Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
ORGANO JUDICIAL CORTE SUPREMA DE JUSTICIA
IINNSSTTRRUUCCTTIIVVOO PPAARRAA LLAA IIDDEENNTTIIFFIICCAACCIIÓÓNN,, AANNÁÁLLIISSIISS YY GGEESSTTIIÓÓNN DDEE RRIIEESSGGOOSS
ELABORADO POR: DIRECCIÓN DE PLANIFICACIÓN INSTITUCIONAL
San Salvador, Febrero – 2007 El Salvador, C.A.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
2
CONTENIDO
Página
I. PRESENTACIÓN 4
II. OBJETIVO DEL INSTRUCTIVO 6
III. MARCO LEGAL 6
IV. MARCO CONCEPTUAL 8
V. AMBITO DE APLICACIÓN 10
VI. PARTICIPANTES Y NIVELES DE RESPONSABILIDAD 10
VII. NORMAS Y POLÍTICAS 14
VIII. PROCEDIMIENTO 19
IX. VIGENCIA 22
ANEXOS: Formularios y Ejemplo 23
GLOSARIO 38
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
3
APROBACIÓN Y VIGENCIA
EL INFRASCRITO GERENTE GENERAL DE ADMINISTRACIÓN Y FINANZAS, POR
DELEGACIÓN DEL PRESIDENTE DEL ÓRGANO JUDICIAL Y DE LA CORTE SUPREMA
DE JUSTICIA, según Acuerdo Nº. 139 bis del 7 de julio de 2000, Artículo 27 de la
Ley Orgánica Judicial; y en cumplimiento al Art. 28, 29 y 30 de las Normas Técnicas
de Control Interno Específicas del Órgano Judicial, relacionadas con la “Identificación
y Valoración de Riesgos”, APRUEBA Y AUTORIZA el uso del Instructivo para la
Identificación, Análisis y Gestión de Riesgos.
Por tanto, el INSTRUCTIVO PARA LA IDENTIFICACIÓN, ANÁLISIS Y GESTIÓN DE
RIESGOS, entrará en vigencia a partir del primero de febrero del año dos mil siete.
Presenta:__________________________________
Lic. Camilo Guevara Morán Director de Planificación Institucional
Autoriza: ______________________________ Lic. Oscar Armando Morales Rodríguez
Gerente General de Administración y Finanzas
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
4
I. PRESENTACIÓN
A partir de la aprobación del Reglamento de Normas Técnicas de Control Interno
Específicas del Órgano Judicial (NTCIE), el cual responde a exigencias de las Normas
Técnicas de Control Interno -NTCI1-, inicia la fase de la implementación del proceso
de valoración de riesgos institucionales, constituyendo el ámbito de aplicación todas
las unidades organizativas, con sus respectivos funcionarios y empleados, bajo el
marco referencial del Plan Estratégico Institucional y de los Planes Anuales
Operativos.
El objetivo principal de este proceso es proporcionar una “seguridad razonable” de
que las operaciones institucionales se realicen con eficiencia, efectividad y eficacia,
esto conlleva la apropiada utilización de los recursos, la confiabilidad y oportunidad
de la información, tanto para uso interno como externo, así como el ordenamiento
jurídico y técnico aplicable; asegurando así el cumplimiento de los objetivos y metas
institucionales.
En congruencia con lo anterior, se han generado una serie de actividades e
iniciativas institucionales para crear un sistema que articule orgánicamente los
procesos y los resultados de la evaluación y el control. Para ello, ha sido necesario la
preparación de un Instructivo para la Identificación, Análisis y Gestión de Riesgos,
en correspondencia con lo que dispone el Reglamento de las NTCIE.
1 Las NTCI establecen el marco normativo básico de un sistema de control de entidades públicas, que a su vez constituyen un subsistema del “Sistema Nacional de Control y Auditoria de la Gestión Pública”.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
5
El Instructivo define el proceso lógico y sistemático a ser utilizado en la valoración
de riesgos. Dicho proceso que de ahora en adelante se conocerá como
“Identificación, Análisis y Gestión de Riesgos” implica establecer el contexto, la
identificación, el análisis, la evaluación, el tratamiento, el control, la revisión y el
monitoreo de los riesgos.
En este marco, el presente documento pretende facilitar dicho proceso a cada una
de las unidades organizativas que conforman el Órgano Judicial, estandarizando la
metodología para identificar, analizar y gestionar los Riesgos, orientando en forma
práctica la recopilación de información y aplicación de las técnicas de valoración de
riesgos, indicando el uso adecuado de métodos, procedimientos, llenado de
formularios, informes etc.
A pesar de que no es posible tener un medio ambiente totalmente libre de riesgos, sí
es posible eludir, reducir, eliminar o controlar ciertos riesgos por medio de una
adecuada administración de los mismos; por supuesto, esta actividad requiere de
una exacta identificación y una certera valoración, aspectos que se pretende
favorecer mediante el presente instructivo.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
6
II. OBJETIVO DEL INSTRUCTIVO
Proporcionar una guía metodológica que brinde la orientación general a todas las
unidades organizativas de la institución, para desarrollar el proceso de Identificación,
Análisis y Gestión de Riesgos, a fin de dar cumplimiento a lo establecido en las
Normas Técnicas de Control Interno Específicas del Órgano Judicial.
III. MARCO LEGAL
El Órgano Judicial se encuentra actualmente inmerso en un proceso de
modernización, que implica mantener una mejora constante que permita brindar a la
población un servicio de Administración de Justicia lo más eficiente posible. En este
proceso, se han dado diferentes esfuerzos orientados a fortalecer y modernizar el
marco normativo de aplicación interna y externa.
