guía para la administración de riesgos en la … todo si se considera que ello incrementa la...
TRANSCRIPT
Coordinación General de Administración
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
http://www.profeco.gob.mx/juridico/normateca.asp 02 de abril de 2014
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 1 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Control de las Revisiones
Revisión Fecha
Revisión Consideración del cambio en el documento
00 02 de abril de 2014
Documento de nueva creación, elaborado con la finalidad de implementar en la Procuraduría Federal del Consumidor una guía de apoyo administrativo que permita la institución el cumplimiento de sus metas y objetivos, La presente guía es un mecanismo para promover y contribuir a generar información útil para una adecuada toma de decisiones y una mejor planeación, programación y actuación de la Procuraduría.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 2 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Contenido
Página
I. Introducción ......................................................................................... 3
II. Objetivo ............................................................................................... 5
III. Alcance ............................................................................................... 6
IV. Marco Jurídico ..................................................................................... 7
V. Glosario ............................................................................................... 8
VI. Etapas del proceso de administración de riesgos institucional ........... 9
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 3 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
I. Introducción
El análisis y evaluación de los riesgos es un tema de reciente incorporación a los
procesos de planeación y gestión de las instituciones de la Administración Pública
Federal (APF), cuyo propósito es apoyar a dichas instituciones al cumplimiento efectivo
de sus metas y objetivos, así como enfrentar las posibles contingencias que se puedan
presentar como resultado de eventos inciertos que afecten o puedan obstaculizar o
impedir el cumplimiento de los objetivos y metas institucionales.
La administración de riesgos se circunscribe en la búsqueda de mecanismos que
impulsan gestiones más transparentes, con mejor desempeño, mayor responsabilidad y
compromiso social, capaces de adaptarse a entornos cambiantes, para lo cual se
requiere la generación de una cultura organizacional proactiva en todos los niveles y
basada en resultados; la aplicación de técnicas de planeación estratégica y la
generación de información oportuna, confiable, completa y relevante, los cuales
deberán incluirse como parte de los valores que definen a la propia organización.
Dada la necesidad de incorporar la metodología de administración de riesgos en el
proceso de planeación estratégica en la Procuraduría Federal del Consumidor
(Profeco), se ha diseñado la siguiente Guía para apoyar a las Unidades Administrativas
(UA) tanto en su definición como en su aplicación. Esta Guía establece una serie de
principios que deben ser atendidos para que la administración de riesgos sea efectiva,
sobre todo si se considera que ello incrementa la probabilidad de lograr los objetivos,
identificar tanto las amenazas como áreas de oportunidad, mejorar los controles y
contar con una gestión más efectiva y eficiente.
Considerando la necesidad de contar con un documento que defina las etapas del
proceso de administración de riesgos y establezca los criterios más relevantes que las
UA deberán considerar durante el proceso de identificación, análisis, valoración y
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 4 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
tratamiento de los riesgos se presenta la Guía para la Administración de Riesgos en
la Procuraduría Federal del Consumidor. Dicha Guía contribuirá al fortalecimiento y
homologación de los elementos teórico-conceptuales en la materia, así como de los
mecanismos de medición considerados en dicha metodología.
Es importante señalar que para la APF, el modelo de administración de riesgos forma
parte del Sistema de Control Interno Institucional (SCII). La dependencia federal
encargada de establecer la metodología para la administración de riesgos es la
Secretaría de la Función Pública (SFP).
Para ello, en julio de 2010 se publicó en el Diario Oficial de la Federación el Acuerdo
por el que se emiten las Disposiciones en Materia de Control Interno y se expide
el Manual Administrativo de Aplicación General en Materia de Control Interno1,
mediante el cual se busca implementar un proceso sistemático que permita aplicar el
modelo de administración de riesgos en la APF. Con dicho Acuerdo se promueve a la
administración de riesgos como un instrumento que sirve para avanzar tanto en el
control interno como en la promoción de una mejor focalización de las actividades en
aras de un mayor cumplimiento de las metas y objetivos.
