Manual de Análisis de Riesgos
Comienza con un marco conceptual y metodológico del control de la gestión de los riesgos, para definir los tipos de riesgos, su impacto y probabilidad. Este Sistema de Control de Gestión de Riesgos se basa en un proceso de ponderación y evaluación de niveles de riesgos en las diferentes áreas del Gobierno de la Ciudad.
1. INTRODUCCIÓN
La misión principal de la Sindicatura General de la Ciudad de Buenos Aires (SGCBA), en el marco de sus funciones establecidas en la Ley N.º 70 de la CABA, es ser el órgano rector del Sistema de Control Interno del Gobierno de la Ciudad Autónoma de Buenos Aires, en los aspectos presupuestarios, económicos, financieros, patrimoniales, normativos legales y de gestión. Las tendencias de los Organismos de Control Interno Gubernamental están orientadas a los nuevos paradigmas de gobierno abierto/gobierno inteligente y, por lo tanto, es muy importante que la configuración de sus actividades se oriente hacia el modelo de Gestión de Riesgos dentro del marco de un Sistema de Gestión de Calidad. Para ejercer la fiscalización del cumplimiento de estos aspectos así como de sus objetivos, la Sindicatura General de la Ciudad de Buenos Aires desarrolla estas actividades bajo una Política de Gestión de Riesgos como herramienta para garantizar la aplicación eficaz del modelo del Control Interno. Además se compromete a coadyuvar al control efectivo de las acciones de gobierno y a fortalecer la visión integral de la gobernabilidad de la Ciudad de Buenos Aires. Este enfoque conlleva la necesidad de evaluar de manera sistemática las “Operaciones”, la “Información” y el “Cumplimiento” para identificar las fuentes y estimar el riesgo que afecta los intereses básicos de la ciudadanía. En esta línea y para dar soporte y sustentabilidad a la planificación de auditorías en base a riesgos es que se diseña e implementa un Sistema de Control de Gestión de Riesgos (SICOR), cuyo marco metodológico está fundamentado, principalmente, por las disposiciones internacionales de la norma ISO 31000:2009[1], su equivalente IRAM-ISO 31000:2015[2], por la norma Argentina IRAM 1755[3] y por las normas internacionales de Control Interno del modelo COSO[4]. Dicho sistema SICOR está conformado dentro de un proceso de ponderación y evaluación de niveles de riesgos en las diferentes áreas del Gobierno de la Ciudad, que incluye, por una parte, el análisis profundo de las misiones y funciones, programas, políticas jurisdiccionales y de las diversas fuentes de información, así como el análisis de las mitigaciones que cada ministerio u organismo ha implementado. Por otra parte, toma en cuenta los riesgos del proceso mismo de auditoría, considerando los riesgos inherentes, los de control y los de detección o muestreo. El sistema SICOR ayuda al Sistema de Control Interno de la SGCBA a identificar prioridades y optimizar la asignación de sus recursos en la planificación de las auditorías, ejerciendo la fiscalización del cumplimiento de manera eficiente, retroalimentando dicho Sistema de Control Interno con indicadores cualitativos y cuantitativos dinámicos.
2. OBJETIVO y ALCANCE
El presente documento tiene por objeto describir todas las actividades necesarias para desarrollar y administrar el Sistema de Control de Gestión de Riesgos (SICOR), sus objetivos y las fases de implementación, dentro del Sistema de Control Interno de la SGCBA. Tiene en cuenta tanto el análisis de los riesgos que pueden presentar los procesos y actividades del organismo auditado como el análisis de los riesgos propios del sistema de control. El caso de riesgos del organismo auditado incluye el análisis de contextos, el estudio de las observaciones de auditoría, la ponderación, análisis y evaluación de riesgos del organismo y el monitoreo posterior de su mitigación por parte de la autoridad responsable. En el segundo caso incluye la ponderación de los tres tipos de riesgos de auditoría: inherente, de control y de detección o muestreo. El presente manual aplica a todas las actividades ejercidas por la Subgerencia Operativa Análisis de Riesgos (SOAR), bajo el lineamiento de la Gerencia de Relaciones Institucionales. Asimismo afecta al personal de las jurisdicciones de control de la SGCBA que participan con la información para el sistema de gestión de riesgos.
3. POLÍTICA DE GESTIÓN DE RIESGOS DE LA SINDICATURA GENERAL DE LA CIUDAD AUTÓNOMA DE BUENOS AIRES
La Conducción de la Sindicatura General de la Ciudad de Buenos Aires, tomando en cuenta la Visión, Misión y Valores del organismo y en el marco del Sistema de Gestión de La Calidad, declara su compromiso de desarrollar una Política de Gestión de Riesgos para el fortalecimiento y la optimización del Sistema de Control Interno, y que permita ponderar los efectos de la incertidumbre sobre el logro de los objetivos del Gobierno de la Ciudad Autónoma de Buenos Aires. Para ello se compromete a:
- Coadyuvar a la planificación de las auditorías de esta Sindicatura General conforme a la identificación, análisis y evaluación de los riesgos que afecten el cumplimiento de las misiones, funciones y de gestión del organismo a analizar, así como también la consideración de los niveles de mitigación adoptados por dichos organismos.
