GUIA ESPECIALIZADA DE EVALUACIÓN DE RIESGOS

Contraloría General de la República Nicaragua

 Objetivo de la Evaluación de Riesgos

Proveer una guía especializada para el

proceso de administración de riesgos, que
incluya el establecimiento del contexto, la
identificación, análisis, evaluación,
tratamiento, comunicación y monitoreo de
los riesgos, con la finalidad de fortalecer la
implementación y desarrollo de una política
de gestión de riesgos que asegure el
cumplimiento de los objetivos y misión de
las entidades públicas.
 Marco Legal y Normativo

El marco normativo y regulatorio está contenido

en:
 Marco Conceptual

La administración de riesgos parte de la planificación

estratégica, la misión, la visión, objetivos
estratégicos y valores institucionales, así como de la
identificación de eventos potenciales, que de ocurrir,
podrían afectar a la entidad en la consecución de sus
objetivos fundamentales.

Riesgo: Toda posibilidad de un evento que pueda entorpecer o impedir el normal

desarrollo de las actividades de la entidad y afecte el logro de sus objetivos. Los
riesgos son los eventos que afecten negativamente la implantación de la estrategia y
los objetivos presentados.

Oportunidad: Eventos con impacto positivo, que pueden ser reconducidas para
implantar la estrategia y lograr los objetivos con éxito.
Marco Conceptual de la Guía de
Evaluación de Riesgos
Partir de: La Planificación Estratégica: Misión – Objetivos Estratégicos-
Objetivos Específicos

Factores Riesgo
externos Impacto negativo
sobre objetivos

Objetivos Entidad Eventos

Impacto positivo
sobre objetivos
Factores Oportunidad
internos

Comprensión de la Relación : objetivos , eventos, riesgo y oportunidad

 Actividades para Emprender la
Gestión de Riesgo

• Compromiso de la alta dirección: que es la encargada de establecer

una cultura de identificación y prevención del riesgo, de definir la
política, los canales de comunicación, la asignación de los recursos
necesarios y la designación de un directivo de primer nivel
responsable del diseño e implementación del Proceso de Gestión de
Riesgos.
• Conformación de un Equipo: con servidores de las diferentes áreas
de la organización que conozcan bien la entidad y el funcionamiento
de los procesos para que contribuyan en la elaboración de los mapas
de riesgo institucionales y se reporten directamente con la persona
designada por la alta dirección.
• Capacitación al Equipo: en la metodología de la Administración del
Riesgo, para lo cual la entidad contará con el apoyo de la División de
Investigación, desarrollo y Capacitación Aplicada de la Contraloría
General de la República.
 Definiciones Importantes
Objetivos:
• Operaciones
Mensurables y con
• Información financiera y
posibilidad de
no financiera evaluación, coherentes
• Cumplimiento con la misión.

Globales y Específicos

Las entidades deberán definir sus objetivos globales y

específicos basados en su planificación estratégica y planes de
acción los cuales serán la base para la evaluación de los
riesgos.
Proceso de Gestión de Riesgo

La Gestión de riesgos es un
proceso estructurado,
consistente y continuo
implementado a través de toda
la organización para identificar,
evaluar, medir y reportar
amenazas y oportunidades que
afectan el poder alcanzar el
logro de sus objetivos.
 Fase 1: Establecer el Contexto

En esta Fase se analiza el contexto estratégico, organizacional y de

gestión en los cuales se basará y desarrollará el Proceso de
Gestión de Riesgos.
 Fase 1: Establecer el Contexto
CONTEXTO ESTRATÉGICO

Sociales
Comunidad Clientes

Proveedores Usuarios

Contexto
Legales Estratégico Financieros

ENTIDAD
Culturales Operativos

Imagen Competitivos
Políticos
 Fase 1: Establecer el Contexto
CONTEXTO ORGANIZACIONAL
Valores
Estrategia
Institucionales

Talento
Políticas
humano

CONTEXTO
ORGANIZACIONAL
Estructura O INTERNO Objetivos
interna ENTIDAD
 Factores Externos

Medio
Ambientales: Políticos y
Económicos: Riesgos Sociales:
Tecnológicos: Legales:
Decisiones de ambientales, Comportamiento de
Tecnologías de la Legislación,
política económica, naturaleza, usuarios,
información, actualización,
presupuestaria, de regulaciones de responsabilidad
políticas estatales, cambios en la
la deuda pública, medio ambiente, social, cambios
innovaciones, etc. legislación, lavado
contingencias, etc. normas, desarrollo culturales, etc.
de dinero y activos,
sustentable,
asesoría legal, etc.
decisiones de
impacto, etc.
 Factores Internos

