Documento Tecnico N 71V02 Aseguramiento Al Proceso de Gestion de Riesgos en El Sector Publico PDF

DOCUMENTO TCNICO N 71
Versin 0.2
ASEGURAMIENTO AL PROCESO DE GESTIN DE RIESGOS

EN EL SECTOR PBLICO
Este documento est orientado a entregar directrices a los auditores internos para el
aseguramiento integral al Proceso de Gestin de Riesgos implementado por las
organizaciones gubernamentales.
Marzo 2016
MINISTERIO SECRETARA
GENERAL DE LA PRESIDENCIA
CAIGG
rea de Estudios
Consejo de Auditora Interna General de Gobierno
TABLA DE CONTENIDOS
MATERIAS
PGINA
PRESENTACIN
1.- ANTECEDENTES GENERALES
2.- OBJETIVO GENERAL DEL DOCUMENTO
3.- ALCANCE
4.- OPORTUNIDAD Y PERIODO
5.- EQUIPO DE TRABAJO REQUERIDO
6.- HORAS DE AUDITORA ESTIMADAS
7.- CRONOGRAMA ESPECFICO
8.- FUENTES DE INFORMACIN
9.- METODOLOGA
10.- OBJETIVOS Y PROCEDIMIENTOS DE AUDITORA (MNIMOS) POR FASES DEL PROCESO DE GESTIN DE RIESGOS
10.1.- ASEGURAMIENTO FASES PROCESO DE GESTIN DE RIESGOS
a.- FASE ESTABLECIMIENTO DEL CONTEXTO
b.- FASE IDENTIFICACIN DE RIESGOS
c.- FASE ANLISIS DE RIESGOS
d.- FASE VALORACIN DE RIESGOS
e.- FASE TRATAMIENTO DE RIESGOS
f.- FASE COMUNICACIN Y CONSULTAS
g.- FASE MONITOREO Y REVISIN
10.2.- ASEGURAMIENTO DEL CUMPLIMIENTO Y ADECUACIN DE LAS ACCIONES DEFINIDAS EN EL PLAN DE
TRATAMIENTO
11.- REPORTES DEL ASEGURAMIENTO AL PROCESO DE GESTIN DEL RIESGO AL CONSEJO DE AUDITORA INTERNA
GENERAL DE GOBIERNO
2
3
4
4
4
5
5
5
5
6
6
7
7
12
18
22
23
27
29
30
33
PRESENTACIN
Como una de las iniciativas tendientes al fortalecimiento de la Auditora Interna considerado en el Programa de Gobierno de S.E.
la Presidenta de la Repblica, Michelle Bachelet; el Consejo de Auditora Interna General de Gobierno, entidad asesora en
materias de auditora interna, control interno, gestin de riesgos y gobernanza, tiene el rol de promover la mejora continua de la
funcin de auditora interna gubernamental, y entregar recursos a la red de auditores para la generacin de competencias y
perfeccionamiento tcnico de su trabajo, considerando las ltimas tendencias de auditora interna y las mejores prcticas
aceptadas a nivel nacional e internacional.
En este mbito, se pone a disposicin de la red de auditores gubernamentales, el Documento Tcnico N 71, denominado
Aseguramiento al Proceso de Gestin de Riesgos en el Sector Pblico. Este documento est concebido para ser una gua a ser
aplicada por los auditores internos en el aseguramiento integral al Proceso de Gestin de Riesgos implementado por las
organizaciones gubernamentales.
Santiago, marzo 2016.
Daniella Caldana Fulss

Auditora General de Gobierno
1.- ANTECEDENTES GENERALES

Las Organizaciones Gubernamentales de la Administracin del Estado, desde 2007 han implementado, mantenido y mejorado
Procesos de Gestin de Riesgos, con el objetivo de mejorar sus procesos y maximizar las posibilidades de cumplir sus metas y
objetivos en forma adecuada. En el marco del Proceso de Gestin de Riesgos, las organizaciones gubernamentales han adoptado
en general las siguientes acciones:
Cumplir las directrices que sobre la materia ha formulado el Consejo de Auditora Interna General de Gobierno.
Asumir las autoridades superiores de los ministerios, servicios, intendencias y empresas del Estado la responsabilidad
de la adopcin de medidas tendientes a la gestin efectiva de los riesgos, especialmente los de mayor criticidad para la
entidad, informando de ello al Consejo de Auditora Interna General de Gobierno.
Disponer de los recursos necesarios para la correcta implementacin y funcionamiento del Proceso de Gestin de Riesgos
en la entidad.
Dentro del contexto de gestin de riesgos, los auditores internos de las organizaciones gubernamentales, deben entregar a las
autoridades superiores un aseguramiento razonable al Proceso de Gestin de Riesgos y una adecuada retroalimentacin para su
mejora continua.
A partir del ao 2014, el enfoque metodolgico de la gestin de riesgos para la Administracin del Estado, se basa principalmente,
pero no en forma exclusiva, en las Normas Chilenas NCh-ISO 31000:2012, Gestin del Riesgo - Principios y Orientaciones, NChISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo, NCh- ISO Gua 73:2012, Gestin del Riesgo
Vocabulario y NCh-ISO 31004:2014 Gestin del Riesgo Orientacin para la implementacin de ISO 31000, todas estas, emitidas
por el Instituto Nacional de Normalizacin (INN), organismo que tiene a su cargo el estudio y preparacin de las normas tcnicas
en Chile.
Para el xito del Proceso de Gestin de Riesgos, es necesaria una revisin permanente y una mejora continua del proceso, por lo
cual es necesaria una retroalimentacin que permita prevenir y mejorar aspectos del funcionamiento, con el fin de asegurar un
mejoramiento continuo de los procesos de gestin de riesgo, control y gobierno de la organizacin. En este marco, la accin de la
auditora interna es fundamental y uno de sus roles respecto del Proceso de Gestin de Riesgos es el de proveer aseguramiento
objetivo a la direccin sobre la efectividad de las actividades de dicho proceso. Este proceso de retroalimentacin ayudar a
asegurar que los riesgos claves de negocio han sido identificados en forma adecuada y estn siendo gestionados apropiadamente
y que el sistema de control interno est siendo operado efectivamente.
A contar del ao 2016, se han incorporado en el Proceso de Gestin de Riesgos, elementos conceptuales y metodolgicos para
identificar y analizar seales de alerta para delitos de lavado de lavado de activos (LA), financiamiento del terrorismo (FT) y delitos
funcionarios (DF).
Finalmente, al considerar lo dispuesto en las directrices y requerimientos sobre la mantencin y mejoramiento del proceso de
gestin de riesgos emitidas por el Consejo de Auditora, se desprende que cada organizacin gubernamental puede aplicar su
propio modelo de gestin de riesgos, previa aprobacin del Consejo de Auditora. Por esta razn, el auditor interno deber tener
en cuenta las particularidades de dicho modelo y efectuar, de ser necesario, los ajustes pertinentes al Programa Marco elaborado,
con el fin de efectuar el debido aseguramiento al proceso de gestin de riesgos. Sin perjuicio de lo anterior, el Programa Marco del
Consejo de Auditora incluye la revisin de los aspectos fundamentales para una adecuada implementacin de un Proceso de
Gestin de Riesgos, por lo que se debe considerar como base a utilizar por las unidades de auditora interna.
2.- OBJETIVO GENERAL DEL DOCUMENTO
Documentar y facilitar la implementacin del Aseguramiento del Proceso de Gestin de Riesgos, con la finalidad de entregar a las
autoridades superiores un aseguramiento razonable al Proceso de Gestin de Riesgos y una adecuada retroalimentacin para
su mejora continua, entregando directrices y procedimientos uniformes, de manera tal que los auditores internos utilicen este
documento como gua para dar aseguramiento a la direccin de que el Proceso de Gestin de Riesgos funciona adecuadamente
y los riesgos claves son identificados y tratados de manera de mantener los riesgos de la organizacin gubernamental dentro de
los niveles tolerables.
3.- ALCANCE
El aseguramiento que se instruye a travs de este Documento Tcnico incluye todas las fases del Proceso de Gestin de Riesgos.
Por otra parte, hay que destacar que el aseguramiento al proceso de gestin de riesgos debe ser constante y que las auditoras
del correspondiente Plan Anual que se ejecuten, debern pronunciarse sobre la razonabilidad de los elementos componentes de
la Matriz de Riesgos Estratgica (procesos, objetivos, riesgos, controles, tratamiento).
4.- OPORTUNIDAD Y PERIODO

