Normas Generales de Control Interno
Normas de Evaluación de Riesgos

Identificación del riesgo
Se deben identificar los riesgos relevantes que enfrenta un organismo en la persecución de sus objetivos, ya sean de origen interno como externo.

La identificación del riesgo es un proceso iterativo, y generalmente integrado a la estrategia y planificación. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema de riesgos identificados en estudios anteriores.

Su desarrollo debe comprender la realización de un "mapeo" del riesgo, que incluya la especificación de los dominios o puntos claves del organismo, la identificación de los objetivos generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar.

Un dominio o punto clave del organismo, puede ser:
  • un proceso que es crítico para su sobrevivencia;
  • una o varias actividades que sean responsables de la entrega de porciones importantes de servicios a la ciudadanía;
  • un área que está sujeta a Leyes, Decretos o Reglamentos de estricto cumplimiento, con amenazas de severas puniciones por incumplimiento;
  • un área de vital importancia estratégica para el Gobierno (ejemplo: defensa, investigaciones tecnológicas de avanzada).
Al determinar estas actividades o procesos claves, fuertemente ligados a los objetivos del organismo, debe tenerse en cuenta que pueden existir algunos de éstos que no están formalmente expresados, lo cual no debe ser impedimento para su consideración. El análisis se relaciona con la criticidad del proceso o actividad y con la importancia del objetivo, más allá que éste sea explícito o implícito.

Existen muchas fuentes de riesgos, tanto internas como externas. A título puramente ilustrativo se pueden mencionar, entre las externas:
  • desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia organizacional;
  • cambios en las necesidades y expectativas del ciudadano/usuario;
  • modificaciones en la legislación y normas regulatorias que conduzcan a cambios forzosos en la estrategia y procedimientos;
  • alteraciones en el escenario económico que impacten en el presupuesto del organismo, sus fuentes de financiamiento y su posibilidad de expansión.
Entre las internas, podemos citar:
  • la estructura organizacional adoptada, dado la existencia de riesgos inherentes típicos tanto en un modelo centralizado como en uno descentralizado;
  • la calidad del personal incorporado, así como los métodos para su instrucción y motivación;
  • la propia naturaleza de las actividades del organismo.
Una vez identificados los riesgos a nivel del organismo, deberá practicarse similar proceso al nivel de programa y actividad. Se considerará, en consecuencia, un campo más limitado, enfocado a los componentes de las áreas y objetivos claves identificadas en el análisis global del organismo. Los pasos siguientes al diagnóstico realizado son los de la estimación del riesgo y la determinación de los objetivos de control.