Administración de Riesgos
Proceso dinámico desarrollado para contextualizar, identificar, analizar, evaluar, responder, supervisar y comunicar los riesgos, inlcuídos los de corrupción, inherentes o asociados a los procesos por los cuales se logra el mandato de la Institución, mediante el análisis de los distintos factores que pueden provocarlos, con la finalidad de definir las estrategiasy accionesque permitan mitigarlos y asegurar el logro de metas y objetivos institucionales de una manera razonable, en términos de eficacia, eficiencia y economía en un marco de transparencia y rendición de cuentas;
|
|
|
|
||
INICIO DEL PROCESO
El proceso de administración de riesgos deberá iniciarse a más tardar en el último trimestre de cada año, con la conformación de un grupo de trabajo en el que participen los titulares de todas las unidades administrativas de la Institución, el Titular del OIC, el Coordinador de Control Interno y el Enlace de Administración de Riesgos,con objeto de definir las acciones a seguir para integrar la Matriz y el Programa de Trabajo de Administración de Riesgos,, las cuales deberán reflejarse en un cronograma que especifique las actividades a realizar, designación de responsables y fechas compromiso para la entrega de productos.
FORMALIZACIÓN Y ETAPAS DE LA METODOLOGÍA
La metodología general de administración de riesgos que se describe deberá tomarse como base para la metodología específica que aplique cada Institución (La Secretaría de Energía diseñó y aplica su propia metodología de administración de riesgos que se denomina: "Metodología para la Identificación y Autoevaluación de Riegos en la Secretaría de Energía", misma que está debidamente autorizada por el Secretario de Energía y su aplicación está documentada en una Matriz de Administración de Riesgos.
×
El proceso de administración de riesgos deberá iniciarse a más tardar en el último trimestre de cada año, con la conformación de un grupo de trabajo en el que participen los titulares de todas las unidades administrativas de la Institución, el Titular del OIC, el Coordinador de Control Interno y el Enlace de Administración de Riesgos,con objeto de definir las acciones a seguir para integrar la Matriz y el Programa de Trabajo de Administración de Riesgos,, las cuales deberán reflejarse en un cronograma que especifique las actividades a realizar, designación de responsables y fechas compromiso para la entrega de productos.
FORMALIZACIÓN Y ETAPAS DE LA METODOLOGÍA
La metodología general de administración de riesgos que se describe deberá tomarse como base para la metodología específica que aplique cada Institución (La Secretaría de Energía diseñó y aplica su propia metodología de administración de riesgos que se denomina: "Metodología para la Identificación y Autoevaluación de Riegos en la Secretaría de Energía", misma que está debidamente autorizada por el Secretario de Energía y su aplicación está documentada en una Matriz de Administración de Riesgos.
Para cualquier duda en particular sobre el tema favor de llenar este formulario
Formulario
1. COMUNICACIÓN Y CONSULTA
Se realizará conforme a lo siguiente:
a) Considerar el plan estratégico institucional, identificar y definir tanto las metas y objetivos de la Institución como los procesos prioritarios (sustantivos y administrativos), así como los actores directamente involucrados en el proceso de administración de riesgos.
b) Definir las bases y criterios que se deberán considerar para la identificación de las causas y posibles efectos de los riesgos, así como las acciones de control que se adopten para su tratamiento.
c) Identificar los procesos susceptibles a riesgos de corrupción. Lo anterior debe tener como propósito:
1. Establecer un contexto apropiado;
2. Asegurar que los objetivos, metas y procesos de la Institución sean comprendidos y considerados por los responsables de instrumentar el proceso de administración de riesgos
3. Asegurar que los riesgos sean identificados correctamente, incluidos los de corrupción
4. Constituir un grupo de trabajo en donde estén representadas todas las áreas de la institución para el adecuado análisis de los riesgos.
×
Se realizará conforme a lo siguiente:
a) Considerar el plan estratégico institucional, identificar y definir tanto las metas y objetivos de la Institución como los procesos prioritarios (sustantivos y administrativos), así como los actores directamente involucrados en el proceso de administración de riesgos.
b) Definir las bases y criterios que se deberán considerar para la identificación de las causas y posibles efectos de los riesgos, así como las acciones de control que se adopten para su tratamiento.
c) Identificar los procesos susceptibles a riesgos de corrupción. Lo anterior debe tener como propósito:
1. Establecer un contexto apropiado;
2. Asegurar que los objetivos, metas y procesos de la Institución sean comprendidos y considerados por los responsables de instrumentar el proceso de administración de riesgos
3. Asegurar que los riesgos sean identificados correctamente, incluidos los de corrupción
4. Constituir un grupo de trabajo en donde estén representadas todas las áreas de la institución para el adecuado análisis de los riesgos.
