Guía para la Administración de Riesgos en la Procuraduría Federal del … · 2014-05-07 · UA deberán considerar durante el proceso de identificación, análisis, ... Administración

Coordinación General de Administración

Guía para la Administración de Riesgos en la

Procuraduría Federal del Consumidor

http://www.profeco.gob.mx/juridico/normateca.asp 02 de abril de 2014

http://www.profeco.gob.mx/juridico/normateca.asp



Codificación: GAR-600

Versión: 01

Vigencia: 02 de abril de 2014

Página: 1 de 27

http://www.profeco.gob.mx/juridico/normateca.asp GAR-600.doc/Normateca

Control de las Revisiones

Revisión Fecha

Revisión Consideración del cambio en el documento

00 02 de abril de 2014

Documento de nueva creación, elaborado con la finalidad de implementar en la Procuraduría Federal del Consumidor una guía de apoyo administrativo que permita la institución el cumplimiento de sus metas y objetivos, La presente guía es un mecanismo para promover y contribuir a generar información útil para una adecuada toma de decisiones y una mejor planeación, programación y actuación de la Procuraduría.




Versión: 01


Página: 2 de 27


Contenido

Página

I. Introducción ......................................................................................... 3

II. Objetivo ............................................................................................... 5

III. Alcance ............................................................................................... 6

IV. Marco Jurídico ..................................................................................... 7

V. Glosario ............................................................................................... 8

VI. Etapas del proceso de administración de riesgos institucional ........... 9




Versión: 01


Página: 3 de 27


I. Introducción

El análisis y evaluación de los riesgos es un tema de reciente incorporación a los

procesos de planeación y gestión de las instituciones de la Administración Pública

Federal (APF), cuyo propósito es apoyar a dichas instituciones al cumplimiento efectivo

de sus metas y objetivos, así como enfrentar las posibles contingencias que se puedan

presentar como resultado de eventos inciertos que afecten o puedan obstaculizar o

impedir el cumplimiento de los objetivos y metas institucionales.

La administración de riesgos se circunscribe en la búsqueda de mecanismos que

impulsan gestiones más transparentes, con mejor desempeño, mayor responsabilidad y

compromiso social, capaces de adaptarse a entornos cambiantes, para lo cual se

requiere la generación de una cultura organizacional proactiva en todos los niveles y

basada en resultados; la aplicación de técnicas de planeación estratégica y la

generación de información oportuna, confiable, completa y relevante, los cuales

deberán incluirse como parte de los valores que definen a la propia organización.

Dada la necesidad de incorporar la metodología de administración de riesgos en el

proceso de planeación estratégica en la Procuraduría Federal del Consumidor

(Profeco), se ha diseñado la siguiente Guía para apoyar a las Unidades Administrativas

(UA) tanto en su definición como en su aplicación. Esta Guía establece una serie de

principios que deben ser atendidos para que la administración de riesgos sea efectiva,

sobre todo si se considera que ello incrementa la probabilidad de lograr los objetivos,

identificar tanto las amenazas como áreas de oportunidad, mejorar los controles y

contar con una gestión más efectiva y eficiente.

Considerando la necesidad de contar con un documento que defina las etapas del

proceso de administración de riesgos y establezca los criterios más relevantes que las

UA deberán considerar durante el proceso de identificación, análisis, valoración y




Versión: 01


Página: 4 de 27


tratamiento de los riesgos se presenta la Guía para la Administración de Riesgos en

la Procuraduría Federal del Consumidor. Dicha Guía contribuirá al fortalecimiento y

homologación de los elementos teórico-conceptuales en la materia, así como de los

mecanismos de medición considerados en dicha metodología.

Es importante señalar que para la APF, el modelo de administración de riesgos forma

parte del Sistema de Control Interno Institucional (SCII). La dependencia federal

encargada de establecer la metodología para la administración de riesgos es la

Secretaría de la Función Pública (SFP).