Infraestructura: Personal: Procesos: Tecnología:

Capacidad operativa, Diseño, ejecución,
Continuidad, integridad y
capacidad del personal, oportunidad,
Disponibilidad de confiabilidad, sistemas,
capacitación, supervisión, personal de
activos, capacidad de mantenimiento de
cumplimiento de supervisión, adopción de
activos, etc. sistemas, etc.
disposiciones, etc. medidas, usuarios, etc.
 Resultados de la Primera Fase

Con la realización de esta fase la entidad estará en la posibilidad de obtener los

siguientes resultados:

Identificar los factores externos que pueden ocasionar la

presencia de riesgos, con base en el análisis de la información
externa, los planes y programas de la entidad.

Identificar los factores internos que puedan ocasionar la

presencia de riesgos con base en el análisis del ambiente de
control y demás estudios que sobre la cultura organizacional y
el clima laboral se hayan realizado en la entidad.
Fase 2: Identificación de Riesgos

La identificación de los riesgos debe

efectuarse utilizando un proceso
sistemático para incluir todos los
riesgos de la organización. La idea es
generar una lista de todos los eventos o
circunstancias que podrían afectar a la
entidad para luego a mayor detalle,
identificar lo que puede suceder.

Se pueden aplicar diferentes técnicas de

identificación de los riesgos, lo importante
es considerar las causas y escenarios
posibles de los eventos identificados.
 Técnicas de Identificación de Riesgos
Diagramas de Flujo
Listas de Chequeo

Análisis Causa - Efecto

Lluvia de Ideas
Identificación de Riesgos a través de un
Diagrama de Flujo
 Identificación de Riesgos a través de un
Diagrama de Flujo
TAREAS
1. El empleado sella el cheque con la fecha.
2. El cheque entra en el registro de cheques.
3. El cheque es depositado por el empleado.
4. Los recibos de remesa y el registro de cheques se envían al
administrativo responsable de las cuentas por cobrar.
5. El administrativo responsable de las cuentas a cobrar registra el
cheque en el libro mayor de cuentas por cobrar.
6. El informe de registro se compara con el recibo del depósito.
POSIBLES EVENTOS
El administrativo olvida sellar el cheque.
El administrativo olvida registrar los detalles del cheque.
El administrativo registra detalles incorrectos del cheque.
El administrativo malversa los fondos del cheque.
El cheque se pierde de camino al banco.
El cheque se ingresa en la cuenta bancaria incorrecta.
El banco registra una cantidad incorrecta.
El recibo sellado del depósito se pierde.
Los recibos de la remesa o el registro de cheques se extravían o se
pierden.
Los cheques se aplican en cuentas incorrectas.
Se registra una cantidad incorrecta en la cuenta del cliente.
El administrativo responsable de las cuentas a cobrar no registra los
cheques.
Los detalles no cruzan.
 Fase 2: Identificación de Riesgos
MATRIZ DE RIESGO INSTITUCIONALES
Objetivo Estratégico: Nombre de la Entidad
Estrategia: Nombre de la Dirección u Oficina
Fase 3: Análisis de Riesgos

El análisis de riesgos
consiste en determinar
la probabilidad de
ocurrencia de los riesgos
así como su impacto,
calificándolos con el fin
de establecer el nivel de
riesgo y las acciones que
se requieren implantar.
Probabilidad, Impacto e Importancia
PROBABILIDAD: Es la posibilidad de ocurrencia del riesgo, que
puede ser medida con criterios de Frecuencia (por ejemplo,
número de veces en un tiempo determinado) o Factibilidad,
teniendo en cuenta la presencia de factores internos y externos
que pueden propiciar el riesgo.

IMPACTO: Se entiende las consecuencias del riesgo o la magnitud

de sus efectos.

La IMPORTANCIA del riesgo identificado está relacionada con la

relevancia del factor en la gestión institucional.
 Probabilidad
Valor Escala Concepto
3 Muy Se espera que ocurra al menos una vez al año y ya ha
Probable ocurrido con anterioridad varias veces

2 Puede ocurrir alguna vez/ha ocurrido solo una vez

Probable

No ha ocurrido nunca pero podría ocurrir en los próximos

1 Improbable años o en circunstancias excepcionales

Frecuencia:
 Impacto
Valor Escala Concepto
Las consecuencias amenazarán la supervivencia del programa, proyecto,
3 actividad, proceso de la entidad. Las consecuencias amenazarán la
Alto
efectividad del programa o del cumplimiento de objetivos de la entidad.

