Matriz de Riesgos y Levantamiento Procesos Críticos

INSTRUYE HERRAMIENTA DE IDENTIFICACIÓN Y EVALUACIÓN DE PROCESOS CRÍTICOS PARA FUDAMENTAR EL PLAN ANUAL DE AUDITORÍAS EN EL SECTOR MUNICIPAL.

[pic 3]

SANTIAGO

1. INTRODUCCIÓN

El objetivo del presente documento es

establecer procedimientos básicos para identificar y evaluar procesos críticos en el sector municipal, con la finalidad de entregar a las Unidades de Control una herramienta que les permitan guiar y fundamentar la conformación de sus planes anuales de auditoría y actividades de control.

Cabe señalar, que estas directrices están diseñadas también como un primer acercamiento a la gestión de riesgos para aquellos municipios que no han instaurado dichos procesos, motivo por el cual, en el caso de entidades que ya cuentan con matrices de riesgo y procesos de mantención y actualización de gestión de riesgos más avanzados, podrán continuar utilizando dichos procedimientos para guiar y fundamentar la conformación de sus planes anuales de auditoría y actividades de control.

1. DESCRIPCIÓN GENERAL

La        identificación        ponderada        de        los

procesos críticos de una entidad municipal es un insumo clave para la Unidad de Control, por cuanto permite planificar, fundamentar y dirigir los esfuerzos de auditoría y control a las áreas de mayor riesgo. No contar con herramientas de priorización como las indicadas, puede provocar la improvisación y orientación del Plan Anual de Auditoría a contingencias puntuales u otras materias –que si bien pueden ser riesgosas- no cuentan con un fundamento analítico que permita sustentar su priorización respecto de otros procesos críticos.

En este marco, la Contraloría General de la República ha diseñado la presente herramienta, que permitirá a las entidades municipales que no cuentan con matrices de riesgo, ni otros procesos de gestión de riesgos más avanzados, identificar y evaluar sus procesos críticos.

La herramienta se fundamenta en la confección de un instrumento que extrae los principales aspectos de una matriz de    consecuencia/probabilidad    contenida    en    la    Norma    Chilena    ISO

N°31.010/2013, y las aplica de manera focalizada a la realidad municipal, utilizando como base los resultados obtenidos previamente en las fiscalizaciones de la Contraloría General, el juicio experto de las Unidades de Control y una estructura ponderada de procesos críticos, riesgos y controles, que permitirá una priorización de los procesos críticos municipales en base al nivel de riesgo.

En términos generales, la herramienta busca identificar y ponderar los procesos críticos de la entidad, luego identificar los riesgos significativos y evaluar la efectividad de los controles claves, para finalmente concluir sobre la efectividad de los controles en una categoría del nivel de riesgo: Alto, medio o bajo.

A continuación se muestra un diagrama del formato de la herramienta, cuya estructura separa en un primer bloque los aspectos de identificación de la entidad y del levantamiento de procesos, y en un segundo bloque la información de los procesos críticos, riesgos significativos, controles claves y conclusiones sobre el nivel de riesgo.

Diagrama N° 1: Formato para identificación y levantamiento de procesos críticos[pic 4]

III        DESCRIPCIÓN DE LA HERRAMIENTA

1. Datos de la entidad y del levantamiento

En los campos de identificación, se debe detallar la entidad analizada y los datos relevantes del levantamiento, tales como el periodo, fecha, el nombre del funcionario que elaboró y aprobó la herramienta (en caso que estos sean diferentes). Para mayores antecedentes respecto al llenado de este apartado, ver el numeral V del presente documento, que detalla una descripción de los campos de la herramienta.

1. Identificación de procesos críticos de la entidad

Para los efectos de confección de esta herramienta, se entenderá como proceso crítico, aquel proceso que aporta e interviene de manera fundamental en el cumplimiento de los objetivos de la entidad.

Una vez identificados los procesos críticos que cumplen con esta característica, se deberá indagar sobre la posibilidad de ocurrencia de irregularidades o errores significativos en las operaciones y el procesamiento de transacciones/información (riesgos), los cuales se categorizarán por etapas en el campo “Descripción riesgo significativo por etapa”.