Se destaca la elaboración de las Normas Técnicas de Control Interno Específicas del
Órgano Judicial (NTCIE), en congruencia con el marco general del sistema de control
establecido por la Corte de Cuentas de la República; estas acciones responden a las
obligaciones plasmadas en diferentes instrumentos legales, estableciendo como
ámbito de aplicación a todas las unidades organizativas del Órgano Judicial con sus
respectivos funcionarios y empleados.
Con la finalidad de proporcionar una visión integral para la aplicación del instructivo,
así como facilitar la consulta de la normativa que debe respetarse en la
administración de riesgos, a continuación se presenta el marco legal que lo
fundamenta, el cual está integrado de la manera siguiente:
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
7
Constitución de la República, 1983; Art.195, numeral 4: norma de mayor
jerarquía dentro del ordenamiento jurídico nacional mediante la cual se asigna
a la Corte de Cuentas de la República, la atribución de fiscalización en las
entidades públicas, o que se costeen con fondos del erario nacional.
Ley de Corte de Cuentas: Que establece el sistema de control interno
financiero y administrativo, para tener y proveer seguridad razonable en el
desarrollo de las operaciones institucionales.
Decreto No.4 de fecha 14 de septiembre de 2001, mediante el cual la Corte de
Cuentas de la República emitió las Normas Técnicas de Control Interno que
dictan las normas en el Modelo Estándar de Control Interno para el Estado
Salvadoreño de las entidades de la Administración Pública, modificando
totalmente la ley vigente reformada en el año 2000.
Reglamento de Normas Técnicas de Control Interno Específicas del Órgano
Judicial; Diario Oficial No.100, Tomo No.371 del 1 de junio de 2006. Que
constituye el marco general que establece la Corte Suprema de Justicia
aplicable a todas las unidades organizativas del Órgano Judicial y sus
servidores, en el ámbito administrativo y financiero.
Normas Técnicas de Control Interno Específicas del Órgano Judicial, Artículos
28, 29 y 30.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
8
IV. MARCO CONCEPTUAL
Debido a la diversidad de conceptos y definiciones en torno a la temática referida al
control interno y a la valoración de riesgos, se presenta a continuación la base
conceptual en la que se fundamenta el Instructivo de Identificación, Análisis y
Gestión de Riesgos, que forma parte integral del sistema de control interno del
Órgano Judicial.
Al considerar que el control es una función básica dentro de cualquier proceso de
organización y administración, que facilita la evaluación ejecutiva, incluyendo su
seguimiento y revisión sistemática y de conformidad al informe presentado por la
Comisión Treadway, conocido como informe COSO, en el cual se proporciona una
nueva conceptualización del Control Interno; la Corte de Cuentas de la República
decreta en septiembre del 2004, un reglamento conteniendo las Normas Técnicas de
Control Interno (NTCI).
Estas constituyen el marco legal de un sistema de control de entidades públicas, que
a su vez conforma un subsistema del “Sistema Nacional de Control y Auditoría de la
Gestión Pública”.Las NTCI regulan la práctica del control interno en general,
existiendo para cada una de las entidades que se costean con fondos públicos la
obligación legal de establecer sus propias NTCI, de carácter específico (NTCIE),
aplicables a sí mismas con carácter obligatorio.
El denominado "INFORME COSO" sobre control interno, publicado en EE.UU. en
1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de
conceptos, definiciones e interpretaciones existentes en torno a la temática referida.
Plasma los resultados de la tarea realizada durante más de cinco años por el grupo
de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON
FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS).
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
9
El objetivo fundamental era definir un nuevo marco conceptual del control interno,
capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados
sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas,
de la auditoría interna o externa, o de los niveles académicos o legislativos, se
cuente con un marco conceptual común, una visión integradora que satisfaga las
demandas generalizadas de todos los sectores involucrados.
El marco integrado de control que plantea el informe COSO consta de cinco
componentes interrelacionados, derivados del estilo de dirección e integrados al
proceso de gestión:
Ambiente de control Valoración de riesgos Actividades de control Información y comunicación Supervisión
La Valoración de Riesgos como componente esencial dentro del sistema de control
interno, consiste en la identificación y análisis de los factores tanto de origen interno
como externo que pueden ser impedimentos relevantes para la consecución de los
objetivos previstos, se refiere al proceso interactivo continuo y a la metodología
mediante la cual la institución identifica las áreas de más alto riesgo, que ameritan
la mayor atención y la asignación de recursos para la aplicación de medidas de
control.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
10
En concordancia a lo establecido en las NTCIE del Órgano Judicial, se hace necesario
para limitar los riesgos que afectan las actividades de la institución, la identificación,
evaluación y administración de los mismos por medio del diseño e implantación de
un eficiente sistema de control interno.
V. ÁMBITO DE APLICACIÓN
El Instructivo para la Identificación, Análisis y Gestión de Riesgos es aplicable con
carácter obligatorio, a todas las unidades organizativas del Órgano Judicial, de la
Corte Suprema de Justicia y sus servidores, en el ámbito jurisdiccional,
administrativo y financiero y servirá para orientar y coordinar las actividades
relacionadas con el proceso de administración de los riesgos institucionales.
