METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 1
INDICE
PRELIMINARES 4
METODOLOGÍA PARA LA ADMINISTRACION DEL RIESGO EN EL IPSFA 4
1. OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO 5
GENERAL 5
ESPECIFICOS 5
2. MARCO NORMATIVO 5
3. MARCO CONCEPTUAL 6
4. METODOLOGÍA 7
LINEAS GENERALES 8
Compromiso Gerencial 8
Conformación de un equipo de trabajo 8
Capacitación en la metodología 8
4.1 PLANIFICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO 8
4.2 VALORACIÓN DEL RIESGO 9
4.2.1 Identificación del riesgo 9
Formato de identificación de riesgos 10
Clasificación del riesgo 10
4.2.2 Análisis del riesgo 11
Análisis cualitativo 12
Análisis cuantitativo 12
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 2
Evaluación de los riesgos
14
4.2.3 Determinación del nivel del riesgo 16
Calificación de los controles 16
Criterios para evaluar la efectividad de los controles 16
Criterios para evaluar el nivel del riesgo 17
Resultado Nivel de riesgo 17
4.3 MANEJO DEL RIESGO 18
4.3.1 Consideración de Acciones
18
Evitar el riesgo 18
Reducir el riesgo 18
Dispersar y atomizar el riesgo 19
Transferir el riesgo 19
Asumir el riesgo 19
4.3.2 Elaboración del Mapa de Riesgos
19
MAPA DE RIESGOS
20
Descripción del Mapa de riesgos
20
4.3.3 Implementación de acciones
21
4.5 MONITOREO
21
5. DIAGRAMAS DE LA ADMINISTRACION DEL RIESGO
22
ETAPA DE PLANIFICACION 23
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 3
EATAPA DE VALORACION DEL RIESGO 23
ETAPA DE MANEJO DEL RIESGO 24
ETAPA DE MONITOREO 25
6. DEFINICIÓN DE TÉRMINOS 26
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 4
PRELIMINARES El riesgo esta relacionado con todo el quehacer de la especie humana, de
manera que no hay actividad de la vida, los negocios o de cualquier asunto que no incluya el riesgo, es por ello que el ser humano desde sus inicios buscó maneras de protegerse contra las eventualidades y desarrolló modos de sortear, disminuir o asumir riesgos a través de acciones preventivas.
Así mismo, la administración pública y en especial el Instituto de Previsión Social de la Fuerza Armada no son ajenas al riesgo y deben buscar como manejarlos partiendo de la base de su razón de ser y su compromiso con el Estado; por esto, se debe tener en cuenta que los riesgos no sólo son de carácter económico y están directamente relacionados con entidades financieras, aseguradoras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de cualquier gestión que se realice.
La Auditoría Interna del IPSFA en ejercicio de su competencia de la evaluación del Sistema de Control Interno del Instituto y aún más el de contribuir en desarrollo de su Cultura ha estimado necesario compilar la presente información, tomada de otros Estados que han tenido un desarrollo importante en esta área, y la presenta en forma de guía metodológica de forma tal que pueda ser utilizada como referencia en el empeño gerencial de lograr desarrollar la ADMINISTRACION DEL RIESGO en el Instituto.
Es importante advertir, que en lo relativo al manejo de los indicadores en el área de la Administración del Riesgo, la presente guía metodológica la limita a una modesta mención, toda vez que la misma merece que sea atendida por separado, cuando se trate lo relativo a las técnicas construcción de los indicadores de gestión, validos también para la Administración del Riesgo.
METODOLOGÍA PARA LA ADMINISTRACION DEL RIESGO EN EL IPSFA La Administración del Riesgo se presenta como una herramienta que le
permita a la administración hacer un manejo adecuado del mismo desde la planificación, por lo cual, se aspira que el usuario de ella, pueda identificar, analizar y manejar permanentemente el riesgo, garantizando el cumplimiento de los objetivos institucionales, la supervivencia de la entidad y fortaleciendo continuamente la credibilidad de la misma ante el afiliado. Para efectos de esta metodología, se va a considerar el riesgo, como toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 5
Es conveniente aclarar que la presente metodología resulta ser una compilación de diversas instituciones de otros Estados que han avanzado considerablemente en el modelo de Administración del riesgo, toda vez que en Venezuela apenas estamos desarrollando nuestras primeras experiencias y aún no se recibe información oficial sobre la materia. Sin embargo la misma no agota la materia de Administración de Riesgo y menos invalida otros modelos de administración existentes, información que no solo es aceptada por el compilador del presente trabajo, sino por el contrario se estimula al desarrollo de la investigación en esta área, de manera de complementar la información aquí contenida.
1. OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO GENERAL
Facilitar el cumplimiento de la misión y objetivos de la institución a través de la prevención y administración de los riesgos.
ESPECIFICOS Generar una visión sistémica acerca de la administración y evaluación de
riesgos.
Servir como herramienta de trabajo a la administración activa en su meta de protección de los recursos del Estado.
Introducir dentro de los procesos y procedimientos la administración del riesgo.
Involucrar y comprometer a todos los funcionarias y funcionarias del instituto, en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.
Propender porque cada entidad interactúe con otras, para fortalecer su desarrollo.
Asegurar el cumplimiento de normas, leyes y regulaciones.
2. MARCO NORMATIVO El Manual de Normas de Control Interno sobre un modelo Genérico de la
Administración Central y Descentralizada Funcionalmente (Gaceta Oficial No 38.282 del 28 de septiembre de 2005), dictado por la Superintendencia Nacional de Auditoría Interna, órgano rector del sistema de control interno del sector publico, de acuerdo a las previsiones del Artículo 5 de la Ley Orgánica de Administración Financiera del Sector Público, en nombre del Estado venezolano
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 6
reconoce la aplicación del Modelo COSO como herramienta de control de la administración pública, con la cual se suma a la nueva filosofía de gobierno del Control Fiscal (Sistema Nacional de Control Fiscal Venezolano). Con ello reconoce la aplicación del componente del sistema denominado: “Administración y Valoración del riesgo”, de esta manera da entrada en toda la administración pública al “Riesgo” como herramienta para ser tomada en cuenta en la planificación pública.
3. MARCO CONCEPTUAL La administración pública al ocuparse de los fenómenos de organización y
gestión, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administración, para lo cual requiere estar en constante actualización y estar abierta al cambio y a la aplicación de diferentes instrumentos que le permitan a las entidades ser cada vez más eficientes, por lo que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en un momento determinado el cumplimiento de los objetivos institucionales.
Por lo anterior, se hace necesario introducir el concepto de administración del riesgo en el instituto, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente expuestos a diferentes riesgos que pueden poner en peligro su existencia. Desde la perspectiva del control, el modelo COSO interpreta que la eficiencia del control es la reducción de los riesgos, es decir: el propósito principal del control es la eliminación o reducción de los riesgos, es lograr que el proceso y sus controles garanticen, de manera razonable que los riesgos están minimizados o se están reduciendo y por lo tanto, que los objetivos de la organización y en este caso del instituto, van a ser alcanzados.
Para el caso particular del IPSFA, dada la diversidad y particularidad de las dependencias en cuanto a sus funciones, estructura, manejo presupuestario, contacto con la ciudadanía y compromiso social entre otros, es preciso identificar o precisar las áreas, los procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la buena gestión y la obtención de resultados para tener un adecuado manejo del riesgo.
Igualmente, es importante tener en cuenta que los riesgos están determinados por factores de carácter externo, también denominados del entorno y factores de carácter interno.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 7
Entre los factores externos se destacan: la normatividad en la medida que se hace parte de un Estado social de derecho; a manera de ejemplo se pueden mencionar cambios constitucionales, legales, reglamentarios o cualquier otra normativa superior al instituto de producirse; jurisprudenciales como los que se expresan en sentencias que declaran sin efecto normas que venían aplicándose y que en un momento determinado pueden afectar las funciones específicas del instituto y por lo tanto sus objetivos. También pueden mencionarse las reformas a la administración y los constantes recortes presupuestales que afectan la capacidad de gestión de la entidad, lo cual sumado a la reducción o eliminación total del presupuesto de inversión, obliga a considerar en todo momento el riesgo que tendría el IPSFA de no poder cumplir con su objeto social.
Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y procedimientos, la disponibilidad presupuestaria, la forma como se vinculan las personas a la entidad, los intereses de los directivos, el nivel del talento humano, la motivación y los niveles salariales, entre otros.
Es así como se hace necesario además de la identificación de factores y riesgos en las entidades, su análisis, valoración e implementación de un plan de manejo el cual se materialice en un mapa de Riesgos, al cual se le haga una evaluación y monitoreo permanentes.