Se refiere a la fecha de comienzo de realizacin de la auditora y a la estimacin del perodo de tiempo que se emplear en la
programacin, ejecucin e informe de auditora.
El Consejo de Auditora podr solicitar que se programe y reporte esta auditora de aseguramiento, informando oportunamente las
fechas, requisitos y formatos requeridos.
El programa de auditora que se contiene en el presente documento, deber desarrollarse considerando los procedimientos
mnimos de auditora que se indican.
5.- EQUIPO DE TRABAJO REQUERIDO
Esta variable de trabajo depende de cada organizacin gubernamental.
6.- HORAS DE AUDITORA ESTIMADAS
Esta variable de trabajo depende de cada organizacin gubernamental. Sin perjuicio de lo anterior, en los casos que el Consejo de
Auditora solicite el reporte de este aseguramiento, deben considerarse los plazos para la entrega del informe y los dems
antecedentes de la auditora, que dicho Consejo de Auditora informe oportunamente.
7.- CRONOGRAMA ESPECFICO
Depender de cada organizacin gubernamental, siendo necesario que los cronogramas consideren en su elaboracin, las fechas
mximas de entrega establecidas de los productos requeridos, las que el Consejo de Auditora informar oportunamente.
8.- FUENTES DE INFORMACIN
Papeles de trabajo y productos del Proceso de Gestin de Riesgo de cada organizacin gubernamental.
Informes de auditora, en particular la retroalimentacin del Proceso de Gestin de Riesgo especfica de la materia
sometida a evaluacin.
Documento Tcnico sobre Mantencin y Mejoramiento de las actividades asociadas al Proceso de Gestin de Riesgos,
publicado por el Consejo de Auditora.
Documento Tcnico sobre Planificacin del Trabajo de Auditora Interna, publicado por el Consejo de Auditora.
Documento Tcnico sobre Comunicacin del Trabajo de Auditora Interna, publicado por el Consejo de Auditora.
Documento Tcnico sobre Seguimiento del Trabajo de Auditora Interna, publicado por el Consejo de Auditora.
Gua Seales de Alerta, publicada en la pgina web de la Unidad de Anlisis Financiera (UAF);
http://www.uaf.gob.cl/entidades/tipo_senales.aspx
Gua de Recomendaciones para el Sector Pblico en la implementacin de un sistema preventivo contra los delitos
funcionarios, el lavado de activos y el financiamiento del terrorismo (Adjunta al Oficio Circular N 20/2015 del Ministerio
de Hacienda).NCh-ISO 31000:2012, Gestin del Riesgo - Principios y Orientaciones.
NCh-ISO 31010:2013, Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo.
NCh- ISO Gua 73:2012, Gestin del Riesgo - Vocabulario.
NCh-ISO 31004:2014 Gestin del Riesgo - Orientacin para la implementacin de ISO 31000.
Oficio Circular N 20/2015 del Ministerio de Hacienda. Orientaciones generales para el Sector Pblico en relacin al
inciso sexto del artculo 3 de la ley N 19.913.
9.- METODOLOGA
Programar la auditora: Estudiar el Programa Marco entregado por el Consejo de Auditora para su ejecucin. En el caso
que se adicionen objetivos y procedimientos de auditora, se debern agregar al programa y hacer llegar al Consejo de
Auditora.
Ejecutar la actividad de auditora sobre la base del programa.
Analizar los resultados de la ejecucin de la auditora (hallazgos, efectos, recomendaciones y compromisos).
Informar al Jefe de la organizacin gubernamental y al Consejo de Auditora si corresponde, de los resultados, terminada
la auditora o en las fechas que se indiquen oportunamente por dicha entidad.
Programar la auditora de seguimiento de las recomendaciones derivadas del informe de la auditora de aseguramiento.
En el caso que no se efecte el seguimiento al 100% de los compromisos que derivaron del informe de auditora, el
programa deber remitirse al Consejo de Auditora en la fecha que ese organismo informe.
Ejecutar la auditora de seguimiento a la implementacin de acciones correctivas y preventivas surgidas producto de las
recomendaciones de auditora.
Informar al Jefe de la organizacin gubernamental e informar al Consejo de Auditora del resultado del seguimiento.
10.- OBJETIVOS Y PROCEDIMIENTOS DE AUDITORA (MNIMOS) POR FASES DEL PROCESO DE GESTIN DE RIESGOS
A continuacin se presentan en detalle para cada fase del Proceso de Gestin de Riesgos, los riesgos potenciales que se han
identificado en dicha actividad, los objetivos especficos de la auditora de aseguramiento que deber realizarse en base a este
documento, y por ltimo, los procedimientos mnimos que deberan llevarse a cabo.
Es necesario relevar que lo que se define a continuacin, es un Programa Marco para realizar la auditora de aseguramiento al
Proceso de Gestin de Riesgos, que puede ser complementado por la Unidad de Auditora Interna de la organizacin
gubernamental. Tal como se seal anteriormente, en caso de adicionar nuevos riesgos o procedimientos, estos deben agregarse
en el programa especfico de auditora de aseguramiento, el que deber enviarse al Consejo de Auditora en la fecha que ste
informar oportunamente. Asimismo, en el caso que la organizacin gubernamental presente un Modelo propio de gestin de
riesgos y ste sea aprobado por el Consejo, el Auditor Interno deber considerar las variables del mismo, y por tanto deber
ajustar el Programa Marco, en este caso el programa especfico de auditora de aseguramiento deber presentarse al Consejo de
Auditora en la fecha que ste informar oportunamente.
Por ltimo, es necesario destacar que cada auditora del Plan Anual que se ejecute durante el ao, constituye indirectamente una
actividad de aseguramiento, puesto que el auditor deber pronunciarse sobre la segregacin de procesos, subprocesos y etapas,
los objetivos, riesgos y controles identificados en la Matriz de Riesgos Estratgicos de cada organizacin gubernamental.
10.1.- ASEGURAMIENTO FASES PROCESO DE GESTIN DE RIESGOS
a- FASE ESTABLECIMIENTO DEL CONTEXTO
Cuadro N 1
Actividades Relevantes
de la Fase
Riesgos que se Examinan

Asociados a la Fase
Objetivos Especficos del

Aseguramiento
Pruebas de Auditora Mnimas

Examinar la Poltica de Gestin de Riesgos,
aprobada por la Direccin, analizando:
Formular y aprobar la Poltica y

Filosofa de Gestin de Riesgos
de la organizacin.
Si alude a la misin u objetivos

estratgicos
de
la
organizacin
gubernamental.
No se define en la poltica que

se
trataran
los
riesgos
relevantes o estratgicos.
Verificar que la Poltica de Gestin de

Riesgos se orienta a la administracin
de los riesgos importantes para la
organizacin gubernamental.
Falta de coherencia entre la

poltica de calidad y la de
Gestin de Riesgos.
Verificar que la Poltica de Gestin de

Riesgos incorpora criterios de calidad,
a lo menos, referido a la forma de
documentacin de la misma.
Si establece la gestin de riesgos como

herramienta para el logro de los
objetivos
de
la
organizacin
gubernamental.
Si define que se tratarn aquellos

procesos relevantes o estratgicos para
la organizacin gubernamental.
Incorpora, en forma directa o indirecta,

criterios asociados a la calidad.
de la Fase
La direccin nombra responsables

del Proceso de Gestin de los
Riesgos y define sus funciones.

