuotas y centras por cobrar Informes financieros
financiera donantes
Tecnología de
Controles de aplicación Administración de infraestructura Controles de cómputo generales
información
12
Los segmentos con riesgos residuales altos tienen mayor prioridad y se deben auditar
dentro de un plazo de un año.
Los segmentos con riesgos residuales medios deben ser cubiertos por lo menos una
vez dentro de un período de tres años.
Pueden seleccionarse tareas de auditoría para el año siguiente para segmentos con
riesgos residuales medios y bajos, con la justificación debida.
También pueden incorporarse al plan las solicitudes de la administración, a través de
un acuerdo sobre la necesidad de aseguramiento adicional (auditoría) y servicios de
asesoría de auditoría.
Los objetivos, alcance y calendarios detallados de las actividades se determinan
durante la fase de planeación y se formalizan en una carta de actividades.
Enfoque global
I - Los riesgos críticos (rojo) deben ser revisados y aprobados por lo menos trimestralmente.
II - Los riesgos importantes (naranja) deben ser revisados y aprobados por lo menos
semestralmente.
III - Los riesgos sugeridos (amarillo) deben ser revisados y aprobados por lo menos
anualmente.
13
Funciones y responsabilidades
Inspector General
Personal de la OIG
390405424.doc