MATRIZ O MAPA DE RIESGOS EN SERVICIOS DE SALUD APLICACIÓN DE DOCUMENTO TÉCNICO N° 36 DEL CAIGG
Presidente de la República C.A.I.G.G. Comité de Asesoría Técnica formado por los Auditores Ministeriales Secretaría Ejecutiva MINISTERIO Auditor Ministerial Servicio Público o Empresa del Estado Comité de Auditoría Interna Comité de Auditoría Auditoría Interna
Es una presentación gráfica en forma de Matriz, que construida ¿Qué es una matriz o mapa de riesgos? Es una presentación gráfica en forma de Matriz, que construida de acuerdo a una metodología, permite identificar y priorizar los principales riesgos y exposiciones al riesgo que afectan a los procesos y en consecuencia a la posibilidad de alcanzar los objetivos institucionales.-
METODOLOGÍA PARA CONSTRUIR LA MATRIZ 1.- Identificación y ponderación de procesos relevantes en la institución. 2.- Identificación y ponderación de subprocesos en los procesos relevantes. 3.- Identificación y ponderación de etapas en cada subproceso. 4.- Identificación de objetivos específicos. 5.- Identificación y clasificación de riesgos operativos relevantes. 6.- Identificación y análisis de controles claves. 7.- Cálculo de la Exposición al riesgo individual, por etapa, subproceso y proceso.
Notas importantes Es necesario tener presente que la identificación de procesos, subprocesos y etapas es una labor que los Servicios deberían tener realizada y respaldada a través de documentos formales. En caso que no estén formalizadas, el auditor debe analizar e identificar en conjunto con los ejecutivos y directivos responsables, la estructura de los procesos.
3.- Identificación de etapas en cada subproceso. Las acciones o actividades que en conjunto forman el subproceso. Proceso: Recursos Humanos. Subproceso: Remuneraciones. Etapa: Liquidación de remuneraciones
4.- Identificación de objetivos específicos. Se entenderá por objetivos específicos, aquella meta o finalidad que se persigue cumplir mediante la ejecución de una etapa o mediante la ejecución de un Sub Proceso. Una etapa puede tener más de un objetivo. Obj. 1) Liquidar oportuna y adecuadamente las remuneraciones del personal. Obj. 2) Liquidar oportuna y adecuadamente las cotizaciones previsionales
5.- Identificación de riesgos operativos relevantes. El riesgo se define por la probabilidad de ocurrencia de un hecho no deseado, o de la no ocurrencia de un hecho deseado. Afectando el cumplimiento de las metas y objetivos específicos que se están evaluando. Medición del riesgo El riesgo, luego de identificado se le cuantifica mediante una matriz de dos variables: V1) Probabilidad de ocurrencia. V2) Grado de impacto. El cruce de ambas variables determina la Severidad del riesgo.
Clasificación de los riesgos Según origen: Interno o Externo. Según naturaleza: Económicos, sociales, tecnológicos, estratégicos, medioambientales, procesos, legales, personas, imagen, sistemas. Medición del riesgo El riesgo, luego de identificado se le cuantifica mediante una matriz de dos variables: V1) Probabilidad de ocurrencia. V2) Grado de impacto. El cruce de ambas variables determina la Severidad del riesgo.
Categorías de probabilidad: Categoría Valor Descripción Casi certeza 5 Riesgo cuya probabilidad de ocurrencia tiende al 100% Probable 4 Riesgo cuya probabilidad se estima entre 75% a 95% Moderado 3 Riesgo cuya probabilidad se estima entre 51% a 74% Improbable 2 Riesgo cuya probabilidad se estima entre 26% a 50% Muy improbable 1 Riesgo cuya probabilidad se estima entre 1% a 25%
Categorías de Impacto: (Categoría, valor, descripción) Catastróficas (Valor 5) Riesgo cuya materialización influye directamente en el cumplimiento de la misión, pérdida patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente o por un período importante de tiempo, los programas o servicios que entrega la institución. Mayores (Valor 4) Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logro de los objetivos sociales. Además, se requeriría una cantidad importante de tiempo de la alta dirección en investigar y corregir los daños. Moderadas (Valor 3) Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonio o un deterioro significativo de la imagen. Además, se requeriría una cantidad de tiempo importante de la alta dirección en investigar y corregir los daños. Menores (Valor 2) Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en el corto tiempo y que no afecta el cumplimiento de los objetivos estratégicos Insignificantes (Valor 1) Riesgo que puede tener un pequeño o nulo efecto en la institución
SEVERIDAD DEL RIESGO. La severidad del riesgo se obtiene de multiplicar la probabilidad por el impacto, así se determina una escala que va desde 25 a 01, en orden decreciente de severidad. Clasificándose en: Extremo, Alto, Moderado y Bajo.
