EUROsociAL

SNCI TITULO VI LA GESTIÓN DE RIESGOS CARTAGENA DE INDIAS Mayo, 2008

CONTROL INTERNO LAS CARACTERÍSTICAS DE LA AT, EN CUANTO GESTOR DEL SISTEMA TRIBUTARIO, LAS FUNCIONES QUE DESEMPEÑA, LA IMPORTANCIA DE LAS DECISIONES QUE EN SU SENO SE TOMAN, Y LA TRASCENDENCIA QUE PARA LA ECONOMÍA TIENEN, DAN LA MEDIDA DE LA IMPORTANCIA QUE TIENE LA FUNCIÓN DE CONTROL.   LA AT TIENE DELEGADA UNA AUTORIDAD Y EL MODO DE EJERCERLA HA DE SER CONTROLADO CON CONTROL INTERNO Y EXTERNO. SE LE REQUIERE BUEN GOBIERNO Y TRANSPARENCIA. LA RESPUESTA DEBE SER UN REFUERZO DE SUS CONTROLES INTERNOS.

CONTROL INTERNO EL PROCESO ADMINISTRATIVO ESTÁ FORMADO POR LAS FUNCIONES DE PLANIFICACIÓN, ORGANIZACIÓN, EJECUCIÓN Y CONTROL. POR LO TANTO, EL CONTROL ES UNA FUNCIÓN EJERCIDA EN EL SENO DE LA AT. EL CONTROL ES UN PROCESO DE OBSERVACIÓN Y MEDIDA QUE COMPARA SISTEMÁTICAMENTE LOS OBJETIVOS CON LOS RESULTADOS Y QUE TIENE CAPACIDAD PARA REGULAR LOS SISTEMAS CON LA INTENCIÓN DE QUE SEAN ALCANZADOS LOS OBJETIVOS. EL CONTROL SE EJERCE PARA ASEGURAR QUE LA ORGANIZACIÓN Y LAS PERSONAS ACTÚAN CONFORME AL MANDATO QUE HAN RECIBIDO. EL CONTROL APORTA CONFIANZA A TODAS LAS PARTES INTERESADAS EN LA BUENA MARCHA LA AT .

CONTROL INTERNO ESTE CONTROL PRETENDE GARANTIZAR: EL CUMPLIMIENTO DE LA LEGISLACIÓN VIGENTE. PROPORCIONAR SEGURIDAD A LOS AGENTES IMPLICADOS. LIMITAR RIESGOS. FACILITAR EL CUMPLIMIENTO DE LOS OBJETIVOS. MEJORAR LA EFICIENCIA Y LA EFICACIA DEL SISTEMA. OBTENER INFORMACIÓN FIABLE.

EVOLUCIÓN DEL CONTROL INTERNO AJENO A LA ORGANIZACIÓN EXTERNO, O EFECTUADO POR OTRAS PERSONAS. DISTINTO A LA GESTIÓN. EN FASE POSTERIOR. CONTROL FUNCIÓN IRRENUNCIABLE DE LA DIRECCIÓN COMPETE A TODA LA ORGANIZACIÓN PARTE INTEGRANTE DE LA GESTIÓN. INCORPORADO A SUS PROCESOS. CONTROL

EL CONTROL INTERNO EN EL ÁMBITO DE LA MODERNA ADMINISTRACIÓN PÚBLICA SE HA PRODUCIDO UN CAMBIO DE ENFOQUE EN EL CONCEPTO DE CONTROL. ESTE CAMBIO AMPLÍA EL ENFOQUE DE LA FUNCIÓN DE CONTROL: EN UN PRINCIPIO EL CONTROL SOLO SE HA ENFOCADO HACIA EL ACTO FINAL DE UN PROCEDIMIENTO. AHORA TAMBIÉN SE DIRIGE AL PROCEDIMIENTO DE PRODUCCIÓN DEL ACTO.

EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOS ESCÁNDALOS MERCANTILES FALLOS DE CONTROL PÉRDIDA DE CONFIANZA CAMBIOS EN EL CONTROL DE LA GESTIÓN DEMANDA MEJORES SERVICIOS PÚBLICOS REQUERIMIENTO DE MAYOR TRANSPARENCIA SATISFACCIÓN DEL CIUDADANO

EL MODELO COSO EL INFORME COSO SE PUBLICÓ EN 1992, TRANSCURRIDO UN TIEMPO SE PERCIBIÓ LA NECESIDAD DE DESARROLLAR UN MARCO QUE INTEGRARA LA GESTIÓN DE RIESGOS. ESTE NUEVO MARCO FUE PUBLICADO EN 2004. EL INFORME DE 2004 NO PRETENDE SUSTITUIR AL INFORME 1992, SINO OFRECER UN MARCO MAS AMPLIO QUE ABARCA LA GESTIÓN DE RIESGOS.

EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOS SURGE LA GESTIÓN DE RIESGOS COMO UNA GESTIÓN PROACTIVA, ANTICIPATORIA, QUE TRATA DE AYUDAR AL GESTOR EN SU TOMA DE DECISIONES, TRATANDO EFICAZMENTE LA INCERTIDUMBRE, MINIMIZANDO LOS RIESGOS INHERENTES A DICHA GESTIÓN QUE PUEDAN AFECTAR A LA CONSECUCIÓN DE SUS OBJETIVOS.

CONCEPTO DE RIESGO RIESGO ES LA POSIBILIDAD DE QUE UN EVENTO OCURRA Y AFECTE DESFAVORABLEMENTE AL LOGRO DE OBJETIVOS.

CONCEPTOS DE GESTIÓN DE RIESGOS La gestión de riesgos corporativos es un proceso efectuado por la Dirección y el resto del personal de una organización, integrado dentro de la estrategia de la organización, diseñado para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales que pueden afectar a la AT. con el fin de proporcionar un aseguramiento razonable respecto al logro de sus los objetivos.

COMPONENTES DE LA GESTIÓN DE RIESGOS Elementos constitutivos de un sistema de control de riesgos: ambiente interno. definición de objetivos. identificación de riesgos. evaluación de riesgos. respuesta al riesgo. actividades de control. información y comunicación. supervisión.

COMPONENTES DE LA GESTIÓN DE RIESGOS Evaluación de los riesgos: Los riesgos deben valorarse teniendo en cuenta una doble perspectiva: Su impacto sobre la consecución de los objetivos. La probabilidad de ocurrencia. Hay que valorar: El riesgo inherente, que se define como el riesgo existente antes de establecer los controles, es decir si no se hubiesen adoptado acciones para alterar el impacto o la probabilidad. El riesgo residual, consistente en el riesgo remanente tras establecer las medidas de control.

COMPONENTES DE LA GESTIÓN DE RIESGOS Respuesta al riesgo: La dirección debe evaluar cuál es la respuesta al riesgo de la organización en función de las cuatro categorías siguientes: Evitar: Salir de las actividades que generan riesgos. Reducir: Actuar para reducir la probabilidad de ocurrencia, el impacto del riesgo o ambos. Compartir: Trasladar o transferir una parte del riesgo. Aceptar: No acometer ninguna acción que afecte a la probabilidad o al impacto.

COMPONENTES DE LA GESTIÓN DE RIESGOS Factores a considerar por la dirección en la respuesta a los riesgos: efectos de la respuesta sobre la probabilidad del riesgo y sobre su impacto. costes y beneficios de las respuestas potenciales: las medidas de control para mitigar o eliminar los riesgos, a las que se recurra, no deberían suponer para la organización un coste superior que el que provocaría la ocurrencia del acontecimiento considerado. oportunidades que supone de conseguir los objetivos de la organización.

COMPONENTES DE LA GESTIÓN DE RIESGOS Una vez establecida la respuesta al riesgo más adecuada para cada situación, deberá establecerse: un plan de implantación de la respuesta. un seguimiento de su efectividad.

COMPONENTES DE LA GESTIÓN DE RIESGOS Actividades de control : Se trata de las políticas (lo que debe hacerse) y los procedimientos (cómo hacerlo) que son necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la organización, a todos los niveles y en todas sus funciones y deben tener convenientemente integradas las respuestas a los riesgos.