Es de suma importancia señalar que la presente Guía es un mecanismo para promover
y contribuir a generar información útil para una adecuada toma de decisiones y una
mejor planeación, programación y actuación de la Procuraduría Federal del
Consumidor.
Derivado de lo anterior, así como de la alineación de la misión, visión y objetivos
institucionales al Plan Nacional de Desarrollo 2013-2018 y a la realidad Institucional, la
Coordinación General de Administración, se dio a la tarea de elaborar la presente guía.
1 En adelante se denominará Acuerdo.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 5 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
II. Objetivo
La presente Guía tiene como propósito definir y, en su caso, precisar los criterios para
fortalecer la identificación, análisis, valoración y definición de estrategias y acciones de
control para atender y dar seguimiento a los riesgos a que están expuestas las UA en el
desarrollo de sus actividades y; con ello, asegurar el cumplimiento de la Misión, Visión,
Objetivos y Metas institucionales.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 6 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
III. Alcance
Todos los titulares de las Unidades Administrativas de la Procuraduría Federal del
Consumidor en sus ámbitos de competencia tendrán la obligación de aplicar la presente
guía con la finalidad de identificar, evaluar, jerarquizar, controlar y dar seguimiento a los
riesgos que puedan obstaculizar o impedir el cumplimiento de los objetivos y metas
institucionales.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 7 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
IV. Marco Jurídico
Constitución Política de los Estados Unidos Mexicanos
Leyes
– Ley Orgánica de la Administración Pública Federal.
– Ley Federal de Protección al Consumidor.
Otras Disposiciones
– Plan Nacional de Desarrollo 2013-2018.
– Programa de Desarrollo Innovador 2013-2018.
– Acuerdo por el que se emiten las Disposiciones en Materia de Control Interno y se expide el Manual Administrativo de Aplicación General en Materia de Control Interno y sus reformas.
– Norma ISO 31000:2009. Gestión de riesgos, principios y directrices.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 8 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
V. Glosario
Administración de riesgos Institucional
Todas las organizaciones (de cualquier tipo o tamaño) enfrentan factores internos y/o
externos e influencias que hacen incierto el logro de sus objetivos y metas. El efecto
que esta incertidumbre tiene en los objetivos se conoce como “riesgo”. Dado lo anterior,
la Institución debe desarrollar, implementar y mantener el marco normativo que regule
la administración de riesgos en un proceso de adaptación continua, especialmente en
aquellos aspectos relacionados con la planeación estratégica, administración, vigilancia,
disposiciones normativas, valores y cultura.
El modelo de administración de riesgos es un método lógico y sistemático utilizado para
establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los
riesgos asociados con una actividad, función, atribución o proceso, de tal forma que
permita a la Institución minimizar las pérdidas y maximizar las oportunidades.
Riesgos
Todo riesgo tiene efectos sobre los objetivos y las metas Institucionales. Dicho efecto
puede ser positivo, negativo o una desviación sobre los resultados esperados.
El riesgo es entendido como el “evento adverso e incierto (externo o interno) que
derivado de la combinación de su probabilidad de ocurrencia y el posible impacto
pudiera obstaculizar o impedir el logro de los objetivos y metas institucionales”.
De esta manera, dado que todo riesgo afecta al cumplimiento de los objetivos o metas,
la aplicación adecuada y efectiva de la metodología de administración de riesgos
depende de la definición de los objetivos y metas. Si los objetivos y metas no son
claros, adecuados y totalmente alineados con la razón de ser de la Profeco, la
aplicación de dicha metodología será limitada y probablemente no logrará su propósito.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 9 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
VI. Etapas del proceso de administración de riesgos institucional
Son 6 las etapas del proceso de administración de riesgos:
1. Comunicación y consulta
2. Contexto
3. Identificación de riesgos
4. Análisis y evaluación de riesgos
5. Tratamiento de los riesgos
6. Revisión y monitoreo
Fuente: Elaboración propia con información de la norma ISO 31000:2009. Gestión de riesgos, principios y directrices.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 10 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
1. COMUNICACIÓN Y CONSULTA
En esta etapa están definidos los objetivos y las metas institucionales.