VI. PARTICIPANTES Y NIVELES DE RESPONSABILIDAD
A. Comisión de Gestión Integral de Riesgos
1) Integrantes:
a) Presidente(a) del Órgano Judicial y de la Corte Suprema de Justicia.
b) Un Magistrado(a) de la Corte Suprema de Justicia.
c) Gerente(a) General de Administración y Finanzas.
d) Gerente(a) General de Asuntos Jurídicos.
e) Secretario(a) General.
f) Director(a) de Planificación Institucional.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
11
2) Responsabilidades:
a) Aprobar normas y políticas.
b) Aprobar el Perfil o Mapa de Riesgos Institucionales.
c) Informar a Corte Plena.
d) Asignar y gestionar recursos.
e) Recibir información de la Comisión Evaluadora de Riesgos
Institucionales.
f) Recibir informes del Comité de Control Interno
B. Comisión Evaluadora de Riesgos Institucionales
1) Integrantes:
a) Gerente(a) General de Administración y Finanzas.
b) Gerente(a) General de Asuntos Jurídicos.
c) Secretario(a) General.
d) Director(a) de Planificación Institucional.
e) Directores(as) que integran las dos Gerencias Generales.
2) Responsabilidades:
a) Definir metodologías para la identificación, análisis, evaluación,
monitoreo y reporte de riesgos.
b) Definir y proponer normas y políticas, para la gestión de riesgos.
c) Proponer programas de capacitación y sensibilización.
d) Establecer necesidades de información.
e) Informar a la Comisión de Gestión Integral de Riesgos.
f) Recibir información de los Comités Coordinadores de Análisis y
Evaluación de Riesgos.
g) Consolidar la información en un Mapa de Riesgos Institucionales.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
12
C. Comités de Coordinadores de Análisis y Evaluación de Riesgos
1) Integrantes
a) Representantes de las Áreas de Dirección Superior, Asesorías, Jurídica-
Legal, Administrativa y Jurisdiccional.
b) Representantes de cada Dirección y Departamento, (Coordinadores por
Unidad Organizativa).
2) Responsabilidades:
a) Identificar, analizar, evaluar y minimizar los riesgos de los procesos de
cada una de las Áreas de Trabajo de la Institución.
b) Proporcionar seguimiento a los riesgos mediante indicadores.
c) Reportar riesgos.
d) Participar en la definición e implementación de las acciones correctivas.
e) Realizar autoevaluaciones.
f) Garantizar la disponbilidad de responsables de riesgos en cada Unidad
Organizativa.
g) Informar a la Comisión Evaluadora de Riesgos Institucionales.
D. Comité de Control Interno
1) Integrantes
a) Gerente(a) General de Administración y Finanzas.
b) Gerente(a) General de Asuntos Jurídicos.
c) Director(a) de Planificación Institucional.
d) Auditor(a) Interno(a).
e) Coordinador(a) Financiero(a) Institucional.
f) Un (a) Asesor(a) Jurídico(a).
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
13
2) Responsabilidades:
a) Supervisar las tareas realizadas por las Unidades Organizativas en
cuanto a Control Interno.
b) Proponer mejoras al Sistema de Control Interno.
c) Establecer prioridades de Control Interno.
d) Plantear políticas y procedimientos por aplicar.
e) Revisar y actualizar las Normas Técnicas de Control Interno Específicas
del Órgano Judicial.
f) Informar a la Comisión Evaluadora de Riesgos Institucionales sobre el
resultado de las actividades realizadas.
E. Personal de las Unidades Organizativas
1) Integrantes:
a)Personal de la Corte Suprema de Justicia.
b)Personal de Juzgados, Tribunales y Cámaras.
2) Responsabilidad:
a)Participar en mesas de trabajo para identificar, analizar, evaluar y
minimizar los riesgos de los procesos de su respectiva Área de Trabajo o
Unidad Organizativa.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
14
VII. NORMAS Y POLÍTICAS
A. Integración de Equipos de Trabajo
1) Cada Jefatura de Unidad Organizativa deberá organizar y constituir un
equipo de trabajo, que genere confianza y respeto por su capacidad y
trayectoria, asimismo que ostente un apropiado grado de conocimiento y
experiencia en los procesos que realizan en su área, que le permita apoyar
la tarea de identificación, análisis y gestión de riesgos.
2) Es esencial que cada integrante del equipo de trabajo conozca el Plan
Estratégico Institucional (PEI) y el Plan Anual Operativo (PAO) de su
respectiva Unidad Organizativa.
B. Identificación del Riesgo
1) Se deberán identificar todos los riesgos que enfrenta cada Unidad
Organizativa en la consecución de sus objetivos, sean estos de origen
interno como externo. Esta actividad deberá realizarse por lo menos una
vez al año.
2) La identificación de riesgos es un proceso iterativo y generalmente
integrado a la estrategia y planificación. En este proceso es conveniente
"partir de cero"; esto es, no basarse únicamente en el esquema de riesgos
identificados en estudios anteriores.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
15
3) Su desarrollo debe incluir la especificación de los dominios o puntos claves
de la Unidad Organizativa, la identificación de los objetivos generales,
específicos, las debilidades y las amenazas, que identifican los riesgos que
se pueden afrontar. Un dominio o punto clave del organismo, puede ser:
un proceso que es crítico para su sobrevivencia; una o varias actividades
que sean responsables de la prestación de servicios a la ciudadanía; un
área que está sujeta a Leyes, Decretos o Reglamentos de estricto
cumplimiento, con amenazas de severas sanciones por incumplimiento;
etc.
4) Al determinar estas actividades o procesos claves, fuertemente ligados a
los objetivos de la Unidad Organizativa, debe tenerse en cuenta que
pueden existir algunos de éstos que no están formalmente expresados, lo
cual no debe ser impedimento para su consideración. El análisis se
relaciona con la criticidad (exposición al riesgo) del proceso o actividad y
con la importancia del objetivo, más allá que éste sea explícito o implícito.