Para llevar a cabo dicho proceso se considera importante señalar el papel de la Oficina de Coordinadora de Control Interno del instituto, coordinar para que en las gerencias se implementen políticas de administración del riesgo y se conformen equipos de trabajo que apoyen dicho proceso y propendan por que se implementen mecanismos reales para la administración del riesgo.
Igualmente estimular para que la identificación y el análisis del riesgo sean un proceso permanente e interactivo entre la administración y las coordinaciones de control interno o quien haga sus veces con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y dichas oficinas.
4. METODOLOGÍA El IPSFA al igual que el resto de entidades de la administración pública
tiene unos objetivos institucionales definidos por su norma de constitución y demás normas que la involucran, los cuales debe desarrollar a través de diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos se puede ver afectado por la presencia de riesgos, razón por la cual se hace
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 8
necesario contar con una metodología para administrar los mismos dentro de la organización.
En este sentido y partiendo de la razón de ser de la entidad, la administración del riesgo debe ser una política institucional definida, respaldada por la Gerencia, de tal forma que se comprometa a manejar el tema dentro de la misma.
LINEAS GENERALES Las etapas sugeridas para una adecuada Administración del Riesgo son las
siguientes:
Compromiso Gerencial: Para el éxito en la Implementación de una adecuada administración del
riesgo, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de definir las políticas y en segunda instancia de estimular la cultura de la identificación y prevención del riesgo. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios.
Conformación de un equipo de trabajo: Es importante conformar un equipo de trabajo que junto con la Coordinación
de Control Interno se encargue de liderar el proceso de administración del riesgo dentro de la gerencia y cuente con un canal directo de comunicación con la alta dirección. Dicho equipo lo deben integrar personas de diferentes áreas que conozcan muy bien la entidad y la dependencia en particular, el funcionamiento de los diferentes procesos para que se facilite la administración del riesgo y la construcción de los mapas de riesgos institucionales.
Capacitación en la metodología: Definido el equipo o equipos de trabajo, la Gerencia y la Coordinación de
Control interno deben velar por la capacitación de sus integrantes en la metodología de la administración del riesgo, para lo cual se podrá contar con el apoyo de las diferentes instituciones del estado en materia de Control Fiscal incluyendo la Auditoría interna del IPSFA.
4.1 PLANIFICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO Como cualquier otro proceso, la administración del riesgo debe planificarse
y programarse de manera que haga parte de todo el quehacer de la entidad. Para el diseño de esta planificación es fundamental tener claridad en la misión de la entidad, en sus objetivos y tener una visión sistémica de manera que no se
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 9
perciba la administración del riesgo como algo aislado. Igualmente es necesario conocer sobre el tema de riesgos y la metodología propuesta.
Dicha planificación debe contener: ¿Cuándo va a empezar a manejarse el tema dentro de la entidad?, ¿Quiénes van a participar directamente en el proceso?, ¿Cuándo van a realizarse las capacitaciones y a quién van a ir dirigidas? y ¿Cómo se va a articular el tema dentro de la planificación y con los procesos?, ¿Cómo se conducir el seguimiento?, entre otros.
4.2 VALORACIÓN DEL RIESGO La valoración del riesgo consta de tres etapas: la identificación, el análisis y
la determinación del nivel del riesgo. Estas etapas son de singular interés para desarrollar con éxito la administración del riesgo e implementar una política al respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las personas que ejecutan los procesos para lograr que las acciones determinadas alcancen los niveles de efectividad esperados.
4.2.1 Identificación del riesgo El proceso de la identificación del riesgo debe ser permanente e interactivo
integrado al proceso de planificación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.
Previa la identificación de los riesgos es importante tener en cuenta tal como se mencionó anteriormente, los factores que pueden incidir en la aparición de los mismos, los cuales pueden ser externos e internos y llegar a afectar la organización en cualquier momento.
Debe considerarse además de los factores previamente citados, factores externos relacionados con la entidad como son: económicos, sociales, de orden público, políticos, legales y cambios tecnológicos, entre otros y como factores internos: la naturaleza de las actividades de la entidad, la estructura organizacional, los sistemas de información, los procesos y procedimientos y los recursos económicos.