2. CONTEXTO
Esta etapa se realizará conforme a lo siguiente:
a) Describir el entorno externo social, político, legal, financiero, tecnológico, económico, ambiental y de competitividad, según sea el caso, de la Institución, a nivel internacional, nacional y regional.
b) Describir las situaciones intrínsecas a la Institución relacionadas con su estructura, atribuciones, procesos, objetivos y estrategias, recursos humanos, materiales y financieros, programas presupuestarios y la evaluación de su desempeño, así como su capacidad tecnológica bajo las cuales se pueden identificar sus fortalezas y debilidades para responder a los riesgos que sean identificados.
c) Identificar, seleccionar y agrupar los enunciados definidos como supuestos en los procesos de la Institución, a fin de contar con un conjunto sistemático de eventos adversos de realización incierta que tienen el potencial de afectar el cumplimiento de los objetivos institucionales. Este conjunto deberá utilizarse como referencia en la identificación y definición de los riesgos.
d) Describir el comportamiento histórico de los riesgos identificados en ejercicios anteriores, tanto en lo relativo a su incidencia efectiva como en el impacto que, en su caso, hayan tenido sobre el logro de los objetivos institucionales.
×
Esta etapa se realizará conforme a lo siguiente:
a) Describir el entorno externo social, político, legal, financiero, tecnológico, económico, ambiental y de competitividad, según sea el caso, de la Institución, a nivel internacional, nacional y regional.
b) Describir las situaciones intrínsecas a la Institución relacionadas con su estructura, atribuciones, procesos, objetivos y estrategias, recursos humanos, materiales y financieros, programas presupuestarios y la evaluación de su desempeño, así como su capacidad tecnológica bajo las cuales se pueden identificar sus fortalezas y debilidades para responder a los riesgos que sean identificados.
c) Identificar, seleccionar y agrupar los enunciados definidos como supuestos en los procesos de la Institución, a fin de contar con un conjunto sistemático de eventos adversos de realización incierta que tienen el potencial de afectar el cumplimiento de los objetivos institucionales. Este conjunto deberá utilizarse como referencia en la identificación y definición de los riesgos.
d) Describir el comportamiento histórico de los riesgos identificados en ejercicios anteriores, tanto en lo relativo a su incidencia efectiva como en el impacto que, en su caso, hayan tenido sobre el logro de los objetivos institucionales.
3. EVALUACIÓN DE RIESGOS
Se realizará conforme a lo siguiente:
a) Identificación, selección y descripción de riesgos. Se realizará con base en las metas y objetivos institucionales, y los procesos sustantivos por los cuales se logran éstos, con el propósito de constituir el inventario de riesgos institucional.
b) Nivel de decisión del riesgo. Se identificará el nivel de exposición que tiene el riesgo en caso de su materialización, de acuerdo a lo siguiente:
c) Clasificación de los riesgos. Se realizará en congruencia con la descripción del riesgo que se determine, de acuerdo con la naturaleza de la Institución, clasificándolos en los siguientes tipos de riesgo: sustantivo, administrativo; legal; financiero; presupuestal; de servicios; de seguridad; de obra pública; de recursos humanos; de imagen; de TIC's; de salud; de corrupción y otros.
d) Identificación de factores de riesgo. Se describirán las causas o situaciones que puedan contribuir a la materialización de un riesgo, considerándose para tal efecto lo siguiente: Humano, Financiero presupuestal, Técnico administrativo, TIC´s, Material, Normativo, Entorno.
e) Tipo de factor de riesgo. Se identificará el tipo de factor conforme a lo siguiente:
f) Identificación de los posibles efectos de los riesgos. Se describirán las consecuencias que incidirán en el cumplimiento de las metas y objetivos institucionales, en caso de materializarse el riesgo identificado.
g) Valoración del grado de impacto antes de la evaluación de controles (valoración inicial). La asignación se determinará con un valor del 1 al 10 en función de los efectos.
h) Valoración de la probabilidad de ocurrencia antes de la evaluación de controles (valoración inicial). La asignación se determinará con un valor del 1 al 10, en función de los factores de riesgo.
