Upload
ngohanh
View
233
Download
0
Embed Size (px)
Citation preview
2
Contenido
INTRODUCCIÓN .......................................................................................................... 3
OBJETIVO GENERAL Y ESPECÍFICOS ...................................................................... 4
ALCANCE .................................................................................................................... 4
MARCO JURÍDICO ...................................................................................................... 4
DEFINICIONES ............................................................................................................ 5
RESPONSABILIDADES ............................................................................................... 7
POLÍTICAS ................................................................................................................... 8
De los objetivos estratégicos ..................................................................................... 8
De la identificación, análisis y evaluación de los riesgos ........................................... 9
Del control y atención de los riesgos ....................................................................... 10
De la comunicación de los riesgos .......................................................................... 11
GRUPO DE TRABAJO DE ADMINISTRACIÓN DE RIESGOS .................................. 11
OPERACIÓN DEL GTAR ........................................................................................... 11
ADMINISTRACIÓN DE LOS RIESGOS ..................................................................... 13
Identificación de los riesgos .................................................................................... 13
Análisis de los riesgos ............................................................................................. 15
Evaluación de los riesgos ........................................................................................ 20
Evaluación de los controles ..................................................................................... 21
Evaluación de riesgos respecto a controles ............................................................ 22
Priorización de los riesgos ...................................................................................... 23
Estrategias y acciones de control ............................................................................ 25
Nivel de tolerancia al riesgo .................................................................................... 27
Procedimiento ......................................................................................................... 28
3
INTRODUCCIÓN
ProMéxico es el fideicomiso público considerado entidad paraestatal cuya misión
consiste en promover la actividad exportadora y la internacionalización de empresas
mexicanas, así como atraer la inversión extranjera directa, con el fin de contribuir al
desarrollo económico y social del país y al fortalecimiento de la imagen de México como
socio estratégico para hacer negocios.
Como entidad de la Administración Pública Federal, ProMéxico tiene de obligada
observancia el ACUERDO POR EL QUE SE EMITEN LAS DISPOSICIONES Y EL MANUAL
ADMINISTRATIVO DE APLICACIÓN GENERAL EN MATERIA DE CONTROL INTERNO, publicado el
03 de noviembre de 2016 en el Diario Oficial de la Federación. Dicho documento
normativo sienta las bases para el establecimiento, supervisión, evaluación,
actualización y mejora continua del Sistema de Control Interno Institucional, del cual
una parte importante es la administración de riesgos.
Una adecuada administración de riesgos es una estrategia que permite asegurar, de
manera razonable, el cumplimiento de los objetivos, misión y visión institucionales.
Asimismo, el control interno tiene como uno de sus propósitos, el proteger los recursos
de la Entidad, buscando su adecuada administración ante posibles riesgos, incluidos
los de corrupción y, en su caso, definir y aplicar medidas para corregir las desviaciones
que se presenten en los procesos sustantivos y administrativos de la Institución.
Como consecuencia de la diversidad de riesgos que se enfrentan, se requiere un
acercamiento más profundo, metodológico y sistemático para su administración. Es por
ello y con fundamento en el numeral 23, Artículo Segundo, Título Tercero del Acuerdo
del Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de
Aplicación General en Materia de Control Interno, ProMéxico ha tomado la decisión de
emitir la presente METODOLOGÍA DE ADMINISTRACIÓN DE RIESGOS DE
PROMÉXICO, con el objeto de impulsar e institucionalizar las actividades de control
que contribuyan a fortalecer el nivel de madurez de la Norma Segunda del Modelo
Estándar de Control Interno.
Esta metodología específica, describe el proceso anual de administración de riesgos de
la Institución, desde su inicio, con la conformación del Grupo de Trabajo de
Administración de Riesgos, hasta su conclusión, con la presentación del Reporte Anual
de Comportamiento de los Riesgos. Incluye las etapas de evaluación de los riesgos,
evaluación de los controles, evaluación de riesgos respecto a controles, mapa de
riesgos, definición de estrategias y acciones de control para responder a los riesgos;
además del seguimiento de la administración de riesgos, con el cual se documenta las
acciones realizadas por la Institución en la materia.
4
OBJETIVO GENERAL Y ESPECÍFICOS
Objetivo General: Orientar en la toma de decisiones respecto al tratamiento de los
riesgos detectados por la Institución, así como fortalecer las actividades del proceso y
seguimiento de administración de riesgos, coadyuvando al cumplimiento de las metas,
objetivos y visión de la Entidad.
Objetivos específicos:
1. Facilitar la identificación de las variables internas y/o externas que puedan
generar riesgo en el cumplimiento de los objetivos de la entidad.
2. Establecer los mecanismos para la identificación, análisis, evaluación y
consolidación de los riesgos en las herramientas establecidas: Matriz de
Administración de Riesgos, Mapa de Riesgos y Programa de Trabajo de
Administración de Riesgos.
3. Contribuir en la consolidación del Sistema de Control Interno Institucional y
facilitar la generación de una cultura de autocontrol y autoevaluación.
ALCANCE
La metodología de administración de riesgos se basará en la operación de los procesos
sustantivos y administrativos, así como los objetivos institucionales, a través de la
identificación, análisis y valoración de riesgos, su registro y monitoreo. Se centrará en
el cumplimiento de los objetivos estratégicos de cada proceso, la detección oportuna
de actos de corrupción y, consecuentemente, en el cumplimiento de la misión y los
objetivos institucionales, los cuales tendrán un carácter de prioritarios y estratégicos
dentro de ella.
Este documento es aplicable a todas las Unidades Administrativas de ProMéxico.
MARCO JURÍDICO
Ley Orgánica de la Administración Pública Federal.
Ley Federal de las Entidades Paraestatales
Reglamento de la Ley Federal de las Entidades Paraestatales.
Estatuto Orgánico de ProMéxico.
Manual de Organización General
5
Programa de Trabajo de ProMéxico 2013-2018.
ACUERDO por el que se emiten las Disposiciones y el Manual Administrativo de
Aplicación General en Materia de Control Interno.
Guía de Autoevaluación a la Integridad en el Sector Público.
Integridad y Prevención de la Corrupción en el Sector Público. Guía Básica de
Implementación.
DEFINICIONES
Acción de control: Las actividades determinadas e implantadas por la Institución para
alcanzar los objetivos institucionales, y prevenir y administrar los riesgos identificados,
incluidos los de corrupción.
Administración de riesgos: Proceso sistemático que deben realizar las instituciones
para evaluar y dar seguimiento al comportamiento de los riesgos a que están expuestos
en el desarrollo de sus actividades. Se basa en el análisis de los distintos factores que
pueden provocarlos y su finalidad consiste en definir las estrategias y acciones que
permitan controlarlos, asegurando así el logro de los objetivos y metas de una manera
razonable.