Las consecuencias no amenazarán el cumplimiento del programa,

2 Medio proyecto, actividad, proceso, o de los objetivos, pero requerirán cambios
significativos o formas alternativas de operación.
Las consecuencias pueden solucionarse con algunos cambios o pueden
Bajo
1 manejarse mediante actividades de rutina.
 Importancia

Concepto (Factor de Riesgo)

Importancia
Muy importante en el contexto de la entidad, programa, proyecto, actividad
10
o proceso
Factor de riesgo de importancia media o moderada en la gestión de la
5
entidad, programa, proyecto, actividad o proceso.
Factor de riesgo no significativo en la gestión de la entidad, programa,
1
proyecto, actividad o proceso.
 Calificación del Riesgo
Importancia Probabilidad Impacto Total
10 Muy probable 3 Alto 3 90
Medio 2 60
Bajo 1 30
Probable 2 Alto 3 60
Medio 2 40
Bajo 1 20
Improbable 1 Alto 3 30
Medio 2 20
Bajo 1 10
5 Muy probable 3 Alto 3 45
Medio 2 30
Bajo 1 15
Probable 2 Alto 3 30
Medio 2 20
Bajo 1 10
Improbable 1 Alto 3 15
Medio 2 10
Bajo 1 5
1 Muy probable 3 Alto 3 9
Medio 2 6
Bajo 1 3
Probable 2 Alto 3 6
Medio 2 4
Bajo 1 2
Improbable 1 Alto 3 3
Medio 2 2
Bajo 1 1
Riesgo Inherente y Riesgo Residual

Calificación Final: Riesgo Color

De 1 a 10 BAJO Verde

De 11 a 30 MODERADO Naranja

De 31 a 90 ALTO Rojo
Escala de Calificación del Riesgo
RIESGO INHERENTE
Es aquel al que se enfrenta
la entidad en ausencia de
acciones de los directivos
para modificar su
probabilidad o impacto. Se
puede clasificar en alto,
moderado o bajo.
RIESGO RESIDUAL
Es el riesgo remanente
después de que la
dirección haya llevada a
cabo una acción para
modificar la probabilidad o
impacto. Es el que
permanece después de que
la dirección desarrolla sus
respuestas al riesgo, refleja
si se han implantado o no
las acciones de mitigación
del riesgo.
 Fase 3: Análisis y Calificación de Riesgos

MATRIZ DE RIESGO INSTITUCIONALES

Nombre de la Entidad
Objetivo Estratégico: Nombre de la Dirección u Oficina
Estrategia:
 Fase 4: Evaluación de Riesgos

Reportes KRI

Involucra comparar el nivel de

riesgo detectado durante el proceso
de análisis con criterios de riesgo
establecidos previamente por la
dirección, considerando el balance
entre los beneficios potenciales y
resultados adversos.
 Valoración del Riesgo
Reportes Incidentes

La valoración del riesgo se obtiene al

comparar los resultados de la evaluación del
riesgo con los controles existentes o
establecidos en los diferentes procesos por
Datos pérd. ext
Datos pérdida interna parte de la entidad.
Los controles pueden ser preventivos o
correctivos.
Análisis escenarios

Análisis datos pérdida

 Controles

Controles Preventivos

Son aquellos que actúan para eliminar las

causas del riesgo, para prevenir su
ocurrencia o materialización.

Controles Correctivos
Son aquellos que permiten el
restablecimiento de la actividad después de
haber detectado un evento no deseable;
también permiten la modificación de las
acciones que propiciaron su ocurrencia.
Procedimiento de Valoración del Riesgo
Los controles están documentados?

1 Se están aplicando en la actualidad?

Son efectivos para minimizar el riesgo?

Realice la valoración del riesgo frente a los

2 controles existentes.

Ubique el estado final del riesgo, de acuerdo

3 a los resultados obtenidos en la valoración.
 Criterios – Valoración del Riesgo
CRITERIOS VALORACIÓN DEL RIESGO
No existen controles
Se mantiene el resultado de la evaluación antes de
controles
Los controles existentes no son efectivos

Los controles existentes son efectivos pero no Cambia el resultado a una casilla inferior de la
están documentados matriz de evaluación antes de controles (el
desplazamiento depende de si el control afecta el
impacto o la probabilidad).