La valoración del grado de impacto y de la probabilidad de ocurrencia deberá realizarse antes de la evaluación de controles (evaluación inicial), se determinará sin considerar los controles existentes para administrar los riesgos, a fin de visualizar la máxima vulnerabilidad a que está expuesta la Institución de no responder ante ellos adecuadamente.
×
Se realizará conforme a lo siguiente:
a) Identificación, selección y descripción de riesgos. Se realizará con base en las metas y objetivos institucionales, y los procesos sustantivos por los cuales se logran éstos, con el propósito de constituir el inventario de riesgos institucional.
b) Nivel de decisión del riesgo. Se identificará el nivel de exposición que tiene el riesgo en caso de su materialización, de acuerdo a lo siguiente:
Directivo: Impacta negativamente en la operación de los procesos, programas y proyectos de la institución.
Operativo: Repercute en la eficacia de las acciones y tareas realizadas por los responsables de su ejecución.
c) Clasificación de los riesgos. Se realizará en congruencia con la descripción del riesgo que se determine, de acuerdo con la naturaleza de la Institución, clasificándolos en los siguientes tipos de riesgo: sustantivo, administrativo; legal; financiero; presupuestal; de servicios; de seguridad; de obra pública; de recursos humanos; de imagen; de TIC's; de salud; de corrupción y otros.
d) Identificación de factores de riesgo. Se describirán las causas o situaciones que puedan contribuir a la materialización de un riesgo, considerándose para tal efecto lo siguiente: Humano, Financiero presupuestal, Técnico administrativo, TIC´s, Material, Normativo, Entorno.
e) Tipo de factor de riesgo. Se identificará el tipo de factor conforme a lo siguiente:
Interno: Se encuentra relacionado con las causas o situaciones originadas en el ámbito de actuación de la organización.
Externo: Se refiere a las causas o situaciones fuera del ámbito de competencia de la organización.
f) Identificación de los posibles efectos de los riesgos. Se describirán las consecuencias que incidirán en el cumplimiento de las metas y objetivos institucionales, en caso de materializarse el riesgo identificado.
g) Valoración del grado de impacto antes de la evaluación de controles (valoración inicial). La asignación se determinará con un valor del 1 al 10 en función de los efectos.
h) Valoración de la probabilidad de ocurrencia antes de la evaluación de controles (valoración inicial). La asignación se determinará con un valor del 1 al 10, en función de los factores de riesgo.
La valoración del grado de impacto y de la probabilidad de ocurrencia deberá realizarse antes de la evaluación de controles (evaluación inicial), se determinará sin considerar los controles existentes para administrar los riesgos, a fin de visualizar la máxima vulnerabilidad a que está expuesta la Institución de no responder ante ellos adecuadamente.
4. EVALUACIÓN DE CONTROLES
II. EVALUACIÓN DE CONTROLES.
Se realizará conforme a lo siguiente:
II. EVALUACIÓN DE CONTROLES.
Se realizará conforme a lo siguiente:
- a) Comprobar la existencia o no de controles para los factores de riesgo y, en su caso, para sus efectos;
- b) Describir los controles existentes para administrar los factores de riesgo y, en su caso, para sus efectos;
- c) Determinar el tipo de control: preventivo, correctivo y/o detectivo;
- d) Identificar en los controles lo siguiente:
- 1. Deficiencia: cuando no reúna alguna de las siguientes condiciones: que esté documentado,
- 2. Suficiencia: cuando esté documentado, autorizado, operando con evidencias de cumplimiento y es
efectivo, y
- e) Determinar si el riesgo está controlado suficientemente, cuando al menos todos sus factores cuentan
con controles suficientes.
5. Evaluación de riesgos respecto a controles
Valoración final del impacto y de la probabilidad de ocurrencia del riesgo. En esta etapa se realizará la confronta de los resultados de la evaluación de riesgos y de controles, a fin de visualizar la máxima vulnerabilidad a que está expuesta la Institución de no responder adecuadamente ante ellos, considerando los siguientes aspectos:
Para la valoración del impacto y de la probabilidad de ocurrencia antes y después de la evaluación de controles, las Instituciones podrán utilizar metodologías, modelos y/o teorías basados en cálculos matemáticos, tales como puntajes ponderados, cálculos de preferencias, proceso de jerarquía analítica y modelos probabilísticos, entre otros.