Comité o COCODI: Comité de Control y Desempeño Institucional, órgano colegiado
que contribuye al cumplimiento de los objetivos y metas institucionales, a impulsar el
establecimiento y actualización del Sistema de Control Interno, y al análisis y
seguimiento para la identificación y administración de riesgos.
Control: Es un mecanismo preventivo, detectivo y/o correctivo que permite la oportuna
prevención, detección y corrección de desviaciones, ineficiencias o incongruencias en
el curso de la formulación, instrumentación, ejecución y evaluación de las acciones, con
el propósito de procurar el cumplimiento de la normatividad que las rige, y las
estrategias, políticas, objetivos, metas y asignación de recursos.
Control correctivo (después): Mecanismo específico de control que opera en la etapa
final de un proceso, el cual permite identificar y corregir o subsanar en algún grado,
omisiones o desviaciones.
Control detectivo (durante): Mecanismo específico de control que opera en el
momento en que los eventos están ocurriendo, y permite identificar las omisiones o
desviaciones antes de que concluya un proceso determinado.
Control preventivo (antes): Mecanismo específico de control que tiene el propósito de
anticiparse a la posibilidad de que ocurran incumplimientos, desviaciones, situaciones
6
no deseadas o inesperadas que pudieran afectar al logro de las metas y objetivos
institucionales.
Coordinación: Coordinación de Control Interno.
Enlace / Enlace de ARI: Enlace de Administración de Riesgos.
Evidencia documental: Información física y/o electrónica suficiente, competente,
relevante y pertinente que acredite la implementación y avances reportados.
Factor de riesgo: Circunstancia o situación interna y/o externa que aumenta la
probabilidad de que un riesgo se materialice.
GTAR: Grupo de Trabajo de Administración de Riesgos.
Impacto: Consecuencias negativas que se generarían en la Institución en el supuesto
de materializarse el riesgo.
Mapa de Riesgos: Representación gráfica de uno o más riesgos que permite vincular
la probabilidad de ocurrencia y su grado de impacto, en forma clara y objetiva.
Matriz de Administración de Riesgos: Tablero de control que refleja el diagnóstico
general de los riesgos. Permite contar con un panorama de los mismos e identificar
áreas de oportunidad en la Institución.
Nivel de tolerancia al riesgo: Nivel aceptable de diferencia entre el cumplimiento cabal
del objetivo estratégico respecto de su grado real de cumplimiento.
Probabilidad de ocurrencia: La estimación de que se materialice un riesgo en un
periodo determinado.
PTAR: Programa de Trabajo de Administración de Riesgos.
Reporte Anual de Comportamiento de los Riesgos: Relación del comportamiento de
los riesgos determinados en la Matriz del año inmediato anterior. Coadyuva a fortalecer
el proceso de administración de riesgos.
Reporte de Avances Trimestral del PTAR: Informe trimestral del cumplimiento de las
acciones de control del PTAR respecto a los riesgos institucionales determinados.
Riesgo: Evento adverso e incierto (externo o interno) que, derivado de la combinación
de su probabilidad de ocurrencia y el grado de impacto, pudiera obstaculizar o impedir
el logro de los objetivos y metas institucionales a nivel estratégico, directivo y/u
operativo.
Riesgo de corrupción: Riesgo relacionado con la inadecuada salvaguarda de los
recursos públicos por parte del personal de la Institución.
Unidades Administrativas: Dirección General, Unidad de Promoción de Negocios
Globales, Unidad de Desarrollo Sectorial, Unidad de Inteligencia de Negocios, Unidad
7
de Administración y Finanzas, Coordinación General de Asuntos Jurídicos, Dirección
Ejecutiva de Eventos y Servicios al Empresario y, Coordinación de Comunicación
Institucional.
RESPONSABILIDADES
Dirección General: Autorizar la presente metodología de administración de riesgos,
así como la formalización de la Matriz de Administración de Riesgos, el Mapa de
Riesgos y el PTAR. Instruir a las Unidades Administrativas, a través de la Coordinación
de Control Interno, a dar estricta observancia a las disposiciones y compromisos
adquiridos en materia de administración de riesgos.
Titulares de las Unidades Administrativas: Promover una cultura de identificación y
prevención de riesgos mediante la facilitación de los recursos humanos, tecnológicos,
financieros y materiales a su cargo, a efecto de observar las actividades relacionadas
con la administración de riesgos, incluyendo la presente Metodología.
Designar, en su caso, a los suplentes en el Grupo de Trabajo, quienes serán
responsables de la atención y seguimiento a la presente disposición.
Coordinación de Control Interno: Acordar con la Dirección General de ProMéxico la
metodología de administración de riesgos mediante la emisión y publicación del
presente documento, así como la formalización del Mapa de Riesgos, la Matriz de
Riesgos y el PTAR; coordinar y supervisar las acciones para su aplicación, e informar,
a través del COCODI, los avances del mismo. Fungir como intermediario entre la
Dirección General de ProMéxico y el Enlace de Administración de Riesgos. Coordinar,
por conducto del Enlace, las sesiones del GTAR. Difundir la Matriz de Administración
de Riesgos, el Mapa de Riesgos y el PTAR. Instruir la implementación del PTAR a los
responsables de las acciones de control comprometidas y al Enlace.
Enlace de Administración de Riesgos: Ser el canal de comunicación e interacción
con la Coordinación y las Unidades responsables de la administración de riesgos.
Comunicar a las Unidades el establecimiento de la metodología de administración de
riesgos y las acciones para su aplicación. Coordinar las actividades del GTAR. Elaborar
el proyecto de la Matriz de Administración de Riesgos, Mapa de Riesgos, PTAR y el
Reporte Anual de Comportamiento de los Riesgos. Dar seguimiento permanente al
PTAR mediante la elaboración del Reporte de Avances Trimestral, y presentarlo a la
Coordinación para su formalización.
Integrantes del Grupo de Trabajo de Administración de Riesgos: Identificar,
analizar y evaluar los riesgos, así como proveer la información para la elaboración del
proyecto de la Matriz de Administración de Riesgos, Mapa de Riesgos, PTAR, y sus
actualizaciones. Promover, al interior de sus áreas de adscripción, las actividades que
8
permitan controlar y atender los riesgos institucionales, a efecto de proporcionar una
seguridad razonable en el cumplimiento de los objetivos y metas planteados por la
Institución a nivel estratégico, directivo y/u operativo.
Personal de ProMéxico: Observar y dar cumplimiento al PTAR, así como a las
actividades de control de riesgos correspondientes a sus áreas. Comunicar y proponer,
a través del correo electrónico [email protected], la información que facilite
la identificación, análisis y evaluación de los riesgos institucionales, atender, cuando así
se les solicite, la aplicación de los instrumentos que se diseñen e implementen para la
detección de riesgos y la formulación de acciones para su administración.