Asociados a la Fase

Aseguramiento
No
todos
los
roles
correspondientes al proceso
estn definidos o estn mal
asignados.
Verificar que los roles se hayan

asignado conforme a las diversas
funciones que se requieren para la
adecuada implantacin del proceso.
No
todas
las
personas
designadas en los roles
definidos han cumplido su
funcin en la implementacin
del proceso.
Verificar que las personas designadas

en sus roles, hayan cumplido
oportuna y efectivamente con las
funciones asignadas por la Direccin.
Falta de oportunidad en el
reemplazo
de
personas
renunciadas o removidas, que
tenan asignado roles en el
Proceso
de
Gestin
de
Riesgos.
Verificar
que
las
personas
renunciadas o removidas, que tenan
asignado
roles,
hayan
sido
reemplazadas y que esto se haya
materializado en forma oportuna.
Se integra con la poltica de gestin de

calidad.
La direccin se compromete a la
revisin peridica del Proceso de
Gestin de Riesgos.
Examinar la resolucin que designa los

roles en el Proceso de Gestin de Riesgos
respecto de:
Si existen definidas instancias de

diverso
nivel
jerrquico (decisorio,
operativo y de supervisin y monitoreo).
Si se ha asignado al auditor el rol de

aseguramiento del Proceso de Gestin
de Riesgos.
Verificar
si
existen
nuevos
nombramientos en reemplazo de
personas que ya no forman parte de la
Verificar las actas de las reuniones o los

documentos que dan cuenta de trabajo
del Comit de Riesgos, de encargados
de riesgos, coordinadores u otra
instancia y examinar:
-
Periodicidad de las reuniones.

Designacin de tareas.
Desarrollo de tareas.
Acciones preventivas o correctivas
adoptadas.
Supervisin
de
las
labores
ejecutadas.
Aprobacin de lo realizado por las
instancias decisorias.
de la Fase

Asociados a la Fase

Aseguramiento

Examinar la Matriz de Riesgos u otra
herramienta y concluir sobre:
Levantamiento de procesos con

enfoque de procesos de negocio y
procesos de soporte.
El levantamiento se hizo bajo

un
enfoque
funcional
o
departamental.
Verificar que el levantamiento de

procesos que se realiz para la
confeccin de la Matriz de Riesgos,
contemple los procesos de negocios
de la organizacin gubernamental, as
como aquellos necesarios para el
desarrollo del negocio (soporte), de
acuerdo a los procesos priorizados
como resultado de la aplicacin de la
metodologa
dispuesta
en
las
directrices sobre gestin de riesgos
emitidas por el Consejo de Auditora.
a) Razonabilidad de los procesos de

negocios identificados:
Estn bien identificados los procesos de
negocios.
Se identifican aquellos que se relacionan
directamente con los productos de la
Se identifican con los nombres y los
componentes (subproceso, etapa) que
se
definen
en
los
documentos
institucionales.
b) Razonabilidad de los procesos de soporte
identificados:
Estn bien identificados los procesos

que sirven de soporte para los
anteriores.
Se han identificado adecuadamente con
los nombres y componentes que
aparecen en las leyes, reglamentos y
normas internas.
c) Si en los procesos levantados puede

observarse que se inician en una
dependencia o divisin y terminan en otra.
Clasificacin de procesos en la
categora
de
procesos
transversales en la Administracin
del Estado de acuerdo a las
directrices
del
Consejo
de
Auditora.
Analizar la Matriz de Riesgos

herramienta y observar si:
Procesos mal clasificados en
las categoras definidas.
Procesos clasificados en dos o
ms categoras.
Verificar que todos los procesos

clasificados
transversalmente
correspondan a la categora de
acuerdo a la definicin tcnica.
otra
Los procesos calificados en procesos

transversales se clasificaron en las
categoras correspondientes a soporte y
negocio, como lo sealan las directrices
sobre gestin de riesgos emitidas por el
Consejo de Auditora.
de la Fase

Asociados a la Fase

Aseguramiento
El proceso que fue calificado como

transversal, cumple con los elementos
que, de acuerdo a las directrices sobre
gestin de riesgos emitidas por el
Si se defini un proceso en una
categora distinta a la sealada en las
revisar que existe algn documento que
lo respalde.
Si los procesos se encuentran

clasificados slo dentro de una
categora.
Examinar la aplicacin de la Metodologa de
Identificacin y Priorizacin de Procesos
Crticos en la organizacin gubernamental,
de acuerdo a las directrices sobre gestin de
riesgos emitidas por el Consejo de Auditora.
y examinar:
Niveles de contribucin a los

objetivos estratgicos no son
consistentes con la importancia
de los procesos institucionales.
La priorizacin de procesos
crticos se realiza de acuerdo a las
directrices
del
Consejo
de
Auditora.
No se evala la totalidad de los

procesos institucionales.
No se desagregan los procesos

ms crticos de la organizacin
gubernamental o no se cumple
con el porcentaje mnimo de
procesos
que
deben
considerarse de acuerdo las
directrices sobre
gestin de
riesgos emitidas por el Consejo
de Auditora o de acuerdo con
instrucciones
formales
entregadas por otra va.
Verificar la razonabilidad de la
evaluacin
de
los
procesos
institucionales y su nivel de
contribucin
a
los
objetivos
estratgicos.
10
Que se hayan incorporado en el

anlisis
todos
los
procesos
organizacionales y, considerando,
su relacin con todos los objetivos
estratgicos de la institucin.
Que los niveles de contribucin al

cumplimiento de los objetivos
estratgicos estn razonablemente
determinados y evaluados.
Qu tipo de procesos tiene mayor

nivel de contribucin a los objetivos
estratgicos (negocio o soporte).
de la Fase

Asociados a la Fase

Aseguramiento
En caso que los procesos de

soporte tengan ponderacin mayor
a los de negocio, en cuanto a su
nivel de contribucin a los objetivos
estratgicos, exista justificacin
adecuada.
Existencia de alguna instruccin

general
de
la
administracin
referente a las ponderaciones (Ej.:
instruccin de ponderar ms
elevadamente a procesos de
negocio).
Que se haya seleccionado para el

modelamiento de riesgos, a lo
menos el porcentaje mnimo de los
procesos institucionales y se haya
cumplido con los criterios de
seleccin
definidos
en
las
emitidas por el Consejo de Auditora
o de acuerdo con instrucciones
formales entregadas por otra va
Examinar el contenido del cuadro N 5 que

debi ser confeccionado de acuerdo a las
directrices sobre gestin de riesgos emitidas
por el Consejo de Auditora y examinar:
La ponderacin estratgica de los

subprocesos se realiza de acuerdo
a las directrices del Consejo de
Auditora.
Ponderaciones no justificadas
o
justificadas
en
forma
deficiente.
Ponderaciones que no son

consistentes con la importancia
de los subprocesos a nivel
Verificar que los subprocesos estn

razonablemente ponderados y que
estn justificados de acuerdo a un
criterio tcnico.
11
Las ponderaciones de los subprocesos,

son razonables en trminos de la
importancia o relevancia que cada uno
de ellos tienen para el logro del objetivo
del proceso.
La justificacin de las ponderaciones

obedece a criterios tcnicos definidos en
las directrices sobre gestin de riesgos
de la Fase

Asociados a la Fase
estratgico.