Para la identificación se recomienda la aplicación de varias herramientas y técnicas como por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 10
otros. Igualmente pueden utilizarse diferentes fuentes de información de la entidad, tales como registros históricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de años anteriores, los cuales pueden proporcionar información importante, la técnica utilizada dependerá de las necesidades y naturaleza de la dependencia.
Una manera de visualizar los riesgos es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia los riesgos, posteriormente presentando una descripción de cada uno de estos, las causas y finalmente definiendo las posibles consecuencias. Es importante centrarse en los riesgos más significativos para la dependencia.
Formato de identificación de riesgos
ACTIVIDAD RIESGO DESCRIPCIÓN CAUSAS POSIBLES
CONSECUENCIAS
Actividad: Paso del proceso al cual se le esta aplicando las técnicas de Administración del Riesgo
Riesgo: Posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
Causas: Identificar el agente generador del riesgo
Posibles consecuencias: Corresponde a los posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, entre otros.
Clasificación del riesgo Durante el proceso de identificación del riesgo se recomienda hacer una
clasificación de los mismos teniendo en cuenta los siguientes conceptos:
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 11
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información y comunicación, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales.
Riesgos de Control: Están directamente relacionados con inadecuados o inexistentes puntos de control y en otros casos, con puntos de controles obsoletos, inoperantes o poco efectivos.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporten el cumplimiento de la misión.
4.2.2 Análisis del riesgo El objetivo del análisis es el de establecer una valoración y evaluación de
los riesgos con base en la información obtenida en el formato de identificación de riesgos elaborados en la etapa de identificación, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre el mismo, de su causa y la disponibilidad de datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas. Se han establecido dos aspectos para realizar el análisis de los riesgos identificados:
Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 12
A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos.
Análisis cualitativo: Se refiere a la utilización de formas descriptivas para presentar la magnitud
de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada organización o el concepto particular del riesgo evaluado.
Escala de medida cualitativa de PROBABILIDAD: se deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de ella los mismos ítems, por ejemplo:
ALTA: es muy factible que el hecho se presente.
MEDIA: es factible que el hecho se presente.
BAJA: es muy poco factible que el hecho se presente.
Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las categorías y la descripción, por ejemplo:
ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad.
MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad.
BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad.
Con base en los ejemplos anteriormente expuestos, los equipos de trabajo en coordinación con los encargados de adelantar los procesos pueden construir sus propias escalas de acuerdo a la naturaleza de la entidad y a las características de los procesos y procedimientos, de forma que estas escalas se ajusten al análisis de los riesgos identificados.
Análisis cuantitativo: Este análisis contempla valores numéricos para los cuales se pueden
construir tablas; la calidad depende de lo exactas y completas que estén las cifras utilizadas. La forma en la cual la probabilidad y el impacto son expresada y las
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 13
formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo.
Ejemplo de escala de impacto:
Ejemplo de escala de probabilidad:
FRECUENCIA VALORACÍON CARACTERISTICA
Baja 1, 2, 3 Ha ocurrido al menos 1 vez en los últimos cinco (5)
años.
Media 4, 5, 6 Ha ocurrido al menos 1 vez en los últimos dos (2)
años.
Alta 7, 8, 9, 10 Ha ocurrido al menos 1 vez en el último semestre.
IMPACTO VALORACÍON CARACTERISTICA
Bajo 1, 2, 3 No afecta la operación del proceso ni su desempeño.
Medio 4, 5, 6 Permite la operación del proceso, bajo condiciones de
desempeño reducido.
Alto 7, 8, 9, 10 Afecta la operación segura del proceso y/o involucra el
incumplimiento de regulaciones existentes.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 14
Al igual que para determinar las escalas cualitativas, el diseño de las escalas cuantitativas debe contar con la participación de las personas encargadas de los procesos y con el grupo encargado de liderar la administración del riesgo.
Evaluación de los riesgos Una vez realizado el análisis de los riesgos con base en los aspectos de
probabilidad e impacto, se recomienda utilizar la matriz de evaluación que permite determinar cuales requieren de un tratamiento inmediato.