Asimismo, las UA deberán establecer los mecanismos necesarios de comunicación y de
consulta para la identificación de las causas de sus riesgos y sus consecuencias, así
como las acciones que se deberán tomar para administrarlos, por lo que la información
que provean sobre la existencia, clasificación, factores, efectos, evaluación, impacto,
probabilidad, estrategias para administrarlos y otros aspectos relacionados con los
riesgos es fundamental y fomentará la cultura de la prevención y la planeación
estratégica.
OB
JE
TIV
OS
1 PROTEGER Y DEFENDER LOS DERECHOS DEL CONSUMIDOR.
2 GENERAR UNA CULTURA DE CONSUMO RESPONSABLE.
3 ASEGURAR INFORMACIÓN ADECUADA PARA LA TOMA DE DECISIONES DE
CONSUMO.
4 IMPLEMENTAR MÉTODOS DE ATENCIÓN PRONTA Y ACCESIBLE A LOS
CIUDADANOS MEDIANTE EL USO DE TECNOLOGÍAS DE LA INFORMACIÓN.
ME
TA
S
Meta
1
...
…
…
Meta
n
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 11 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
2. CONTEXTO
En esta etapa se describen las situaciones que afectan el desempeño de la Institución
en tres aspectos: externo, interno y para la administración de riesgos.
El contexto externo incluye la definición de los siguientes elementos:
Ambiente social y cultural, político, legal, regulatorio, financiero, tecnológico, económico,
natural, de competitividad, ya sea a nivel internacional, nacional, regional o local;
Factores clave y tendencias que tengan un impacto en los objetivos de la institución;
Posición ante las percepciones y valores de grupos de interés externos.
El contexto externo es determinante para el logro de los objetivos, ya que permite tomar
en cuenta los efectos que podría tener el surgimiento de eventos inesperados en el
desempeño de la institución y la posición que ésta debiera tomar ante ello como una
crisis económica la cual pudiera afectar las prioridades del gobierno y reducir el
presupuesto de la institución.
El contexto interno es intrínseco a la Institución, como la cultura, los procesos, la
estructura y la estrategia de la organización; incluye la definición de los siguientes
elementos:
Objetivos y metas;
Estructura organizacional, atribuciones, facultades y responsabilidades;
Recursos (presupuesto, materiales, personas, procesos, sistemas y TIC’s);
Cultura organizacional;
Sistemas de información, flujos de información y procesos para la toma de decisiones
(formales e informales);
Estándares, lineamientos y modelos adoptados por las UA para su operación y;
Relaciones laborales
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 12 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
A continuación se deberán describir los cinco principales elementos que definen el contexto externo e interno de la Profeco:
Contexto externo Contexto interno
1. 1.
2. 2.
3. 3.
4. 4.
5. 5.
El contexto del proceso de administración de riesgos implica cómo se medirán los
riesgos:
Probabilidad de ocurrencia
nivel de impacto
PROBABILIDAD DE OCURRENCIA
VALORACION
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 13 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
3. IDENTIFICACIÓN DE LOS RIESGOS, SUS FACTORES Y EFECTOS
La identificación de los riesgos es el proceso mediante el cual se detectan, reconocen y
describen los riesgos de la Institución.
Se deben identificar los factores de riesgo, es decir, las fuentes o causas que originan
los riesgos; las áreas en las cuales impactan, así como los eventos, sus causas y
consecuencias potenciales.
Un factor de riesgo es la circunstancia interna y/o externa que aumenta la probabilidad
de que un riesgo se materialice.
GRADO DE IMPACTO
VALORACION
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 14 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Para la identificación correcta de los riesgos, sus fuentes y causas, es imprescindible
que en la operación de sus procesos las UA cuenten con información suficiente,
relevante, oportuna y actualizada, así como con personal capacitado en la operación de
los mismos.