5) Dentro de la identificación de riesgos existen muchas fuentes, tanto
internas como externas. A título puramente ilustrativo se pueden
mencionar, entre las externas: desarrollos tecnológicos que en caso de no
adoptarse, provocarían obsolescencia institucional; cambios en las
necesidades y expectativas del ciudadano /usuario; modificaciones en la
legislación y normas regulatorias que conduzcan a cambios forzosos en la
estrategia y procedimientos; etc.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
16
Entre las internas, se puede citar: la estructura organizacional adoptada,
dado la existencia de riesgos inherentes típicos tanto en un modelo
centralizado como en uno descentralizado; la calidad del personal
incorporado, así como los métodos para su instrucción y motivación; la
propia naturaleza de las actividades de la institución; etc.
C. Estimación de Riesgos
1) Se debe estimar la frecuencia con que pueden presentarse cada uno de los
riesgos identificados, así como también se debe cuantificar de ser posible,
el probable impacto (incumplimiento, alto costo, atraso, pérdida, etc.) que
cada uno de ellos pueden ocasionar.
2) Una vez identificados los riegos al nivel de la Unidad Organizativa, debe
procederse a su análisis. Los métodos utilizados para determinar la
importancia relativa de los riesgos pueden ser diversos, e incluirán como
mínimo: una estimación de su frecuencia, o sea la probabilidad de
ocurrencia y una valoración de los efectos negativos (impacto) que podrían
causar.
D. Análisis de Riesgos (Nivel de Criticidad)
1) Aquellos riesgos cuya concreción esté estimada como de baja
frecuencia, no justifican preocupaciones mayores. Por el contrario, los
que se estima de alta frecuencia deben merecer preferente atención.
Entre estos extremos se encuentran casos que deben ser analizados
cuidadosamente, aplicando elevadas dosis de buen juicio y sentido
común.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
17
2) Existen muchos riesgos dificultosos de cuantificar, que como máximo se
prestan a calificaciones de "grande", "moderado" o "pequeño". Pero no
debe cederse a la difundida inclinación de conceptuarlos rápidamente
como "no medibles". En muchos casos, con un esfuerzo razonable,
puede conseguirse una medición satisfactoria.
3) Para obtener la medición de la criticidad se utilizará la siguiente
ecuación:
ER = F x I
en donde:
ER = Exposición al Riesgo o Nivel de Criticidad.
F = Frecuencia o probabilidad que el riesgo se concrete en el año.
I = Impacto reflejado en pérdida estimada para cada caso en que el riesgo se concrete.
4) El cálculo matemático del Valor del Riesgo (VR), se obtiene por medio de la siguiente ecuación:
VR = ER X CCI
En donde:
VR: Valor del Riesgo
ER: Exposición al Riesgo
CCI: Confianza en el Control Interno
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
18
E. Actividades de Control
1) Toda Unidad Organizativa debe establecer un sistema de archivo para la
gestión y documentación de la información que utilizará y generará el
Sistema Específico de Valoración de Riesgos (SEVRI), que permita el
análisis histórico de los riesgos y de los factores asociados a los
mismos.
2) La documentación que como producto de la autovaloración del sistema
de control interno producen o comprueben los resultados encontrados
y cambios operados, debe ser completa, exacta y posibilitar su
seguimiento para la verificación por parte de jefaturas o entes
fiscalizadores.
3) El acceso a los registros y comprobantes debe estar protegido por
mecanismos de seguridad y limitado a las personas autorizadas,
quienes están obligadas a rendir cuenta de su custodia y utilización a la
jefatura respectiva.
F. Gestión de Riesgos
Cada Unidad Organizativa deberá definir las actividades de control y las
políticas necesarias para enfrentar, minimizar, eliminar o controlar, los
efectos que pueda producir el impacto de cada uno de los riesgos
identificados, analizados y valorados; para lo cual también han de
determinarse los procedimientos a seguir para cumplir con el propósito de
la gestión de riesgos.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
19
VIII. PROCEDIMIENTO
A. Identificación de Objetivos
En este componente se deben conocer la misión, visión y los objetivos
institucionales, que forman parte del plan estratégico institucional.
Adicionalmente, cada unidad organizativa deberá identificar los objetivos
básicos de su Unidad de conformidad al Plan Anual Operativo (PAO).
B. Listado de Riesgos Identificados
Para la realización de esta actividad los Coordinadores de Análisis y
Evaluación de Riesgos de cada Unidad Organizativa, deberán formar mesas de
trabajo en las que reunirán con personal clave y procederán a llenar el
formulario de LISTADO DE RIESGOS IDENTIFICADOS (Anexo 1).
Para identificar los factores de riesgos o problemas, se debe considerar el
impacto de los mismos en la institución y la probabilidad o frecuencia de que
ocurran, principalmente los relacionados con:
Las operaciones de la entidad La información financiera Las personas que integran la organización Los aspectos tecnológicos Los factores ambientales La imagen institucional La discrecionalidad Los aspectos regulatorios
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
20
C. Matrices de Riesgos
Los Coordinadores de Análisis y Evaluación de Riesgos de las distintas
Unidades Organizativas, con su personal procederán a llenar las MATRICES DE
ANÁLISIS DE RIESGOS (Anexo 2) de cada uno de los objetivos específicos de
las diferentes Unidades organizativas y posteriormente de las Áreas de
Trabajo de la Institución (Dirección Superior, Asesorías, Jurídica-Legal,
Administrativa y Jurisdiccional).