Para ello, en julio de 2010 se publicó en el Diario Oficial de la Federación el Acuerdo

por el que se emiten las Disposiciones en Materia de Control Interno y se expide

el Manual Administrativo de Aplicación General en Materia de Control Interno1,

mediante el cual se busca implementar un proceso sistemático que permita aplicar el

modelo de administración de riesgos en la APF. Con dicho Acuerdo se promueve a la

administración de riesgos como un instrumento que sirve para avanzar tanto en el

control interno como en la promoción de una mejor focalización de las actividades en

aras de un mayor cumplimiento de las metas y objetivos.

Es de suma importancia señalar que la presente Guía es un mecanismo para promover

y contribuir a generar información útil para una adecuada toma de decisiones y una

mejor planeación, programación y actuación de la Procuraduría Federal del

Consumidor.

Derivado de lo anterior, así como de la alineación de la misión, visión y objetivos

institucionales al Plan Nacional de Desarrollo 2013-2018 y a la realidad Institucional, la

Coordinación General de Administración, se dio a la tarea de elaborar la presente guía.

1 En adelante se denominará Acuerdo.




Versión: 01


Página: 5 de 27


II. Objetivo

La presente Guía tiene como propósito definir y, en su caso, precisar los criterios para

fortalecer la identificación, análisis, valoración y definición de estrategias y acciones de

control para atender y dar seguimiento a los riesgos a que están expuestas las UA en el

desarrollo de sus actividades y; con ello, asegurar el cumplimiento de la Misión, Visión,

Objetivos y Metas institucionales.




Versión: 01


Página: 6 de 27


III. Alcance

Todos los titulares de las Unidades Administrativas de la Procuraduría Federal del

Consumidor en sus ámbitos de competencia tendrán la obligación de aplicar la presente

guía con la finalidad de identificar, evaluar, jerarquizar, controlar y dar seguimiento a los

riesgos que puedan obstaculizar o impedir el cumplimiento de los objetivos y metas

institucionales.




Versión: 01


Página: 7 de 27


IV. Marco Jurídico

Constitución Política de los Estados Unidos Mexicanos

Leyes

– Ley Orgánica de la Administración Pública Federal.

– Ley Federal de Protección al Consumidor.

Otras Disposiciones

– Plan Nacional de Desarrollo 2013-2018.

– Programa de Desarrollo Innovador 2013-2018.

– Acuerdo por el que se emiten las Disposiciones en Materia de Control Interno y se expide el Manual Administrativo de Aplicación General en Materia de Control Interno y sus reformas.

– Norma ISO 31000:2009. Gestión de riesgos, principios y directrices.




Versión: 01


Página: 8 de 27


V. Glosario

Administración de riesgos Institucional

Todas las organizaciones (de cualquier tipo o tamaño) enfrentan factores internos y/o

externos e influencias que hacen incierto el logro de sus objetivos y metas. El efecto

que esta incertidumbre tiene en los objetivos se conoce como “riesgo”. Dado lo anterior,

la Institución debe desarrollar, implementar y mantener el marco normativo que regule

la administración de riesgos en un proceso de adaptación continua, especialmente en

aquellos aspectos relacionados con la planeación estratégica, administración, vigilancia,

disposiciones normativas, valores y cultura.

El modelo de administración de riesgos es un método lógico y sistemático utilizado para

establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los

riesgos asociados con una actividad, función, atribución o proceso, de tal forma que

permita a la Institución minimizar las pérdidas y maximizar las oportunidades.

Riesgos

Todo riesgo tiene efectos sobre los objetivos y las metas Institucionales. Dicho efecto

puede ser positivo, negativo o una desviación sobre los resultados esperados.

El riesgo es entendido como el “evento adverso e incierto (externo o interno) que

derivado de la combinación de su probabilidad de ocurrencia y el posible impacto

pudiera obstaculizar o impedir el logro de los objetivos y metas institucionales”.

De esta manera, dado que todo riesgo afecta al cumplimiento de los objetivos o metas,

la aplicación adecuada y efectiva de la metodología de administración de riesgos

depende de la definición de los objetivos y metas. Si los objetivos y metas no son

claros, adecuados y totalmente alineados con la razón de ser de la Profeco, la

aplicación de dicha metodología será limitada y probablemente no logrará su propósito.