Aseguramiento

emitidas por el Consejo de Auditora, o
bien a criterios objetivos que se
explicitan en ese documento.
b.- FASE IDENTIFICACIN DE RIESGOS

Cuadro N 2
de la Fase

Asociados a la Fase

Aseguramiento

Analizar la Matriz de Riesgos de la
organizacin
gubernamental
u
otra
herramienta comprobando:
Levantamiento de informacin:
Desagregacin en subprocesos,
etapas y actividades.
Procesos con deficiencias en

el grado de desagregacin,
exceso
o
falta
de
desagregacin.
Verificar que la identificacin de

subprocesos corresponda a una
razonable segregacin de los
componentes de cada proceso de
acuerdo a las caractersticas de la
Comprobar
que
las
etapas
identificadas tengan segregacin de
las diversas actividades que la
componen y que se relacionan con
los riesgos identificados.
12
Si la desagregacin de los procesos se

presenta razonable, considerando los
componentes (subprocesos y etapas) que se
han identificado, en relacin a los que
sealan los reglamentos, instrucciones y
documentos
que
norman directa o
indirectamente la ejecucin de los procesos
al interior de la organizacin gubernamental.
Debe especialmente determinar si:
Los subprocesos que conforman los

procesos identificados, estn unidos en
una lgica de entrada, transformacin y
salida o si por el contrario, son
independientes entre s y ms bien
conforman procesos distintos.
Las etapas que conforman un

subproceso estn unidas en una lgica
de entrada, transformacin y salida y la
salida de una constituye la entrada de la
siguiente.
de la Fase

Asociados a la Fase

Aseguramiento
Si en las etapas se considera las

diversas actividades que las conforman,
de acuerdo con los documentos que
norman los procesos y lo sealado por
los encargados de ellos.
Si existen algunos procesos o subprocesos

que podran corresponder a componentes
menores que fueron elevados errneamente
a una jerarqua que no corresponde.
Si existe algn proceso o subproceso
especfico (sealando cul) en el cual la
desagregacin sea errnea o deficiente.
Si existen subprocesos o etapas omitidas
(sealando cul).
Si se han creado o reformulado procesos,
sistemas o programas que no hayan sido
levantados en la Matriz de Riesgos. y que a
juicio
del
auditor
interno
requieren
incorporarse.
Examinar la Matriz de Riesgos
de la
organizacin
gubernamental
u
otra
herramienta comprobando que:
Las etapas tengan asociado, al menos, un
objetivo operativo.
Identificacin de los objetivos
operativos de las etapas.
Deficiente definicin de los

objetivos operativos de las
etapas.
Falta de detalle en
identificacin del objetivo.
la
Comprobar
que
los
objetivos
identificados contienen los adjetivos
que describen correctamente la
finalidad de la etapa especfica.
13
El o los objetivos operativos correspondan

razonablemente a la finalidad de la etapa
contenida en los documentos que norman
el proceso o en lo sealado por el
encargado del proceso.
de la Fase

Asociados a la Fase
Inconsistencia de los objetivos
operativos con la normativa
que regula el proceso.

Aseguramiento

El o los objetivos estn definidos en
trminos detallados y contengan los
adjetivos que apunten a la completitud del
mismo. Por ejemplo, no es igual un
objetivo que se defina como publicar a
otro que seale publicar en forma
completa y oportuna.
Si en una o ms etapas especficas existen
objetivos que estn definidos en forma
pobre o errnea, de manera que no
permitan
identificar
otros
riesgos
relevantes que podran afectar a la etapa.
El auditor debe examinar la Matriz de Riesgos
de la organizacin gubernamental u otra
herramienta, comprobando que:
Riesgos
relevantes
identificados.
Identificacin de los riesgos que
afectan los objetivos de las etapas
de cada proceso.
Se contienen en forma razonable todos los

riesgos asociados a las etapas.
no
Deficiente descripcin de los

riesgos.
Verificar que los riesgos identificados

se relacionan directamente con las
etapas y que su potencial concrecin
afecte el cumplimiento del objetivo
de la misma.
Riesgos no relacionados con el

objetivo operativo de la etapa a
la cual se han asociado.
Clasificacin de riesgos de
acuerdo a la tipologa de riesgos
establecida en las directrices del
Riesgos mal clasificados.

Riesgos clasificados en ms
de una categora.
Comprobar que los riesgos han sido

clasificados en forma razonable en
las categoras entregadas por las
emitidas por el Consejo de Auditora,
de acuerdo a los tipos de riegos
internos o externos.
14
Se pueden derivar los riesgos de las

diversas actividades que se desarrollan al
interior de la etapa.
Los riesgos se pueden relacionar con el o
los objetivos operativos, esto implica que
puede verse claramente que si un riesgo
se concreta afecta el cumplimiento del
objetivo operativo de la etapa.
El auditor debe analizar la Matriz de Riesgos
herramienta, comprobando si:
Los riesgos estn clasificados en una sola
categora (interna o externa).
Los
riesgos
estn
clasificados
razonablemente de acuerdo a su causa u
de la Fase

Asociados a la Fase

Aseguramiento

origen (interna o externa).
Los
riesgos
estn
clasificados
razonablemente de acuerdo a las
directrices sobre
gestin de riesgos
Los riesgos tienen una sola clasificacin en
una sola tipologa (procesos, personas,
econmicos, etc.)
Los
riesgos
estn
clasificados
razonablemente en la tipologa (procesos,
personas, sociales, etc.)
Identificacin de
riesgos relativos
Electrnico.
procesos y
al Gobierno
Falta de identificacin de
riesgos asociados al Gobierno
Electrnico.
No se identifican riesgos de
Gobierno Electrnico al interior
de los procesos en forma
integral.
No se identifican controles
relacionados con riesgos de
Gobierno Electrnico.
Si en uno o ms procesos o etapas de la

muestra existen riesgos errneos o mal
calificados (sealando cul).
herramienta, y comprobar si:
Confirmar la identificacin de riesgos
relacionados con el Gobierno
Electrnico,
de
acuerdo
al
mejoramiento de procesos con TIC
que haya realizado la organizacin
gubernamental,
junto
con
la
identificacin de controles asociados
a esos riesgos.
Se han mejorado procesos con TIC en la

Se han identificado
Gobierno Electrnico.
procesos
sobre
Se han identificados riesgos relacionados

con el Gobierno Electrnico.
Los riesgos referidos a Gobierno
Electrnico se han identificado al interior
de los procesos que han sido mejorados
con TIC.
Se han identificado controles que apuntan
a reducir o mitigar los riesgos
relacionados con Gobierno Electrnico.
15
de la Fase

Asociados a la Fase

Aseguramiento
Identificacin de seales de alerta

relacionadas con los delitos de
lavado
de
activos
(LA),
financiamiento del terrorismo (FT)
o delitos funcionarios (DF),
asociadas a los riesgos contenidos
en
la
Matriz
de
Riesgos
Estratgica.
seales de alerta LA/FT/DF, que
sean
relevantes
para
la
Confirmar la identificacin y anlisis

de seales de alerta relacionadas
con los delitos de lavado de activos
(LA), financiamiento del terrorismo
(FT) o delitos funcionarios (DF),
en la Matriz de Riesgos Estratgica.
Pobre
o
identificacin de
alerta LA/FT/DF.
inadecuada
seales de

de la organizacin gubernamental y
comprobar o determinar si:
Se han identificado seales de alerta

LA/FT/DF, asociados a los riesgos.
Las seales de alerta identificadas son

correctas y/o suficientes o existen otras,
asociados a los riesgos, que no se han
identificado.
La calificacin o tipo de la seal de alerta

(LA/FT/DF) es adecuada.
Se ha identificado adecuadamente el cargo
asociado a la seal de alerta.
Identificacin de seales de alerta

relacionadas con los delitos de
lavado
de
activos
(LA),
financiamiento del terrorismo (FT)
o delitos funcionarios (DF), No
en
la
Matriz
de
Riesgos
Estratgica.
seales de alerta LA/FT/DF, que
sean
relevantes
para
la
Pobre
o
identificacin de
alerta LA/FT/DF.
inadecuada
seales de
Confirmar la identificacin y anlisis

de seales de alerta relacionadas
con los delitos de lavado de activos
(LA), financiamiento del terrorismo
(FT) o delitos funcionarios (DF), No
en la Matriz de Riesgos Estratgica.
Se han identificado adecuadamente los

controles que apunten a reducir o mitigar
las seales de alerta (LA/FT/DF)
relacionadas con los riesgos.
El auditor debe analizar los reporte de la

organizacin
gubernamental
donde
se
identifican seales de alerta No asociadas a
los riesgos contenidos en la Matriz de Riesgos
Estratgica, y comprobar o determinar si:
Se han identificado, en forma adecuada,

seales de alerta LA/FT/DF No asociados
a los riesgos contenidos en la Matriz de
Riesgos Estratgicos.
La calificacin o tipo de la seal de alerta