- Tomar en cuenta en la planificación la ponderación de los riesgos de auditoría (inherente, de control y de detección o muestreo).
- Efectuar la aplicación sistemática de las políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, identificación, análisis, evaluación, seguimiento y control, revisión del tratamiento y mitigación del riesgo, correspondientes a los organismos auditados.
- Comunicar esta política a todas las áreas del Gobierno de la Ciudad, incentivando la responsabilidad del personal involucrado en el Sistema de Control de Gestión de Riesgos para su efectivo cumplimiento. Quienes suscriben la presente Política de Control de Gestión de Riesgos asumen el compromiso de implementarla y mantenerla actualizada en el ámbito de la Sindicatura General de la Ciudad de Buenos Aires.
4. MARCO CONCEPTUAL y ENFOQUE METODOLÓGICO
4.1 DEFINICIONES
4.1.1 ANÁLISIS DEL RIESGO
√ Análisis del riesgo (norma IRAM-ISO 31000:2015 “Gestión del riesgo. Principios y guías”): Proceso cuyo objetivo es comprender la naturaleza y el nivel del riesgo.
NOTA 1. El análisis del riesgo proporciona la base para su valoración y para las decisiones a tomar respecto a las alternativas de tratamiento del riesgo.
NOTA 2. El análisis del riesgo incluye la estimación del riesgo.
4.1.2 CONSECUENCIA (IMPACTO)
√ Consecuencia (norma IRAM-ISO 31000:2015): Resultado de un evento que afecta los objetivos.
NOTA 1. Se puede derivar más de una consecuencia de un mismo evento.
NOTA 2. Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre los objetivos.
NOTA 3. Las consecuencias se pueden expresar de manera cualitativa o cuantitativa.
NOTA 4. Las consecuencias iniciales pueden incrementarse debido a los efectos secundarios. NOTA SGCBA: El impacto o consecuencia se asocia a los efectos del eventual incumplimiento
de los objetivos de cada organismo.
4.1.3 EVENTO
√ Evento (norma IRAM-ISO 31000:2015): Ocurrencia o cambio de un conjunto de circunstancias en particular.
NOTA 1. Un evento puede ser una o más ocurrencias y puede tener varias causas. NOTA 2. Un evento puede ser que algo no pase.
NOTA 3. Un evento en determinadas ocasiones puede denominarse “incidente” o “accidente”. NOTA 4. Un evento sin consecuencias también puede denominarse “cuasi accidente”, “incidente”, “cuasi incidente” o “accidente potencial”.
4.1.4 MARCO DE GESTIÓN DEL RIESGO
√ Marco de gestión del riesgo (norma IRAM-ISO 31000:2015): Conjunto de elementos que sienta los fundamentos y disposiciones dentro de la organización para diseñar, implementar, hacer el seguimiento y control, revisar y mejorar continuamente la gestión del riesgo en toda la organización.
NOTA 1. Los fundamentos incluyen la política, los objetivos, las obligaciones y los compromisos para gestionar el riesgo.
NOTA 2. Las disposiciones de la organización incluyen planes, relaciones, imputabilidades, recursos, procesos y actividades.
NOTA 3. El marco de gestión del riesgo está contenido en todas las políticas y las prácticas estratégicas y operativas de la organización.
4.1.5 PROBABILIDAD
√ Probabilidad: Es la frecuencia estimada o conocida con que podría ocurrir el hecho incierto (riesgo). Se asocia a la probabilidad del incumplimiento de los objetivos de cada organismo.
4.1.6 PROCESO DE EVALUACIÓN DEL RIESGO
√ Proceso de evaluación del riesgo (norma IRAM-ISO 31000:2015): Proceso general de identificación del riesgo, análisis del riesgo y valoración del riesgo.
4.1.7 PROCESO DE GESTIÓN DEL RIESGO
√ Proceso de gestión del riesgo (norma IRAM-ISO 31000:2015): Aplicación sistemática de las políticas, los procedimientos y las prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, identificación, análisis, evaluación, tratamiento, seguimiento y control y revisión del riesgo.
4.1.8 PROPIETARIO DEL RIESGO
√ Propietario del riesgo (norma IRAM-ISO 31000:2015): Persona o entidad que posee la autoridad y responsabilidad de gestionar el riesgo.
4.1.9 RIESGO
√ Riesgo (norma IRAM-ISO Guía 73:2013 “Gestión del Riesgo, Vocabulario”): Efecto de la incertidumbre sobre el logro de los objetivos.