Versión: 01


Página: 9 de 27


VI. Etapas del proceso de administración de riesgos institucional

Son 6 las etapas del proceso de administración de riesgos:

1. Comunicación y consulta

2. Contexto

3. Identificación de riesgos

4. Análisis y evaluación de riesgos

5. Tratamiento de los riesgos

6. Revisión y monitoreo

Fuente: Elaboración propia con información de la norma ISO 31000:2009. Gestión de riesgos, principios y directrices.




Versión: 01


Página: 10 de 27


1. COMUNICACIÓN Y CONSULTA

En esta etapa están definidos los objetivos y las metas institucionales.

Asimismo, las UA deberán establecer los mecanismos necesarios de comunicación y de

consulta para la identificación de las causas de sus riesgos y sus consecuencias, así

como las acciones que se deberán tomar para administrarlos, por lo que la información

que provean sobre la existencia, clasificación, factores, efectos, evaluación, impacto,

probabilidad, estrategias para administrarlos y otros aspectos relacionados con los

riesgos es fundamental y fomentará la cultura de la prevención y la planeación

estratégica.

OB

JE

TIV

OS

1 PROTEGER Y DEFENDER LOS DERECHOS DEL CONSUMIDOR.

2 GENERAR UNA CULTURA DE CONSUMO RESPONSABLE.

3 ASEGURAR INFORMACIÓN ADECUADA PARA LA TOMA DE DECISIONES DE

CONSUMO.

4 IMPLEMENTAR MÉTODOS DE ATENCIÓN PRONTA Y ACCESIBLE A LOS

CIUDADANOS MEDIANTE EL USO DE TECNOLOGÍAS DE LA INFORMACIÓN.

ME

TA

S

Meta

1

...

…

…

Meta

n




Versión: 01


Página: 11 de 27


2. CONTEXTO

En esta etapa se describen las situaciones que afectan el desempeño de la Institución

en tres aspectos: externo, interno y para la administración de riesgos.

El contexto externo incluye la definición de los siguientes elementos:

Ambiente social y cultural, político, legal, regulatorio, financiero, tecnológico, económico,

natural, de competitividad, ya sea a nivel internacional, nacional, regional o local;

Factores clave y tendencias que tengan un impacto en los objetivos de la institución;

Posición ante las percepciones y valores de grupos de interés externos.

El contexto externo es determinante para el logro de los objetivos, ya que permite tomar

en cuenta los efectos que podría tener el surgimiento de eventos inesperados en el

desempeño de la institución y la posición que ésta debiera tomar ante ello como una

crisis económica la cual pudiera afectar las prioridades del gobierno y reducir el

presupuesto de la institución.

El contexto interno es intrínseco a la Institución, como la cultura, los procesos, la

estructura y la estrategia de la organización; incluye la definición de los siguientes

elementos:

Objetivos y metas;

Estructura organizacional, atribuciones, facultades y responsabilidades;

Recursos (presupuesto, materiales, personas, procesos, sistemas y TIC’s);

Cultura organizacional;

Sistemas de información, flujos de información y procesos para la toma de decisiones

(formales e informales);

Estándares, lineamientos y modelos adoptados por las UA para su operación y;

Relaciones laborales




Versión: 01


Página: 12 de 27


A continuación se deberán describir los cinco principales elementos que definen el contexto externo e interno de la Profeco:

Contexto externo Contexto interno

1. 1.

2. 2.

3. 3.

4. 4.

5. 5.

El contexto del proceso de administración de riesgos implica cómo se medirán los

riesgos:

Probabilidad de ocurrencia

nivel de impacto

PROBABILIDAD DE OCURRENCIA

VALORACION




Versión: 01


Página: 13 de 27


3. IDENTIFICACIÓN DE LOS RIESGOS, SUS FACTORES Y EFECTOS

La identificación de los riesgos es el proceso mediante el cual se detectan, reconocen y

describen los riesgos de la Institución.

Se deben identificar los factores de riesgo, es decir, las fuentes o causas que originan

los riesgos; las áreas en las cuales impactan, así como los eventos, sus causas y

consecuencias potenciales.

Un factor de riesgo es la circunstancia interna y/o externa que aumenta la probabilidad

de que un riesgo se materialice.