COMPONENTES DE LA GESTIÓN DE RIESGOS Atributos de las actividades de control: El control establecido puede ser automático, o manual, requiriendo la intervención de personal. El control puede disponer o no de indicadores de cumplimiento. El control puede estar concebido y ejecutado como una alerta.

COMPONENTES DE LA GESTIÓN DE RIESGOS Información y Comunicación: El sistema de gestión de riesgos debe disponer de una adecuada información en todos los niveles de la organización. La información debe identificarse, captarse y comunicarse en plazo. Los sistemas de información (SI) se diseñan desde hace tiempo para apoyar la estrategia de negocio de la organización. El desarrollo de los SI ha mejorado la capacidad de medir y supervisar el funcionamiento de las entidades y de presentar información analítica corporativa.

COMPONENTES DE LA GESTIÓN DE RIESGOS En contrapartida, la dependencia de la organización respecto de los SI genera nuevos riesgos y plantea el problema de la calidad de la información. Una comunicación eficaz debe fluir en todas direcciones dentro de la organización. Consta de: Comunicación interna, que exprese eficazmente la importancia de una buena gestión de los riesgos, los objetivos de la entidad, el riesgo aceptado y las tolerancias al mismo, el lenguaje común de los riesgos y los roles y responsabilidades del personal. Comunicación externa, potenciada por el compromiso expreso de la dirección con la comunicación hacia terceros.

COMPONENTES DE LA GESTIÓN DE RIESGOS Supervisión: La gestión de riesgos debe ser supervisada para asegurar su correcto funcionamiento y la calidad de los resultados. Tipos de supervisión: Actividades de supervisión permanente, integradas en las actividades de gestión. Evaluaciones, cuyo alcance y frecuencia depende de la eficacia de las supervisiones permanentes. La evaluación puede adoptar la forma de una autoevaluación. La evaluación de riesgos es un proceso, requiere una metodología y explicitar de qué se informa y a quién.

METODOLOGÍA DE GESTIÓN DE RIESGOS PROCESO DE GESTIÓN DE RIESGOS Política de gestión de riesgos. La organización debe aprobar una política institucional de gestión de riesgos y seleccionar una metodología para el análisis y gestión de los riesgos. Objetivos, procesos y riesgos. Los riesgos están vinculados a los objetivos de la organización, que deben estar fijados con antelación. Los riesgos están también directamente vinculados a los procesos y procedimientos de la organización.

METODOLOGÍA DE GESTIÓN DE RIESGOS Gestión de los riesgos. La gestión de los riesgos se suele coordinar por un órgano especializado (Comité de Riesgo). En ocasiones, se designa a “propietarios” de cada riesgo relevante, responsables de su oportuna gestión. Todas las áreas gestionan los riesgos de la organización. Toda la organización dispone de adecuada información sobre el sistema de gestión de riesgos.

METODOLOGÍA DE GESTIÓN DE RIESGOS Valoración de los riesgos. El riesgo se valora de forma continua, antes y después de aplicar las medidas de control mitigantes. El riesgo remanente es el riesgo residual. Tratamiento. Considerando costes y beneficios, la dirección selecciona el tratamiento o actuación de control sobre los riesgos que sitúa el riesgo residual dentro de la tolerancia al riesgo establecida por la organización, denominada riesgo aceptado. El control interno de la organización se orienta entonces a impedir, mitigar o transferir los riesgos.

METODOLOGÍA DE GESTIÓN DE RIESGOS La actuación sobre los riesgos tiende a anticipar su materialización y por tanto es preventiva antes que reactiva, tendiendo al establecimiento de alertas automáticas. Supervisión. Los controles establecidos se monitorizan de forma continua. El sistema de gestión de riesgos debe ser supervisado.

ÓRGANOS E INSTRUMENTOS DE GESTIÓN DE RIESGOS SON DIFERENTES DE LOS INSTRUMENTOS DE PLANIFICACIÓN Y SU SEGUIMIENTO. En los instrumentos de planificación se definen, entre otros, los objetivos y metas de la organización (Plan estratégico, Plan de Acción, Plan Operativo Anual...). Los instrumentos de gestión de riesgos identifican, evalúan, manejan y controlan acontecimientos o situaciones potenciales que pueden poner en peligro el cumplimiento de esos objetivos y metas.