Para la identificación de los riesgos, sus factores e impactos en la UA se utilizará el
método para identificar las relaciones de causalidad a través del desarrollo de árboles
esquemáticos como el denominado árbol de problemas. Esta técnica nos permitirá
identificar una situación negativa (problema central), la cual se intenta solucionar
mediante una intervención utilizando una relación de tipo causa-efecto:
Árbol de problemas para la identificación de los riesgos:
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 15 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Respecto a los posibles efectos de un riesgo, es importante precisar, a fin de evitar
confusiones, que las consecuencias de los riesgos pueden ubicarse en dos niveles, en
términos de resultados y del nivel de impacto:
1º. Nivel de “resultados”: efecto directo que tendría un riesgo en caso de materializarse.
2º. Nivel de “impacto”: afectación de la materialización del riesgo sobre los objetivos o
metas de Profeco.
A continuación se muestra un caso práctico con el propósito de mostrar de forma
gráfica cómo se interrelaciona el riesgo con sus factores y con sus efectos o
consecuencias. Es importante reiterar que para realizar este tipo de ejercicio se sugiere
apoyarse en el personal capacitado en la operación de los procesos de la UA.
Árbol de problemas para la identificación de los riesgos: (caso práctico)
Disminución de la conectividad y accesibilidad del país por vía terrestre
Incremento en la
tasa de accidentes
Incremento en el
gasto de
mantenimiento
Incremento en los
costos de
transporte
Carreteras construidas que incumplen los estándares de calidad
Excesivas adjudicaciones
directas respecto de las licitaciones
públicas y abiertas
Insuficiente personal
capacitado para
supervisar obras
Diseño sesgado de los
requerimientos
técnicos
Clima o naturaleza
adversa
Baja capacidad
institucional
Vigilancia
inadecuada o
insuficiente
participación en
comités
Lagunas en la
normatividadFactores exógenos
Insuficiente y
deficiente
capacitación para
supervisar obras
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 16 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Para el desarrollo del árbol de problemas adaptado a la administración de riesgos es
fundamental que las UA se alleguen de la información relevante y suficiente que sirve
como base para seleccionar las áreas, operaciones, programas, procesos o
transacciones que consideren vulnerables dentro de la Procuraduría. En este sentido,
vale la pena señalar que una de las principales fuentes de información que se debe
considerar son las observaciones recurrentes señaladas por los diferentes órganos
fiscalizadores, en particular las de alto y mediano riesgo.
La estructura gramatical que deberá atenderse para la descripción de los riesgos es la
siguiente:
Ejemplo:
N° SUSTANTIVO VERBO EN PARTICIPIO
ADJETIVO, ADVERBIO O COMPLEMENTO
CIRCUNSTANCIAL NEGATIVO
1. Procedimientos por Infracciones a la Ley
rezagados Sin resolver y fuera del plazo
establecido por la Ley.
2.
3.
n...
A continuación se presentan algunos ejemplos de riesgos redactados correctamente
utilizando la estructura general planteada en el Acuerdo:
1. Carreteras construidas que incumplen los estándares de calidad.
2. Beneficios del Programa “X” entregados a personas no elegibles.
Sustantivo Verbo
en
participio
Adjetivo, adverbio o
complemento circunstancial
negativo
RIESGO
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 17 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
3. Usuarios conectados y desconectados ilícitamente a la red eléctrica.
4. Servicios de estancias infantiles otorgados deficientemente.
5. Recursos materiales y/o servicios suministrados sin las características y calidad
requeridas.
