METODOLOGÍA DE EVALUACIÓN DE RIESGOS

PARA LA OFICINA DEL INSPECTOR GENERAL

PROPÓSITO

Las Normas Generales para el Funcionamiento de la Secretaría General requieren que el

Secretario General establezca los procedimientos adecuados de auditoría interna para verificar el
cumplimiento de las normas vigentes mediante el examen selectivo de transacciones oficiales y
procedimientos operativos relacionados con los recursos que administra la Secretaría General. La
Oficina del Inspector General es la dependencia responsable de llevar a cabo los procedimientos de
auditoría interna. La Oficina del Inspector General (OIG) ayuda a la SG/OEA a cumplir sus objetivos
introduciendo un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobernanza. Suministra, para los niveles gerenciales
pertinentes, análisis, evaluaciones, recomendaciones y comentarios relevantes objetivos sobre las
actividades que analiza. Las auditorías deben ser conducidas, supervisadas y controladas de acuerdo
con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (ISPPIA)
aprobadas por el Instituto de Auditores Internos, la autoridad profesional internacionalmente
reconocida en el campo de las auditorías internas.

De acuerdo con el artículo 118 de las Normas Generales y de conformidad con el presupuesto
aprobado, el Inspector General le debe presentar al Consejo Permanente, antes del fin de cada año, un
plan de actividades de investigación y auditoría de los programas, servicios y actividades de la
SG/OEA para el siguiente período de dos años y actualizarlo anualmente (Plan de Auditorías). El
Consejo Permanente puede solicitar la inclusión de investigaciones o auditorías específicas tras
revisar dicho plan.

Asimismo, la AG/RES. 2774 (XLIII-O/13) le solicitó a la Secretaría General que realizara

esfuerzos con el fin de mejorar la transparencia y eficiencia de sus operaciones, para establecer
sistemas adecuados de planificación, control y evaluación que les faciliten a los Estados Miembros
hacer el seguimiento de la programación presupuestal y la supervisión fiscal.

Este documento presenta el modelo de análisis de riesgos empleado por la OIG para apoyar
el proceso de planeación anual basado en riesgos de conformidad con las ISPPIA.

De acuerdo con las ISPPIA, el Inspector General debe establecer planes basados en riesgos
para determinar las prioridades de las actividades de auditoría interna, de manera congruente con los
objetivos y fines de la SG/OEA, y debe comunicar los planes y los requisitos o limitaciones de
recursos, incluyendo los cambios temporales significativos, al Secretario General, el Consejo
Permanente y la Junta de Auditores Externos para revisión, consideración o aprobación. El Inspector
General debe tomar en cuenta el marco de gestión de riesgos de la SG/OEA, incluyendo el uso del
nivel de disposición a asumir riesgos que la administración debe establecer para las distintas
actividades o áreas de la Organización. De no existir un marco, el Inspector General debe aplicar su
propio juicio de los riesgos tras consultar con el Secretario General, el Consejo Permanente y la Junta
de Auditores Externos. Se debe considerar el uso de consultorías con base en su posibilidad de
mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la Organización. El plan debe
incluir las consultorías aceptadas.

El modelo reconoce y toma en cuenta la resolución AG/RES. 2774 (XLIII-O/13) y los

documentos de la CAAP conexos relacionados con el fortalecimiento de la OEA a través de la
modernización de sus operaciones. A partir de estos esfuerzos se producirán nuevos marcos. En el
pasado se desarrolló un marco como parte del Proyecto de Transformación y Modernización de la
SAF (STAMP), que no se concluyó.

Sin embargo, la OIG utiliza su propio juicio sobre los riesgos porque la SG/OEA no ha
establecido todavía los niveles de disposición a asumir riesgos. Cada año, la OIG revisa el universo
de áreas auditables de la SG/OEA, evalúa el riesgo de cada una de ellas, identifica a los sujetos
auditables para el año siguiente y estima los recursos necesarios para las actividades del año
siguiente. Este proceso comprende la actualización del universo de auditoría, la referencia cruzada de
los fines declarados de la Organización, los planes operativos y los riesgos y considera los resultados
de las auditorías anteriores y las recomendaciones pendientes. La OIG también revisa anualmente la
metodología de evaluación de riesgos (en ejecución) y el modelo para áreas que es posible mejorar.