POLÍTICAS
ProMéxico ha decidido implementar la presente metodología a fin de que permita
reconocer, de forma sistemática, los factores de riesgo, internos y externos, que
enfrenta el Fideicomiso en la consecución de sus objetivos o en el cumplimiento del
marco legal que regula la gestión en la Administración Pública Federal.
Lo anterior requiere la implementación de herramientas que posibiliten evaluar los
riesgos de manera consistente, determinar sus consecuencias y poder desarrollar
acciones de mitigación que permitan mantenerlos en un nivel aceptable.
Es política de ProMéxico:
Realizar evaluaciones periódicas de las acciones comprometidas para el
control de riesgos.
Mantener informadas a las Unidades Administrativas involucradas sobre
el estado de los riesgos.
Los principios y definiciones, que se mencionan a continuación, y el modelo de gestión
de administración de riesgos, que se explica más adelante, constituyen la base sobre
la cual se aplica la Metodología de Administración de Riesgos.
De los objetivos estratégicos
1. La Dirección General propone, en el Programa de Trabajo de ProMéxico, los
objetivos y metas institucionales, así como las estrategias y líneas de acción.
2. El Estatuto Orgánico de ProMéxico y el Manual de Organización General
determinan las facultades de las distintas Unidades Administrativas que
componen la Institución.
9
3. Los Manuales de Procedimientos de las Unidades describen los procedimientos,
responsabilidades y, por ende, los distintos controles con los que opera la
Institución, a efecto de asegurar, de manera razonable, el cumplimiento de los
objetivos y metas institucionales.
4. Los instrumentos normativos señalados en los numerales anteriores, así como
sus actualizaciones, deberán ser comunicados al personal de ProMéxico a
través de la Normateca Interna.
De la identificación, análisis y evaluación de los riesgos
1. Se debe tener en cuenta que los riesgos pueden presentarse en cualquier
gestión que se realice dentro de cualquier proceso administrativo o sustantivo
de ProMéxico que pudiera reflejarse en el incumplimiento de alguna meta o de
una norma jurídica que regule el actuar de la gestión pública.
2. La identificación, análisis y evaluación de los riesgos se documentará en la
Matriz de Administración de Riesgos y el Mapa de Riesgos, empleando para ello
la herramienta que para el efecto proporcione el Enlace de Administración de
Riesgos de ProMéxico (EARI).
3. Asimismo, y en su caso, los responsables de todos y cada uno de los procesos
sustantivos y administrativos de ProMéxico identificarán aquellas actividades
susceptibles de riesgo de corrupción, poniendo especial atención en los
procesos que la institución defina como prioritarios, así como los asociados a
recursos financieros, materiales, servicios generales, humanos y tecnológicos.
4. Sin perjuicio de las atribuciones del Grupo de Trabajo de Administración de
Riesgos, la Dirección General de la Institución podrá solicitar, vía la
Coordinación de Control Interno y/o el Enlace de Administración de Riesgos, la
inclusión y/o actualización de riesgos en la Matriz, Mapa y Programa de Trabajo.
5. La Institución solicitará cuando menos una vez al año al Órgano Interno de
Control en ProMéxico, la realización de un Diagnóstico del componente
administración de riesgos, como parte integral del Sistema de Control Interno y
el cumplimiento y efectividad de las políticas de riesgos.
6. La administración del riesgo comprende el conjunto de Elementos de Control y
sus interrelaciones, para que la institución evalúe aquellos eventos, tanto
internos como externos, que puedan afectar de manera negativa el logro de sus
objetivos institucionales. La administración del riesgo, contribuye a que la
entidad consolide su Sistema de Control Interno y a que se genere una cultura
de Autocontrol y autoevaluación al interior de la misma.
10
7. Para una adecuada administración del Riesgo se debe tener en cuenta:
La planeación estratégica (misión, visión, establecimiento de objetivos,
metas, factores críticos de éxito)
El campo de aplicación (procesos, proyectos, unidades de negocio,
sistemas de información)
Del control y atención de los riesgos
1. El análisis de los controles con los que cuenta la Institución será documentado
en la Matriz de Administración de Riesgos.
2. La estrategia para controlar el riesgo, así como las acciones de control, serán
establecidas en la Matriz de Administración de Riesgos y en el PTAR.
3. La atención de los riesgos se documentará en los reportes trimestrales del
PTAR, los cuales serán firmados por la Coordinación de Control Interno y el
Enlace de Administración de Riesgos, y serán presentados por la Coordinación
al Órgano Interno de Control, dentro de los 15 días hábiles posteriores al cierre
de cada trimestre.
4. Posteriormente, serán presentados al COCODI en las sesiones ordinarias como
sigue:
a. Reporte de avances del primer trimestre en la segunda sesión.
b. Reporte de avances del segundo trimestre en la tercera sesión.
c. Reporte de avances del tercer trimestre en la cuarta sesión.
d. Reporte de avances del cuarto trimestre en la primera sesión del año
siguiente.
5. Adicionalmente, la Institución presentará, en la primera sesión ordinaria del
Comité, el Reporte Anual del Comportamiento de los Riesgos.
6. Las Unidades Administrativas de ProMéxico, vía los integrantes designados para
el GTAR, serán las responsables de implementar las actividades concernientes
a las acciones de control definidas en el PTAR, así como de reportar los avances
y las evidencias documentales correspondientes al Enlace de ARI, dentro de los
5 días hábiles posteriores al cierre de cada trimestre.
11
De la comunicación de los riesgos
El Enlace de Administración de Riesgos comunicará al personal de ProMéxico el Mapa
de Riesgos, así como el PTAR y sus actualizaciones, a través de los medios de difusión
institucionales, en un período no mayor a 10 días hábiles posteriores a su formalización.
GRUPO DE TRABAJO DE ADMINISTRACIÓN DE RIESGOS
El GTAR se conformará por el Coordinador de Control Interno, el Enlace de
Administración de Riesgos, el Titular del Órgano Interno de Control y los Titulares de
las Unidades Administrativas de ProMéxico. Los integrantes del GTAR podrán nombrar
suplentes mediante oficio; dichos suplentes deberán tener, preferentemente, un nivel
jerárquico mínimo de Dirección de Área, considerando que al ser designados cuentan
con la facultad de toma de decisiones respecto de la definición y seguimiento de las
actividades concernientes al presente documento.
Los Titulares de las Unidades Administrativas, o sus suplentes, fungirán como
vocales.
Cualquier integrante del Grupo podrá invitar a las sesiones al personal de la
Institución cuya participación considere necesaria, previa comunicación al
Enlace vía correo electrónico u oficio.