(LA/FT/DF) es adecuada.
Se ha identificado adecuadamente el cargo
16
de la Fase

Asociados a la Fase

Aseguramiento

asociado a la seal de alerta.
Se han identificado adecuadamente los

controles (Nivel de Cobertura de la Seal
de Alerta) que apunten a reducir o mitigar
las seales de alerta (LA/FT/DF) No
relacionadas con los riesgos.
Si las medidas correctivas y preventivas

propuestas
mitigan
la
potencial
materializacin de las seales de alerta.

herramienta, y comprobar si:
Falta de identificacin
controles claves.
de
Deficiencias en la descripcin
de los controles (quin, cmo
qu, cundo).
Distorsiones en la descripcin
de los controles en relacin a
la realidad.
Identificacin de controles.
Controles que no mitigan
directamente al riesgo al que
se asocian en el levantamiento
de la informacin.
Identificar
como
controles
actividades que tcnicamente
no correspondan a actividades
de control.
Confrontar los controles identificados

con los existentes en cada proceso
de la organizacin gubernamental.
Comprobar
que
los
controles
identificados sean los que mitiguen,
al menos tericamente, los riesgos a
los que se asocian.
Verificar que las descripciones de los
controles
se
ajusten
a
las
caractersticas que estos poseen
(peridico, permanente, ocasional /
preventivo,
correctivo,
manual/
manual, semi - automatizado,
automatizado).
Cada riesgo tiene asociado al menos un

control.
Si no tiene asociado un control, entonces
se ha definido como inexistente y se ha
clasificado con un nivel 1.
Los controles identificados, de acuerdo a
las auditoras realizadas, a la informacin
histrica, al conocimiento que se posea, o
en la muestra que se revisa, funcionan.
Los controles identificados, de acuerdo a
las auditoras realizadas, a la informacin
histrica y conocimiento que se posea, o la
muestra que se revisa son los nicos que
existen o hay ms que no fueron
identificados.
Los controles identificados corresponden a
controles claves, esto es que se orientan
directamente al riesgo al cual se asocian.
17
de la Fase

Asociados a la Fase

Aseguramiento

Los controles estn descritos en los
trminos que sealan las directrices sobre
gestin de riesgos emitidas por el Consejo
de Auditora, en el sentido que sealan
quin los realiza, cmo, qu hace y cundo
los ejecuta.
De la definicin del control es posible
derivar el posterior anlisis de su diseo en
cuanto a su oportunidad, periodicidad y
automatizacin, entendindose de la
descripcin del control que ste es
correctivo, peridico, etc.
c.- FASE ANLISIS DE RIESGOS

Cuadro N 3
de la Fase

Asociados a la Fase

Aseguramiento

El auditor debe revisar la Matriz de Riesgos
herramienta y comprobar que:
Valuacin de la probabilidad
por sobre o bajo la realidad.
Calificacin
de
riesgos,
identificando la probabilidad y el
impacto de los riesgos, segn las
directrices
del
Consejo
de
Auditora.
Valuacin del impacto bajo o

sobre la valoracin real.
Severidad
que
no
es
consistente con la relevancia
del proceso o subproceso.
Comprobar que se hayan valuado en

forma razonable la probabilidad de
ocurrencia y el impacto de los
riesgos, de acuerdo a las auditoras,
la
informacin
histrica,
conocimientos que posea el auditor o
segn la muestre que se revise.
Los riesgos estn calificados por su

probabilidad de ocurrencia y por impacto
(consecuencias).
Los riesgos se encuentran clasificados y
valorizados segn las instrucciones del
La probabilidad asignada a los riesgos, es
razonable segn las auditoras realizadas,
conocimiento, antecedentes histricos que
se tengan o la muestra que se revisa.
18
de la Fase

Asociados a la Fase

Aseguramiento

La probabilidad asignada corresponde a
aquella inherente, sin pensar en los
controles existentes que podan mitigarla.
El impacto asignado es razonable de
acuerdo a las auditoras realizadas,
conocimiento o antecedentes histricos
que se tengan o la muestra que se revisa.
El impacto identificado es coherente con
la relevancia del proceso o subproceso,
ello implica que los procesos importantes
para la organizacin gubernamental
deberan presentar riesgos de alto
impacto.
El impacto asignado corresponde a aquel
inherente, sin pensar en los controles que
existen, sino directamente en las
consecuencias que podran producirse de
concretarse el riesgo.
Valorizacin superior o inferior

a la real.
Valorizacin de la efectividad de
los controles.
Valorizacin de controles que

no mitigan los riesgos al cual
se asocian.
Comprobar que la efectividad del

control se haya valorado en trminos
de su diseo y de su relacin con el
riesgo que pretenden mitigar.
19
Existe uno o ms procesos especficos

que contengan una valuacin de la
severidad del riesgo errnea, ya sea a
nivel de probabilidad como de impacto
(sealar cules).
El auditor debe observar los controles
identificados en la Matriz de Riesgos de la
organizacin
gubernamental
u
otra
herramienta, y analizar si:
De las auditoras realizadas, de los
antecedentes con que cuenta, del
conocimiento del auditor o del resultado
de la muestra,
los controles estn
razonablemente valorizados.
de la Fase

Asociados a la Fase

Aseguramiento

Los controles que se valorizan son
aquellos que realmente tienden a la
mitigacin del riesgo al que se asocian.
Los controles cumplen en trminos
generales con los criterios de control
adecuado como est identificado en la
matriz.
Existe uno o ms procesos cuya
valorizacin de controles es deficiente y
distorsiona los resultados (sealar cul).
El auditor debe observar Matriz de Riesgos
herramienta, examinando las exposiciones al
riesgo resultantes y analizar:
Si la exposicin al riesgo est clasificada y
valorizada segn las instrucciones del
Determinacin del nivel

de
exposicin al riesgo, por riesgo
especfico, etapa, subproceso y
proceso.
Clasificacin de la exposicin
distorsionada en relacin al
nivel real del riesgo residual
presente en la organizacin
gubernamental.
Comprobar que el riesgo residual

determinado en base a la Matriz de
Riesgo, sea razonable de acuerdo a
las
auditoras
realizadas,
conocimiento del auditor
y a
informacin histrica que se posee.
Si en general, las exposiciones son

razonables a nivel de riesgos, etapas,
subprocesos y procesos.
Si existen uno o ms procesos en que las
exposiciones no son consistentes con los
antecedentes histricos o emanados de
auditoras, el conocimiento del auditor o
de la revisin de la muestra auditada
(sealar cules).
Si los procesos que aparecen con mayor
o menor exposicin son consistente con la
informacin acerca de los controles que
tenga el auditor basada en las auditoras
propias o externas, en antecedentes
histricos, conocimiento del auditor o de
la revisin de la muestra.
20
de la Fase

Asociados a la Fase

Aseguramiento

Si los procesos o subprocesos que
aparecen con mayor exposicin coinciden
con aquellos que en general presentan
problemas
y
deficiencias,
en
la
Si los procesos que aparecen con menor
exposicin, corresponden efectivamente a
aquellos que presentan menos problemas
en la organizacin gubernamental.
El auditor debe observar la Matriz de Riesgos
herramienta, examinando las exposiciones
ponderadas al riesgo resultantes y analizar:
Si la exposicin al riesgo est clasificada y
valorizada segn las instrucciones del
Determinacin de exposicin al
riesgo por proceso y exposicin
ponderada
al
riesgo
por
subproceso.
La exposicin al riesgo de
mayor valor no coincide con
los
procesos
de
mayor
relevancia y mayor nivel de
exposicin en la organizacin
gubernamental.
Comprobar que en forma razonable

los procesos de mayor exposicin al
riesgo correspondan a aquellos que
se relacionan con la misin y los
objetivos estratgicos y que tienen
mayor nivel de riesgo.
Si las exposiciones a nivel de procesos y

exposicin ponderada a nivel de
subprocesos son razonables en razn de
la relevancia estratgica de los procesos
y, por otro lado, considerando la
ponderacin que se les asign a cada uno
de los subprocesos.
Si existe uno o ms procesos cuya
exposicin no corresponde a la relacin
riesgos - importancia estratgica.
Si, en general, presentan mayor
exposicin los procesos asociados al
negocio o al soporte de la organizacin
gubernamental.
Si son los procesos de soporte los que
presentan mayor exposicin, existe
21
de la Fase