Desarrollar un
Obtener
plan de Revisión y
información de Evaluación de
auditoria en aprobación por
por las partes Riesgo
conjunto con la SG PC y BEA
interesadas
gerencia

1. Establecer el universo de auditoría y validar el modelo de evaluación de riesgos: En

2013, la OIG establecerá el universo de auditoría y el modelo de evaluación de riesgos.
Después de 2013, la OIG actualizará el universo de auditoría cada año y actualizará
periódicamente su modelo de evaluación de riesgos para asegurar la interacción y la
congruencia con los fines y objetivos estratégicos de la SG/OEA, los procesos de gestión
existentes para lograr los fines y objetivos y los riesgos que podrían afectar su logro.

2. Obtener aportes de las partes interesadas: Se consideran los siguientes aportes:

 Indicadores de alerta y tendencias de riesgo identificados mediante análisis de la

información recogida de encuestas enviadas al personal clave dentro de la SG/OEA.
 Aportes recogidos de entrevistas con las autoridades de la SG/OEA, de los
representantes de los Estados miembros, de los miembros de la Junta de Auditores
Externos y de la administración de la SG/OEA.
 Resultados de auditorías recientes.
 Recomendaciones pendientes.
 Producir un análisis de los riesgos de la Organización utilizando el Software de
Gestión de Auditorías de la OIG (AMS).
 Conocimiento del personal de la OIG de los procesos y sistemas de la SG/OEA.
 3

3. Evaluar Riesgos: La OIG identificará, documentará y evaluará los riesgos inherentes y

residuales utilizando el AMS y calificará cada uno con uno de los tres niveles de riesgo:

 I - Crítico
 II - Importante
 III - Sugerido

4. Determinar un plan de auditoría basado en riesgos: A partir de los pasos anteriores, la

OIG identificará y priorizará las actividades por realizar.

5. Revisión y aprobación del Secretario General: De acuerdo con las ISPPIA el plan de
auditoría debe remitirse al Secretario General para su revisión y aprobación.

6. Aprobación por el Consejo Permanente: El plan de auditoría se le remitirá al Consejo

Permanente para su aprobación formal. Los cambios al plan de auditoría que pueden ocurrir
durante el transcurso del año se deberán manejar como sigue:

 Los cambios al plan deben ser autorizados por el Inspector General.

 El Inspector General deberá comunicar oportunamente los cambios significativos al
Secretario General, el Consejo Permanente y la Junta de Auditorías Externas.

La OIG desempeña un papel importante en la supervisión del riesgo. Sin embargo, no es el

principal responsable de su implementación o mantenimiento. La OIG apoya a la administración y al
Consejo Permanente y a la CAAP en este proceso mediante:

 Monitoreo
 Evaluación
 Análisis
 Informes
 Recomendación de mejoras.

De acuerdo con las mejores prácticas establecidas por el Instituto de Auditores Internos, la
OIG puede ampliar su participación en el proceso de evaluación de riesgos, siempre que se apliquen
ciertas condiciones, a saber:

 Debe quedar claro que la responsabilidad de la gestión de riesgos sigue recayendo en

la administración.
 La naturaleza de las responsabilidades del auditor interno debe documentarse en la
carta de auditoría interna y tener la aprobación del comité de auditoría.
 La auditoría interna no debe manejar ninguno de los riesgos a nombre de la
administración.
 La auditoría interna debe proveer asesoría, desafíos y apoyo en la toma de decisiones
de la administración, y no tomar las decisiones sobre gestión de riesgos.
 La auditoría interna tampoco puede aportar aseguramiento objetivo sobre ninguna
porción del marco de gestión de riesgos global de la institución bajo su
 4

responsabilidad. Tal aseguramiento debe ser provisto por terceros adecuadamente

calificados.
 Cualquier trabajo fuera de las actividades de aseguramiento debe ser reconocido
como consultoría y deben obedecerse las normas de implementación relacionadas
con este tipo de tareas.