La MATRIZ DE ANÁLISIS DE RIESGO permitirá identificar sus áreas críticas,
mediante la aplicación de variables como el impacto que pueda causar el
riesgo (entendiéndose por éste las debilidades y amenazas) en cuanto al logro
de los objetivos y la frecuencia de que ocurran dentro de la unidad
organizativa.
El producto de la frecuencia por el impacto, determina la exposición al riesgo,
lo cual implica que a mayor frecuencia e impacto es mayor la exposición al
riesgo, dando como resultado, factores de riesgos más importantes que
atender y gestionar.
D. Gestión de Riesgos
Una vez finalizado el diagnóstico y tener la MATRIZ DE ANÁLISIS DE RIESGO
completa, se deberá completar la MATRIZ DE GESTION DE RIESGOS, (Anexo
3), ordenándolos de acuerdo al ranking del valor del riesgo establecido, con lo
que se identificarán los factores de riesgo más importantes que deben ser
administrados a través del establecimiento de actividades de control, políticas
y procedimientos respectivos.
Sin embargo, dependiendo de la confianza que se haya determinado en el
control Interno en la evaluación realizada, puede cambiar la valoración de los
riesgos.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
21
E. Reunión de los Comités de Coordinación con la Comisión Evaluadora
de Riesgos Institucionales
Los Comités deberán reunirse con la Comisión Evaluadora de Riesgos
Institucionales para revisar, procesar y consolidar la información, que será
presentada a la Comisión de Gestión Integral de Riesgos.
F. Análisis de las Matrices de Riesgos
La Comisión Evaluadora de Riesgos Institucionales deberá realizar la
evaluación de riesgos, analizando los riesgos y sus posibles soluciones,
tomando en cuenta los factores internos y externos, consolidando la
información en un Perfil o Mapa de Riesgos Institucionales.
G. Proposición de Políticas y Procedimientos.
El Comité de Control Interno deberá plantear las políticas y procedimientos a
seguir, con el propósito de minimizar los riesgos y agregarlos al Perfil o Mapa
de Riesgos Institucionales; basándose en la documentación preparada por los
Comités de Coordinación y la Comisión Evaluadora de Riesgos Institucionales.
H. Presentación de Informe.
La Comisión de Gestión Integral de Riesgos presentará un informe a la
Presidencia del Órgano Judicial y de la Corte Suprema de Justicia, en el que
deberá plantear mejoras a los Sistemas de Control Interno, con el Manual de
Políticas y Procedimientos de Control de Riesgos elaborado.
I. Aprobación y Vigencia de Políticas y Procedimientos.
La Presidencia del Órgano Judicial y de la Corte Suprema de Justicia o su
delegado, deberá autorizar el Perfil o Mapa de Riesgos Institucionales
presentado por la Comisión de Gestión Integral de Riesgos, así como el
Manual de Políticas y Procedimientos de Control de Riesgos.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación , Análisis y Gestión de Riesgos ”
22
J. Actualización
La Comisión de Gestión Integral de Riesgos de la Corte Suprema de Justicia
deberá establecer la calendarización anual para la actualización del Perfil o
Mapa de Riesgos Institucionales, así como del Manual de Políticas y
Procedimientos de Control de Riesgos.
Para mayor comprensión se desarrolla un ejemplo de aplicación del presente
instructivo en el Anexo No.4.
IX. VIGENCIA
El Instructivo para la Identificación, Análisis y Gestión de Riesgos, entrará en
vigencia a partir de su aprobación y se sujetará a los cambios y ajustes de acuerdo a
las necesidades que se presenten, respetándose los mecanismos dispuestos para su
actualización.
“Identificación, Análisis y Gestión de Riesgos ” Dirección de Planificación Institucional
23
ORGANO JUDICIAL CORTE SUPREMA DE JUSTICIA
LISTADO DE RIESGOS IDENTIFICADOS
UNIDAD ORGANIZATIVA: ______________________________________________ ANEXO 1
OBJETIVO: ________________________________________________________________________________
N° LISTADO DE RIESGOS IDENTIFICADOS
FECHA: ___________________________ RESPONSABLE:_____________________________________ (Nombre y Firma)
“Identificación, Análisis y Gestión de Riesgos ” Dirección de Planificación Institucional
24
ORGANO JUDICIAL
CORTE SUPREMA DE JUSTICIA MATRIZ DE ANÁLISIS DE RIESGOS
UNIDAD ORGANIZATIVA :___________________________________________________________ ANEXO 2 DESCRIPCION DEL OBJETIVO:_________________________________________________________________
N° RIESGOS F I Exposición al Riesgo (FxI=ER)
Confianza en el
Control Interno (CCI)
Valor del Riesgo
(ERxCCI)
FECHA: ____________________________________________ RESPONSABLE: _______________________________________
(Nombre y Firma)
“Identificación, Análisis y Gestión de Riesgos ” Dirección de Planificación Institucional
25
ORGANO JUDICIAL CORTE SUPREMA DE JUSTICIA
MATRIZ DE GESTIÓN DE RIESGOS
UNIDAD ORGANIZATIVA: _______________________________________________________________ ANEXO 3
RANKING DEL
RIESGO
LISTADO DE RIESGO Valor del Riesgo
(ERxCCI)
Gestión de Riesgos
Actividades de Control Políticas
FECHA:____________________________________RESPONSABLE: _____________________________________
(Nombre y Firma)
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
26
INSTRUCTIVO PARA LLENAR FORMULARIOS
LISTADO DE RIESGOS IDENTIFICADOS (Anexo 1)
(1)Riesgo : Enlistar los Riesgos Identificados, describiendo los eventos que afectan
el logro de cada uno de los objetivos básicos de la Unidad, fijados de
conformidad a sus funciones en el Plan Anual Operativo(PAO).