NOTA 1. Un efecto es un desvío respecto de lo esperado —ya sea positivo y/o negativo—.
NOTA 2. Los objetivos pueden tener diferentes aspectos (tales como financieros, relativos a la seguridad y la salud, y al medio ambiente) y pueden aplicarse en diferentes planos (por ejemplo, estratégico, organizacional, relativos a proyectos, productos y procesos).
NOTA 3. Generalmente el riesgo está caracterizado por referencia a eventos potenciales y sus consecuencias o a una combinación de ambos.
NOTA 4. El riesgo, por lo general, se define en términos de la combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad de ocurrencia relacionada.
NOTA 5. La incertidumbre es el estado, incluso parcial, de la deficiencia de información, entendimiento o conocimiento de un evento, su consecuencia o probabilidad.
√ Riesgo (norma IRAM-ISO 31000:2015): Contingencia o proximidad de que suceda algo que tendrá un impacto en los objetivos. Se lo mide en términos de una combinación de la probabilidad de un evento y su consecuencia.
√ Riesgo aplicado al Gobierno de la Ciudad: La probabilidad de que ocurra un evento o amenaza con características negativas o positivas que genere una incertidumbre sobre el logro de los objetivos de gobierno o que afecte el desempeño de las misiones y funciones de un área (procesos o de gestión); con la consecuente pérdida patrimonial, presupuestaria, económica, financiera; incumplimiento normativo; ambiental; deterioro de la imagen y/o información; o impacto negativo en el ciudadano.
4.1.10 RIESGO DE CONTROL
√ Riesgo de control: Es el riesgo originado por las características de estructura y metodologías del sistema de control interno. Analiza las potenciales dificultades de los sistemas de control interno, para detectar o evitar errores o irregularidades significativas en forma oportuna.
La existencia de puntos débiles de control implicaría a priori la existencia de factores que incrementan el riesgo de control y, al contrario, puntos fuertes de control serían factores que reducen el nivel de riesgo.
4.1.11 RIESGO DE DETECCIÓN
√ Riesgo de detección: Es el riesgo que se puede generar en caso que los procedimientos de auditoría seleccionados no detectasen errores o irregularidades existentes en los estados contable y de gestión del organismo o ente auditado. Considera aspectos originados en la naturaleza, alcance y oportunidad de los procedimientos de auditoría de un trabajo en particular. Conciernen a la forma en que el auditor actúa, por lo que este tiene mayor posibilidad de reducir al máximo tal riesgo.
Los factores que determinan el riesgo de detección están relacionados con:
- La ineficiencia de un procedimiento de auditoría aplicado.
- Problemas de definición de alcance y oportunidad en un procedimiento de auditoría, haya sido bien o mal aplicado. Este factor se relaciona con la existencia de “Muestras no representativas”.
4.1.12 RIESGO ESTRATÉGICO
√ Riesgo estratégico: Es aquel riesgo de un área de Gobierno en sus distintos niveles, que ha sido ponderado como alto o muy alto; que además posee una relación directa con las misiones y funciones significativas del ministerio respectivo y/o es de importancia sustancial para la Sindicatura como organismo de control.
4.1.13 RIESGO INHERENTE
√ Riesgo inherente: Son los riesgos propios de la actividad en sí misma que desarrolla el organismo o ente auditado, independientemente de los sistemas de control desarrollados. Su naturaleza, estructura y actividad no son iguales. Por ejemplo, son distintos los riesgos referidos a los procesos de un hospital o de un ente de seguridad pública y los riesgos de una oficina de trámite administrativo. El riesgo inherente no depende del control que pueda realizar el auditor, pues es intrínseco a la operatoria que desarrolla el organismo o ente auditado. Entre los factores que determinan la existencia de un riesgo inherente se pueden mencionar:
- La naturaleza de la actividad del organismo o ente.
- La situación patrimonial, económica o financiera del organismo o ente.
- La organización gerencial y sus recursos humanos y materiales.
- La integridad de la gerencia.
- La calidad de los recursos que el organismo o ente auditado posee.
4.1.14. RIESGO RESIDUAL (RIESGO RETENIDO)
√ Riesgo residual (riesgo retenido) (norma IRAM-ISO 31000:2015): Es el riesgo remanente luego del tratamiento del riesgo.
NOTA 1. El riesgo residual puede incluir riesgo no identificado.
4.1.15. NIVEL DE RIESGO (SEVERIDAD)
√ Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresada en términos de la combinación de sus consecuencias y su probabilidad.
4.1.16. TIPOLOGÍA DEL RIESGO
√ Tipología del riesgo: Es una clasificación o categorización del mismo, de acuerdo a su origen.
Para cada riesgo detectado (producto de un evento u observación de auditoría) se selecciona una sola tipología de riesgos.