×
Valoración final del impacto y de la probabilidad de ocurrencia del riesgo. En esta etapa se realizará la confronta de los resultados de la evaluación de riesgos y de controles, a fin de visualizar la máxima vulnerabilidad a que está expuesta la Institución de no responder adecuadamente ante ellos, considerando los siguientes aspectos:
a) La valoración final del riesgo nunca podrá ser superior a la valoración inicial;
b) Si todos los controles del riesgo son suficientes, la valoración final del riesgo deberá ser inferior a la inicial;
c) Si alguno de los controles del riesgo son deficientes, o se observa inexistencia de controles, la valoración final del riesgo deberá ser igual a la inicial, y
d) La valoración final carecerá de validez cuando no considere la valoración inicial del impacto y de la probabilidad de ocurrencia del riesgo; la totalidad de los controles existentes y la etapa de evaluación de controles.
Para la valoración del impacto y de la probabilidad de ocurrencia antes y después de la evaluación de controles, las Instituciones podrán utilizar metodologías, modelos y/o teorías basados en cálculos matemáticos, tales como puntajes ponderados, cálculos de preferencias, proceso de jerarquía analítica y modelos probabilísticos, entre otros.
Los riesgos se ubicarán por cuadrantes en la Matriz de Administración de Riesgos y se graficarán en el Mapa de Riesgos, en función de la valoración valoración final del impacto en el eje horizontal y la probabilidad de ocurrencia en el eje vertical. La representación gráfica del Mapa de Riesgos deberá contener los cuadrantes siguientes:
Cuadrante I. Riesgos de Atención Inmediata.- Son críticos por su alta probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor mayor a 5 y hasta 10 de ambos ejes;
Cuadrante II. Riesgos de Atención Periódica.- Tienen alta probabilidad de ocurrencia ubicada en la escala de valor mayor a 5 y hasta 10 y bajo grado de impacto de 1 y hasta 5;
Cuadrante III. Riesgos Controlados.-Son de baja probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor de 1 y hasta 5 de ambos ejes, y
Cuadrante IV. Riesgos de Seguimiento.- Tienen baja probabilidad de ocurrencia con valor de 1 y hasta 5 y alto grado de impacto mayor a 5 y hasta 10.
DEFINICIÓN DE ESTRATEGIAS Y ACCIONES DE CONTROL PARA ADMINISTRACIÓN DE LOS RIESGOS.
a) Las estrategias constituirán las opciones para administrar los riesgos, basados en su valoración respecto a controles, lo que permitirá determinar las acciones de control a implementar por factor. Algunas de las estrategias que pueden considerarse independientemente, interrelacionadas o en su conjunto, son las siguientes:
b) Las acciones de control para administrar los riesgos se definirán a partir de las estrategias determinadas para los factores de riesgo, las cuales se incorporarán en el PTAR Institucional.
a) Las estrategias constituirán las opciones para administrar los riesgos, basados en su valoración respecto a controles, lo que permitirá determinar las acciones de control a implementar por factor. Algunas de las estrategias que pueden considerarse independientemente, interrelacionadas o en su conjunto, son las siguientes:
1. Evitar el riesgo.- Se aplica antes de asumir cualquier riesgo. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejora, rediseño o eliminación, resultado de controles suficientes y acciones emprendidas;
2. Reducir el riesgo.- Se aplica preferentemente antes de optar por otras medidas más costosas y difíciles. Implica establecer acciones dirigidas a disminuir la probabilidad de ocurrencia (acciones de prevención) y el impacto (acciones de contingencia), tales como la optimización de los procedimientos y la implementación de controles;
3. Asumir el riesgo.- Se aplica cuando el riesgo se encuentra en el cuadrante III, y puede aceptarse sin necesidad de tomar otras medidas de control diferentes a las que se poseen, o cuando no se tiene opción para abatirlo y sólo pueden establecer acciones de contingencia, y
4. Transferir o compartir el riesgo.- Implica la administración del riesgo con un tercero que tenga la experiencia y especialización necesaria para asumirlo, y
b) Las acciones de control para administrar los riesgos se definirán a partir de las estrategias determinadas para los factores de riesgo, las cuales se incorporarán en el PTAR Institucional.