MATRIZ DE ANÁLISIS DE RIESGOS (Anexo 2)
(1)Riesgo : Enlistar los Riesgos Identificados, describiendo los eventos que afectan
el logro de los objetivos básicos de la Unidad, fijados de conformidad a sus
funciones en el Plan Anual Operativo(PAO).
(2)Análisis de Riesgos : Luego de identificados los riesgos se procederá a su
análisis, seleccionando aquellos que tengan un alto nivel de criticidad debiendo
estimar el producto de la probabilidad que se presenten los riesgos identificados,
así como también cuantificar el impacto que ellos pueden ocasionar. Este
resultado se obtiene de la siguiente formula: ER.= F X I
en donde:
ER = Exposición al Riesgo o Nivel de Criticidad.
F = Frecuencia o probabilidad que el riesgo se concrete en el año.
I = Impacto reflejado en pérdida estimada para cada caso en que el riesgo se concrete.
El producto de la frecuencia por el impacto, nos determina la exposición al riesgo,
lo cual implica que a mayor frecuencia e impacto es mayor la exposición al riesgo,
dando como resultado, factores de riesgos más importantes
Se aplicará una escala del 1 al 3, donde:
I= Impacto que podría causar:
1= bajo impacto; 2= mediano impacto y 3= alto impacto.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
27
F= Frecuencia o Probabilidad que los riesgos se concreten en el año
1= Poco probable que ocurra; 2= medianamente probable que ocurra y
3= altamente probable que ocurra.
De acuerdo al resultado obtenido, se deberá ubicar el valor resultante en el
cuadrante correspondiente, tomando como guía la siguiente matriz.
MATRIZ A
POSIBILIDAD
DE
OCURRENCIA
ALTO (3) 3 6 9
MEDIO (2) 2 4 6
BAJO (1) 1 2 3
BAJO (1) MEDIO (2) ALTO (3)
IMPACTO AL OCURRIR
Una vez ubicados los valores en la Matriz A, se procederá a identificar la
exposición al riesgo o nivel de criticidad correspondiente, de acuerdo a los
criterios de selección contenidos en la tabla que se presenta a continuación.
CRITERIOS DE SELECCIÓN
INDICE EXPOSICIÓN AL RIESGO
O NIVEL DE CRITICIDAD
De 1 a 2 inclusive No significativa
De 3 a 4 inclusive Significativa
De 6 a 9 inclusive Muy significativa
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
28
MATRIZ B
CRITICIDAD
ALTO (9) 9 18 27
MEDIO (6) 6 12 18
BAJO (3) 3 6 9
BAJO (1) MEDIO (2) ALTO (3)
SITUACION ACTUAL (SAC)
CONTROL INTERNO
Una vez ubicados los valores en la Matriz B, se procederá a identificar la
exposición al riesgo o nivel de criticidad correspondiente, de acuerdo a los
criterios de selección contenidos en la tabla que se presenta a continuación.
CRITERIOS DE SELECCIÓN
INDICE SITUACION ACTUAL DEL CONTROL INTERNO
1 Cubre en gran parte el riesgo
2 Cubre medianamente el riesgo
3 No existe ningún tipo de medida para cubrir el riesgo.
Posteriormente se procederá a determinar la Confianza en el Control Interno,
de acuerdo a los criterios de selección contenidos en la tabla que se presenta
a continuación.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
29
CRITERIOS DE SELECCIÓN
INDICE CONFIANZA EN EL CONTROL INTERNO
(CCI)
1 Alta
2 Moderada
3 Baja
El cálculo matemático del Valor del Riesgo se realiza por medio de la ecuación
siguiente: VR = ER X CCI
Donde:
VR : Valor del Riesgo
ER : Exposición al Riesgo o Nivel de Criticidad
CCI: Confianza en el Control Interno
MATRIZ DE GESTIÓN DE RIESGOS (Anexo 3)
Una vez identificado el Valor de los Riesgos se ordenarán de acuerdo al ranking
del valor del riesgo establecido, con lo que se identificarán los factores de
riesgo más importantes. Finalmente se procederá a definir las actividades de
control y las políticas necesarias para eliminar o minimizar los efectos que
puedan producir el impacto de cada uno de los riesgos identificados.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
30
ANEXO 4
Valoración de Riesgos
En este componente se deben establecer la misión, visión y los objetivos institucionales, que formarán parte del plan estratégico institucional. Adicionalmente, debe normarse que cada unidad organizativa de la entidad, elabore un plan anual operativo estableciendo los objetivos y metas específicas en concordancia con la planeación estratégica institucional.