OPERACIÓN DEL GTAR
Para asegurar el mejor funcionamiento del Grupo de Trabajo, se promoverá dentro de
la Institución, mediante capacitación y/o difusión, los conceptos de control interno,
administración de riesgos e integridad.
El GTAR sesionará de manera ordinaria cuando menos dos veces al año, en el
último trimestre del ejercicio, y de manera extraordinaria, cuantas veces sea
necesario, para analizar los riesgos detectados por la administración, por el
Órgano Interno de Control, y/o por el Comité de Control y Desempeño
Institucional.
Se tomará lista de asistencia y se realizará acta por cada sesión efectuada.
El Enlace convocará mediante oficio o por correo electrónico por lo menos con
cinco días hábiles de anticipación a los integrantes del Grupo para las sesiones
ordinarias, y con un día hábil de anticipación para las sesiones extraordinarias,
debiéndose remitir la herramienta de Matriz de Riesgos que para el efecto se
determine.
12
Las sesiones del GTAR se celebrarán cuando asistan, como mínimo, los
Titulares o Suplentes de la Coordinación de Control Interno, el Enlace de ARI, el
Órgano Interno de Control, así como aquellos Vocales que hayan sometido
asuntos a tratar en el Grupo.
Los integrantes deberán hacer llegar al Enlace los asuntos a tratar en las
sesiones, privilegiando el uso de correo electrónico, por medio de la cuenta
El Enlace de ARI priorizará las comunicaciones por medios
electrónicos para evitar el uso de papel.
Para las sesiones ordinarias, el Enlace de ARI solicitará, durante
la última semana del tercer trimestre de cada año, los asuntos a
tratar, específicamente los riesgos detectados por las Unidades
Administrativas o las situaciones internas y/o externas que a su
consideración pudieran afectar los objetivos institucionales y/o se
refieran a posibles riesgos de corrupción.
Los integrantes podrán requerir al Enlace, en cualquier momento, la celebración
de una sesión extraordinaria, previo envío de los asuntos a tratar al correo
[email protected], a efecto de que se esté en posibilidad de
convocar a los demás integrantes.
Las sesiones del GTAR tendrán por objeto uno o más de los siguientes puntos:
Identificar los riesgos institucionales.
Analizar y evaluar los riesgos.
Evaluar los controles con los que opera la Institución.
Definir el proyecto de la Matriz de Administración de Riesgos y el
Mapa de Riesgos.
Determinar las acciones y estrategias para administrar los riesgos.
Definir el proyecto del PTAR.
Proponer, en su caso, las actualizaciones de la Matriz de
Administración de Riesgos, Mapa de Riesgos, PTAR y de la
presente Metodología.
13
ADMINISTRACIÓN DE LOS RIESGOS
Identificación de los riesgos
Esta actividad debe ser permanente e interactiva, basándose tanto en el resultado del
análisis del contexto estratégico, como en el proceso de planeación, y debe partir de la
claridad de los objetivos estratégicos de la entidad para la obtención de resultados.
1. El GTAR determinará, a juicio de sus integrantes, las técnicas para la
identificación de riesgos, que se emplearán.
2. La elección de las técnicas, por parte del Grupo, no limita el uso de alguna otra,
por parte de cualquiera de sus integrantes, para realizar sus propuestas de
riesgos en las sesiones.
3. De manera enunciativa, mas no limitativa, los integrantes del GTAR podrán
emplear las siguientes técnicas:
a. Análisis interno.- Revisión e identificación de fortalezas y debilidades en
la estructura orgánica; atribuciones; procesos; objetivos y estrategias;
recursos humanos, materiales, tecnológicos y financieros, así como la
evaluación del desempeño de la Institución y resultados de auditorías y
diagnósticos.
b. Análisis del entorno.- Revisión de los cambios en el marco legal, entorno
económico o cualquier otro factor externo que pueda amenazar el
cumplimiento de los objetivos.
c. Lluvia de ideas.- Actividad grupal por la cual el personal de la Institución
genera ideas relacionadas con los riesgos, sus causas y posibles
impactos en el cumplimiento de la misión, objetivos y metas.
d. Entrevistas.- Entrevistas semiestructuradas realizadas al personal de
diferentes niveles jerárquicos, de una o varias Unidades Administrativas,
relacionadas con eventos que pudieran impactar negativamente en el
logro de la misión, objetivos y metas.
e. Cuestionarios.- Serie de preguntas enfocadas a detectar los riesgos que
se perciben en todos los niveles jerárquicos, en el desempeño de las
distintas actividades.
4. Los integrantes del GTAR deben considerar la posibilidad de ocurrencia de actos
de corrupción, fraudes, abuso, desperdicio y otras irregularidades relacionadas
con la inadecuada salvaguarda de los recursos públicos; al identificar, analizar
y responder a los riesgos asociados. Algunos tipos de irregularidades son:
14
a) Informes Financieros Fraudulentos. Consistentes en errores
intencionales u omisiones de cantidades o revelaciones en los estados
financieros para engañar a los usuarios de los estados financieros.
b) Apropiación indebida de activos. Entendida como el robo de activos de la
institución. Esto podría incluir el robo de la propiedad, la malversación de
los ingresos o pagos fraudulentos.
c) Conflicto de interés. Cuando los intereses personales, familiares o de
negocios de un servidor público puedan afectar el desempeño
independiente e imparcial de sus empleos, cargos, comisiones o
funciones.
d) Utilización de los recursos asignados y las facultades atribuidas para
fines distintos a los legales.
e) Pretensión del servidor público de obtener beneficios adicionales a las
contraprestaciones comprobables que la Institución le otorga por el
desempeño de su función.
f) Participación indebida del servidor público en la selección,
nombramiento, designación, contratación, promoción, suspensión,
remoción, cese, rescisión del contrato o sanción de cualquier servidor
público, cuando tenga interés personal, familiar o de negocios en el caso,
o pueda derivar alguna ventaja o beneficio para él o para un tercero.
g) Aprovechamiento del cargo o comisión del servidor público para inducir a
que otro servidor público o un tercero efectúe, retrase u omita realizar
algún acto de su competencia, que le reporte cualquier beneficio,
provecho o ventaja indebida para sí o para un tercero.
h) Coalición con otros servidores públicos o terceros para obtener ventajas
o ganancias ilícitas.
i) Intimidación del servidor público o extorsión para presionar a otro a
realizar actividades ilegales o ilícitas.
j) Tráfico de influencias. Consistente en que el servidor público utilice la
posición que su empleo, cargo o comisión para inducir a que otro servidor
público efectúe, retrase u omita realizar algún acto de su competencia,
para generar cualquier beneficio, provecho o ventaja para sí o para su
cónyuge, parientes consanguíneos, parientes civiles o para terceros con
los que tenga relaciones profesionales, laborales o de negocios, o para
socios o sociedades de las que el servidor público o las personas antes
referidas formen parte.