PROGRAMA DE TRABAJO DE ADMINISTRACIÓN DE RIESGOS
Para la implementación y seguimiento de las estrategias y acciones, se elaborará el PTAR, debidamente firmado por el Titular de la Institución, el Coordinador de Control Interno y el Enlace de Administración de Riesgos e incluirá:
a) Los riesgos
b) Los factores de riesgo
c) Las estrategias para administrar los riesgos
d) Las acciones de control registradas en la Matriz de Administración de Riesgos, las cuales deberán identificar:
REPORTE DE AVANCES TRIMESTRAL DEL PTAR
El seguimiento al cumplimiento de las acciones de control del PTAR deberá realizarse periódicamente por el Coordinador de Control Interno y el Enlace de Administración de Riesgos para informar trimestralmente al Titular de la Institución el resultado, a través del Reporte de Avances Trimestral del PTAR, el cual deberá contener al menos lo siguiente:
a) Resumen cuantitativo de las acciones de control comprometidas, indicando el total de las concluidas y el porcentaje de cumplimiento que representan, el total de las que se encuentran en proceso y el porcentaje de avance de cada una de ellas, así como las pendientes sin avance;
b) En su caso, la descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones de control reportadas en proceso y propuestas de solución para consideración del Comité
c) Conclusión general sobre el avance global en la atención de las acciones de control comprometidas y respecto a las concluidas su contribución como valor agregado para evitar que se materialicen los riesgos, indicando sus efectos en el Sistema de Control Interno y en el cumplimiento de metas y objetivos
d) Firmas del Coordinador de Control Interno y del Enlace de Administración de Riesgos
El Coordinador de Control Interno deberá presentar el Reporte de Avances Trimestral del PTAR:
a) Al Titular del, dentro de los 15 días hábiles posteriores al cierre de cada trimestre para fines del informe de evaluación
b) Al Comité a través del Sistema Informático, en las sesiones ordinarias como sigue:
EVIDENCIA DOCUMENTAL DEL PTAR
La evidencia documental y/o electrónica que acredite la implementación y avances reportados, será resguardada por los servidores públicos responsables de las acciones de control comprometidas en el PTAR institucional y deberá ponerse a disposición de los órganos fiscalizadores, a través del Enlace de Administración de Riesgos.
DEL REPORTE ANUAL DE COMPORTAMIENTO DE LOS RIESGOS
Se realizará un Reporte Anual del comportamiento de los riesgos, con relación a los determinados en la Matriz de Administración de Riesgos del año inmediato anterior, y contendrá al menos lo siguiente:
I. Riesgos con cambios en la valoración final de probabilidad de ocurrencia y grado de impacto, los modificados en su conceptualización y los nuevos riesgos
II. Comparativo del total de riesgos por cuadrante
III. Variación del total de riesgos y por cuadrante
IV. Conclusiones sobre los resultados alcanzados en relación con los esperados, tanto cuantitativos como cualitativos de la administración de riesgos
El Reporte Anual del comportamiento de los riesgos, deberá fortalecer el proceso de administración de riesgos y el Titular de la Institución lo informará al Comité a través del Sistema Informático, en su primera sesión ordinaria de cada ejercicio fiscal.