IDENTIFICACIÓN, ANÁLISIS Y GESTIÓN DE RIESGOS
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
31
Cont. Valoración de Riesgos
Tomando en cuenta la misión, visión, objetivos institucionales, la naturaleza y magnitud de la entidad, se deben identificar los factores de riesgos o problemas, considerando el impacto de los mismos en la institución y la probabilidad o frecuencia de que ocurran, principalmente los relacionados con:
Las operaciones de la entidad La información financiera Las personas que integran la organización Los aspectos tecnológicos Los factores ambientales La imagen institucional La discrecionalidad Los aspectos regulatorios
EJEMPLO DE LA VALORACION DE RIESGOS
La CSJ, para el logro de sus fines ha establecido una serie de objetivos básicos, los cuales han sido asignados a cada una de las unidades de conformidad a sus funciones. Dentro de estos objetivos, a la Unidad Financiera Institucional (UFI) se le ha asignado entre otros, el siguiente: Mantener una transparencia en el manejo de las Disponibilidades.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
32
Cont. EJEMPLO
Para el logro del objetivo anterior, se han identificado los siguientes riesgos: LISTADO DE RIESGOS IDENTIFICADOS
UNIDAD ORGANIZATIVA: ____________________________________
OBJETIVO: ________________________________________________
N° RIESGO
1 Pérdida del disponible.
2 Manejo inadecuado del efectivo.
3 Registros des actualizados de las disponibilidades.
4 Falta de conciliación de saldos.
5 Inexistencia de firmas mancomunadas.
6 Los refrendarios y encargados de fondos, no rinden fianza.
7 Inexistencia de desagregación de Funciones
Cont. EJEMPLO…
Matriz de Análisis de Riesgo
Se ha elaborado una matriz de riesgo a efecto de identificar sus áreas críticas, mediante la aplicación de variables como el impacto que pueda causar el riesgo (entendiéndose por éste las debilidades y amenazas) en cuanto a logro de los objetivos y la frecuencia de que ocurran dentro de la unidad organizativa. Al respecto, la UFI, a través de su diagnóstico determinó la matriz siguiente:
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
33
Cont. EJEMPLO…
MATRIZ DE ANALISIS DE RIESGOS
UNIDAD ORGANIZATIVA: _Unidad Financiera Institucional_
VO SELECCIONADO: Mantener una transparencia en el manejo de las Disponibilidades.
No. Riesgo F Frecuencia
I Impacto
Exposición al Riesgo
(F x I = ER) 1 Pérdida del disponible 3 3 9 2 Manejo inadecuado del efectivo 3 2 6
3 Registros de las disponibilidades desactualizados
3 2 6
4 Falta de conciliación de saldos 3 3 9 5 Inexistencia de firmas mancomunadas 2 3 6
6 Refrendarios y encargados de fondos no rinden fianza
1 2 2
7 Inexistencia de desagregación de Funciones
2 3 6
Frecuencia Impacto 1. Baja 2. Moderada 3. Alta
1. Bajo 2. Moderado 3. Alto
Cont. EJEMPLO…
Matriz de Análisis de Riesgos
El cálculo matemático de la Exposición al Riesgo se realiza por medio de la ecuación siguiente: ER= F x I Donde:
ER = Exposición al riesgo. F = Frecuencia de que el riesgo se concrete en el
año. I = Impacto reflejado en pérdida estimada, para
cada caso en que el riesgo se concrete.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
34
Cont. EJEMPLO…
Matriz de Análisis de Riesgo
El cálculo matemático del Valor del Riesgo se realiza por medio de la ecuación siguiente: VR= ER x CCI Donde: VR = Valor del Riesgo. ER = Exposición al Riesgo. CCI = Confianza en el Control Interno.
Cont. EJEMPLO… MATRIZ DE ANALISIS DE RIESGOS
UNIDAD ORGANIZATIVA: _Unidad Financiera Institucional_ DESCRIPCION OBJETIVO SELECCIONADO: Mantener una transparencia en el manejo de
las Disponibilidades.
No.
Riesgo
F
Frec.
I
Imp.
Exposiciónal Riesgo
(F x I = ER)
Confianza Control Interno (CCI)
Valor Del Riesgo
(ERxCCI)
1 Pérdida del disponible 3 3 9 3 27
2 Manejo inadecuado del efectivo 3 2 6 3 18
3 Registros de las disponibilidades Des actualizados
3 2 6 2 12
4 Falta de conciliación de saldos 3 3 9 2 18
5 Inexistencia de firmas mancomunadas
2 3 6 1 6
6 Refrendarios y encargados de fondos no rinden fianza
1 2 2 1 2
7 Inexistencia de desagregación de Funciones
2 3 6 1 6
Frecuencia Impacto Confianza en el C I
1. Baja 2. Moderada 3. Alta
1. Bajo 2. Moderado 3. Alto
1. Alta 2. Moderada 3. Baja
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
35
MATRIZ DE GESTIÓN DE RIESGOS
RANKING DEL RIESGO
LISTADO DE RIESGOS
VALOR DEL RIESGO
(ER X CCI)
Gestión de Riesgos
Actividades de Control Políticas
1° Pérdida del disponible.
27 2° Manejo inadecuado
del efectivo. 18
3° Falta de conciliación de saldos.
18 4° Registros des
actualizados de las disponibilidades.
12 5° Inexistencia de firmas
mancomunadas. 6
6° Inexistencia de desagregación de Funciones
6 7° Los refrendarios y
encargados de fondos, no rinden fianza.
