Consejo de Auditoría Interna General de Gobierno

Fases Gestión de Riesgos

Fases Genéricas en el Proceso de Gestión de Riesgos en el Sector Público

Sin perjuicio que en la actualidad existen una serie de modelos para la gestión de riesgos de mayor o menor difusión, el Consejo de Auditoría ha decidido utilizar un modelo genérico, que recoge en su mayor parte los elementos del Proceso de Gestión de Riesgos contenidos en la Norma NCh-ISO 31000:2012, que en su desarrollo y mejora a través del tiempo permita a las organizaciones gubernamentales adecuarlo a otros más específicos, si es que aquello fuese necesario.

Las fases en que se desagrega dicho modelo genérico y que deberán desarrollarse para implementar el Proceso de Gestión de Riesgos en organizaciones gubernamentales, se señalan a continuación:

  •  Establecimiento del Contexto: Definición de los parámetros externos e internos a tener en cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo para la política de gestión del riesgo. Comprende establecer los contextos estratégico, organizacional y de gestión en los cuales tendrá lugar el Proceso de Gestión de Riesgos. Deben establecerse los objetivos de la evaluación del riesgo, los criterios contra los cuales se evaluarán los riesgos, el programa de evaluación del riesgo y definirse la estructura de análisis, los roles y responsabilidades.
  •  Evaluación del Riesgo: La evaluación del riesgo es el proceso global de identificación del riesgo, de análisis del riesgo y de valoración del riesgo.
  •  Identificación del Riesgo: Proceso de búsqueda, reconocimiento y descripción de riesgos. Comprende identificar los riesgos que podrían impedir, degradar o demorar el cumplimiento de los objetivos estratégicos y operativos de la organización, así como las oportunidades que puedan contribuir al logro de los referidos objetivos.
  •  Análisis del Riesgo: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. El análisis del riesgo proporciona las bases para la valoración del riesgo y para tomar las decisiones relativas al tratamiento del riesgo. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que los riesgos puedan ocurrir. Consecuencia y probabilidad se combinan para producir un nivel estimado de riesgo según la definición de la organización. Adicionalmente se debe identificar y analizar los controles mitigantes existentes.
  •  Valoración del Riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable o tolerable. Comprende comparar los niveles de riesgo encontrados contra los criterios de riesgo aceptado preestablecidos por la organización, considerando el balance entre beneficios potenciales y resultados adversos. Ordenar y priorizar mediante un ranking los riesgos analizados.
  •  Tratamiento del Riesgo: Una vez completada la valuación del riesgo, el tratamiento del riesgo involucra la selección y el acuerdo para aplicar una o varias opciones pertinentes para cambiar la probabilidad de que los riesgos ocurran, los efectos de los riesgos, o ambas, y la implementación de estas opciones. A continuación de esto, sigue un proceso crítico de reevaluación del nuevo nivel de riesgo, con la intención de determinar su tolerancia con respecto a los criterios previamente establecidos, para decidir si se requiere tratamiento adicional. De acuerdo al ranking de riesgos y al nivel de riesgo aceptado preestablecido por la organización, definir su tratamiento y/o monitoreo, desarrollando e implementando estrategias y planes de acción específicos, que mantengan el riesgo dentro de los niveles aceptados por la organización.
  •  Monitoreo y Revisión: Como parte del proceso de gestión del riesgo, los riesgos y los controles se deben monitorear y revisar de manera regular. Comprende definir y utilizar mecanismos para la verificación, supervisión, observación crítica o determinación del estado de los riesgos y controles con objeto de identificar de una manera continua los cambios que se puedan producir en el nivel de desempeño requerido o esperado y dar cuenta de la evolución del nivel del riesgo en procesos críticos para la administración.
  •  Comunicación y Consulta: Los procesos continuos e iterativos que realiza una organización para proporcionar, compartir u obtener información y para comprometer el diálogo con las partes interesadas en relación con la gestión del riesgo. Comprende definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, según resulte apropiado en cada etapa del Proceso de Gestión de Riesgos. Dichos mecanismos deben permitir a las autoridades tomar decisiones en forma oportuna respecto de los riesgos con mayores desviaciones en relación a los niveles aceptados.

 

A continuación se presenta un esquema representativo de la relación entre las fases genéricas que componen un Proceso de Gestión de Riesgos, bajo la perspectiva que se ha adoptado para su implementación.

Esquema representativo del Proceso de Gestión de Riesgos en el Sector Público NCh-ISO 31000:2012