Asociados a la Fase

Aseguramiento

adecuada justificacin.
d.- FASE VALORACIN DE RIESGOS

Cuadro N 4
de la Fase

Asociados a la Fase

Aseguramiento

El auditor debe:
Formulacin de ranking de
riesgos
por
procesos
y
subprocesos
de
acuerdo
directrices
del
Consejo
de
Auditora.
Ranking basado en criterios

distintos a la exposicin
ponderada por subproceso y
nivel
de
exposicin
por
proceso.
Verificar que el ranking ha sido

confeccionado de acuerdo a las
directrices del Consejo de Auditora y
responde razonablemente a la
realidad
de
la
organizacin
gubernamental.
Falta
de
procesos
y/o
subprocesos en el ranking.
Distorsin en la posicin en el
ranking.
Definicin de prioridades para

tratar los riesgos y para mantener
el nivel de exposicin al riesgo
dentro del nivel del riesgo
aceptado en base al anlisis de
los rankings.
Definicin de prioridades que

no aparecen fundamentadas
en el ranking.
Prioridades distorsionadas de
acuerdo a la misin y objetivos
estratgicos de la organizacin
gubernamental,
sin
fundamentacin.
Comparar el ranking
de procesos y
subprocesos, con los antecedentes
histricos y derivados de auditoras
internas y externas y pronunciarse sobre
la razonabilidad del mismo, considerando
que los procesos y subprocesos de mayor
exposicin (aritmtica y ponderada
respectivamente), deberan coincidir con
aquellos en que comnmente hay
situaciones deficientes y/o que afectan la
imagen de la organizacin gubernamental.
Verificar que el ranking considere el 100%
de
los
procesos
y
subprocesos
identificados en la Matriz de Riesgos.
El auditor debe comparar el ranking de
procesos o subprocesos con el Plan de
Tratamiento examinando:
Examinar si los riesgos que se defini

tratar corresponden a las prioridades
que se establecen de acuerdo al
ranking y en caso contrario si existe la
fundamentacin adecuada.
Si los riesgos priorizados para el

tratamiento corresponden a los procesos
de mayor ubicacin en el ranking.
Si los riesgos tratados corresponden a
todo el proceso o subproceso priorizado.
Si
22
existe
fundamentacin
adecuada
de la Fase

Asociados a la Fase

Aseguramiento

cuando no se priorizan para su
tratamiento los primeros lugares del
ranking o cuando se tratan una cantidad
no significativa de riesgos, verificando que
los fundamentos se corresponden con
polticas e instrucciones de la direccin.
e.- FASE TRATAMIENTO DE RIESGOS

Cuadro N 5
de la Fase

Asociados a la Fase

Aseguramiento
El auditor deber examinar el Plan de

Tratamiento de Riesgos y analizar:
Los riesgos escogidos para

tratar no son los ms crticos de
la organizacin gubernamental.
Si los riesgos del Plan corresponden en

forma global a los riesgos crticos de la
Riesgos
tratados
no
son
relevantes para reducir el riesgo
a nivel de proceso.
Definicin de riesgos a tratar por

proceso.
Se tratan riesgos de procesos

que no son relevantes para el
quehacer de la organizacin
gubernamental.
Se aceptan riesgos de alta
severidad o exposicin para la
organizacin
gubernamental
cuya concrecin podra afectar
su desempeo.
Examinar si los riesgos escogidos

para
tratar
en
su
conjunto,
corresponden a los riesgos de mayor
criticidad
para
la
organizacin
gubernamental y favorecen en forma
razonable el mejoramiento del
proceso o subproceso de que se
trata.
Si el tratamiento de los riesgos priorizados

servir razonablemente para mantener un
nivel de riesgo aceptable en el proceso o
subproceso especfico, entendiendo por
tal, que permita que el proceso o
subproceso se desarrolle alcanzado sus
objetivos.
Si los riesgos tratados corresponden a
procesos o subprocesos que son
importantes para el cumplimiento de los
objetivos estratgicos de la organizacin
gubernamental.
Si se tratan todos los riesgos crticos de
un proceso o subproceso, o cuantos
riesgos se tratan en el contexto del
proceso
o
subproceso
priorizado,
analizando si el tratamiento de esos
riesgos es suficiente para la adecuada
No se tratan riesgos relevantes

sin adecuada fundamentacin.
23
de la Fase

Asociados a la Fase

Aseguramiento

gestin del
especfico.
proceso
subproceso
Si los riesgos que se aceptan (sin

tratamiento)
son
razonablemente
aceptables, considerando el tipo de
organizacin, sus usuarios y los
programas o proyectos que desarrolla (los
programas sociales por ejemplo, tienen
en general un riesgo mayor).
El auditor deber examinar el contenido del
Plan de Tratamiento de Riesgos, analizando:
Las estrategias definidas para tratar el
riesgo, son coherentes con las Polticas
de Gobierno y las directrices del Jefe
Superior
de
la
organizacin
gubernamental.
Formulacin y compromiso de
estrategias para aquellos riesgos
que se tratarn.
Deficiencias en la formulacin
de las estrategias o falta de
consistencia en las mismas
dada la criticidad del riesgo.
Examinar si las estrategias aplicadas

corresponden razonablemente a la
criticidad de los riesgos del proceso y
si estn bien definidas.
La cantidad de riesgos relevantes

asociados a procesos crticos para el
cumplimiento de los objetivos estratgicos
de la organizacin gubernamental, que
tengan una estrategia mayoritaria de
aceptar.
Si es razonablemente posible la aplicacin
de las estrategias definidas a los riesgos
priorizados (por ejemplo, si se trata de
una actividad que debo realizar por el
ministerio de la ley, la estrategia no podra
ser evitar).
La estrategia define razonablemente o
puede deducirse si apunta a disminuir la
severidad del riesgo (probabilidad,
impacto o ambos) y/o a potenciar el
control y de qu manera.
24
de la Fase

Asociados a la Fase

Aseguramiento

Tratamiento de Riesgos, analizando si:
Para cada estrategia se determina y
pormenoriza las acciones y actividades
que se desarrollarn para llevar a cabo la
estrategia genrica.
Descripcin de las acciones que

se desarrollarn para llevar a la
prctica las estrategias.
Las acciones que se describen

para
llevar
a
cabo
las
estrategias no son detalladas y
no describen claramente qu se
va a hacer.
Comprobar que las acciones definidas

para las estrategias son claras y se
relacionan con los riesgos a los
cuales se asocian.
Las acciones detalladas no son

consistentes con el riesgo que
pretende atacar la estrategia.
Las acciones que se definen para cada

estrategia son claras y de su sola lectura
se desprenden las actividades que esa
accin contiene para la concrecin de la
estrategia.
Las acciones que se definen se orientan
directamente al riesgo al cual se asocia la
estrategia, esto implica que las acciones
tienen relacin clara con el riesgo al cual
pretenden intervenir.
En las acciones se detalla la persona o
cargo responsable de la implementacin
de las acciones especficas de la
estrategia.
En las acciones se define en qu plazo se
debe implementar la estrategia.
Los indicadores no se definen

como una medida del avance de
la estrategia.
Definicin
de
indicadores
asociados a las acciones que
concretarn la estrategia.
No hay consistencia entre el

riesgo,
la
estrategia,
las
acciones y el indicador.
Evaluar
que los indicadores
establecidos sirvan para medir y
retroalimentar sobre el avance de la
implementacin de la estrategia.
Los indicadores no son tiles

para medir la implementacin de
Los indicadores definidos constituyen una

medida del avance de la estrategia,
entendindose por ello, que a travs del
indicador se pueda medir el porcentaje de
implementacin de la estrategia.
El indicador est expresado en trminos
25
de la Fase

Asociados a la Fase
la estrategia.