GESTIÓN DE RIESGOS: ÓRGANOS COMITÉ DE RIESGOS DE LA AT DEPARTAMENTO AUDITORÍA INTERNA COMITES O GRUPOS DE TRABAJO DE RIESGOS SECTORIALES

COMITÉ DE GESTIÓN DE RIESGOS DE LA AT ÓRGANO DE DIRECCIÓN ESPECÍFICAMENTE ORIENTADO A LA GESTIÓN DE RIESGOS.

FUNCIONES DEL COMITÉ DE GESTIÓN DE RIESGOS DE LA AT IDENTIFICAR, ANALIZAR Y EVALUAR LOS RIESGOS INTERNOS Y EXTERNOS. IDENTIFICAR LOS PROCESOS CRÍTICOS. PROPONER LAS MEDIDAS PARA MINIMIZAR PROBABILIDAD Y/O IMPACTO. DEFINIR Y APROBAR EL MARCO CONCEPTUAL Y LAS METODOLOGÍAS DE ANÁLISIS. APOYO TÉCNICO DE AI. CONSOLIDAR ANUALMENTE LA INFORMACIÓN DERIVADA DE LA ADMÓN DE RIESGOS.

COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT Detectar e inventariar las áreas y puntos de riesgo más relevantes en su ámbito. Analizar y evaluar, para cada una de las áreas de riesgo delimitadas, las deficiencias y debilidades de control existentes (aspectos legales, organizativos y procedimentales, así como los derivados de los medios personales y de las aplicaciones y sistemas informáticos). Acordar y hacer operativas medidas encaminadas a corregir las deficiencias observadas y a reforzar los sistemas de control y seguridad. Elaborar, en su caso, las propuestas de normas e instrucciones que requiera la ejecución de las medidas acordadas (complementan las obligaciones y responsabilidades en materia de control de los distintos responsables). Elaborar el Proyecto de Mapa de Riesgos Sectorial y elevar para su aprobación e integración en el Mapa de Riesgo de la AT al Comité de Gestión de Riesgos de la AT.

COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT INFORMACIÓN Y COMUNICACIÓN: Cada Comité Sectorial remitirá al Comité de Riesgos de la AT, información sobre áreas y puntos de riesgo, deficiencias de los sistemas de control detectadas, propuestas realizadas y, en su caso, acordadas, y las medidas adoptadas, así como las actas de las reuniones que celebre. Cualquier órgano o servicio de la AT que detecte un problema o deficiencia en los sistemas de seguridad y control, deberá ponerlo en conocimiento del responsable del mismo, que lo comunicará al Comité Sectorial correspondiente.

COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT Cuando en la instrucción de expedientes disciplinarios se pongan de manifiesto problemas o deficiencias de seguridad y control, el órgano que haya acordado la instrucción deberá comunicarlo, a través de AI, al Comité Sectorial correspondiente, omitiendo los datos y circunstancias personales del expediente. Colaboración: En el ejercicio de sus funciones, los Comités podrán contar con la colaboración de otros órganos de la AT no representados en las mismas a efectos de la realización de trabajos o actividades específicos.

COMITÉS SECTORIALES DE GESTIÓN DE RIESGOS DE LA AT SEGUIMIENTO DE LAS ACTUACIONES DE LOS COMITES SECTORIALES: EL REPRESENTANTE DE AUDITORIA INTERNA APORTARÁ Al COMITÉ LOS INFORMES DE AUDITORIA, CONCLUSIONES Y RECOMENDACIONES REALIZADAS POR EL SERVICIO QUE AFECTEN AL ÁREA DE RESPONSABILIDAD DEL COMITÉ SECTORIAL.

ROL DE AI EN LA GESTIÓN DE RIESGOS IMPULSO Auditoría Interna debe impulsar un proceso de gestión de riesgos adecuado a la organización. Auditoría Interna informa a la Dirección de la organización sobre la importancia de una gestión adecuada de los riesgos, exponiendo las ventajas que puede aportar dicha gestión.