6. Unidades médicas presupuestadas no construidas.
7. Infraestructura eléctrica limitada que afecta la prestación del servicio.
8. Bienes muebles o inmuebles adquiridos por encima de su valor comercial.
9. Padrones de beneficiarios registrados deficientemente.
10. Instalaciones operando sin contrato, permiso o licencia.
11. Ingresos por cobro de trámites captados por debajo del nivel programado.
Existen situaciones que afectan negativamente en la identificación de los riesgos, las
cuales deberán tomarse en cuenta durante el análisis. Dichas situaciones se derivan de
la confusión entre un riesgo y:
i) una inacción por parte de la Institución;
ii) una causa subyacente del propio riesgo;
iii) una consecuencia genérica del riesgo o;
iv) un factor de riesgo o;
v) un problema que implica cierta carga de trabajo para la Institución, tal como se ejemplifica
en la siguiente figura.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 18 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Principales errores en la identificación y descripción de los riesgos:
Formato para la identificación de riesgos, factores internos y externos, y efectos:
Instrucciones:
1. Llenar el formato por cada riesgo que se identifique.
2. Es necesario realizar previamente el árbol de problemas que permita identificar las
relaciones causales entre factor de riesgo, evento y consecuencia.
Objetivo Factores
Externos
Factores
Internos Evento
Consecuencia
(Efecto)
Elemento de
Objetivo no
logrado
PROTEGER Y
DEFENDER LOS
DERECHOS DEL
CONSUMIDOR
Falta de recursos financieros
Insuficiencia de abogados
No se sanciona a los proveedores que violan la LFPC.
Pérdida de confianza y credibilidad en la institución.
No se Protegen los derechos del consumidor al no sancionar a los proveedores que violan la LFPC.
Falta de capacitación
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 19 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
DESCRIPCION DEL RIESGO N°1 Procedimientos por Infracciones a la Ley rezagados sin resolver y fuera del plazo establecido por la Ley.
Objetivo: Indicar el objetivo Institucional cuyo logro puede verse afectado por diversos factores. Factor externo: incluir las circunstancias o situaciones externas más relevantes que pueden provocar que un riesgo se materialice, afectando así el logro del objetivo y/o meta. Factor interno: Indicar las circunstancias o situaciones internas más relevantes que pueden provocar que un riesgo se materialice, afectando así el logro del objetivo y/o meta. Evento: Indicar la situación que ocurre de presentarse la circunstancia expresada en los factores internos y externos. Consecuencia: Indicar el efecto, secuela o resultado de que suceda el evento. Elemento del objetivo no logrado: Especificar la parte del objetivo que no se logra derivado de que suceda el evento.
4. ANÁLISIS Y EVALUACIÓN DE LOS RIESGOS
4.1 VALORACIÓN INICIAL DE LOS RIESGOS
La etapa de “análisis de los riesgos” tiene como finalidad realizar la valoración de los
riesgos, la cual consiste en determinar tanto la probabilidad de ocurrencia del riesgo
como sus resultados e impactos. El análisis de los riesgos es el principal insumo para
tomar la decisión sobre su relevancia y su administración.
Para la valoración de los riesgos es importante considerar los factores de los riesgos
(causas), sus resultados o efectos (positivos o negativos) y la probabilidad de que los
riesgos se materialicen y, por lo tanto, ocurran los resultados e impactos identificados.
Una vez identificados se deberán llenar el formato siguiente:
Evaluación INICIAL del riesgo
No. de Riesgo
Descripción del riesgo Valoración
del grado de impacto
Valoración de la probabilidad de ocurrencia
1 Procedimiento por Infracciones a la Ley rezagados sin resolver y fuera del plazo establecido por la Ley.
2
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 20 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Para la determinar el nivel del grado de impacto y de la probabilidad de ocurrencia se
deberán utilizar los criterios y categorías que se muestran a continuación:
4.2 EVALUACIÓN DE CONTROLES
Un riesgo puede tener múltiples resultados o efectos, así como afectar a diferentes
objetivos de la institución, por lo cual es necesario que en dicho análisis también se
tome en cuenta la existencia de controles implementados para mitigarlo, administrarlo o
evitarlo, así como la efectividad y eficiencia de dichos controles.