Universo de auditoría

El universo de auditoría es una representación exhaustiva de la SG/OEA y de sus procesos

operativos, unidades institucionales y ubicaciones que en conjunto integran la cadena de valor de la
institución y están cubiertos por el mandato de la OIG. El universo de auditoría se organiza
considerando las “Organizaciones de la SG/OEA” y las “Familias de segmentos.”

Organizaciones de la SG/OEA

Las organizaciones de la SG/OEA son las áreas de la Organización de los Estados

Americanos (es decir, el Fondo Regular, Recuperación de Costos Indirectos (RCI), el FEMCIDI y los
Fondos Específicos y de Servicio de la OEA). El orden jerárquico, la organización y la
responsabilidad de la SG/OEA se establecen en la Orden Ejecutiva 08-01 (con sus revisiones) y en la
Orden Ejecutiva 11-01.

Familias de segmentos

Las familias de segmentos son macroprocesos resultantes del agrupamiento lógico de los
segmentos de auditoría:

 Gobernanza y entorno de control

 5

 Gastos
 Ciclo de vida de los proyectos
 Capital humano
 Gestión financiera
 Tecnología de información

Segmentos: Los segmentos representan los procesos operativos, unidades de organizaciones

o ubicaciones de la SG/OEA. El universo de auditoría se examinará en su totalidad y se documentará
cada año utilizando el AMS de la OIG como parte de la evaluación de riesgos y el proceso de
planeación anual. La lista completa de entidades, familias y segmentos estará disponible a través del
AMS de la OIG.

Riesgos y controles

El modelo incluye referencias a riesgos y controles conexos. Los riesgos se refieren a

acontecimientos que pueden incidir en el logro de los fines y objetivos estratégicos de la SG/OEA. El
modelo considera dos tipos de riesgos: riesgos inherentes y riesgos residuales. En general, los
controles también forman parte del modelo. Los controles generalmente corresponden a los riesgos
conexos. En general se identifican y evalúan según su eficacia y eficiencia.
Gestión de riesgos: En el manejo de los riesgos, la gestión de la SG/OEA puede utilizar distintas
acciones de gestión de riesgos, que incluyen mitigación del riesgo, transferencia del riesgo y
aceptación del riesgo. La SG/OEA está en proceso de desarrollar un marco de gestión de riesgos
como parte de la iniciativa de modernización.

ESTRUCTURA DE GOBIERNO DE LA OEA

Roles y Responsabilidades

Código de Ética

Modelo de Soporte Administrativo

Manejo de Riesgos

Manejo de Recursos Estándar y Sistemas

 6

Riesgos inherentes

Los riesgos inherentes son los que plantearía una actividad si no se dispone de controles u
otros factores mitigantes (el riesgo bruto, o el riesgo previo a los controles). Los riesgos inherentes se
determinan por la posibilidad y el impacto de la ocurrencia de un acontecimiento,
independientemente de los controles que puedan existir para abordarlo. También se conoce como
riesgo no mitigado, en contraposición del riesgo mitigado (después de considerar la eficacia de los
controles).

Controles

La OIG también identifica y evalúa los controles relacionados con cada riesgo inherente. La
eficacia y la eficiencia de los controles se determinan por la posibilidad y el impacto de la ocurrencia
de la actividad mitigante.

Existen controles en dos niveles distintos dentro de una organización: a nivel institucional
(controles para toda la organización) que afecta el entorno de control y tiene un efecto generalizado
sobre la manera en que se implementan y aplican los demás controles (por ejemplo, las políticas para
la contratación de los empleados o los programas contra el fraude y la corrupción) y a nivel de
actividades, que se refiere a las acciones emprendidas para lograr un objetivo específico dentro de un
proceso de transacción (por ejemplo, cómo asegurar que los pagos a terceros sean válidos para los
servicios prestados, las reconciliaciones bancarias, etc.)

Riesgos residuales

Los riesgos residuales son los riesgos restantes después de considerar y evaluar la eficacia y
la eficiencia de los controles. Son los riesgos remanentes una vez que se toman en cuenta los
controles (el riesgo neto, o el riesgo después de los controles). De manera similar a los riesgos
inherentes, los riesgos residuales se expresan en términos de su impacto y posibilidad de ocurrencia,
tras considerar las acciones de gestión de riesgos existentes (la reducción de los riesgos a través de
controles mitigantes o de la transferencia del riesgo). Las acciones de aceptación del riesgo por la
administración no se consideran en la evaluación de los riesgos residuales. Para los fines de la
evaluación de riesgos, la evaluación de los riesgos residuales debe mantenerse sin cambios y con la
aceptación de la administración.