ROL DE AI EN LA GESTIÓN DE RIESGOS IMPLANTACIÓN Una vez adoptada por el Comité de Dirección la decisión de implantar un sistema de gestión de riesgos en la organización, Auditoría Interna debe cumplir un papel proactivo, colaborando en el establecimiento inicial del sistema, e incluso coordinando y dirigiendo el proceso. La implantación se puede realizar de forma escalonada.

ROL DE AI EN LA GESTIÓN DE RIESGOS Auditoría Interna debe cerciorarse de que la Dirección de la organización adopta todas las decisiones que son necesarias para la puesta en marcha del proceso. En particular, Auditoría Interna debe proponer una metodología de gestión de riesgos, divulgándola y explicándola a todos por los grupos o personas que participan en la Dirección o están implicados en su ejecución. La metodología debe adaptarse a cada una de las diferentes fases de elaboración del Mapa de Riesgos. Debe resaltarse que la capacitación adecuada de los agentes que intervienen en el proceso de análisis y gestión de los riesgos es un factor crítico del éxito.

ROL DE AI EN LA GESTIÓN DE RIESGOS Auditoría Interna debe asegurarse que el procedimiento adoptado se orienta a los objetivos claves de un proceso de gestión de riesgos. 1. Identificación y evaluación de los riesgos. 2. Fijación de un nivel de riesgo aceptable. 3. Establecimiento de actividades para mitigar y controlar los riesgos. 4. Supervisión para reevaluar periódicamente los riesgos y la eficacia de los controles. 5. Información periódica a la Dirección sobre los resultados del proceso de gestión de riesgos.

ROL DEL SAI EN LA GESTIÓN DE RIESGOS SUPERVISIÓN: Auditoría Interna vela por una adecuada coordinación de las responsabilidades y actividades de los distintos grupos y personas que tengan relación con este proceso para evitar duplicidades o lagunas en el control. Auditoría Interna debe verificar la información registrada en el modelo de análisis de riesgos y analizar las desviaciones obtenidas en los indicadores de control. Auditoría Interna debe utilizar los resultados obtenidos como instrumento de planificación para diseñar los programas de su Plan Anual de Actuaciones.

MAPA DE RIESGOS DE LA AT EL MAPA DE RIESGOS ES UNA REPRESENTACIÓN GRÁFICA DE LOS PRINCIPALES RIESGOS QUE AFECTAN A LA CONSECUCIÓN DE LOS OBJETIVOS DE UNA ORGANIZACIÓN, CATEGORIZADOS EN FUNCIÓN DE SU PROBABILIDAD DE OCURRENCIA Y DE SU IMPACTO EN DICHOS OBJETIVOS EL MAPA DE RIESGOS DE LA AT ES UN INSTRUMENTO ESENCIAL DE AYUDA A LA DIRECCIÓN

FASES DE LA ELABORACIÓN DEL MAPA DE RIESGOS 1ª) Fijación, catalogación y priorización de los OBJETIVOS de cualquier categoría de la organización. 2ª) Identificación, para cada objetivo, de los PROCESOS y subprocesos efectuados por la organización que se consideren clave para el cumplimiento de aquél. 3ª) IDENTIFICACIÓN DE LOS RIESGOS asociados a cada uno de los procesos clave y objetivos. 4ª) EVALUACIÓN DEL RIESGO INHERENTE: en ausencia de controles 5ª) Identificación de los CONTROLES YA ESTABLECIDOS por la organización. 6ª) EVALUACIÓN DEL RIESGO RESIDUAL: remanente tras los controles 7ª) TRATAMIENTO. Análisis del efecto del riesgo residual e identificación y evaluación de alternativas de tratamiento.

RIESGO INHERENTE – RIESGO RESIDUAL EL RIESGO INHERENTE es el riesgo en ausencia de control, es decir, el que existiría si no se hubiesen adoptado acciones por la organización para alterar o reducir su probabilidad de ocurrencia. El RIESGO RESIDUAL es el riesgo que subsiste tras los controles ya establecidos por la organización.