15
k) Enriquecimiento oculto u ocultamiento de conflicto de interés. Cuando en
el ejercicio de sus funciones, el servidor público llegare a advertir actos u
omisiones que pudieren constituir faltas administrativas, o que realice
deliberadamente alguna conducta para su ocultamiento.
l) Peculado. Cuando el servidor público autorice, solicite o realice actos
para el uso o apropiación para sí o para su cónyuge, parientes
consanguíneos, parientes civiles o para terceros con los que tenga
relaciones profesionales, laborales o de negocios, o para socios o
sociedades de las que el servidor público o las personas antes referidas
formen parte, de recursos públicos, sean materiales, humanos o
financieros, sin fundamento jurídico o en contraposición a las normas
aplicables.
m) Transgresiones a la integridad. El desperdicio de recursos de manera
exagerada, extravagante o sin propósito, el abuso de autoridad, o el uso
del cargo para la obtención de un beneficio ilícito para sí o para un
tercero.
Análisis de los riesgos
1. Nivel de decisión del riesgo.- Los riesgos serán identificados, de acuerdo a su
nivel de decisión, como:
a. Estratégico.- Afecta negativamente a la misión y el cumplimiento de los
objetivos y metas institucionales.
b. Directivo.- Impacta negativamente en la supervisión y control de los
procesos, programas y proyectos institucionales.
c. Operativo.- Repercute negativamente en la ejecución de las acciones y
tareas requeridas.
2. Clasificación del riesgo.- Se realizará en congruencia con la descripción del
riesgo, clasificándolos en los siguientes tipos:
Sustantivo
Administrativo
Legal
Financiero
Presupuestal
Servicios
Seguridad
Recursos humanos
16
Imagen
TIC´s
Salud
Corrupción
Otros
3. Identificación de los Factores del Riesgo.- La mejor administración de los
riesgos radica en una adecuada identificación de los factores internos y/o
externos, que pueden afectar el logro de los objetivos.
La conceptualización de los factores se facilita realizando una tabla con los
siguientes conceptos:
Proceso: Nombre del proceso.
Objetivo del proceso: Se debe transcribir el objetivo que se ha definido
para el proceso en el cual se identificaron los riesgos.
Causa (factor): Circunstancia o situación interna y/o externa que
aumenta la probabilidad de que un riesgo se materialice.
Riesgo: Evento adverso e incierto (externo o interno) que, derivado de la
combinación de su probabilidad de ocurrencia y el grado de impacto,
pudiera obstaculizar o impedir el logro de los objetivos y metas
institucionales a nivel estratégico, directivo y/u operativo.
Efectos: Consecuencias de la ocurrencia del riesgo, tales como: daños
físicos, pérdidas económicas, de información, de bienes, de imagen, de
credibilidad y de confianza, interrupción del servicio, daño ambiental,
incumplimiento de las metas u objetivos.
Asimismo, los factores se clasifican en:
Humano: Se relacionan con las personas (internas o externas) que
participan directa o indirectamente en los programas, proyectos,
procesos, actividades o tareas.
Financiero Presupuestal: Se refieren a los recursos financieros y
presupuestales necesarios para el logro de metas y objetivos.
Técnico-Administrativo: Se vinculan con la estructura orgánica funcional,
políticas, sistemas no informáticos, procedimientos, comunicación e
información, que intervienen en la consecución de las metas y objetivos.
17
TIC´s: Se relacionan con los sistemas de información y comunicación
automatizados.
Material: Se refieren a la infraestructura y recursos materiales necesarios
para el logro de las metas y objetivos.
Normativo: Se vinculan con las leyes, reglamentos, normas y
disposiciones que rigen la actuación de la organización en la consecución
de las metas y objetivos.
Entorno: Se refieren a las condiciones externas a la organización, que
pueden incidir en el logro de las metas y objetivos.
4. Tipo de factor de riesgo.- Se identificará el tipo de factor conforme a lo
siguiente:
Interno: Se encuentra relacionado con las causas o situaciones
originadas en el ámbito de actuación de ProMéxico.
Externo: Se refiere a las causas o situaciones fuera del ámbito de
competencia de ProMéxico.
Identificación de los posibles efectos de los riesgos.- Se describirán las
consecuencias de la materialización de los riesgos, en el cumplimiento de las
metas y objetivos institucionales a nivel estratégico, directivo y/u operativo.
1 2 3 4 5
PROCESO OBJETIVO CAUSAS RIESGOS EFECTOS
Factores Internos
y/o externos. (Consecuencias)
Para determinar o identificar los factores que pudieran originar algún riesgo es
posible utilizar herramientas y técnicas como las que se relacionan a
continuación:
1. Inventario de Eventos:
Son listas de eventos posibles utilizadas con relación a un proyecto,
proceso o actividad determinada.
18
Son útiles para asegurar una visión coherente con otras actividades
similares dentro de la entidad.
EJEMPLO: Antes de emprender un proyecto de desarrollo de software, la
entidad realiza un inventario de riesgos genéricos inherentes a los proyectos de
este tipo. Dicho inventario constituye una manera útil de aprovechar el
conocimiento acumulado por otras personas sobre el riesgo experimentado en
esa área.
2. Grupos de Trabajo
Habitualmente reúnen a servidores públicos de diversas funciones o
niveles.
El propósito es aprovechar el conocimiento colectivo del grupo y
desarrollar una lista de acontecimientos que están relacionados con un
proceso, proyecto o programa.
EJEMPLO: El responsable del proceso y su equipo se reúnen periódicamente,
para revisar el cumplimiento de sus objetivos, así como para identificar eventos
que podrían afectar el logro de los mismos.
3. Análisis de Flujo de Procesos:
Representación esquemática de interrelaciones de entradas, tareas,
cumplimiento de requisitos, salidas y responsabilidades.
Una vez realizado el esquema, los eventos son analizados respecto a los
objetivos del proceso.
Esta técnica puede utilizarse para tener una visión a detalle del proceso.
Igualmente, pueden utilizarse diferentes fuentes de información tales como registros,
informes de años anteriores, auditorías, etc.
19
Redacción del Riesgo
La redacción del riesgo deberá considerar la estructura siguiente:
# Sustantivo Verbo en participio
Adjetivo, adverbio o complemento circunstancial negativo
Ejemplo 1 Carreteras Construidas Con mala calidad
Ejemplo 2 Apoyos y servicios Otorgados Fuera de los plazos establecidos en la norma
Ejemplo 3 Contratos Formalizados Con inconsistencias en la documentación soporte
Ejemplo 4 Proyectos confirmados de atracción de IED
Registrados Con datos incorrectos en la herramienta tecnológica diseñada para su administración
Ejemplo 5 Actividades de gestión orientadas a la promoción de exportaciones
Realizadas Por personal que no conoce a detalle los apoyos, servicios y/o entregables que ofrece ProMéxico
20
Evaluación de los riesgos
1. La evaluación del riesgo busca establecer la probabilidad de ocurrencia del
mismo y su impacto (consecuencias), con el fin de establecer el nivel de riesgo
y las acciones que se van a implementar.
Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede
ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo:
número de veces en un tiempo determinado), o de Factibilidad teniendo en
cuenta la presencia de factores internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado.
Por Impacto se entienden las consecuencias que puede ocasionar la
materialización del riesgo.
Desde la perspectiva de juicio de expertos y/o cualquiera otra técnica estadística
o método cuantitativo o cualitativo, sin considerar los controles existentes, los
integrantes del GTAR evaluarán la probabilidad de ocurrencia de los riesgos, así
como el grado de impacto que tendrían en caso de materializarse, bajo los
siguientes criterios:
Tabla 1
Criterios para determinar la probabilidad de ocurrencia de los riesgos
Valor Categoría Probabilidad
10 Recurrente
Muy alta, se tiene plena seguridad de que se
materialice, tiende a estar entre 90% y 100%. 9
8 Muy probable
Alta, se estima entre el 75% y 89% de que se
materialice. 7
6 Probable
Media, se estima entre el 51% y 74% de que se
materialice. 5
4 Inusual
Baja, se estima entre el 25% y 50% de que se
materialice. 3
2 Remota
Muy baja, se estima entre el 1% y 24% de que se
materialice. 1
21
Tabla 2
Criterios para determinar el grado de impacto de los riesgos
Valor Categoría Probabilidad
10
Catastrófico
Influye directamente en el cumplimiento de la misión,
visión, metas y objetivos de la Institución y puede
implicar pérdida patrimonial, problemas operativos y
deterioro de la imagen. Dejaría, además, sin funcionar,
totalmente o por un periodo importante de tiempo, a los
programas, proyectos, procesos o servicios sustantivos
de ProMéxico.
9
8
Grave
Dañaría significativamente el patrimonio, problemas
operativos, deterioro de la imagen o logro de las metas
y objetivos institucionales. Además se requiere una
cantidad importante de tiempo para investigar y corregir
los daños (6 meses como mínimo). 7
6
Moderado
El impacto en el cumplimiento de la misión, objetivos y
metas institucionales es mínimo. En su defecto,
causaría, una pérdida en el patrimonio o un deterioro en
la imagen institucional que puede corregirse en un
período menor a los 6 meses. 5
4
Bajo
Causa un daño en el patrimonio o imagen institucional,
que se puede corregir en el corto tiempo (1 a 2 meses)
y no afecta el cumplimiento de las metas y objetivos
institucionales. 3
2
Menor
No afecta el cumplimiento de la misión, objetivos y
metas institucionales, y la pérdida patrimonial o
afectación de la imagen institucional es mínima, y puede
restablecerse de manera inmediata en caso de así
determinarlo. 1
Evaluación de los controles
1. Una vez realizada esta evaluación de riesgos, los integrantes del GTAR
comprobarán la existencia o no de controles para cada uno de los factores de
riesgo y, en su caso, para sus efectos.
2. Se describirán los controles existentes y se identificará su tipo: preventivo,
correctivo y/o detectivo.
3. Se identificará en los controles lo siguiente:
22
a. Deficiencia: Cuando no reúna alguna de las siguientes condiciones:
Está documentado: Que se encuentra descrito, existe evidencia
de su existencia (puede ser una herramienta, un manual,
procedimiento, lineamiento, oficio, etc.).
Está formalizado: Se encuentra autorizado por el personal
facultado, está inmerso en manuales de procedimientos vigentes,
o en cualquier otra normativa autorizada.
Se aplica: Existe evidencia documental de su aplicación, hay
registros de uso del control.
Es efectivo: Cuando se incide en el factor de riesgo para disminuir
la probabilidad de ocurrencia o el impacto, y existe evidencia
empírica de ello, está definido él/la o los responsables del uso del
control y es verificable su utilización.
b. Suficiencia: Cuando se cumplen todos los requisitos anteriores y se
cuenta con el número adecuado de controles por cada factor de riesgo.
4. Se determinará que el riesgo está controlado suficientemente cuando todos sus
factores cuenten con controles suficientes.
Evaluación de riesgos respecto a controles
Para la valoración final del impacto y de la probabilidad de ocurrencia del riesgo, se
realizará la confronta de los resultados de la evaluación de riesgos y de controles, a fin
de visualizar la máxima vulnerabilidad a que está expuesta la Institución de no
responder adecuadamente ante ellos. Se considerarán los siguientes aspectos:
a) La valoración final del riesgo nunca podrá ser superior a la valoración inicial.
b) Si todos los controles del riesgo son suficientes, la valoración final del riesgo
deberá ser inferior a la inicial.
c) Si algunos de los controles del riesgo son deficientes, o se observa
inexistencia de controles, la valoración final del riesgo deberá ser igual a la inicial.
d) La valoración final carecerá de validez cuando no considere la valoración
inicial del impacto y de la probabilidad de ocurrencia del riesgo; los controles
existentes y la evaluación de dichos controles.
Para la valoración del impacto y de la probabilidad de ocurrencia, antes y después de
la evaluación de controles, la Institución podrá utilizar juicio de expertos, metodologías,
modelos y/o teorías basados en cálculos matemáticos, tales como puntajes
23
ponderados, cálculos de preferencias, proceso de jerarquía analítica y modelos
probabilísticos, entre otros.
Priorización de los riesgos
1. Los riesgos se ubicarán por cuadrantes en la Matriz de Administración de
Riesgos y se graficarán en el Mapa de Riesgos, en función de la valoración final
del impacto y la probabilidad de ocurrencia. La probabilidad de ocurrencia del
riesgo se graficará en el eje vertical del Mapa, y el grado de impacto se hará en
el eje horizontal. La valoración final del riesgo se clasificará, dentro de los
cuadrantes, de la siguiente forma:
Cuadrante I. Riesgos de Atención Inmediata.- Son críticos por su alta
probabilidad de ocurrencia y grado de impacto; se ubican en la escala de
valor mayor a 5 y hasta 10, en ambos ejes.
Cuadrante II. Riesgos de Atención Periódica.- Tienen alta probabilidad de
ocurrencia, con un valor mayor a 5 y hasta 10, y bajo grado de impacto, del
1 al 5.
Cuadrante III. Riesgos Controlados.- Son de baja probabilidad de ocurrencia
y grado de impacto; se ubican en la escala de valor del 1 al 5 en ambos ejes.
Cuadrante IV. Riesgos de Seguimiento.- Tienen baja probabilidad de
ocurrencia, con valor del 1 al 5, y alto grado de impacto, mayor a 5 y hasta
10.