Por otra parte, no debe confundirse la tipología del riesgo, definida por el origen del mismo, con su consecuencia, la cual lleva otro tipo de análisis.
La descripción de las tipologías vigentes al momento de la edición de este manual se indica en el ANEXO 3. A modo de ejemplo, se mencionan Económico- Financiero, Gestión de Información, Legales, Medio-Ambientales, Procesos, Organizacional, Recursos Humanos, Seguridad e Higiene, Tecnológico.
La categorización de las tipologías se establece en el momento de determinación del “Contexto”, el cual se detalla en el apartado 5.2. “Establecimiento del contexto de gestión del riesgo”.
4.2 PRINCIPIOS
El Sistema de Gestión de Riesgos adoptado por la Sindicatura General de la Ciudad Autónoma de Buenos Aires está sustentado en los siguientes principios:
a) La gestión del riesgo protege y crea valor.
b) Es una parte integral de todos los procesos de la organización.
c) Forma parte de la toma de decisiones.
d) Aborda explícitamente la incertidumbre.
e) La gestión del riesgo es sistemática, estructurada y oportuna.
f) Se basa en la mejor información disponible.
g) Está diseñada a medida (alineada con el contexto interno y externo de la organización).
h) Tiene en cuenta factores humanos y culturales.
i) Es transparente e inclusiva.
j) Es dinámica, iterativa y capaz de reaccionar ante los cambios.
k) Permite la mejora continua de la organización.
4.3 DIAGRAMA DEL SISTEMA DE CONTROL DE GESTIÓN DE RIESGOS
Se describe a continuación el esquema del Sistema de Control de Gestión de Riesgos:
4.3.1 SISTEMA DE CONTROL DE GESTIÓN DE RIESGOS
El presente modelo representa los procesos del ciclo de vida del Sistema de Control de Gestión de Riesgos.
A partir de la definición de la Política de Gestión de Riesgos de la Sindicatura General de la Ciudad de Buenos Aires y del análisis del contexto, se despliegan las cuatro fases del Sistema.
La primera fase es la “planificación” de las actividades del proceso de gestión de riesgos por parte del Comité de Análisis de Riesgos y de la Subgerencia Operativa Análisis de Riesgos (SOAR), de sus recursos y alcance, así como también la planificación de la compilación de la información de los organismos a analizar.
El Comité de Análisis de Riesgos lo conforman la Conducción de la Sindicatura General de la Ciudad de Buenos Aires (incluye a la Síndico/a General, Síndico/a General Adjunto/a, Gerencia General Auditoría Jurisdicción I, Gerencia General Auditoría Jurisdicción II, Gerencia General Técnica, Administrativa y Legal, Gerencia General Auditoría de Comunas, Unidad de Auditoría Interna, Secretaría General y Gerencia de Relaciones Institucionales) y la Subgerencia Análisis de Riesgos.
La segunda fase comprende todo el “desarrollo” de análisis de riesgos, tomando en cuenta la consideración del contexto externo e interno, la ponderación de los riesgos de auditoría (inherente, de control y de detección), la compilación y carga de los hallazgos de auditorías para identificar los riesgos asociados; el análisis y valoración de los mismos; y la elaboración de los informes de análisis de riesgos.
La tercera fase se refiere al “control”, tanto del Sistema de Gestión de Riesgos como de los resultados.
Debido a las características de la Sindicatura General de la Ciudad de Buenos Aires, no incumben a este proceso las actividades de mitigación de los riesgos detectados que son competencia de los ministerios o áreas de Gobierno, pero sí se realiza el seguimiento de la gestión de los mismos, integrándolos como parte de la información para ponderar el riesgo residual.
Por último, la cuarta fase se refiere a los “ajustes” a todo el Sistema de Control de Gestión de Riesgos a partir de la retroalimentación y actividades de mejora. Se esquematizan a continuación las actividades específicas de la segunda fase (“Desarrollo”) del proceso específico de gestión de riesgos.
4.3.2 PROCESO DE GESTIÓN DE RIESGOS
Nota: Respecto del presente esquema, se aclara que las actividades de mitigación específica de cada organismo evaluado son responsabilidad de cada ministerio.
5. DESARROLLO DE LAS ACTIVIDADES DEL SISTEMA DE CONTROL DE GESTIÓN DE RIESGOS
A partir de la conformación del Comité de Análisis de Riesgos, respetando el marco de requisitos del Sistema de Gestión de la Calidad, la Política de Gestión de Riesgos y los principios indicados en el apartado 4.2., la Gerencia de Relaciones Institucionales convalida con dicho Comité los objetivos de análisis, así como también los indicadores de desempeño del Sistema de Control de Gestión de Riesgos. Con esta información, la Subgerencia Operativa Análisis de Riesgos planifica anualmente las actividades, infraestructura y recursos para el logro de los objetivos de análisis de riesgos previstos y el control de la gestión.
