Mapa de Riesgo de procesos y subprocesos Para qué sirve: Herramienta de Control Preventivo

Qué es un riesgo Es la incertidumbre de ocurrencia un acontecimiento “no deseado”. Ej.:”Demanda por prestaciones GES en el sistema público de ……, al 2015”. Es la incertidumbre de no ocurrencia de un acontecimiento “deseado”. Ej.:”No implementación del programa de …. con demanda de atención, financiamiento, protocolo, y norma de organización”

ALGUNOS CONCEPTOS A TENER EN CUENTA PROCESO “conjunto de actividades íntimamente interrelacionadas que existen para generar un bien o servicio, el cual tiene un cliente interno o externo.” SUBPROCESO“Componentes principales que se identifican en el desarrollo de un proceso” ETAPA “ Componente estratégico de carácter relevante en un subproceso”

ALGUNOS CONCEPTOS A TENER EN CUENTA RIESGO “ Es la incertidumbre de que ocurra un acontecimiento no deseado o que no ocurra un acontecimiento deseado, afectando el cumplimiento de las metas y objetivos institucionales” CONTROLES “Medidas que toma la administración con la finalidad de evitar la ocurrencia de un riesgo” EXPOSICIÓN AL RIESGO “ Se define como el riesgo residual que subsistiría después de aplicados todos los controles claves existentes, pudiéndose materializar en consecuencia los efectos del riesgo potencial Exposición al Riesgo = Riesgo Inherente – Eficiencia del Control

Resultado Esperado: 1 MATRIZ DE PROCESO Levantar Procesos Críticos. Identificar procesos y subprocesos, Valorar los riesgos Ajustar los riesgos con sistemas de controles internos Priorizar Procesos Claves. Integrar a la autoridad para decisiones efectivas.

Cómo se hace en el Hospital MISION Y VISION DEL HOSPITAL ESTABLECER EL CONTEXTO IDENTIFICAR LOS RIESGOS ANALIZAR LOS RIESGOS EVALUAR LOS RIESGOS COMUNICACIÓN Y CONSULTA MONITOREO Y REVISIÓN GESTIONAR LOS RIESGOS Cómo se hace en el Hospital

Fundamentos Dcto Téc. Nº 36 del Consejo de Auditoria Interna General de Gobierno. (CAIGG)

PRODUCTOS DEL TALLER Para qué sirve? Quién los hace? Cómo lo hace, preventivamente? Quién define las mejoras?

IDENTIFICACION DE PROCESOS. Identificar todos los procesos que se desarrollan en la División, departamentos y unidades dependientes e incorporarlos a la matriz que se presenta. Para la identificación Considerar y analizar la documentación existente en la institución: Manuales de procedimiento y funciones. Diagnósticos realizados producto de la aplicación de los PMG Sistema de Planificación , Gobierno Electrónico entre otros. Importante! Los procesos cruzan las estructuras organizacionales e interactúan entre sí

CLASIFICACIÓN DE PROCESOS Una vez identificado todos los procesos debemos : Analizar la relación entre los procesos y objetivos estratégicos institucionales. Clasificar y valorar para cada proceso específico, el nivel de contribución que realiza a cada objetivo estratégico en términos de su cumplimiento. La identificación y clasificación debe realizarse en base a la tabla siguiente. EJEMPLO

SELECCIÓN DE PROCESOS. Una vez clasificados y valorizado los procesos se calcula el promedio entre los niveles de contribución individual, obteniéndose el nivel promedio por cada proceso. Producto del resultado obtenido por proceso se seleccionará para el análisis de modelamiento de riesgos y controles, aquellos que presenten un nivel de contribución promedio entre 2.0 y 3.0 puntos considerando que estos contribuyen desde un nivel importante a fundamental en el cumplimiento de todos los objetivos estratégicos institucionales  

IDENTIFICACIÓN DE SUBPROCESOS EN LOS PROCESOS RELEVANTES Una vez seleccionados los procesos relevantes, se deben determinar, aquellos subprocesos que integran cada uno de ellos (dependerá de la estructura del proceso y de las características organizacionales del servicio). Al igual que en la etapa de clasificación de procesos, los subprocesos que los componen pueden ser de diversa importancia y tener distinta influencia, debiéndose determinarse y analizarse para efecto de este trabajo, aquellos de carácter relevante.