PROBABILIDAD X IMPACTO EVALUACIÓN DEL RIESGO Probabilidad de que el riesgo se materialice PROBABILIDAD X IMPACTO Daño causado por la materialización del riesgo.

TÉCNICAS DE EVALUACIÓN Modelos probabilísticos (datos históricos conocidos, simuladores, etc.) CUANTITATIVAS Crítico, alto, medio, bajo Alto, medio, bajo 1, 2, 3, 4 CUALITATIVAS

PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT. CRITERIOS Y DIRECTRICES BÁSICAS OPCIÓN Tamaño del Mapa. Mapa Abreviado: Conjunto limitado y asumible de riesgos. Tipología de los riesgos. Riesgos estratégicos: Comité de Riesgos. Riesgos operativos: Comités Sectoriales. Categoría y nivel de los objetivos, procedimientos y actividades a analizar. Objetivos y procedimientos vinculados a la misión de la AT .

PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT. CRITERIOS Y DIRECTRICES BÁSICAS OPCIÓN Metodología. Común. Basada en modelos proformas (fichas de riesgo e informes de objetivos). Integración y homogeneización por Auditoría Interna. Técnica a utilizar para la evaluación de probabilidad e impacto: Análisis cualitativos. Propuestas de tratamiento o respuesta al riesgo: Deben incorporar Plan de implantación, fases, calendario, responsable y sistema de seguimiento y control. Supervisión y mejora del Mapa: Incorporar programas específicos al Plan de Actuaciones. Nivel de agregación o desagregación del Mapa: Mapa de Riesgos de la AT a nivel nacional sin desagregación territorial. Difusión y capacitación: Personal AI y miembros de los Comités Sectoriales. Incorporación al Manual de Procedimientos de AI del modelo adoptado para la elaboración, seguimiento, supervisión y actualización del Mapa.

PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AI 1ª FASE 1ª) LOS COMITÉS SECTORIALES ELABORAN EL MAPA DE RIESGOS DESU ÁREA (FICHAS DE RIESGOS E INFORMES DE OBJETIVOS). 2ª) AUDITORÍA INTERNA EFECTÚA UN ANÁLISIS GLOBAL PARA LA HOMOGENEIZACIÓN E INTEGRACIÓN DE LOS MAPAS SECTORIALES EN UNO SOLO. 3ª) EL COMITÉ DE GESTIÓN DE RIESGOS DE LA AT ANALIZA LA PROPUESTA DE AUDITORÍA INTERNA LA CUAL, UNA VEZ VALIDADA SE ELEVA A LA DIRECCIÓN GENERAL PARA SU APROBACIÓN. 4ª) LA DIRECCIÓN GENERAL APRUEBA EL MAPA PROVISIONAL DE RIESGOS DE LA AT.

TRABAJO A EFECTUAR POR CADA COMITÉ 1ª FASE 1ª) Fijación, catalogación y priorización de los objetivos. 2ª) Identificación de los procesos y subprocesos. 3ª) Identificación de los riesgos. 4ª) Evaluación del riesgo inherente. 5ª) Identificación de los controles ya establecidos . 6ª) Evaluación del riesgo residual.

FICHAS DE TRABAJO

FICHA DE RIESGO CONTROLES EXISTENTES – RIESGO RESIDUAL

CATEGORÍAS DE LOS RIESGOS RIESGOS DE NATURALEZA ESTRUCTURAL O INSTITUCIONAL(estructura de la AT, central y territorial, planificación estratégica, dirección) RIESGOS VINCULADOS A LA GESTIÓN ECONÓMICO-FINANCIERA (medios materiales y financieros) RIESGOS VINCULADOS A LA GESTIÓN INMOBILIARIA. RIESGOS EN LAS COMUNICACIONES (voz, teléfono, fax, papel, etc.) RIESGOS DE CUMPLIMIENTO DE NORMAS (generales e instrucciones internas) RIESGOS DE INFORMACIÓN PARA LA GESTIÓN (integridad y disponibilidad) RIESGOS EN LOS PROCESOS DE GESTIÓN (diseño, calidad, eficacia y eficiencia) RIESGOS DE RECURSOS HUMANOS (capacidad, conducta, seguridad e higiene, satisfacción y motivación) RIESGOS DE SISTEMAS INFORMÁTICOS (hardware, software y redes) RIESGOS DE SEGURIDAD DE LA INFORMACIÓN (accesos y cesión) RIESGOS EXTERNOS (políticas públicas, cambios legislación, entidades colaboradoras, otras administraciones tributarias)