5.1 COMUNICACIÓN y CONSULTA
El Comité de Análisis de Riesgos junto con la Subgerencia Operativa Análisis de Riesgos (SOAR) establece los canales de comunicación y consulta a utilizar para garantizar de manera eficaz el despliegue del Sistema en cada etapa del proceso de gestión de riesgos.
Para asegurar que los responsables de rendir cuentas por la implementación del proceso de gestión del riesgo, así como también las partes interesadas, entiendan los fundamentos con los cuales se toman las decisiones y las razones por las cuales se requieren acciones específicas, la Gerencia de Relaciones Institucionales (GRI) en conjunto con la Subgerencia Operativa Análisis de Riesgos (SOAR) y el Comité de Análisis de Riesgos promueven distintos tipos de encuentros con las partes interesadas para promover su sensibilización y compromiso. La Subgerencia Análisis de Riesgo registra las planificaciones y el resultado de cada actividad del proceso de análisis y control de gestión de riesgos.
5.2 ESTABLECIMIENTO DEL CONTEXTO DE GESTIÓN DE RIESGOS
5.2.1 ESTABLECIMIENTO DEL CONTEXTO DEL PROCESO DE GESTIÓN DE RIESGOS DE LA SINDICATURA GENERAL DE LA CIUDAD AUTÓNOMA DE BUENOS AIRES
Anualmente la Subgerencia Operativa Análisis de Riesgos (SOAR) establece en conjunto con la Gerencia de Relaciones Institucionales (GRI) los contextos estratégico, organizacional y de gestión de riesgos, tomando en cuenta el enfoque de “Riesgo Estratégico” dado por la Sindicatura General de la Ciudad Autónoma de Buenos Aires como parámetro de priorización.
La definición del contexto orienta el establecimiento de los objetivos, las estrategias, el alcance y los parámetros de las actividades en las cuales el proceso de gestión del riesgo se aplica.
Otro aspecto que se convalida en esta fase del proceso es la TIPOLOGÍA de los riesgos, la cual los categoriza según atributos y/o elementos en común referidos al origen de los mismos. Dicha tipología es validada por el Comité de Análisis de Riesgos. En el ANEXO 3 se encuentra el detalle de las tipologías vigentes.
En forma complementaria, los Gerentes Generales, Gerentes y/o Titulares de las Unidades de Auditoría Interna (UAI) definen los criterios de ponderación de los “Riesgos de Auditoría” (inherentes, de control y monitoreo o muestreo) en el diseño de la planificación de las auditorías de cada organismo. El Comité de Análisis de Riesgos valida la tabla de ponderaciones. Un ejemplo de tabla de ponderaciones se puede observar en el Anexo 4.F).
El Comité de Análisis de Riesgos evalúa anualmente (o cuando se produzcan cambios significativos) las mejoras del proceso de ponderación y la estructura del análisis de riesgos.
5.2.2 ESTABLECIMIENTO DEL CONTEXTO ESPECÍFICO DE CADA ORGANIZACIÓN A EVALUAR
Para establecer el contexto específico de cada organización a evaluar, se toman en cuenta tanto los parámetros internos como externos del organismo considerado. Por lo tanto, para analizar sendos escenarios, se define una herramienta de evaluación compuesta de tres elementos que permiten entender las restricciones de cada uno de ellos. Estos elementos son:
√ Ponderación estratégica del área de Gobierno a evaluar
Este aspecto se asocia con la “Relevancia de la misión y función dentro de la actividad específica del área”, la “Vinculación con otras misiones y funciones dentro del área” y la “Vinculación con otra área dentro del mismo ministerio”.
√ Cuestionario general
Este cuestionario trata los aspectos vinculados con la gestión propia del área y con la evaluación de su desempeño.
El propósito es obtener información referente a todas las áreas del Gobierno, clasificadas en cinco (5) temáticas principales:
- Información relativa a cada área del Gobierno de la Ciudad
- Información relativa al presupuesto
- Información relativa a la administración de activos
- Información relativa al personal
- Información relativa a la tecnología
√ Cuestionario específico
Este último elemento se focaliza en la evaluación del control y cumplimiento de objetivos emanados para cada una de las misiones y funciones de cada área de Gobierno.
El propósito de este cuestionario es permitir la identificación, análisis y evaluación de los riesgos propios de las misiones y funciones de cada área de Gobierno en sus distintos niveles. Dicho cuestionario se prepara tomando en cuenta:
- Registro de la estructura organizacional actualizada de cada área del Gobierno de la Ciudad hasta el nivel de Dirección General y/o rango equivalente.
- Evaluación de la normativa vigente respecto a las misiones y funciones de cada área de Gobierno y registrarla en el cuestionario específico.