Evaluaciones de riesgos y controles

Posibilidad e impacto: Los riesgos inherentes, los riesgos residuales y los controles se
evalúan con base en dos variables: posibilidad e impacto. Las combinaciones posibles de posibilidad
e impacto determinan uno de tres niveles predefinidos:

 I - Crítico
 II - Importante
 III - Sugerido

La posible combinación determina uno de tres niveles predefinidos de evaluación de la

eficacia y eficiencia de los controles:
 7

 I - Ineficaz
 II - Parcialmente eficaz
 III - Eficaz

Matriz de los niveles de riesgo

El Gráfico I especifica las combinaciones posibles de posibilidad e impacto.

 8

Gráfico I: Lineamientos para la evaluación de riesgos - Matriz de posibilidad e impacto

5 - Muy alto (casi

seguro; ya es un Grado III - Sugerido Grado II - Importante Grado II - Importante Grado I - Crítico Grado I - Crítico
hecho)

4 - Bajo (raro) no es
Grado III - Sugerido Grado III - Sugerido Grado II - Importante Grado I - Crítico Grado I - Crítico
probable que ocurra

3 - Medio (posible)
Grado III - Sugerido Grado III - Sugerido Grado II - Importante Grado II - Importante Grado I - Crítico
muy probable
2 - Medio bajo
(improbable) cierta
Grado III - Sugerido Grado III - Sugerido Grado III - Sugerido Grado II - Importante Grado II - Importante
probabilidad de que
ocurra

1 - Bajo (raro) no es
Grado III - Sugerido Grado III - Sugerido Grado III - Sugerido Grado III - Sugerido Grado II - Importante
probable que ocurra

Posibilidad residual 1 - Bajo 2 - Medio bajo 3 - Medio 4 - Alto 5 - Muy alto

(impacto
Impacto residual (impacto mínimo) (impacto moderado) (impacto importante) (impacto grave)
insignificante)

Alcance: ● Impacto en un ● Impacto en un ● Impacto ● Impacto en toda la ● Impacto en toda la

departamento u departamento departamental o en Organización Organización
oficina nacional toda la Secretaría

Consecuencias: ● Insignificantes – la ● Mínimas – ● Moderadas – ● Importantes – ● Graves –impedirían

consecuencia más amenazarían un requieren ajustes amenazarían fines u el logro de fines u
baja elemento de una significativos en una objetivos funcionales objetivos funcionales
función función global

Importancia ● Importancia ● Importancia ● Importancia ● Importancia financiera ● Importancia

financiera financiera financiera mínima financiera moderada importante financiera grave
insignificante

Importancia ● Solamente unas ● Un número mínimo ● Un número ● Un número importante ● Todas o casi todas
operativa cuantas transacciones de transacciones de la moderado de de transacciones de la las transacciones de
Organización transacciones de la Organización la Organización
Organización

Importancia para los ● Un servidor, ● Compromete o ● Compromete o ● Compromete recursos ● Compromete toda
recursos informáticos computadora o afecta negativamente afecta negativamente informáticos que apoyan la infraestructura
proceso informático un recurso un recurso informático uno o varios procesos o informática de
no crítico informático, con importante crítico, funciones operativos de recursos de TI que
consecuencias que no pero con la Organización, con apoyan uno o varios
necesariamente se consecuencias consecuencias en toda la procesos operativos o
extienden a nivel departamentales Organización funciones de apoyo
departamental de la Organización,
con consecuencias en
toda la Organización
 9

Descripciones ● Carencias en los ● Compromete ● Compromete un ● Compromete uno o ● Compromete uno o

adicionales: procesos que procesos o funciones proceso o función de más procesos operativos más procesos
provocan falta de de apoyo específicos apoyo de la OEA con o funciones de apoyo de operativos o
eficiencias de la OEA, con consecuencias la OEA con funciones de apoyo
consecuencias que no departamentales consecuencias en toda la de la OEA con
necesariamente se Organización consecuencias en
extienden a nivel toda la Organización
departamental