Dado que el nivel de riesgos depende, entre otros elementos, de la adecuación y
efectividad de los controles existentes en la institución, la valoración de los controles
debe realizarse como una actividad más durante el análisis de los riesgos.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 21 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Con respecto al análisis de los controles es importante señalar la necesidad de que las
UA’ identifiquen los controles con que cuentan para atender cada riesgo y,
posteriormente, determinen su efectividad en la prevención del riesgo a fin de mitigar o
manejar sus posibles resultados e impacto, para lo cual debe utilizarse la siguiente
escala para determinar la efectividad de los controles:
Suficiente
Insuficiente
La eficiencia del control implica la eliminación o reducción de los riesgos, por lo que un
control puede incluir un proceso, una política, una práctica o cualquier acción que tenga
un impacto sobre la valoración del riesgo. En este punto es importante considerar que
un control que no se encuentre completamente instrumentado en las UA no deberá ser
evaluado como eficiente.
En este sentido, la valoración del riesgo es el producto de confrontar los resultados de
la evaluación del riesgo con los controles identificados por las UA con el objetivo de
evaluar su efectividad.
Para realizar la valoración de los controles existentes es necesario tomar en cuenta que
los controles se clasifican en tres tipos:
Preventivos.- Mecanismo específico de control que tiene el propósito de anticiparse a
la posibilidad de que ocurran situaciones no deseadas o inesperadas que pudieran
afectar al logro de los objetivos y metas;
Detectivos.- Mecanismo específico de control que opera en el momento en que los
eventos o transacciones están ocurriendo, e identifican las omisiones o desviaciones
antes de que concluya un proceso determinado;
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 22 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Correctivos.- Mecanismo específico de control que opera en la etapa final de un
proceso, el cual permite identificar y corregir o subsanar en algún grado, omisiones o
desviaciones.
En cualquiera de los tres casos, para la valoración de los controles existentes para
administrar el riesgo se deberán considerar los siguientes requisitos:
¿Está Documentado?=> Estar descrito.
¿Esta Formalizado?=> Se ha difundido (Comunicado Oficial, Etc.).
¿Se está Aplicando consistentemente?=> Evidencia documental y/o electrónica de que se
está aplicando.
¿Es Efectivo?=> Cuando se incide en el o los Factores de Riesgo, para disminuir la
Probabilidad de Ocurrencia y/o el Grado de Impacto.
Si NO se cumplen con TODOS los requisitos, el Control es Insuficiente, como se
muestra en el cuadro siguiente:
Para cada uno de los Factores del riesgo identificados, en caso de que SI se cuente con Controles, se deberán indicar hasta CINCO controles.
Una vez que se llevó a cabo la evaluación de los controles, habrá que realizar la valoración final del riesgo.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 23 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
4.3 VALORACIÓN FINAL DE LOS RIESGOS RESPECTO A LOS CONTROLES.
Para realizar la valoración final del riesgo, se deberán tener presentes las
características de los Controles definidos para Administrar cada Riesgo identificado;
tomando como referencia la misma escala de valores utilizados en la Valoración Inicial
del Riesgo.
Asimismo, se deberá tomar en cuenta lo siguiente:
La Valoración Final del Riesgo no podrá ser superior a la Valoración Inicial.
Si todos los Controles del Riesgo son suficientes, la Valoración Final del Riesgo deberá ser inferior a la inicial.
Si algunos de los Controles del Riesgo son insuficiente, o se observa inexistencia de controles, la Valoración Final del Riesgo deberá ser igual a la inicial.
No será válida la Valoración Final, cuando NO considere la Valoración Inicial, la existencia de controles y la evaluación de Controles.