2. Con base en lo anterior, se presenta el Mapa de Riesgos de ProMéxico:
24
10
9
8
7
6
5
4
3
2
1
1 2 3 4 5 6 7 8 9 10
Mapa de Riesgos de ProMéxicoP
rob
ab
ilid
ad
Impacto
Atención Inmediata
Controlados De seguimiento
Atención Periódica
25
Estrategias y acciones de control
Con base en un modelo matemático, ponderando al 60% el impacto y 40% la
probabilidad, se obtuvo la Matriz de calificación, evaluación y respuesta a los riesgos,
que define los criterios para establecer el grado de exposición de la entidad al riesgo;
tomando en cuenta su posición en el Mapa de Riesgos.
Matriz de calificación, evaluación y respuesta a los riesgos
Riesgo Tolerable Asumir el riesgo
Riesgo Moderado Asumir, reducir el riesgo
Riesgo Alto Reducir, compartir o transferir el riesgo
Riesgo Significativo Evitar, reducir, compartir o transferir el riesgo
Si el riesgo se ubica en la zona riesgo tolerable, significa que su probabilidad es
inusual y su impacto es menor o bajo, lo cual permite a la entidad asumirlo. Es decir, el
10 4.6 5.2 5.8 6.4 7 7.6 8.2 8.8 9.4 10
9 4.2 4.8 5.4 6 6.6 7.2 7.8 8.4 9 9.6
8 3.8 4.4 5 5.6 6.2 6.8 7.4 8 8.6 9.2
7 3.4 4 4.6 5.2 5.8 6.4 7 7.6 8.2 8.8
6 3 3.6 4.2 4.8 5.4 6 6.6 7.2 7.8 8.4
5 2.6 3.2 3.8 4.4 5 5.6 6.2 6.8 7.4 8
4 2.2 2.8 3.4 4 4.6 5.2 5.8 6.4 7 7.6
3 1.8 2.4 3 3.6 4.2 4.8 5.4 6 6.6 7.2
2 1.4 2 2.6 3.2 3.8 4.4 5 5.6 6.2 6.8
1 1 1.6 2.2 2.8 3.4 4 4.6 5.2 5.8 6.4
1 2 3 4 5 6 7 8 9 10
Mapa de Riesgos de ProMéxico
Pro
bab
ilid
ad
Impacto
Zona de Riesgo Tolerable Zona de Riesgo Alto
Zona de Riesgo Moderado Zona de Riesgo Significativo
26
riesgo se encuentra en un nivel que puede ser aceptado sin necesidad de tomar otras
medidas de control diferentes a las que se poseen.
Si el riesgo se ubica en la zona de riesgo significativo, su ocurrencia es, probable,
muy probable o recurrente y además su impacto es grave o catastrófico; por tanto, es
aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible. De
lo contrario, se deben implementar controles de prevención para evitar la probabilidad
del riesgo, de reducción de dicha probabilidad o disminución del impacto, así como
compartir o trasferir el riesgo.
Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo moderado o alto), se
deben tomar medidas para reducir su probabilidad e impacto. Siempre que el riesgo
sea calificado con impacto catastrófico, la entidad debe diseñar planes de contingencia,
para protegerse en caso de su ocurrencia.
1. Las estrategias constituirán la política de respuesta para administrar los
riesgos. Estarán basadas en la valoración final del impacto y de la probabilidad
de ocurrencia y es imprescindible realizar un análisis del beneficio ante el costo
en la mitigación de los riesgos para su aplicación.
a) Evitar el riesgo.- Se refiere a eliminar el factor o factores que pueden
provocar la materialización del riesgo, considerando que si una parte del
proceso tiene alto riesgo, el segmento completo recibe cambios
sustanciales por mejora, rediseño o eliminación.
b) Reducir el riesgo.- Implica establecer acciones dirigidas a disminuir la
probabilidad de ocurrencia (acciones de prevención) y el impacto
(acciones de contingencia), tales como la optimización de los
procedimientos y la implementación o mejora de controles.
c) Asumir el riesgo.- Se aplica cuando el riesgo se encuentra en el
Cuadrante III, Riesgos Controlados, y puede aceptarse sin necesidad de
tomar otras medidas de control diferentes a las que se poseen, o cuando
no se tiene opción para abatirlo y sólo pueden establecerse acciones de
contingencia.
d) Transferir el riesgo.- Consiste en trasladar el riesgo a un externo a través
de la contratación de servicios tercerizados, el cual deberá tener la
experiencia y especialización necesaria para asumir el riesgo, así como
sus impactos o pérdidas derivadas de su materialización. O en su defecto
optar por aseguramiento, protección o cobertura, y/o diversificación.
e) Compartir el riesgo.- Se refiere a distribuir parcialmente el riesgo y las
posibles consecuencias, a efecto de segmentarlo y canalizarlo a
diferentes Unidades Administrativas de la Institución, las cuales se
27
responsabilizarán de la parte del riesgo que les corresponda en su ámbito
de competencia.
2. Las acciones de control para administrar los riesgos se definirán a partir de las
estrategias determinadas para los factores de riesgo, las cuales se incorporarán
en el PTAR.
3. Para los riesgos de corrupción que se hayan identificado, se deberán contemplar
solamente las estrategias de evitar y reducir el riesgo, toda vez que los riesgos
de corrupción son inaceptables e intolerables, en tanto que lesionan la imagen,
la credibilidad y la transparencia de ProMéxico.
a) La Institución debe responder a los riesgos de corrupción mediante el
mismo proceso de respuesta general y acciones específicas para atender
todos los riesgos institucionales analizados. Esto posibilita la
implementación de controles anticorrupción en ProMéxico. Dichos
controles pueden incluir la reorganización de ciertas operaciones y la
reasignación de puestos entre el personal, para mejorar la segregación
de funciones.
4. Los responsables de las acciones de control determinadas en el PTAR, deberán
comunicar al Enlace de ARI, dentro de los primeros 5 días hábiles posteriores al
cierre de cada trimestre, el porcentaje de avance, así como la evidencia
documental que lo acredite.
Nivel de tolerancia al riesgo
En ProMéxico se ha definido el nivel de tolerancia al riesgo en 10 puntos porcentuales
por debajo del cumplimiento de las metas programadas. Los responsables deben
supervisar el comportamiento de dicho nivel mediante indicadores que para tal efecto
se establezcan, reportando en todo momento ante el COCODI los casos en que se
exceda, e indicando, a su vez, las acciones que se implementarán para su
regularización.
No operará en ningún caso, la definición de niveles de tolerancia para los riesgos de
corrupción y de actos contrarios a la integridad, así como para los que impliquen
incumplimiento de cualquier disposición legal, reglamentaria o administrativa
relacionada con el servicio público, o que causen la suspensión o deficiencia de dicho
servicio por parte de las áreas administrativas que integran la Institución.