Ejemplos ● Eliminar ● Redundancias en ● Planes ● Separación de ● Riesgos para la

redundancias de sistemas y procesos departamentales responsabilidades en toda reputación de alto
controles inadecuados la Organización – falta de perfil – Cero
separación de tolerancia al fraude y
responsabilidades, la corrupción
políticas, procedimientos
o control, con
exposiciones
significativas a pérdidas
y riesgos para la
reputación de la
Organización

● Aumentar las ● Oportunidades de ● Incumplimiento de ● Asuntos tácticos y ● Deficiencias graves

eficiencias mejoras mínimas políticas o estratégicos en la realización o
procedimientos supervisión de
asociados con riesgos actividades
inherentes medios operativas

● Deficiencias en la ● Deficiencias ● Deficiencias

realización o significativas en la importantes en la
supervisión de realización o supervisión realización o
actividades operativas de actividades operativas supervisión de
actividades
operativas

● Documentación o ● Derechos de acceso del

mejora de las políticas personal para crear,
y procedimientos modificar y aprobar
transacciones de alto
valor procesadas en
sistemas computarizados
o de otros tipos, que
generan exposición
objetiva a riesgos o
fraude, colusión,
malversación u otras
irregularidades
● Control operativo ● Incumplimiento de
crítico inexistente o no políticas o
implementado procedimientos asociados
con riesgos inherentes
altos
● Oportunidades de
mejoras importantes
 10

Auditorías y evaluación de segmentos de abajo arriba

Los riesgos inherentes, los riesgos residuales y también los controles se identifican y evalúan
consistentemente en distintos niveles del universo de auditoría. Desde una perspectiva de abajo arriba
es posible identificar y evaluar individualmente los riesgos y controles dentro de las auditorías
específicas y posteriormente se pueden subir al segmento superior que le corresponde a la auditoría.
Los riesgos y controles consolidados dentro de cada segmento se utilizan para evaluar los riesgos y
controles de manera conjunta por entidad, familia y segmento.

Vínculo con la estrategia institucional

El modelo también considera los fines y objetivos globales de la SG/OEA, tal como se
representan en la Visión para las Américas compartida, http://oasconnect/Default.aspx?tabid=66.
La estrategia institucional y sus fines y objetivos globales se consideran en el modelo de las
siguientes maneras:

 En el nivel de los segmentos, vinculando el universo de auditoría con los fines y

objetivos estratégicos. La OIG revisará periódicamente el nivel de contribución de
cada segmento a uno o más de los cuatro pilares de la SG/OEA.
 A nivel de los riesgos y controles individuales, identificando y evaluando cada
riesgo o control individual, considerando el contexto en que existen estos riesgos y
controles individuales. El contexto estratégico de cada riesgo o control individual
está implícito en la lógica aplicada al evaluar su posibilidad e impacto.

Vínculo con la gestión de riesgos de la SG/OEA

De acuerdo con la interpretación del Instituto de Auditores Internos de las ISPPIA, el

Inspector General es responsable de desarrollar un plan basado en riesgos que tome en cuenta el
marco de gestión de riesgos de la Organización, incluyendo sus niveles de tolerancia al riesgo
establecidos por la administración para las distintas actividades o partes de la Organización. De no
existir un marco, el Inspector General debe aplicar su propio juicio de los riesgos tras consultar con el
Secretario General y el Consejo Permanente.

El modelo reconoce y toma en cuenta el marco de gestión de riesgos en proceso que está
desarrollando la Organización. No obstante, el Inspector General aplica su propio juicio con respecto
a los riesgos porque la SG/OEA no ha establecido todavía los niveles de disposición a asumir riesgos.
El modelo considerará el marco de gestión de riesgos, una vez completado, para identificar y evaluar
los riesgos. Cada riesgo específico se categoriza como sigue:

 Estratégico y de desarrollo
 Operativo
 De informes (es decir, presupuesto, financiero)
 De cumplimiento

Evaluación de riesgos de la SG/OEA

 11

El modelo permite evaluaciones consolidadas por familias de segmentos y por nivel de

grupos de la SG/OEA con base en los resultados a nivel de los segmentos de la evaluación de los
riesgos inherentes, los riesgos residuales y los controles.