GRADO DE IMPACTO

VALORACION




Versión: 01


Página: 14 de 27


Para la identificación correcta de los riesgos, sus fuentes y causas, es imprescindible

que en la operación de sus procesos las UA cuenten con información suficiente,

relevante, oportuna y actualizada, así como con personal capacitado en la operación de

los mismos.

Para la identificación de los riesgos, sus factores e impactos en la UA se utilizará el

método para identificar las relaciones de causalidad a través del desarrollo de árboles

esquemáticos como el denominado árbol de problemas. Esta técnica nos permitirá

identificar una situación negativa (problema central), la cual se intenta solucionar

mediante una intervención utilizando una relación de tipo causa-efecto:

Árbol de problemas para la identificación de los riesgos:




Versión: 01


Página: 15 de 27


Respecto a los posibles efectos de un riesgo, es importante precisar, a fin de evitar

confusiones, que las consecuencias de los riesgos pueden ubicarse en dos niveles, en

términos de resultados y del nivel de impacto:

1º. Nivel de “resultados”: efecto directo que tendría un riesgo en caso de materializarse.

2º. Nivel de “impacto”: afectación de la materialización del riesgo sobre los objetivos o

metas de Profeco.

A continuación se muestra un caso práctico con el propósito de mostrar de forma

gráfica cómo se interrelaciona el riesgo con sus factores y con sus efectos o

consecuencias. Es importante reiterar que para realizar este tipo de ejercicio se sugiere

apoyarse en el personal capacitado en la operación de los procesos de la UA.

Árbol de problemas para la identificación de los riesgos: (caso práctico)

Disminución de la conectividad y accesibilidad del país por vía terrestre

Incremento en la

tasa de accidentes

Incremento en el

gasto de

mantenimiento

Incremento en los

costos de

transporte

Carreteras construidas que incumplen los estándares de calidad

Excesivas adjudicaciones

directas respecto de las licitaciones

públicas y abiertas

Insuficiente personal

capacitado para

supervisar obras

Diseño sesgado de los

requerimientos

técnicos

Clima o naturaleza

adversa

Baja capacidad

institucional

Vigilancia

inadecuada o

insuficiente

participación en

comités

Lagunas en la

normatividadFactores exógenos

Insuficiente y

deficiente

capacitación para

supervisar obras




Versión: 01


Página: 16 de 27


Para el desarrollo del árbol de problemas adaptado a la administración de riesgos es

fundamental que las UA se alleguen de la información relevante y suficiente que sirve

como base para seleccionar las áreas, operaciones, programas, procesos o

transacciones que consideren vulnerables dentro de la Procuraduría. En este sentido,

vale la pena señalar que una de las principales fuentes de información que se debe

considerar son las observaciones recurrentes señaladas por los diferentes órganos

fiscalizadores, en particular las de alto y mediano riesgo.

La estructura gramatical que deberá atenderse para la descripción de los riesgos es la

siguiente:

Ejemplo:

N° SUSTANTIVO VERBO EN PARTICIPIO

ADJETIVO, ADVERBIO O COMPLEMENTO

CIRCUNSTANCIAL NEGATIVO

1. Procedimientos por Infracciones a la Ley

rezagados Sin resolver y fuera del plazo

establecido por la Ley.

2.

3.

n...

A continuación se presentan algunos ejemplos de riesgos redactados correctamente

utilizando la estructura general planteada en el Acuerdo:

1. Carreteras construidas que incumplen los estándares de calidad.

2. Beneficios del Programa “X” entregados a personas no elegibles.

Sustantivo Verbo

en

participio

Adjetivo, adverbio o

complemento circunstancial

negativo

RIESGO




Versión: 01


Página: 17 de 27


3. Usuarios conectados y desconectados ilícitamente a la red eléctrica.

4. Servicios de estancias infantiles otorgados deficientemente.

5. Recursos materiales y/o servicios suministrados sin las características y calidad

requeridas.