Aseguramiento

de medir (cantidad, porcentaje, etc.) y
est descrito como una frmula.
El indicador corresponde a la forma
cuantitativa o cualitativa como se evala
el nivel de cumplimiento de la estrategia
definida y seala los plazos en que se
medir.
El indicador es consistente con las
acciones y la estrategia y de su sola
lectura puede entenderse cmo el
indicador servir para evaluar la ejecucin
de las acciones asociadas a la estrategia.
El indicador apunta al resultado que busca
lograr la implementacin de la estrategia.
Plan de Tratamiento de Riesgos, analizando
si:
Falta de consistencia entre el

riesgo, indicador y meta.
Definicin de metas asociadas a
los indicadores.
Definicin del tipo de evidencia

que se consultar para medir el
cumplimiento de metas.
Las metas no fijan el objetivo a

alcanzar al implementar la
estrategia.
Evidencia no da cuenta o no se
relaciona con el cumplimiento o
el avance de la meta.
Examinar las metas determinadas

verificando su aptitud para demostrar
el logro de alcanzar la estrategia.
Verificar que la evidencia sea apta

para dar cuenta del cumplimiento o
avance de la meta a la cual se asocia.
26
Las metas son consistentes con el

indicador al cual se asocian, en el sentido
que el indicador enuncia una forma de
medir y la meta el resultado de la
medicin.
A travs de la meta es posible distinguir
qu pretende alcanzar la organizacin
gubernamental con la implementacin de
la estrategia.
A travs de la meta es posible entender
cmo se va a intervenir el riesgo.
Plan de Tratamiento de Riesgos, analizando
si:
de la Fase

Asociados a la Fase

Aseguramiento

Se define adecuadamente el tipo de
evidencia que se observar.
La evidencia se define como un
instrumento que se utilizar en la
medicin del indicador de cumplimiento
La evidencia sirve para dar cuenta del
avance o cumplimiento de la meta.
f.- FASE COMUNICACIN Y CONSULTAS

Cuadro N 6
de la Fase

Asociados a la Fase
Deficiencias en el Plan
Comunicacin y Consulta.
Definicin
del
Plan
de
comunicacin y consulta, y del
reporte de anlisis de indicadores
relacionados con el Proceso de
Gestin de Riesgos.

Aseguramiento
Revisar el Plan de Comunicacin y Consulta

y examinar si:
de
No se consideran todos los

requerimientos del Consejo de
Auditora para establecer el
Plan.
El Plan no es til para realizar la
comunicacin y la consulta del
Proceso de Gestin de Riesgos,
es decir, no se genera
informacin suficiente, oportuna,
exacta y accesible para la toma
de decisiones de los distintos
interesados y responsables del
proceso.
Se identific adecuadamente lo siguiente:

Verificar que el Plan cumpla con
todos los requisitos y las directrices
sobre gestin de riesgos emitidas por
el Consejo de Auditora y que sea til
para llevar al efecto la comunicacin y
participacin de los funcionarios en el
marco del Proceso de Gestin de
Riesgos.
Esto significa que la comunicacin,
informacin y consulta de los
interesados internos y externos, debe
ser la apropiada en cada etapa del
Proceso de Gestin de Riesgos.
Los Usuarios o clientes internos y

externos, y su nivel e importancia para el
Proceso de Gestin de Riesgos.
Qu tipo de informacin se espera recibir
y remitir en el proceso.
Los roles y responsables de la calidad y
confiabilidad para la informacin a recibir
y remitir.
La periodicidad para la informacin a
recibir y remitir.
Los tipos de instrumentos de recoleccin
de informacin y los tipos de reportes del
proceso y sus anlisis.
El anlisis de la informacin
proveniente de la Matriz de
Riesgos Estratgica no es
27
de la Fase

Asociados a la Fase
utilizado, no es suficiente,
oportuno, exacta y accesible
para los usuarios.

Aseguramiento
No se desarrolla el Plan de
Comunicacin y Consulta.

Qu
soporte
podran
tender
instrumentos de informacin.
los
Sistemas asociados al manejo

informacin, soporte y accesos.
de
Cmo se realizarn las comunicaciones y

la participacin de los funcionarios.
Se sealan los soportes y tecnologas
requeridas.
Los responsables de la comunicacin y la
participacin.
A su juicio, la propuesta es til en el marco
del Proceso de Gestin de Riesgos, es decir
servira para comunicar las actividades y
resultados del citado proceso y para
canalizar las opiniones y participacin de los
funcionarios qu aspectos le parece que
falta en el Plan?, qu elementos
destacara?, la retroalimentacin del
sistema en el Plan es adecuada? Qu
podra agregrsele?
Por otra parte, verificar la existencia de
oportunos
anlisis
cuantitativos
y
cualitativos de la informacin del Proceso
de Gestin de Riesgos, con responsables
y plazos definidos.
Revisar si se hicieron los anlisis y se
emitieron los reportes incluidos en el Plan de
Comunicacin.
28
g.- FASE MONITOREO Y REVISIN

Cuadro N 7
de la Fase

Asociados a la Fase

Aseguramiento

Revisar
la
resolucin
de
roles
y
responsabilidades u otra resolucin en la cual
se hayan definido las funciones en el marco
del Proceso de Gestin de Riesgos,
analizando:
Definicin de responsables
plazos para el monitoreo
revisin.
y
y
Que no se definan responsables.
Que los responsables no ejerzan

su funcin en tiempo y forma.
Verificar que se hayan definido los

responsables de realizar el monitoreo
y se hayan definido plazos para
realizarlo y para emitir los reportes.
Verificar que existan procedimientos
asociados al monitoreo y revisin del
Plan de Tratamiento de Riesgos.
Si estn definidos l o los responsables

de realizar el monitoreo o revisin.
Si est definido cmo deben realizar esta
tarea (existencia de procedimientos).
Si estn definidos los plazos para realizar
la revisin y monitoreo.
Si se definen qu reportes deben emanar
de esta labor de monitoreo y quin es el
receptor de los mismos.
29
10.2.- ASEGURAMIENTO DEL CUMPLIMIENTO Y ADECUACIN DE LAS ACCIONES DEFINIDAS EN EL PLAN DE

TRATAMIENTO
Los Auditores Internos debern realizar el aseguramiento del Plan de Tratamiento, en relacin a su nivel de cumplimiento y
adecuacin de sus acciones y estrategias. En este contexto, debern revisar y analizar en qu nivel se cumpli la implementacin
de las acciones y medidas definidas en el Plan de Tratamiento y su efectividad para abordar los riesgos crticos identificados.
En relacin a lo anterior, se debern revisar los siguientes tpicos:
Cuadro N 8
de la Fase

Asociados a la Fase

Aseguramiento
Pruebas de Auditora Mnimos

El auditor deber examinar el Plan de Tratamiento de
Riesgos, analizando:
Implementacin
de
las
acciones
y
medidas
definidas en el Plan de
Tratamiento de Riesgos.
Que las medidas definidas para

tratar los riesgos no se hayan
aplicado.
Que las medidas definidas para
el tratamiento de riesgos no
hayan sido oportunas en su
adopcin.
Examinar
el
nivel
de
implementacin de las medidas
definidas en el plan de
tratamiento y el cumplimiento de
las acciones para llevar al efecto
las estrategias.
30
Si las acciones definidas en el Plan fueron

llevadas al efecto por parte de las Unidades
Encargadas.
Si las acciones del Plan fueron implementadas en

las condiciones y con las caractersticas definidas
en el Plan.
En el caso que se hubieran adoptado otras

acciones o se hubieran aplicado con condiciones
distintas a las definidas en el Plan, se
autorizaron
estas
modificaciones?,
la
autorizacin fue oportuna y competente?
Las acciones del Plan fueron implementadas en

forma oportuna, de acuerdo a los plazos definidos
en el mismo Plan.
En el caso que no se hubieran adoptado las

medidas en forma oportuna, existe una
explicacin de los motivos que incidieron en el
problema.
Si
existen
acciones
que
no
pudieron
implementarse por las Unidades Encargadas.
de la Fase