- Análisis de los programas presupuestarios ejecutados en las distintas áreas de Gobierno.
- Diseño de preguntas enfocadas a obtener información referente al grado de cumplimiento de las misiones y funciones, la existencia y registro de los procesos y controles, y la calidad de los recursos humanos y físicos.
5.2.2.1 CONTEXTO INTERNO DEL ORGANISMO A EVALUAR
Para establecer y ponderar el contexto interno de cada área de Gobierno de la Ciudad, la Subgerencia Operativa Análisis de Riesgos (SOAR) procede a compilar y analizar la información referente a estas áreas, en cuanto a la estructura actualizada, normativa vigente, bases de datos propias, recursos humanos e informes de auditoría presentados anteriormente, entre otros.
Esta información, junto con la ponderación estratégica y la ponderación de los aspectos internos de los cuestionarios general y específico elaborados por cada área del Gobierno, permite complementar en una matriz o base de datos de riesgos la valoración relativa del contexto.
5.2.2.2 CONTEXTO EXTERNO DEL ORGANISMO A EVALUAR
El establecimiento del contexto externo de cada área del Gobierno de la Ciudad comprende la recolección y análisis de la información referente a los programas, políticas jurisdiccionales, aspectos presupuestarios, patrimonio y las bases de datos comunes, entre otros.
Además de esta información, compila el análisis de “Correlación de misiones y funciones” entre cada área de Gobierno en sus distintos niveles y/o Direcciones respecto de las misiones y funciones del ministerio u órgano equivalente.
De esta manera, conforma en una matriz o base de datos de riesgos las valorizaciones imputables al contexto externo.
En caso de corresponder, la Sindicatura General de la Ciudad de Buenos Aires incentiva a las áreas de Gobierno, por intermedio de la Gerencia de Relaciones Institucionales (GRI), junto a los Gerentes Generales de Auditoría Jurisdicción I y II y a los titulares de cada UAI (Unidad de Auditoría Interna), a completar la información del contexto interno y externo.
5.2.3 PONDERACIÓN ESTRATÉGICA POR MISIONES Y FUNCIONES
El equipo de trabajo de la Subgerencia Operativa Análisis de Riesgos (SOAR) compila los datos de ponderación estratégica por misiones y funciones recibidos del área de Gobierno con las justificaciones respectivas.
Los criterios de ponderación numérica están tabulados en la misma matriz o base de datos y los criterios de distribución porcentual están indicados en el Anexo 4.A).
5.2.4 PONDERACIÓN ESTRATÉGICA POR ÁREA DE GOBIERNO EN SUS DISTINTOS NIVELES, HASTA DIRECCIÓN GENERAL O RANGO EQUIVALENTE
Este aspecto se asocia principalmente con la relevancia del área de Gobierno a analizar, considerando sus misiones y funciones, la vinculación con otros organismos y los datos presupuestarios.
Los criterios de ponderación numérica de cada atributo están tabulados en la misma matriz o base de datos y los valores porcentuales están indicados en el Anexo 4.B).
La ponderación estratégica es responsabilidad de la máxima autoridad de cada área de Gobierno en cada uno de sus niveles.
Deben ponderarse todas las áreas de Gobierno en una matriz de riesgos o base de datos y la suma total de estas dentro de cada área del Gobierno de la Ciudad debe ser 100%.
Para el caso de las Direcciones Generales y/o rango equivalente, la ponderación es el reflejo de la importancia de cada una de ellas dentro de las áreas del Gobierno de la Ciudad. Eventualmente se pueden analizar los riesgos de los procesos transversales asociados a un área de Gobierno específica.
Según el criterio asignado, la matriz de riesgos o la base de datos conforman los algoritmos para calcular automáticamente la ponderación estratégica correspondiente a cada área de Gobierno.
5.3 IDENTIFICACIÓN DE RIESGOS
Con toda la información de soporte y el contexto ya determinado, el equipo de la Subgerencia Operativa Análisis de Riesgos (SOAR) identifica los riesgos que podrían impedir, degradar o demorar el cumplimiento de los objetivos estratégicos y operativos del área.
Para esta actividad se consulta cada una de las observaciones indicadas en los informes de auditorías, incluyendo el riesgo ponderado por los auditores. A partir de un proceso lógico-deductivo, se pone en evidencia el riesgo potencial más significativo que pueda surgir del análisis de causa/ consecuencia. Para identificar un riesgo es necesario establecer su causa, la cual determina su existencia y el impacto que pueda tener en cada área del Gobierno de la Ciudad. Cada misión y/o función en general pueden tener más de un riesgo asociado.
Como soporte de gestión del conocimiento, se elabora una tabla de clasificación de hallazgos con palabras o frases que sirven como guía para la redacción en términos de riesgos. Dicha tabla se actualiza periódicamente con la acumulación de conceptos y conocimientos adquiridos por el equipo de la Subgerencia Operativa Análisis de Riesgos (SOAR). En el Anexo 2 se indica un ejemplo de la tabla con las palabras orientadoras al riesgo.