6. Unidades médicas presupuestadas no construidas.

7. Infraestructura eléctrica limitada que afecta la prestación del servicio.

8. Bienes muebles o inmuebles adquiridos por encima de su valor comercial.

9. Padrones de beneficiarios registrados deficientemente.

10. Instalaciones operando sin contrato, permiso o licencia.

11. Ingresos por cobro de trámites captados por debajo del nivel programado.

Existen situaciones que afectan negativamente en la identificación de los riesgos, las

cuales deberán tomarse en cuenta durante el análisis. Dichas situaciones se derivan de

la confusión entre un riesgo y:

i) una inacción por parte de la Institución;

ii) una causa subyacente del propio riesgo;

iii) una consecuencia genérica del riesgo o;

iv) un factor de riesgo o;

v) un problema que implica cierta carga de trabajo para la Institución, tal como se ejemplifica

en la siguiente figura.




Versión: 01


Página: 18 de 27


Principales errores en la identificación y descripción de los riesgos:

Formato para la identificación de riesgos, factores internos y externos, y efectos:

Instrucciones:

1. Llenar el formato por cada riesgo que se identifique.

2. Es necesario realizar previamente el árbol de problemas que permita identificar las

relaciones causales entre factor de riesgo, evento y consecuencia.

Objetivo Factores

Externos

Factores

Internos Evento

Consecuencia

(Efecto)

Elemento de

Objetivo no

logrado

PROTEGER Y

DEFENDER LOS

DERECHOS DEL

CONSUMIDOR

Falta de recursos financieros

Insuficiencia de abogados

No se sanciona a los proveedores que violan la LFPC.

Pérdida de confianza y credibilidad en la institución.

No se Protegen los derechos del consumidor al no sancionar a los proveedores que violan la LFPC.

Falta de capacitación




Versión: 01


Página: 19 de 27


DESCRIPCION DEL RIESGO N°1 Procedimientos por Infracciones a la Ley rezagados sin resolver y fuera del plazo establecido por la Ley.

Objetivo: Indicar el objetivo Institucional cuyo logro puede verse afectado por diversos factores. Factor externo: incluir las circunstancias o situaciones externas más relevantes que pueden provocar que un riesgo se materialice, afectando así el logro del objetivo y/o meta. Factor interno: Indicar las circunstancias o situaciones internas más relevantes que pueden provocar que un riesgo se materialice, afectando así el logro del objetivo y/o meta. Evento: Indicar la situación que ocurre de presentarse la circunstancia expresada en los factores internos y externos. Consecuencia: Indicar el efecto, secuela o resultado de que suceda el evento. Elemento del objetivo no logrado: Especificar la parte del objetivo que no se logra derivado de que suceda el evento.

4. ANÁLISIS Y EVALUACIÓN DE LOS RIESGOS

4.1 VALORACIÓN INICIAL DE LOS RIESGOS

La etapa de “análisis de los riesgos” tiene como finalidad realizar la valoración de los

riesgos, la cual consiste en determinar tanto la probabilidad de ocurrencia del riesgo

como sus resultados e impactos. El análisis de los riesgos es el principal insumo para

tomar la decisión sobre su relevancia y su administración.

Para la valoración de los riesgos es importante considerar los factores de los riesgos

(causas), sus resultados o efectos (positivos o negativos) y la probabilidad de que los

riesgos se materialicen y, por lo tanto, ocurran los resultados e impactos identificados.

Una vez identificados se deberán llenar el formato siguiente:

Evaluación INICIAL del riesgo

No. de Riesgo

Descripción del riesgo Valoración

del grado de impacto

Valoración de la probabilidad de ocurrencia

1 Procedimiento por Infracciones a la Ley rezagados sin resolver y fuera del plazo establecido por la Ley.

2




Versión: 01


Página: 20 de 27


Para la determinar el nivel del grado de impacto y de la probabilidad de ocurrencia se

deberán utilizar los criterios y categorías que se muestran a continuación:

4.2 EVALUACIÓN DE CONTROLES

Un riesgo puede tener múltiples resultados o efectos, así como afectar a diferentes

objetivos de la institución, por lo cual es necesario que en dicho análisis también se

tome en cuenta la existencia de controles implementados para mitigarlo, administrarlo o

evitarlo, así como la efectividad y eficiencia de dichos controles.