Asociados a la Fase

Aseguramiento
En el caso anterior, existe una explicacin formal

por la falta de implementacin de las medidas.
El auditor deber examinar la evidencia de
implementacin de las acciones del Plan de
Eficacia de las medidas.
Que las medidas adoptadas no

hayan
tenido
los
efectos
esperados para mitigar y/o
controlar los riesgos contenidos
en el Plan de Tratamiento.
Examinar la eficacia de las

medidas adoptadas para mitigar
los riesgos y si la concrecin de
las mismas tuvo el efecto
esperado en el nivel de riesgo.
Las medidas adoptadas por las Unidades

Encargadas han sido efectivas en mitigar el riesgo
al cual se asociaban.
En la prctica, a travs de influir en la probabilidad

o mejorar los controles, se ha logrado bajar los
riesgos incluidos en el Plan en un nivel tolerable
para la organizacin gubernamental.
Los riesgos identificados en el Plan de

Tratamiento, si se evalan hoy, demuestran un
cambio considerable en sus clasificaciones de
severidad y/o exposicin.
Es posible concluir que la adopcin de las medidas

identificadas en el Plan de Tratamiento han sido
exitosas, no slo porque fueron aplicadas en
tiempo y forma, sino que adems tuvieron un
efecto sobre el riesgo que pretendan gestionar.
El auditor interno debe solicitar los antecedentes que
demuestren que se ha realizado un seguimiento del
Plan de Tratamiento y comprobar si:
Monitoreo del
Tratamiento
Plan
de
Falta de monitoreo oportuno del

Plan de Tratamiento de Riesgos
Verificar que los responsables

en
la
organizacin
gubernamental han realizado el
monitoreo oportuno del Plan de
Tratamiento y han informado los
resultados a las autoridades
competentes.
El monitoreo fue oportuno.
En las situaciones en que se detect atraso o

impedimentos para la aplicacin de la acciones,
stos fueron avisadas a los jefes correspondientes.
Se tomaron las medidas conducentes a la

implementacin
total
de
las
acciones
comprometidas.
El resultado del monitoreo y las recomendaciones
fueron comunicadas en forma oportuna al Director
31
de la Fase

Asociados a la Fase

Aseguramiento

de la organizacin gubernamental y al CAIGG.
32
Evaluar si los reportes de monitoreo, resultados y

recomendaciones, son consistentes con las
revisiones realizadas por auditora interna.
11.- REPORTES DEL ASEGURAMIENTO AL PROCESO DE GESTIN DEL RIESGO AL CONSEJO DE AUDITORA INTERNA
GENERAL DE GOBIERNO
El Consejo de Auditora Interna General de Gobierno podr definir en forma peridica qu reportes derivados del Aseguramiento
al Proceso de Gestin de Riesgos desarrollado por las Organizaciones Gubernamentales deben ser reportados, as como la
oportunidad y formato de dichos reportes.
Sin perjuicio de lo anterior, como una medida para documentar en forma adecuada y ordenada la actividad de aseguramiento al
Proceso de Gestin de Riesgos de la organizacin gubernamental y sus resultados, se sugieren los siguientes formatos:
A.- Formato Planilla Excel para Acompaar al Informe de Auditora de Aseguramiento
FORMATO PLANILLA PARA ACOMPAAR AL INFORME DE AUDITORA
OBJETIVO GUBERNAMENTAL DE AUDITORA N 2
Mi ni s teri o
Adjunta Progra ma
Servi ci o
Nombre Audi tora
Subs ervi ci o
N Informe
Fecha de i nforme
Audi tori a Pl a ni fi ca da
Ti po Objeti vo
Ma teri a
Al ca nce
Objeti vo de l a Audi tora
Opi ni n Cri ti ci da d Ma cro
N Ha l l a zgos
Identificacin Especfica del Tema Auditado

Fase
Posteriormente,
en
el
Seguimiento de la auditora, se
debe utilizar la misma planilla.
Hallazgos de Auditora Contenidos en el Informe

Descripcin del Hallazgo
(Condicin)
Opinin
Criterios
Criticidad Micro
Causas
Recomendaciones
Efectos
33
Se solicita
procedimiento
sumarial?
Descripcin
Recomendacin
Plazo
Estimado
Compromisos
Responsable
Descripcin
compromiso
Plazo de
Responsable
implementacin
B.- Formato Planilla Excel para Acompaar al Informe de Seguimiento
FORMATO PLANILLA PARA ACOMPAAR AL INFORME DE AUDITORA
Estas celdas de la planilla Excel deben ser completadas en el seguimiento de la

auditora
Esta planilla corresponde a la

misma
informada
anteriormente con el Informe
de Aseguramiento.
Recomendaciones
Descripcin
Recomendacin
Plazo
Estimado
Compromisos
Responsable
Descripcin
compromiso
Plazo de
Responsable
implementacin
Seguimiento de Implementacion de Compromiso

Porcentaje de
Implementacin
del Compromiso
Razones de No
Cumplimiento
Nuevos Compromisos
Responsable
si corresponde
Plazo
Observaciones
Estas planillas son de gran utilidad para fundamentar el informe y permite tener documentado en forma adecuada el
aseguramiento del Proceso de Gestin de Riesgos y su Seguimiento posterior.
34

Documento Tecnico N 71V02 Aseguramiento Al Proceso de Gestion de Riesgos en El Sector Publico PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Documento Tecnico N 71V02 Aseguramiento Al Proceso de Gestion de Riesgos en El Sector Publico PDF

Uploaded by

Copyright:

Available Formats

DOCUMENTO TCNICO N 71

ASEGURAMIENTO AL PROCESO DE GESTIN DE RIESGOS

Consejo de Auditora Interna General de Gobierno

Consejo de Auditora Interna General de Gobierno

Santiago, marzo 2016.

Daniella Caldana Fulss

Consejo de Auditora Interna General de Gobierno

1.- ANTECEDENTES GENERALES

Consejo de Auditora Interna General de Gobierno

4.- OPORTUNIDAD Y PERIODO

Consejo de Auditora Interna General de Gobierno

Consejo de Auditora Interna General de Gobierno

Consejo de Auditora Interna General de Gobierno

Riesgos que se Examinan

Objetivos Especficos del

Pruebas de Auditora Mnimas

Formular y aprobar la Poltica y

Si alude a la misin u objetivos

No se define en la poltica que

Verificar que la Poltica de Gestin de

Falta de coherencia entre la

Verificar que la Poltica de Gestin de

Si establece la gestin de riesgos como

Si define que se tratarn aquellos

Incorpora, en forma directa o indirecta,

Consejo de Auditora Interna General de Gobierno

La direccin nombra responsables

Riesgos que se Examinan

Objetivos Especficos del

Verificar que los roles se hayan

Verificar que las personas designadas

Pruebas de Auditora Mnimas

Se integra con la poltica de gestin de

Examinar la resolucin que designa los

Si existen definidas instancias de

Si se ha asignado al auditor el rol de

Verificar las actas de las reuniones o los

Periodicidad de las reuniones.

Consejo de Auditora Interna General de Gobierno

Riesgos que se Examinan

Objetivos Especficos del

Pruebas de Auditora Mnimas

Levantamiento de procesos con

El levantamiento se hizo bajo

Verificar que el levantamiento de

a) Razonabilidad de los procesos de

Estn bien identificados los procesos

c) Si en los procesos levantados puede

Analizar la Matriz de Riesgos

Verificar que todos los procesos

Los procesos calificados en procesos

Consejo de Auditora Interna General de Gobierno

Riesgos que se Examinan

Objetivos Especficos del

Pruebas de Auditora Mnimas

El proceso que fue calificado como

Si los procesos se encuentran

Niveles de contribucin a los

No se evala la totalidad de los

No se desagregan los procesos

Que se hayan incorporado en el

Que los niveles de contribucin al

Qu tipo de procesos tiene mayor