×
Para la implementación y seguimiento de las estrategias y acciones, se elaborará el PTAR, debidamente firmado por el Titular de la Institución, el Coordinador de Control Interno y el Enlace de Administración de Riesgos e incluirá:
a) Los riesgos
b) Los factores de riesgo
c) Las estrategias para administrar los riesgos
d) Las acciones de control registradas en la Matriz de Administración de Riesgos, las cuales deberán identificar:
- Unidad administrativa
- Responsable de su implementación
- Las fechas de inicio y término
- Medios de verificación
REPORTE DE AVANCES TRIMESTRAL DEL PTAR
El seguimiento al cumplimiento de las acciones de control del PTAR deberá realizarse periódicamente por el Coordinador de Control Interno y el Enlace de Administración de Riesgos para informar trimestralmente al Titular de la Institución el resultado, a través del Reporte de Avances Trimestral del PTAR, el cual deberá contener al menos lo siguiente:
a) Resumen cuantitativo de las acciones de control comprometidas, indicando el total de las concluidas y el porcentaje de cumplimiento que representan, el total de las que se encuentran en proceso y el porcentaje de avance de cada una de ellas, así como las pendientes sin avance;
b) En su caso, la descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones de control reportadas en proceso y propuestas de solución para consideración del Comité
c) Conclusión general sobre el avance global en la atención de las acciones de control comprometidas y respecto a las concluidas su contribución como valor agregado para evitar que se materialicen los riesgos, indicando sus efectos en el Sistema de Control Interno y en el cumplimiento de metas y objetivos
d) Firmas del Coordinador de Control Interno y del Enlace de Administración de Riesgos
El Coordinador de Control Interno deberá presentar el Reporte de Avances Trimestral del PTAR:
a) Al Titular del, dentro de los 15 días hábiles posteriores al cierre de cada trimestre para fines del informe de evaluación
b) Al Comité a través del Sistema Informático, en las sesiones ordinarias como sigue:
- 1. Reporte de Avances del primer trimestre en la segunda sesión
- 2. Reporte de Avances del segundo trimestre en la tercera sesión
- 3. Reporte de Avances del tercer trimestre en la cuarta sesión
- 4. Reporte de Avances del cuarto trimestre en la primera sesión de cada año
EVIDENCIA DOCUMENTAL DEL PTAR
La evidencia documental y/o electrónica que acredite la implementación y avances reportados, será resguardada por los servidores públicos responsables de las acciones de control comprometidas en el PTAR institucional y deberá ponerse a disposición de los órganos fiscalizadores, a través del Enlace de Administración de Riesgos.
DEL REPORTE ANUAL DE COMPORTAMIENTO DE LOS RIESGOS
Se realizará un Reporte Anual del comportamiento de los riesgos, con relación a los determinados en la Matriz de Administración de Riesgos del año inmediato anterior, y contendrá al menos lo siguiente:
I. Riesgos con cambios en la valoración final de probabilidad de ocurrencia y grado de impacto, los modificados en su conceptualización y los nuevos riesgos
II. Comparativo del total de riesgos por cuadrante
III. Variación del total de riesgos y por cuadrante
IV. Conclusiones sobre los resultados alcanzados en relación con los esperados, tanto cuantitativos como cualitativos de la administración de riesgos
El Reporte Anual del comportamiento de los riesgos, deberá fortalecer el proceso de administración de riesgos y el Titular de la Institución lo informará al Comité a través del Sistema Informático, en su primera sesión ordinaria de cada ejercicio fiscal.
×
- PROGRAMA DE TRABAJO DE ADMINISTRACIÓN DE RIESGOS
Para la implementación y seguimiento de las estrategias y acciones, se elaborará el PTAR, debidamente firmado por el Titular de la
Institución, el Coordinador de Control Interno y el Enlace de Administración de Riesgos e incluirá:
- Unidad administrativa
- Responsable de su implementación
- Las fechas de inicio y término
- Medios de verificación
- a) Los riesgos
- b) Los factores de riesgo
- c) Las estrategias para administrar los riesgos
- d) Las acciones de control registradas en la Matriz de Administración de Riesgos, las cuales deberán identificar:
- REPORTE DE AVANCES TRIMESTRAL DEL PTAR.