Evaluación FINAL del riesgo
No. de Riesgo
Descripción del riesgo Valoración
del grado de impacto
Valoración de la probabilidad de ocurrencia
1 Procedimiento por Infracciones a la Ley rezagados Sin resolver y fuera del plazo establecido por la Ley
2
n…
4.4 MAPA DE ADMINISTRACIÓN DE RIESGOS INSTITUCIONAL.
Una vez que se cuenta con las valoraciones definitivas, se deben ordenar los riesgos de
acuerdo a su relevancia; es decir, se deben jerarquizar. Esta actividad se realiza a
través del Mapa de Riesgos Institucional (MAR), en el cual se ubican los riesgos en
cuatro cuadrantes con base en su grado de impacto y su probabilidad de ocurrencia, tal
como se muestra a continuación:
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 24 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 25 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
5. TRATAMIENTO DE LOS RIESGOS
DEFINICIÓN DE ESTRATEGIAS Y ACCIONES PARA SU ADMINISTRACIÓN
Una vez jerarquizados y colocados los riesgos según su valoración en el mapa de
riesgos, se deberán determinar las estrategias para administrar cada Riesgo
identificado, basadas en su valoración respecto a controles que permiten tomar
decisiones y determinar las acciones de control para cada factor de riesgo que deberán
implementarse.
1. Evitar el riesgo.- Se aplica antes de asumir cualquier riesgo. Se logra cuando al
interior de los procesos se generan cambios sustanciales por mejora, rediseño o
eliminación, resultado de controles suficientes y acciones emprendidas.
2. Reducir el riesgo.- Se aplica preferentemente antes de optar por otras medidas
más costosas y difíciles. Implica establecer acciones dirigidas a disminuir la
probabilidad de ocurrencia y el impacto, tales como la optimización de los
procedimientos y la implementación de controles.
Estrategias
Evitar el riesgo
Reducir el riesgo
Asumir el riesgo
Transferir o compartir el riesgo
1
2
3
4
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 26 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
3. Asumir el riesgo.- Se aplica cuando el riesgo se encuentra en un nivel que
puede aceptarse sin necesidad de tomar otras medidas de control diferentes a
las que se poseen.
4. Transferir o compartir el riesgo.- Implica que el riesgo se controle mediante la
responsabilidad de un tercero que tenga la experiencia y especialización
necesaria para asumirlo.
Las acciones de control son las actividades que se realizarán con base en la Estrategia
adoptada. Las acciones darán especial atención a los casos en que los controles se
hayan determinado Insuficientes o Inexistentes, y por tanto el Riesgo NO esté
Controlado Suficientemente; en su caso, deberán alinearse a las Actividades de Control
previstas en el Modelo Estándar de Control Interno.
6. REVISIÓN Y MONITOREO
Para la implementación y seguimiento de las estrategias y acciones, se elaborará el
Programa de Trabajo de Administración de Riesgos Institucional (PTAR), el cual
incluirá:
a) Los riesgos; b) Los factores de riesgo; c) Las estrategias para administrar los riesgos, y d) Las acciones de control registradas en la Matriz de Administración de
Riesgos Institucional, las cuales deberán identificar: 1. Unidad administrativa; 2. Responsable de su implementación; 3. La fechas de inicio y término; 4. Medios de verificación, y 5. Porcentaje de avances.
Guía para la Administración de Riesgos en la
Procuraduría Federal del Consumidor
Codificación: GAR-600
Versión: 01
Vigencia: 02 de abril de 2014
Página: 27 de 27
http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca
En las Sesiones del Comité de Control y Desempeño Institucional (COCODI) se
reportaran los avances trimestrales del PTAR para fortalecer la Administración de
Riesgos Institucional. El Reporte de Avances Trimestral contendrá al menos lo
siguiente:
I. Resumen de acciones comprometidas, cumplidas y en proceso, así como sus porcentajes de avance;
II. Descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones en proceso y propuestas de solución para consideración del Comité u órgano de gobierno, según corresponda, y
III. Resultados alcanzados en relación con los esperados.
La evidencia documental y/o electrónica suficiente, competente, relevante y pertinente
que acredite la implementación y avances reportados, será resguardada por los
servidores públicos responsables de las acciones comprometidas en el PTAR
institucional y estará a disposición de los órganos fiscalizadores.