Dado que el nivel de riesgos depende, entre otros elementos, de la adecuación y

efectividad de los controles existentes en la institución, la valoración de los controles

debe realizarse como una actividad más durante el análisis de los riesgos.




Versión: 01


Página: 21 de 27


Con respecto al análisis de los controles es importante señalar la necesidad de que las

UA’ identifiquen los controles con que cuentan para atender cada riesgo y,

posteriormente, determinen su efectividad en la prevención del riesgo a fin de mitigar o

manejar sus posibles resultados e impacto, para lo cual debe utilizarse la siguiente

escala para determinar la efectividad de los controles:

Suficiente

Insuficiente

La eficiencia del control implica la eliminación o reducción de los riesgos, por lo que un

control puede incluir un proceso, una política, una práctica o cualquier acción que tenga

un impacto sobre la valoración del riesgo. En este punto es importante considerar que

un control que no se encuentre completamente instrumentado en las UA no deberá ser

evaluado como eficiente.

En este sentido, la valoración del riesgo es el producto de confrontar los resultados de

la evaluación del riesgo con los controles identificados por las UA con el objetivo de

evaluar su efectividad.

Para realizar la valoración de los controles existentes es necesario tomar en cuenta que

los controles se clasifican en tres tipos:

Preventivos.- Mecanismo específico de control que tiene el propósito de anticiparse a

la posibilidad de que ocurran situaciones no deseadas o inesperadas que pudieran

afectar al logro de los objetivos y metas;

Detectivos.- Mecanismo específico de control que opera en el momento en que los

eventos o transacciones están ocurriendo, e identifican las omisiones o desviaciones

antes de que concluya un proceso determinado;




Versión: 01


Página: 22 de 27


Correctivos.- Mecanismo específico de control que opera en la etapa final de un

proceso, el cual permite identificar y corregir o subsanar en algún grado, omisiones o

desviaciones.

En cualquiera de los tres casos, para la valoración de los controles existentes para

administrar el riesgo se deberán considerar los siguientes requisitos:

¿Está Documentado?=> Estar descrito.

¿Esta Formalizado?=> Se ha difundido (Comunicado Oficial, Etc.).

¿Se está Aplicando consistentemente?=> Evidencia documental y/o electrónica de que se

está aplicando.

¿Es Efectivo?=> Cuando se incide en el o los Factores de Riesgo, para disminuir la

Probabilidad de Ocurrencia y/o el Grado de Impacto.

Si NO se cumplen con TODOS los requisitos, el Control es Insuficiente, como se

muestra en el cuadro siguiente:

Para cada uno de los Factores del riesgo identificados, en caso de que SI se cuente con Controles, se deberán indicar hasta CINCO controles.

Una vez que se llevó a cabo la evaluación de los controles, habrá que realizar la valoración final del riesgo.




Versión: 01


Página: 23 de 27


4.3 VALORACIÓN FINAL DE LOS RIESGOS RESPECTO A LOS CONTROLES.

Para realizar la valoración final del riesgo, se deberán tener presentes las

características de los Controles definidos para Administrar cada Riesgo identificado;

tomando como referencia la misma escala de valores utilizados en la Valoración Inicial

del Riesgo.

Asimismo, se deberá tomar en cuenta lo siguiente:

La Valoración Final del Riesgo no podrá ser superior a la Valoración Inicial.

Si todos los Controles del Riesgo son suficientes, la Valoración Final del Riesgo deberá ser inferior a la inicial.

Si algunos de los Controles del Riesgo son insuficiente, o se observa inexistencia de controles, la Valoración Final del Riesgo deberá ser igual a la inicial.

No será válida la Valoración Final, cuando NO considere la Valoración Inicial, la existencia de controles y la evaluación de Controles.