El seguimiento al cumplimiento de las acciones de control del PTAR deberá realizarse periódicamente por el Coordinador de Control
Interno y el Enlace de Administración de Riesgos para informar trimestralmente al Titular de la Institución el resultado, a través
del Reporte de Avances Trimestral del PTAR, el cual deberá contener al menos lo siguiente:
- a) Resumen cuantitativo de las acciones de control comprometidas, indicando el total de las concluidas y el porcentaje de
cumplimiento que representan, el total de las que se encuentran en proceso y el porcentaje de avance de cada una de ellas, así como las pendientes sin avance;
- b)En su caso, la descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones
de control reportadas en proceso y propuestas de solución para consideración del Comité u Órgano de Gobierno, según corresponda
- c) Conclusión general sobre el avance global en la atención de las acciones de control comprometidas y respecto a las concluidas su contribución
como valor agregado para evitar que se materialicen los riesgos, indicando sus efectos en el Sistema de Control Interno y en el cumplimiento de metas y objetivos
- d) Firmas del Coordinador de Control Interno y del Enlace de Administración de Riesgos
El Coordinador de Control Interno deberá presentar el Reporte de Avances Trimestral del PTAR:
- a) Al Titular del Órgano Fiscalizador, dentro de los 15 días hábiles posteriores al cierre de cada trimestre para fines del informe de evaluación
- b) Al Comité u Órgano de Gobierno, según corresponda, a través del Sistema Informático, en las sesiones ordinarias como sigue:
- 1. Reporte de Avances del primer trimestre en la segunda sesión
- 2. Reporte de Avances del segundo trimestre en la tercera sesión
- 3. Reporte de Avances del tercer trimestre en la cuarta sesión
- 4. Reporte de Avances del cuarto trimestre en la primera sesión de cada año
- EVIDENCIA DOCUMENTAL DEL PTAR
La evidencia documental y/o electrónica que acredite la implementación y avances reportados, será resguardada por los servidores públicos responsables
de las acciones de control comprometidas en el PTAR institucional y deberá ponerse a disposición de los órganos fiscalizadores, a través del Enlace de
Administración de Riesgos.
- DEL REPORTE ANUAL DE COMPORTAMIENTO DE LOS RIESGOS
Se realizará un Reporte Anual del comportamiento de los riesgos, con relación a los determinados en la Matriz de Administración de Riesgos del año
inmediato anterior, y contendrá al menos lo siguiente:
- I. Riesgos con cambios en la valoración final de probabilidad de ocurrencia y grado de impacto, los modificados en su conceptualización y los nuevos riesgos
- II. Comparativo del total de riesgos por cuadrante
- III. Variación del total de riesgos y por cuadrante
- IV. Conclusiones sobre los resultados alcanzados en relación con los esperados, tanto cuantitativos como cualitativos de la administración de riesgos
Para apoyar el registro y documentación del Proceso de Administración de Riesgos, la UCEGP pondrá a disposición de las Instituciones una herramienta informática, que contemple tanto los riesgos generales como los de corrupción. ×
EVALUACIÓN DE RIESGOS.
EVALUACIÓN DE RIESGOS.a) Identificación, selección y descripción de riesgos. Se realizará con base en los objetivos y metas institucionales, lo cual constituirá el inventario de riesgos institucional. En la descripción de los riesgos se deberá considerar la siguiente estructura general: sustantivo, verbo en participio y, adjetivo o adverbio o complemento circunstancial negativo;
b) Clasificación de los riesgos. Se realizará en congruencia con la descripción del riesgo que se determine, de acuerdo a la naturaleza de la Institución;
c) Identificación de factores de riesgo. Se describirán los factores que puedan contribuir a la materialización de un riesgo, considerándose como parte de los insumos las causas que den origen, entre otros, a las observaciones determinadas recurrentemente por las instancias de fiscalización;
d) Identificación de los posibles efectos de los riesgos. Se describirán los impactos; e) Valoración inicial del grado de impacto. La asignación se determinará con una escala de valor del 0al 10, de acuerdo a lo establecido en la fracción IV de este numeral y en función de los efectos. La Institución establecerá un criterio específico para cada escala de valor, y
f) Valoración inicial de la probabilidad de ocurrencia. La asignación se determinará con una escala de valor del 0 al 10, de acuerdo a lo establecido en la fracción IV de este numeral y en función de los factores de riesgo. La Institución establecerá un criterio específico para cada escala de valor, considerando la frecuencia con la que se ha materializado el riesgo en el pasado.
La valoración inicial del grado de impacto y de la probabilidad de ocurrencia, se determinará sin considerar los controles existentes para administrar los riesgos, a fin de visualizar la máxima vulnerabilidad a que está expuesta la Institución de no atenderlos adecuadamente.
Para la valoración inicial y final del impacto y de la probabilidad de ocurrencia, los Titulares de las Instituciones, podrán utilizar metodologías, modelos y/o teorías basados en cálculos matemáticos, tales como puntajes ponderados, cálculos de preferencias, proceso de jerarquía analítica y modelos probabilísticos, entre otros. ×
DEFINICIÓN DE ESTRATEGIAS Y ACCIONES DE CONTROL PARA ADMINISTRACIÓN DE LOS RIESGOS.