PROBABILIDAD DE OCURRENCIA IMPACTO EN EL OBJETIVO AFECTADO EVALUACIÓN DEL RIESGO PROBABILIDAD DE OCURRENCIA X IMPACTO EN EL OBJETIVO AFECTADO = EVALUACIÓN PROBABILIDAD  alta (3), media (2), baja (1) IMPACTO  alto (3), medio (2), bajo (1) EVALUACIÓN: BAJO  1 - 2 MEDIO  3 - 4 ALTO  6 CRÍTICO  9

PROBABILIDAD - IMPACTO ALTA: > 15% MEDIA: 5-15 % BAJA: < 5% PROBABILIDAD ALTO: compromete gravemente la consecución del objetivo. MEDIO: tiene una incidencia media en la consecución del objetivo. BAJO: tiene una incidencia baja en la consecución del objetivo. IMPACTO

PROCESO DE ELABORACIÓN DEL MAPA DE RIESGOS DE LA AT 2ª FASE 1ª) EL COMITÉ DE GESTIÓN DE RIESGOS DEBE SELECCIONAR QUÉ RIESGOS DE LOS EVALUADOS EN EL MAPA ESTÁ A UN NIVEL NO ASUMIBLE POR LA ORGANIZACIÓN. TENIENDO EN CUENTA TANTO LA PROPIA EVALUACIÓN DEL RIESGO COMO LA IMPORTANCIA ESTRATÉGICA DEL OBJETIVO AFECTADO (MAPA PROVISIONAL). 2ª) DEFINIDOS LOS RIESGOS QUE, INICIALMENTE, VAN A INTEGRAR EL MAPA DE RIESGOS DE LA AT, DEBEN VOLVER A LOS COMITÉS SECTORIALES PARA QUE PRESENTEN TRATAMIENTOS COMPLEMENTARIOS O ALTERNATIVOS A LO EXISTENTE PARA MITIGARLOS.

2ª FASE TRATAMIENTO DE LOS RIESGOS MITIGACIÓN DE LOS RIESGOS: LLEVAR LOS RIESGOS A UN NIVEL ACEPTABLE POR LA ORGANIZACIÓN EVITAR REDUCIR COMPARTIR ACEPTAR TODAS ELLAS IMPLICAN ALGÚN TIPO DE COSTE, DIRECTO O INDIRECTO, QUE SE DEBE SOPESAR EN RELACIÓN CON EL BENEFICIO QUE GENERAN. 4 RESPUESTAS

2ª FASE TRATAMIENTO DE LOS RIESGOS 1ª) Identificación de un tratamiento con medidas alternativas y/o complementarias a las existentes, señalando ventajas o inconvenientes y, en su caso, coste. 2ª) Diseño de un plan de implantación. Ámbito Responsable Plazo 3ª) Controles propuestos. Responsables. Periodicidad.

2ª FASE TRATAMIENTO DE LOS RIESGOS FICHA DE RIESGO Nº (CÓDIGO DEL RIESGO)

SUPERVISIÓN Y MEJORA CONTINUA LA UTILIZACIÓN DEL MAPA DE RIESGOS COMO INSTRUMENTO DE GESTIÓN ES UN PROCESO DINÁMICO Una vez elaborado el mapa e implantadas las medidas de tratamiento, hay que reevaluar los riesgos. El objetivo es conseguir que riesgos inicialmente rojos pasen a naranjas y así sucesivamente, lo que indicaría una mejora de la organización en el tratamiento de sus riesgos. Si no se producen estos cambios, será consecuencia de una inadecuada selección del tratamiento o de una aplicación incorrecta del mismo. La situación ideal es que el proceso sea continuo.