Los controles son efectivos y están documentados Pasa a escala inferior (el desplazamiento depende
de si el control afecta el impacto o la probabilidad).
 Ejemplos de controles existentes
Controles de Gestión Políticas claras aplicadas
Seguimiento al plan estratégico y operativo
Indicadores de gestión Controles Legales Normas claras aplicadas
Seguimiento al Cronograma Control de Términos
Evaluación del desempeño
Informe de Gestión

Monitoreo de riesgos Gestión Operativos Legales

Controles Operativos Conciliaciones
Consecutivos Gestión Tablero de Comando
Verificación de firmas
Listas de chequeo
Registro controlado
Segregación de funciones
Niveles de autorización
Custodia apropiada
Procedimientos formales aplicados
Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
 Fase 4: Matriz de evaluación de riesgos

MATRIZ DE RIESGO INSTITUCIONALES

Nombre de la Entidad
Objetivo Estratégico: Nombre de la Dirección u Oficina
Estrategia:
 Priorización de los Riesgos

Para la priorización de los

riesgos se procederá a
La priorización permitirá
listarlos con el criterio de
establecer aquellos que
mayor a menor puntaje,
puedan causar mayor
con lo cual se dispondrá
impacto a la entidad en
de una base para decidir
caso de materializarse.
sobre la prelación del
tratamiento.
 Fase 5: Tratamiento de los Riesgos

Gestión o Tratamiento de los Riesgos:

Consiste en realizar un plan de acción para
responder a los riesgos relevantes de una entidad,
identificando las opciones para mitigarlos, su
valoración y la implementación del plan para
llevarlas a cabo.

Son las acciones que la entidad toma para prevenir

o corregir los impactos de eventos que afectarían
el logro de los objetivos
 Alternativas de Mitigación

Prevenir : Se logra cuando al interior de los procesos se generan

cambios sustanciales por mejoramiento, rediseño o eliminación,
resultando controles adecuados y actividades emprendidas.

Disminuir: Se toma medidas para disminuir la probabilidad y el

impacto, mediante la optimización de los procedimientos y la
implementación de controles.

Transferir: Traspaso de las pérdidas a otras organizaciones, que

permitan distribuir una porción del riesgo con otra entidad.

Asumir: Luego que el riesgo el riesgo ha sido reducido o

transferido puede queda un riesgo residual que se mantiene, se
acepta la pérdida y se elabora planes de contingencia.
Proceso de Tratamiento de los Riesgos
 Ejemplos de respuesta al riesgo
Evitar
 Prescindir de las actividades de una unidad
organizativa.
 Terminar con las actividades de un programa,
proyecto o sistema.
 Decidir no emprender nuevas
iniciativas/actividades que podrían dar lugar a
riesgos.
Reducir
 Diversificar las ofertas de servicios.
 Establecer límites en la ejecución del
presupuesto por región o unidad.
 Aumentar la implicación de la dirección en la
toma de decisiones y el seguimiento.
 Reasignar los recursos presupuestarios entre las
unidades operativas.
Compartir
 Adoptar seguros contra pérdidas inesperadas
significativas.
 Establecer acuerdos con otros servicios o entidades
públicas o privadas.
 Distribuir el riesgo mediante acuerdos contractuales con
entidades que actúen, proveedores u otros interesados.
Aceptar
 Provisionar las posibles pérdidas.
 Aceptar el riesgo si se adapta al nivel máximo
preestablecido.
 Aceptar el riesgo si se adapta a las tolerancias al riesgo
existente.
Plan de Mitigación o Tratamiento de los Riesgos

Plan de Mitigación o Tratamiento de los Riesgos

Cronograma

Responsables
Actividades Recursos Indicadores
(Cargo)
Duración Fecha Inicio Fecha Término
 MONITOREAR Y REVISAR
Los riesgos y la efectividad de las medidas
de control requieren ser monitoreadas
para asegurar que las circunstancias
cambiantes no alteren las prioridades de
los riesgos, éstos no son estáticos, pueden
cambiar los factores que podrían afectar
las probabilidades y consecuencias de un
resultado, por lo que es indispensable
revisar el ciclo de administración de
riesgos en forma constante. Una vez diseñado y aprobado el plan de
mitigación de los riesgos, es preciso
monitorear la ejecución de las
actividades previstas para evaluar la
eficiencia de su implementación e
identificar sobre la marcha los factores
que pueden influir en la aplicación de las
acciones de prevención.
 COMUNICAR Y CONSULTAR
• Una comunicación efectiva interna y externa,
en todas las fases del proceso, con los
servidores responsables de implementar la
administración de riesgos y con los grupos de
interés relacionados con las operaciones de la
entidad, es fundamental para lograr coordinar
las acciones y tomar las mejores decisiones en
el manejo de riesgos. Es importante contar
con sistemas de información que generen de
manera oportuna datos suficientes, confiables
y completos para posibilitar una comunicación
y control eficaces.
MUCHAS GRACIAS