Evaluación FINAL del riesgo

No. de Riesgo

Descripción del riesgo Valoración

del grado de impacto

Valoración de la probabilidad de ocurrencia

1 Procedimiento por Infracciones a la Ley rezagados Sin resolver y fuera del plazo establecido por la Ley

2

n…

4.4 MAPA DE ADMINISTRACIÓN DE RIESGOS INSTITUCIONAL.

Una vez que se cuenta con las valoraciones definitivas, se deben ordenar los riesgos de

acuerdo a su relevancia; es decir, se deben jerarquizar. Esta actividad se realiza a

través del Mapa de Riesgos Institucional (MAR), en el cual se ubican los riesgos en

cuatro cuadrantes con base en su grado de impacto y su probabilidad de ocurrencia, tal

como se muestra a continuación:




Versión: 01


Página: 24 de 27





Versión: 01


Página: 25 de 27


5. TRATAMIENTO DE LOS RIESGOS

DEFINICIÓN DE ESTRATEGIAS Y ACCIONES PARA SU ADMINISTRACIÓN

Una vez jerarquizados y colocados los riesgos según su valoración en el mapa de

riesgos, se deberán determinar las estrategias para administrar cada Riesgo

identificado, basadas en su valoración respecto a controles que permiten tomar

decisiones y determinar las acciones de control para cada factor de riesgo que deberán

implementarse.

1. Evitar el riesgo.- Se aplica antes de asumir cualquier riesgo. Se logra cuando al

interior de los procesos se generan cambios sustanciales por mejora, rediseño o

eliminación, resultado de controles suficientes y acciones emprendidas.

2. Reducir el riesgo.- Se aplica preferentemente antes de optar por otras medidas

más costosas y difíciles. Implica establecer acciones dirigidas a disminuir la

probabilidad de ocurrencia y el impacto, tales como la optimización de los

procedimientos y la implementación de controles.

Estrategias

Evitar el riesgo

Reducir el riesgo

Asumir el riesgo

Transferir o compartir el riesgo

1

2

3

4




Versión: 01


Página: 26 de 27


3. Asumir el riesgo.- Se aplica cuando el riesgo se encuentra en un nivel que

puede aceptarse sin necesidad de tomar otras medidas de control diferentes a

las que se poseen.

4. Transferir o compartir el riesgo.- Implica que el riesgo se controle mediante la

responsabilidad de un tercero que tenga la experiencia y especialización

necesaria para asumirlo.

Las acciones de control son las actividades que se realizarán con base en la Estrategia

adoptada. Las acciones darán especial atención a los casos en que los controles se

hayan determinado Insuficientes o Inexistentes, y por tanto el Riesgo NO esté

Controlado Suficientemente; en su caso, deberán alinearse a las Actividades de Control

previstas en el Modelo Estándar de Control Interno.

6. REVISIÓN Y MONITOREO

Para la implementación y seguimiento de las estrategias y acciones, se elaborará el

Programa de Trabajo de Administración de Riesgos Institucional (PTAR), el cual

incluirá:

a) Los riesgos; b) Los factores de riesgo; c) Las estrategias para administrar los riesgos, y d) Las acciones de control registradas en la Matriz de Administración de

Riesgos Institucional, las cuales deberán identificar: 1. Unidad administrativa; 2. Responsable de su implementación; 3. La fechas de inicio y término; 4. Medios de verificación, y 5. Porcentaje de avances.




Versión: 01


Página: 27 de 27


En las Sesiones del Comité de Control y Desempeño Institucional (COCODI) se

reportaran los avances trimestrales del PTAR para fortalecer la Administración de

Riesgos Institucional. El Reporte de Avances Trimestral contendrá al menos lo

siguiente:

I. Resumen de acciones comprometidas, cumplidas y en proceso, así como sus porcentajes de avance;

II. Descripción de las principales problemáticas que obstaculizan el cumplimiento de las acciones en proceso y propuestas de solución para consideración del Comité u órgano de gobierno, según corresponda, y

III. Resultados alcanzados en relación con los esperados.

La evidencia documental y/o electrónica suficiente, competente, relevante y pertinente

que acredite la implementación y avances reportados, será resguardada por los

servidores públicos responsables de las acciones comprometidas en el PTAR

institucional y estará a disposición de los órganos fiscalizadores.

Documents

Guía para la Administración de Riesgos en la Procuraduría Federal del … · 2014-05-07 · UA deberán considerar durante el proceso de identificación, análisis, ... Administración