OBJETIVOS ESPECIFICOS DESCRIPCION DEL RIESGO EJEMPLO OBJETIVOS ESPECIFICOS RIESGOS IDENTIFICADOS DESCRIPCION DEL RIESGO PROBABILIDAD IMPACTO SEVE RIDAD DEL RIESGO VALOR CLASIFIC Liquidar en forma oportuna y Adecua da las remuneraciones Liquidacion indebida o errónea de remuneraciones Muy Impr 1 May 4 Alt.
4.- Identificación de controles claves. Identificados los riesgos, es necesario identificar y analizar los controles claves existentes en la institución, los que teóricamente mitigan los riesgos Estos controles se califican de acuerdo a su diseño y aplicación, tomando en cuenta tres características: 1) Oportunidad (en que momento del proceso se aplican; preventivos, correctivos, detectivos). 2) Periodicidad (si son permanentes, periódicos u ocasionales). 3) Grado de automatización (manual, semi automatizado, 100% automatizado)
Criterio de Oportunidad ( Clasificación, descripción) Preventivo (Pv) Controles claves que actúan antes o al inicio de un proceso. Correctivo (Cr) Controles claves que actúan durante el proceso y que permiten corregir las deficiencias. Detectivo (Dt) Controles claves que sólo actúan una vez que el proceso ha terminado.
Criterio de Periodicidad (Clasificación, descripción) Permanente (Pe) Controles claves aplicados durante todo el proceso, es decir, en cada operación. Periódico (Pd) Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo Ocasional (Oc) Controles claves que se aplican sólo en forma ocasional en un proceso.
Criterio de Automatización (Clasificación, descripción ) 100% automatizado (At) Controles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados Semi – automatizado (Sa) Controles claves incorporados en el proceso, cuya aplicación es parcialmente aplicada mediante sistemas informatizados. Manual (Ma) Controles claves incorporados en el proceso, cuya aplicación no considera uso de sistemas informatizados Nota: Al margen de la clasificación se debe calificar si el control cumple o no normas mínimas de efectividad.
OP TI MO 5 BU E NO 4 Características diseño del control clave Clasific. control Nivel control Periodicidad (Pd) Oportunidad (O) Automatización (A) Permanente Preventivo Informatizado Semi Informa Manual OP TI MO 5 Correctivo Detectivo BU E NO 4 Periódico
MAS QUE REG. 3 REGULAR 2 1 DEFI CIENTE INEXIST Periódico Correctivo Informatizado Semi Informa Manual MAS QUE REG. 3 Detectivo Ocasional Preventivo REGULAR 2 DEFI CIENTE 1 No determinado INEXIST -----------------
Valores Posibles Nivel de exposición 8,0 - 25 No acept. (Na) Formula para determinar la exposición al riesgo Valores Posibles Nivel de exposición NIVEL SEVERIDAD DEL RIESGO NIVEL EFICIENCIA DEL CONTROL 8,0 - 25 No acept. (Na) 4,0 – 7,99 Mayor (Ma) 3,0 – 3,99 Media (Md) 0,2 – 2,99 Menor (Me)
Consideraciones finales. La matriz de riesgos como herramienta de gestión, solo adquiere relevancia si es aplicada de manera consistente y permanente en la totalidad de los procesos relevantes de la organización. La matriz de riesgos es una herramienta de gestión, que como tal debe ser adaptada a las características de la organización. La matriz de riesgos es una herramienta de evaluación que sirve como insumo, para orientar los esfuerzos de gestión en orden a reducir al mínimo posible los riesgos, asegurando razonablemente el logro de los objetivos de la institución.
Por último la responsabilidad de construir las diferentes matrices de riesgo parte por la alta dirección y obliga a las etapas intermedias. En ese contexto el rol de Auditoria es validar el proceso, sobretodo en lo referente a Riesgos y Controles. F i n