2
Cont. EJEMPLO…
Interpretación de los datos anteriores El producto de la frecuencia por el impacto, nos determina la exposición al riesgo, lo cual implica que a mayor frecuencia e impacto es mayor la exposición al riesgo, dando como resultado, factores de riesgos más importantes que deben ser administrados o manejados a través del establecimiento de actividades de control que los elimine o minimice. Sin embargo, dependiendo de la confianza que se haya determinado en el control Interno en la evaluación realizada, puede cambiar la valoración de los riesgos. (Art. 73) Si existen controles que minimicen la ocurrencia de los riesgos, la confianza en el control interno alta; de lo contrario, es baja.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
36
GESTIÓN DE LOS RIESGOS
Actividades de Control para minimizar la ocurrencia del riesgo. Riesgo potencial: Manejo inadecuado del efectivo. Actividades de Control: Arqueos sorpresivos de fondos, Conciliaciones bancarias, Firmas mancomunadas, Rendición de fianzas, Segregación de funciones. Estas actividades deben quedar establecidas en los manuales de procedimientos de controles de aplicación. Art. 62 NTCIEOJ
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
37
• POLITICAS: Realizar arqueos sorpresivos mensualmente de los fondos • PROCEDIMIENTOS:
Solicitar al encargado del manejo del fondo, el efectivo, las facturas y los recibos relacionados con el fondo. Utilizar el formulario No. UFI-123 Contar el efectivo Verificar recibos y facturas, Sumar ambos valores. Comparar con el monto asignado al fondo, Establecer diferencias (sobrante o faltante). Si es sobrante, debe remesarse al Fondo General de la Nación. Si es faltante, el encargado del fondo deberá reponerlo. Firmar el formulario No. UFI-123 (encargado del fondo y responsable del arqueo) Elaborar un informe sobre el resultado del arqueo.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
38
GLOSARIO
Actividades de Control: Son las políticas y procedimientos que permiten
obtener una seguridad razonable del cumplimiento de las directrices
administrativas. Tales actividades ayudan a asegurar que se están tomando las
acciones necesarias para enfrentar los factores de riesgo implicados en el logro
de los objetivos de la institución.
Administración de Riesgos: Consiste en la aplicación sistemática de
políticas, procedimientos y prácticas de gestión a la tarea de identificar,
analizar, evaluar, tratar y controlar los riesgos. Se trata igualmente de
identificar y tomar oportunidades destinadas a mejorar el rendimiento, así
como tomar ciertas acciones destinadas a eludir o reducir las posibilidades de
que ocurra algo malo.
Ambiente de Control: Establece el fundamento de la institución, para influir
la práctica del control en sus servidores. Es la base de los otros componentes
del control interno, proporcionando los elementos necesarios para permitir el
desarrollo de una actitud positiva para el control interno y para una gestión
escrupulosa.
Componentes Orgánicos del sistema de control interno: Ambiente de
Control; Valoración de Riesgos; Actividades de Control; Información y
Comunicación; y Monitoreo.
Control de Riesgos: Son las acciones definidas al interior de la Institución
tendientes a minimizar los riesgos.
Evento: Incidente u ocurrencia de fuente interna o externa que afecta el logro
de objetivos. Los eventos pueden tener un impacto negativo o positivo, o
ambos.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
39
Información y Comunicación: Deben establecerse los Procesos que
permitan a la institución identificar, registrar y comunicar información,
relacionada con actividades y eventos internos y externos relevantes para la
organización.
Monitoreo: Son actividades que se realizan para valorar la calidad del
funcionamiento del sistema de control interno en el tiempo y asegurar
razonablemente que los resultados de las auditorías y de otras revisiones, se
atiendan con prontitud.
Objetivo: Enunciado de un resultado unívoco, claro, preciso, factible y
medible que se obtiene una vez que se ha terminado un procedimiento.
Políticas: Ser guías para orientar las acciones. Representan planteamientos
generales que guían y canalizan el pensamiento y la acción en la toma de
decisiones, delimitando el área de acción y asegurando que dichas decisiones
se dirijan al logro de los objetivos.
Prevención: Es una medida que se toma para evitar la materialización del
riesgo, o para minimizar los efectos de su ocurrencia.
Procesamiento: Es la sucesión cronológica y concatenada de actividades para
la consecución de un objetivo establecido en una Unidad Organizativa.
Riesgos: Son todos aquellos factores internos o externos que pueden impedir
la consecución de los objetivos y metas institucionales, definidos tanto en los
planes anuales operativos como en los planes de mediano y largo plazo. En
general, riesgo es la probabilidad de ocurrencia de un hecho no deseado o
eventualidad, que pueda afectar las actividades, operaciones, procesos y por
ende el resultado esperado.
Órgano Judicial Corte Suprema de Justicia
Dirección de Planificación Institucional
“Identificación y Valoración de Riesgos Institucionales”
40
Riesgos Relevantes: Evento de índole interno o externo que puede afectar
de manera significativa el cumplimiento de los objetivos estratégicos que
orientan las líneas estratégicas, los componentes y acciones relevantes de la
Institución; plasmados en el Plan Estratégico Institucional.
Sistema de Control Interno: Es el conjunto de procesos continuos e
interrelacionados realizados por la máxima autoridad, funcionarios y
empleados, diseñados para proporcionar una seguridad razonable en la
consecución de los objetivos. El sistema de control interno comprende planes,
métodos, procedimientos y actividades establecidas en la Institución, para
alcanzar los objetivos institucionales.
Sistema Específico de Valoración del Riesgo Institucional (SEVRI):
Conjunto organizado de elementos que interaccionan para la identificación,
análisis, evaluación, administración, revisión, documentación y comunicación
de los riesgos institucionales.
Valoración de Riesgos: Es la identificación, análisis y valoración de los
riesgos relevantes para el logro de los objetivos, formando una base para la
determinación de cómo deben administrarse los riesgos.
Valoración del estado del sistema de control interno: Es la actividad que
busca el mejoramiento continuo de los controles que la institución, en el nivel
que corresponda, diseña y aplica para todos sus procesos y operaciones, que
le propician el cumplimiento de los objetivos.
Valores: Principios por los que se establecen prioridades y jerarquías de
importancia entre necesidades, demandas y fines.
Visión: Expresión filosófica que plantea la inspiración y motivo del desarrollo
de la institución; de cómo desea ser vista en el futuro por sus empleados y
usuarios.
Top Related