Se establece un nivel de riesgo para cada segmento utilizando el promedio de todos los
riesgos relevantes. Existen tres niveles de riesgo predefinidos (alto, medio y bajo). A partir de esa
base, la OIG formula el plan de auditoría basado en riesgos identificando y priorizando las tareas de
auditoría que se llevarán a cabo.

En el Gráfico II se muestran las “familias de segmentos de la SG/OEA”.

Gobernanza y Planeación
Organización y
entorno de estratégica y Gestión de riesgos Ética e integridad Servicios de secretaría
estructura
control desarrollo

Empresas y personas por

Gastos Gestión del presupuesto Adquisiciones Gestión de viajes Cuentas por pagar
contrato

Ciclo de vida de
Evaluación del
los proyectos
Aprobación del proyecto y
(aprobación, Diseño de proyecto Supervisión técnica Supervisión fiduciaria Gestión del conocimiento
proyecto lecciones
ejecución y
aprendidas
evaluación)

Administración Cumplimiento
Desarrollo Selección,
de de reglamentos Compras - Administración Terminación Administración
Capital humano profesional y reclutamiento y
compensación y y normas del contratistas de nómina, de empleados de pensiones
desempeño contratación
beneficios personal

Gestión Financiamiento de
Gestión de efectivo Inversiones Cuotas y centras por cobrar Informes financieros
financiera donantes

Tecnología de
Controles de aplicación Administración de infraestructura Controles de cómputo generales
información
 12

Cobertura de las auditorías y criterios de prioridad

La cobertura de las auditorías y la prioridad para cada organismo de la SG/OEA se establece

sobre las siguientes bases:

 Los segmentos con riesgos residuales altos tienen mayor prioridad y se deben auditar
dentro de un plazo de un año.
 Los segmentos con riesgos residuales medios deben ser cubiertos por lo menos una
vez dentro de un período de tres años.
 Pueden seleccionarse tareas de auditoría para el año siguiente para segmentos con
riesgos residuales medios y bajos, con la justificación debida.
 También pueden incorporarse al plan las solicitudes de la administración, a través de
un acuerdo sobre la necesidad de aseguramiento adicional (auditoría) y servicios de
asesoría de auditoría.
 Los objetivos, alcance y calendarios detallados de las actividades se determinan
durante la fase de planeación y se formalizan en una carta de actividades.

PROCEDIMIENTOS DE EVALUACIÓN DE RIESGOS

Enfoque global

El enfoque general de los procedimientos de evaluación de riesgos incluye:

 Evaluación continua en lugar de una actividad en un solo momento (mensual,

trimestral, semestral, en lugar de anual solamente).
 Delegación y participación de todo el personal de la OIG en sus respectivas
funciones.
 Evaluación, revisión y aprobación de los procedimientos.
 Prioridades basadas en riesgos, frecuencia y control de calidad.
 Los insumos clave para las evaluaciones de riesgos son:
o Los resultados de los informes de actividades expedidos.
o El seguimiento mensual/trimestral de las recomendaciones pendientes.
o La implementación de cambios operativos y de procesos.

Evaluación, revisión y aprobación del calendario y la frecuencia

 I - Los riesgos críticos (rojo) deben ser revisados y aprobados por lo menos trimestralmente.
 II - Los riesgos importantes (naranja) deben ser revisados y aprobados por lo menos
semestralmente.
 III - Los riesgos sugeridos (amarillo) deben ser revisados y aprobados por lo menos
anualmente.
 13

Funciones y responsabilidades

 Inspector General

o Revisar y aprobar todos los riesgos por lo menos anualmente.

o Énfasis particular en la aprobación de los I - riesgos críticos trimestralmente y los II -
riesgos importantes por lo menos semestralmente.

 Personal de la OIG

o Evaluar todos los riesgos (dentro de la delegación del Inspector General)

o Revisar y aprobar todos los riesgos por lo menos semestralmente.

 Estrategia y calidad de la OIG

o Producir informes de excepciones sobre riesgos con retraso.

390405424.doc