Tanto para la identificación de procesos críticos, como para la identificación de riesgos en las etapas de dichos procesos, se debe contar –a lo menos- con:

• Conocimiento detallado de la entidad y de sus tipos de operaciones.
• Indagaciones con el personal encargado.
• Observaciones de métodos y procedimientos aplicados al proceso/etapa.
• Revisión de los manuales y otras instrucciones.
• Efectuar recorridos de los procesos a examinar.

IMPORTANTE: Sobre la base de las fiscalizaciones previamente realizadas, la CGR entregará ejemplos de procesos críticos para el sector municipal, los cuales deberán ser complementados por las Unidades de Control.

1. Riesgos significativos (De alto impacto y alta probabilidad de ocurrencia)

Sobre la base de la comprensión de los procesos críticos, se deberá identificar los riesgos significativos que afectan las etapas de dichos procesos. Cabe señalar que a diferencia de una matriz de riesgo regular (completa), en la cual se incorporan y evalúan todos los riesgos, en el formato proporcionado, se deberán registrar únicamente los riesgos identificados como de alto impacto y de alta probabilidad de ocurrencia.

En esta labor, la unidad de Control

deberá tener en consideración:

[pic 5][pic 6]

IMPORTANTE: Sobre la base de las fiscalizaciones previamente realizadas, la CGR entregará ejemplos de riesgos para el sector municipal, los cuales deberán ser complementados por las Unidades de Control.

1. Identificar y evaluar los controles claves

Sobre la base de los riesgos significativos identificados previamente (tanto los proporcionados –a modo de ejemplo- por la CGR, como los complementados por la Unidad de Control), se deberá conocer y evaluar el funcionamiento de los controles implementados por la entidad para mitigar la materialización de dichos riesgos.

Las conclusiones obtenidas sobre la efectividad de los controles, darán por resultado el nivel de riesgo individual por cada etapa y el nivel riesgo por proceso crítico, de acuerdo a los estándares de ponderación detallados en el apartado IV del presente documento, denominado: “Conclusiones de los controles y el nivel de riesgo”.

1. Efectuar Recorridos

A fin de identificar y conocer el funcionamiento de los controles, se deberán realizar recorridos de los procesos críticos, ello permitirá verificar la existencia de controles de prevención y/o detección. Adicionalmente, los recorridos pueden dar alguna evidencia sobre el funcionamiento efectivo de los controles.

Normalmente los recorridos se ejecutan utilizando documentación que se cree típica del proceso que se revisa. Se deberá recorrer –a lo menos- una transacción de cada proceso que se haya identificado. Por otra parte, si hubo modificaciones importantes en el proceso y/o en las aplicaciones computarizadas durante el periodo de revisión, se considerará la necesidad de recorrer transacciones procesadas tanto antes como después de las modificaciones, dependiendo de la naturaleza de la modificación y cómo afecta a la probabilidad de errores o irregularidades.

Durante el recorrido, se deberá preguntar a los funcionarios de la entidad sobre cada uno de los puntos en que hay controles o procedimientos importantes, determinando la regularidad, el responsable, evidencia de existencia, documentación de su revisión, qué sucede si se detectan errores o irregularidades, y cómo opera. Dependiendo del tipo de proceso, el recorrido puede incluir:

• Seleccionar una partida sobre la cual los controles estén diseñados para operar e inspeccionar la evidencia de que los controles funcionan.
• Algunos controles no dejan evidencia de su funcionamiento, en ese caso, si no se puede probar su existencia y efectividad no se podrá considerar como un control.
• Examinar la documentación sobre el diseño del control.
• Examinar informes de gestión y desempeño u otra información que se utiliza para vigilar el funcionamiento de controles.
• Observar si existen análisis de TI sobre los controles, o bien algún otro tipo de vigilancia.

La documentación que evidenciará el trabajo realizado en este numeral deberá considerar, a lo menos:

• Fecha de recorrido,
• Funcionarios que participan del proceso (nombre y cargo)
• Información solicitada
• Explicación cronológica de los hechos
• Controles detectados.

1. Diseñar y ejecutar pruebas sobre controles

Una vez realizados los recorridos e identificados los controles claves, se deberán llevar a cabo pruebas de cumplimiento para determinar su efectividad. Estas pruebas tendrán la finalidad de determinar si los controles:

...