El resultado de transformar el hallazgo en un riesgo se registra en una matriz de riesgos o en una base de datos equivalente, en el campo “DESCRIPCIÓN DEL RIESGO”.
La calidad de la información relevada en la fase del contexto facilita la identificación de riesgos. Como complemento de la información para la identificación de riesgos se pueden agregar entrevistas estructuradas con directores generales, bases de datos: SIGAF, SIGECI y cualquier otro medio que pudiera resultar útil a futuro.
Se pueden emplear una o más herramientas para la identificación de riesgos, como por ejemplo: Diagramas de Pareto, Diagrama Causa-Efecto (Ishikawa); Diagrama de Dispersión, gráficos de Control, Histogramas, Hoja de Verificación, Diagramas de Afinidad (Método KJ), Diagramas de Flujo. En el Anexo 5 se indican orientaciones sobre cada una de ellas.
5.3.1 CLASIFICACIÓN DE LA FUENTE DEL RIESGO
El equipo de la Subgerencia Operativa Análisis de Riesgos (SOAR) clasifica la fuente del riesgo. Esta puede ser interna o externa. El criterio de clasificación se basa en distinguir si el riesgo identificado tiene su origen dentro del organismo en estudio (siendo la causa del riesgo su propia responsabilidad), o si se origina externamente al organismo en estudio (pudiendo existir más de un área responsable).
La clasificación se registra en una matriz de riesgos o en una base de datos equivalente. En el Anexo 6 se indica un ejemplo de clasificación de fuentes de riesgos.
5.3.2 APLICACIÓN DE LA TIPOLOGÍA DE RIESGOS
El equipo de la Subgerencia Operativa Análisis de Riesgos (SOAR) clasifica la tipología del riesgo en la matriz de acuerdo a lo indicado en el apartado 5.2.3 “Establecimiento del contexto del proceso de gestión del riesgo”, basándose en la categorización establecida en la fase del contexto. A cada riesgo detectado le corresponde una única categoría. La clasificación de la tipología se registra en una matriz de riesgos o en una base de datos equivalente.
En el Anexo 6 se indica un ejemplo de registro de tipología de riesgos.
5.4 ANÁLISIS DE RIESGOS
El equipo de la Subgerencia Operativa Análisis de Riesgos (SOAR) realiza el análisis de los riesgos identificados, tomando en cuenta el rango de consecuencias potenciales y cuán probable es que los riesgos puedan ocurrir.
Se compilan los valores de probabilidad y consecuencias (o impacto) en la matriz de riesgos o base de datos adoptada, y de manera automática se combinan para producir un nivel de riesgo (severidad).
5.4.1 ESTABLECER LA PROBABILIDAD DE OCURRENCIA DEL RIESGO
Para la estimación de probabilidad de ocurrencia, el equipo de la Subgerencia Operativa Análisis de Riesgos (SOAR) toma en consideración la tabla de decisiones del Anexo 4.C) donde se describen criterios orientativos para los niveles de frecuencia o probabilidad de ocurrencia y su valoración.
5.4.2 ESTABLECER LAS CATEGORÍAS DE IMPACTO (CONSECUENCIAS) DEL RIESGO
El impacto o consecuencia del riesgo identificado se evalúa de acuerdo a las siguientes variables establecidas en el contexto del proceso de gestión del riesgo. Entre ellas se mencionan: patrimonio,
procesos, imagen o impacto al ciudadano.
A estas variables se les asignan la ponderación de las categorías de impacto indicadas en el Anexo 4.D).
5.4.3 DIAGNÓSTICO DE SEVERIDAD DEL RIESGO
Los niveles de severidad del riesgo surgen del algoritmo por la multiplicación de los factores de “Probabilidad de ocurrencia” con el de “Nivel de impacto general del riesgo”.
Los niveles de severidad del riesgo son:
- Muy Altos
- Altos
- Medios
- Bajos
Los criterios de combinación de valores que definen los niveles de severidad se encuentran detallados en el Anexo 4.E).
5.5 EVALUACIÓN DEL RIESGO En esta etapa se debe tener en cuenta dos factores: la ponderación estratégica realizada para cada misión y función en la fase de establecimiento del contexto y, a fin de imprimir el carácter esencial de la gestión, la visión estratégica fijada por la Sindicatura de la Ciudad de Buenos Aires. De esta manera, al nivel de Severidad del riesgo definido en la fase anterior (Muy Altos; Altos; Medios; Bajos), se lo afecta de los dos factores mencionados, obteniendo un valor de severidad de riesgo ponderado, el cual permite generar un mapa de riesgos y un ranking respectivo. Este ranking permite detallar el nivel de prioridad de las auditorías que, junto con los riesgos de auditoría de control y detección, servirán de elemento de entrada para la planificación de las auditorías de control interno.