V. DEFINICIÓN DE ESTRATEGIAS Y ACCIONES DE CONTROL PARA ADMINISTRACIÓN DE LOS RIESGOS.a) Las estrategias constituirán las opciones para administrar los riesgos, basados en su valoración respecto a controles, lo que permitirá determinar las acciones de control a implementar por factor. Algunas de las estrategias que pueden considerarse independientemente, interrelacionadas o en su conjunto, son las siguientes:
1. Evitar el riesgo.- Se aplica antes de asumir cualquier riesgo. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejora, rediseño o eliminación, resultado de controles suficientes y acciones emprendidas;
2. Reducir el riesgo.- Se aplica preferentemente antes de optar por otras medidas más costosas y difíciles. Implica establecer acciones dirigidas a disminuir la probabilidad de ocurrencia (acciones de prevención) y el impacto (acciones de contingencia), tales como la optimización de los procedimientos y la implementación de controles;
3. Asumir el riesgo.- Se aplica cuando el riesgo se encuentra en el cuadrante III, y puede aceptarse sin necesidad de tomar otras medidas de control diferentes a las que se poseen, o cuando no se tiene opción para abatirlo y sólo pueden establecer acciones de contingencia, y
4. Transferir o compartir el riesgo.- Implica la administración del riesgo con un tercero que tenga la experiencia y especialización necesaria para asumirlo, y
b) Las acciones de control para administrar los riesgos se definirán a partir de las estrategias determinadas para los factores de riesgo, las cuales se incorporarán en el PTAR Institucional. ×
EVALUACIÓN DE CONTROLES.
II. EVALUACIÓN DE CONTROLES. Se realizará conforme a lo siguiente:a) Comprobar la existencia o no de controles para los factores de riesgo y, en su caso, para sus efectos;
b) Describir los controles existentes para administrar los factores de riesgo y, en su caso, para sus efectos;
c) Determinar el tipo de control: preventivo, correctivo y/o detectivo;
d) Identificar en los controles lo siguiente:
1. Deficiencia: cuando no reúna alguna de las siguientes condiciones: que esté documentado, autorizado, operando con evidencias de cumplimiento y es efectivo, y
2. Suficiencia: cuando esté documentado, autorizado, operando con evidencias de cumplimiento y es efectivo, y
e) Determinar si el riesgo está controlado suficientemente, cuando al menos todos sus factores cuentan con controles suficientes. ×
MAPA DE RIESGOS INSTITUCIONAL.
IV. MAPA DE RIESGOS INSTITUCIONAL.a) Elaboración del Mapa de Riesgos Institucional. Los riesgos se ubicarán por cuadrantes en la Matriz de Administración de Riesgos Institucional y se graficarán en el Mapa de Riesgos, en función de la valoración final del impacto en el eje horizontal y la probabilidad de ocurrencia en el eje vertical.
La representación gráfica del Mapa de Riesgos Institucional deberá contener los cuadrantes siguientes: Cuadrante
I. Riesgos de Atención Inmediata.- Son críticos por su alta probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor mayor a 5 y hasta 10 de ambos ejes; Cuadrante
II. Riesgos de Atención Periódica.- Tienen alta probabilidad de ocurrencia ubicada en la escala de valor mayor a 5 y hasta 10 y bajo grado de impacto de 0 y hasta 5; Cuadrante
III. Riesgos Controlados.- Son de baja probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor de 0 y hasta 5 de ambos ejes, y Cuadrante
IV. Riesgos de Seguimiento.- Tienen baja probabilidad de ocurrencia con valor de 0 y hasta 5 y alto grado de impacto mayor a 5 y hasta 10. ×
VALORACIÓN FINAL DE RIESGOS RESPECTO A CONTROLES.
III. VALORACIÓN FINAL DE RIESGOS RESPECTO A CONTROLES. Se realizará conforme a lo siguiente:a) Se dará valor final al impacto y probabilidad de ocurrencia del riesgo con la confronta de los resultados de las etapas de evaluación de riesgos y de controles.
Para lo anterior, las Instituciones considerarán que si el riesgo está controlado suficientemente la valoración del riesgo pasa a alguna escala inferior, de lo contrario, se mantiene el resultado de la valoración inicial del riesgo antes de haber establecido los controles. ×