28
Procedimiento
Actividades secuenciales por responsable
No. Responsable Actividad Método, Herramienta
1 Dirección General Instruye a las Unidades Administrativas, a la
Coordinación de Control Interno y al Enlace de
Administración de Riesgos, iniciar el proceso
de administración de riesgos.
Oficio / Correo
electrónico
2 Coordinación de
Control Interno
En cumplimiento con la Metodología de
Administración de Riesgos autorizada por la
Dirección General, a través del Enlace de ARI,
convoca a los integrantes del GTAR, a la
sesión para el establecimiento de las acciones
para su aplicación.
Metodología de
Administración de
Riesgos formalizada /
Convocatoria a sesión
del GTAR
3 Enlace de
Administración de
Riesgos
Informa y orienta a las Unidades
Administrativas sobre el establecimiento de la
metodología de administración de riesgos, las
acciones para su aplicación, y los objetivos y
metas institucionales, para que documenten su
propuesta de riesgos en la Matriz de
Administración de Riesgos.
Oficio / Correo
electrónico / Sesión del
GTAR / Reuniones de
trabajo
Formato de Matriz de
Administración de
Riesgos
4 Unidades
Administrativas
Documenta las propuestas de riesgos en la
Matriz, en función de las etapas mínimas
establecidas.
Proyecto de Matriz de
Administración de
Riesgos
5 Enlace de
Administración de
Riesgos
Revisa y analiza la información proporcionada
por las Unidades en forma integral; define con
la Coordinación de Control Interno la propuesta
de riesgos institucionales; elabora y presenta a
Dicha Coordinación los proyectos de Matriz de
Administración de Riesgos y Mapa de Riesgos.
Proyectos de Mapa y
Matriz de Administración
de Riesgos
6 Coordinación de
Control Interno
Revisa los proyectos de Matriz y Mapa. Proyectos de Mapa y
Matriz de Administración
de Riesgos
7 Coordinación de
Control Interno
Acuerda con la Dirección General los riesgos
institucionales y los comunica a las Unidades
por conducto del Enlace.
Proyectos de Mapa y
Matriz de Administración
de Riesgos
8 Enlace de
Administración de
Riesgos
Elabora y presenta a la Coordinación el
proyecto del PTAR institucional.
Proyecto del PTAR
29
No. Responsable Actividad Método, Herramienta
9 Coordinación de
Control Interno
Revisa el proyecto del PTAR, conjuntamente
con el Enlace.
Proyecto del PTAR
10 Coordinación de
Control Interno
Presenta anualmente para autorización de la
Dirección General, la Matriz de Administración
de Riesgos, el Mapa de Riesgos y el PTAR, y
firma de forma conjunta con el Enlace.
Matriz de Administración
de Riesgos, Mapa de
Riesgos y PTAR
11 Coordinación de
Control Interno
Difunde la Matriz, el Mapa y el PTAR, e
instruye la implementación del PTAR a los
responsables de las acciones de control
comprometidas y al Enlace.
Matriz de Administración
de Riesgos, Mapa de
Riesgos y PTAR /
Correo electrónico para
difusión
12 Unidades
Administrativas
Instrumentan y cumplen las acciones de
control del PTAR, informan avances
trimestrales y resguardan la evidencia
documental.
Mapa y Matriz de
Administración de
Riesgos, PTAR, Reporte
de Avances Trimestral
del PTAR y Evidencia
documental
13 Enlace de
Administración de
Riesgos
Realiza el seguimiento permanente al PTAR;
elabora y presenta a la Coordinación los
proyectos del Reporte de Avances Trimestral
del PTAR, y en su caso el Reporte Anual de
Comportamiento de Riesgos, con la
información proporcionada por las Unidades
Responsables.
Proyecto del Reporte de
Avances Trimestral del
PTAR y del Reporte
Anual de
Comportamiento de
Riesgos
14 Coordinación de
Control Interno
Revisa el proyecto del Reporte de Avances
Trimestral del PTAR y cuando aplique, el
Reporte Anual de Comportamiento de Riesgos,
y los firma conjuntamente con el Enlace de
ARI.
Reporte de Avances
Trimestral del PTAR /
Reporte Anual de
Comportamiento de los
Riesgos
15 Enlace de
Administración de
Riesgos
Incorpora en el Sistema Informático el Mapa, la
Matriz, el PTAR, el Reporte de Avances
Trimestral del PTAR y el Reporte Anual del
Comportamiento de los Riesgos; resguardando
los documentos firmados y sus respectivas
actualizaciones.
Mapa y Matriz de
Administración de
Riesgos, PTAR, Reporte
de Avances Trimestral
del PTAR y Reporte
Anual de
Comportamiento de los
Riesgos
16 Coordinación de
Control Interno
Presenta en la primera sesión del COCODI,
por conducto del Enlace, el Mapa y Matriz de
Administración de Riesgos, PTAR y el Reporte
Anual de Comportamiento de los Riesgos, y
Mapa y Matriz de
Administración de
Riesgos y PTAR,
Reporte de Avances
30
No. Responsable Actividad Método, Herramienta
sus actualizaciones en las sesiones
subsecuentes; y el Reporte de Avances
Trimestral del PTAR, en las sesiones del
Comité que correspondan.
Trimestral del PTAR y
Reporte Anual de
Comportamiento de los
Riesgos
17 Coordinación de
Control Interno
Comunica al Enlace los riesgos adicionales o
cualquier actualización a la Matriz, el Mapa y el
PTAR.
Oficio / Correo
electrónico
Mapa y Matriz de
Administración de
Riesgos y PTAR
actualizados
18 Enlace de
Administración de
Riesgos
Agrega a la Matriz de Administración de
Riesgos, al Mapa de Riesgos y al PTAR, los
riesgos adicionales o alguna actualización
identificada por el personal de la Institución o
el COCODI.
Mapa y Matriz de
Administración de
Riesgos y PTAR
TRANSITORIOS.
Primero. Se deroga la Política de Administración de Riesgos Institucionales de ProMéxico, emitida el 31 de marzo de 2016.
Segundo. La presente directriz entrará en vigor a partir de la fecha de autorización y
publicación en la Normateca Interna.
Ciudad de México, a 6 de octubre de 2017.
Propone: Autoriza:
Ricardo Ampudia
Jefe de la Unidad de Administración y
Finanzas y Coordinador de Control Interno
Jesús Mario Chacón Carrillo
Jefe de la Unidad de Promoción de
Negocios Globales
Con base en el Artículo 33 numeral 1 del Estatuto
Orgánico de ProMéxico publicado en el DOF el 18 de
mayo de 2016