5.6 INFORME DE ANÁLISIS DE RIESGOS Con toda la información compilada y procesada y tomando en cuenta la planificación anual de entrega de informes de Análisis de Riesgos, se emite el respectivo informe donde se indica el mapa de riesgos, las conclusiones y recomendaciones para la mejora de la gestión y el control interno. Un ejemplo de posibles tópicos que pueden integrar el informe es:
- OBJETO
- ALCANCE
- SÍNTESIS
DETALLES DE RIESGOS ESTRATÉGICOS
4.1 Distribución de los riesgos por tipología de riesgos
4.2 Distribución de riesgos por área de Gobierno o proceso transversal
4.3 Detalles descripción del riesgo de cada tipología
4.4 Estado de actualización de auditorías realizadas
4.5 Identificación de los riesgos específicos
4.6 Datos complementariosSOPORTE DOCUMENTAL DE LOS HALLAZGOS
- MARCO TEÓRICO
6. BIBLIOGRAFÍA
- American Institute of Certified Public Accountants (AICPA). Declaraciones sobre normas de auditoría. Instituto Mexicano de Contadores Públicos, A.C. (trad.), 1997.
- Consejo de Auditoría Interna General de Gobierno. Programación de auditoría en base a riesgo, Documento técnico N.° 24. Chile, 2006.
- Consejo de Auditoría Interna General de Gobierno. Objetivo de auditoría gubernamental, Guía Técnica N.º 53. Chile, 2011.
- Dirección Nacional de Planeamiento. Guía metodología para la elaboración de mapa de riesgos del DPN. Colombia, 2007.
- Esmond, C.; Gilbert M. et al. Electronic Audit Evidence. Canadá: Canadian Institute of Chartered Accountants CICA, 2003.
- International Organization for Standardization. ISO 31.000:2009 - Principios y directrices para la gestión de riesgos. 2009.
- INTOSAI. General Secretariat; Guidelines for Internal Control Standards for the Public Sector. Australia, 2001.
- Instituto Argentino de Normalización y Certificación. Norma IRAM 17.551 - Requisitos del sistema gestión de riesgos. Argentina, 2007.
- Instituto de Auditores Internos de España. Los nuevos conceptos de control interno. (Informe COSO). Madrid: Coopers&Lybrand e. Ediciones Díaz de Santos S.A., 1997.
- Procuraduría General de la Nación, Oficina de Control Interno. Mapa de riesgos institucional. Colombia, 2006.
- Borghello, Cristian. Mapeo de los objetivos de control de ISO/IEC 27.002, COBIT V4.1 e ITIL V3. Argentina, 2010. Disponible en SEGU-INFO.
- Borghello, Cristian. Procesos de auditoría. Control interno. Argentina, 2010. Disponible en SEGU-INFO.
- Borghello, Cristian. Introducción a ISO 27.000 y gobernabilidad en IT. Argentina, 2010. Disponible en SEGU-INFO.
- Standards Australia, AS/NZS 4.360:1999 Risk Management, Standards Australia, Homebush, NSW. Australia, 1999.
- Sponsoring Organizations of the Treadway Commission (COSO). Gestión de riesgos corporativos. Marco integrado. Resumen ejecutivo, España, 2004.
- The Institute of the Internal Auditors. Guide to the Use of AS/NZS 4360, Risk Management, within the Internal Audit Process. Australia, 2004.
- The Institute of Internal Auditors. The Role of Auditing in Public Sector Governance. USA, 2006.
- The Association of Risk and Insurance Managers of Australasia (ARIMA), HB 143:1999. Guidelines for managing risk in the Australian and New Zealand public sector. Australia, 1999.
- U.S. General Accounting Office. “Generally Accepted Governamental Auditing Standards”. Contraloría General de la República del Perú (trad.), 1994.
- Campo, Roberto Daniel. Manual práctico de auditoría. Buenos Aires: Fondo Editorial Consejo, 2012.
- Campo, Roberto Daniel. Manual práctico II de auditoría interna. Buenos Aires: Fondo Editorial Consejo, 2015.
- COSO Enterprise Risk Management — Aligning Risk with Strategy and Performance – Draft 2016
- Dr. Rittenberg, Larry and Frank Martens. Enterprise Risk Management. Understanding and Communicating Risk Appetite. January 2012.
[1] ISO 31000:2009 Risk management. Principles and guidelines.
[2] IRAM-ISO 31000:2015 Gestión de riesgos, principios y líneas directrices.
[3] IRAM 17551 Sistema de gestión de riesgos – Requisitos.
[4] COSO Committee of Sponsoring Organizations of the Treadway Commission.