Para ello se utiliza la misma metodología empleada para clasificar procesos, es decir, se utiliza la misma escala y se incorpora a la matriz. Una columna de subprocesos procediéndose a su priorización.

IDENTIFICACIÓN DE ESTAPAS EN CADA SUBPROCESO En la medida que sea posible seguir desagregando la estructura para análisis dentro de cada subproceso, se deberá identificar las etapas o elementos que lo conforman y que equivalen a las acciones o actividades que en conjunto forman el subproceso.

IDENTIFICACIÓN DE OBJETIVOS ESPECIFICOS. Una vez definido el último nivel de desagregación de cada proceso, se procederá a identificar los objetivos específicos. Se entenderá por objetivo específico, aquella meta o finalidad que se persigue cumplir mediante la ejecución de una etapa – subproceso o proceso, según el nivel de desagregación alcanzado.

IDENTIFICACIÓN DE RIESGOS OPERATIVOS RELEVANTES Establecidos los objetivos específicos, corresponde: Identificar y describir los riesgos relevantes teniendo presente que son aquellos factores o situaciones que afectan el desarrollo normal e impiden el cumplimiento o el logro del objetivo propuesto.

MEDICIÓN DE LOS RIESGOS RELEVANTES IDENTIFICADOS Los Riesgos identificados deben ser medidos a objeto de poder determinar el nivel de Severidad del Riesgo. Los riesgo deben evaluarse en términos de: Probabilidad, (posibilidad de la ocurrencia del riesgo potencial) .Categorizar y valorar según tabla.

Impacto ( consecuencia que puede ocasionar a la organización la materialización del riesgo).

Una ves evaluado el riesgo de acuerdo a su probabilidad e impacto, se procede a clasificar el nivel de severidad por riesgo, aplicando la siguiente tabla:

Matriz determinación del nivel de riesgo por cada proceso- subproceso – o etapa analizada

IDENTIFICACIÓN Y ANÁLISIS DE CONTROLES CLAVES ASOCIADOS A CADA RIESGO. Identificado los riesgos, y medido su nivel de severidad corresponde entonces: Identificar todos los controles asociados a los riesgos relevantes que operan en el proceso, subproceso o etapa En caso de existir más de un de un control asociado por riesgo específico, será necesario identificar si se trata de controles cuya presencia es clave o fundamental para mitigar la ocurrencia del riesgo Los controles catalogados como No Fundamentales quedaran fuera del análisis.

CLASIFICACIÓN DE LOS CONTROLES CLAVES La clasificación de los controles claves se determina a partir de su diseño, el cual contempla el análisis de 2 ámbitos: Nivel de Cumplimiento de normas específicas de control Características y diseño del control determinada por 3 atributos y correspondientes Clasificaciones - Periodicidad - Oportunidad - Automatización

Nivel de Cumplimiento de normas específicas de control

Características y diseño del control determinada por 3 atributos y sus correspondientes clasificaciones. Periodicidad (Permanente – periódico – ocasional ) Oportunidad (Preventivo – Correctivo – Detectivo ) Automatización(Automatizado– Semi Automatizado– Manual )

Efectuada la clasificación de los controles se esta en condiciones de medir el nivel de eficiencia de estos. El nivel de eficiencia se mide en base a una escala preestablecida que permite cuantificar las relaciones entre los atributos y en definitiva clasificar los controles.

ESQUEMA DE CLASIFICACIÓN Y NIVEL DE EFICIENCIA DE LOS CONTROLES

NIVEL DE EXPOSICIÓN AL RIESGO INDIVIDUAL POR ETAPAS – SUBPROCESOS - PROCESOS. Recordemos que: exposición al Riesgo” Se define como el riesgo residual que subsistiría después de aplicados todos los controles claves existentes. Como se Calcula Con el resultado del análisis de riesgos relevantes y el resultado de la eficiencia de los controles obtendremos el nivel de exposición real de los riesgos establecidos en una matriz institucional

MATRIZ DE RIESGOS INTITUCIONAL