Matriz de evaluación de riesgos
A B C D
Impacto BAJO ALTO
Cuando se ubican los riesgos en la matriz se define cuáles de ellos requieren acciones inmediatas, que en este caso son los del cuadrante B, es decir los de alto impacto y alta probabilidad. Los que no requieren acciones inmediatas (pero desde luego requieren que se formulen) son los ubicados en el cuadrante C bajo impacto y baja probabilidad. Respecto a los ubicados en las casillas A y D, es la entidad la que debe seleccionar de acuerdo a la naturaleza del riesgo cuáles van a trabajar primero, los de alto impacto pero baja probabilidad o los de alta probabilidad y bajo impacto, ya que estos pueden ser peligrosos para el logro de los objetivos institucionales, por las consecuencias que presentan en el caso de los ubicados en la casilla D, o por lo constante de su presencia en el caso de la casilla A.
Cuantitativamente la evaluación del riesgo es el producto automático, realizado mediante una formula matemática que resulta de la relación entre el impacto y la probabilidad del riesgo evaluado.
Multiplicadas estas dos calificaciones, grado de ocurrencia o frecuencia por la relevancia del riesgo, nos arroja una calificación o ponderación final por riesgo sobre una escala de 100 puntos donde se establece que a una mayor calificación mayor es el riesgo.
ALTA
BAJA
Frecu
en
cia
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 15
La matriz de evaluación del riesgo cuando se trate de la realización de un análisis cuantitativo se representará en el eje (x, y), donde los valores representado en el eje de las abscisas (horizontal) corresponden a los valores del nivel del impacto y los valores del eje de las coordenadas (vertical) representa los valores del nivel de la probabilidad
La representación de la cuantificación obtenida en la matriz o grafico, permite la observar el resultado de la evaluación del riesgo identificado, esta información podrá ser registrada en el formato que se viene elaborando de la siguiente forma:
ACTIVIDAD
RIESGO
DESCRIPCIÓN
CAUSAS
POSIBLES CONSECUENCIAS
IMPACTO
PROBABILIDAD
EVALUACION DEL RIESGO
VALOR
NIVEL
VALOR
NIVEL
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 16
4.2.3 Determinación del nivel del riesgo (Valoración del Riesgo) La determinación del nivel de riesgo es el resultado de confrontar el
impacto y la probabilidad (evaluación del riesgo obtenida) con los controles existentes en los diferentes procesos y procedimientos que se realizan. Para adelantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones, estos niveles de riesgo pueden ser:
ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o unidad. (Impacto y probabilidad alta vs controles)
MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto - probabilidad baja o Impacto bajo – probabilidad alta vs controles).
BAJO: Cuando el riesgo presenta vulnerabilidad baja. (Impacto y probabilidad baja vs controles).
Calificación de los controles:
Para la evaluación de los controles existentes de cada uno de los riesgos, es necesario establecer si son preventivos o correctivos y responder las siguientes preguntas:
¿Están documentados?
¿Se están aplicando en la actualidad? ¿Son efectivos en minimizar el riesgo?
Criterios para evaluar la efectividad de los controles existentes
• Cuando no existen controles,
La probabilidad de ocurrencia es alta.
• Cuando los controles existentes no son efectivos,
La probabilidad de ocurrencia es alta
• Cuando los controles existentes son efectivos, pero no están documentados,
La probabilidad de ocurrencia es media
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 17
• Cuando los controles son efectivos y están documentados,
La probabilidad de ocurrencia es baja
Criterios para evaluar el nivel del riesgo
• Cuando la evaluación de los controles es alta, aumenta el nivel del riesgo.
• Cuando la evaluación de los controles existentes es media:
� Si la evaluación del riesgo es baja, el nivel del riesgo se ubica en medio.
� Si la evaluación de riesgo es media, el nivel de riesgo pudiera mantenerse en medio si su referencia marcadora es la probabilidad (probabilidad alta-impacto bajo); si su referencia marcadora es el impacto (impacto alto-probabilidad baja) el nivel del riesgo pudiera aumentar a alto.
� Si la evaluación del riesgo es alta, el nivel de riesgo es alto.
• Cuando la evaluación de los controles existentes baja, disminuye el nivel de riesgo
Un ejemplo de la determinación del nivel del riesgo y del grado de exposición al mismo:
Riesgo: Perdida de información debido a la entrada de un virus en la red de información de la entidad.
Probabilidad: Alta, porque todos los computadores de la entidad están conectados a la red de Internet e intranet.
Impacto: Alto, porque la pérdida de información traería consecuencias graves para el quehacer de la entidad.
Controles existentes: la entidad tiene establecidos controles semanales haciendo Backus o copias de seguridad y vacunando todos los programas y equipos; además guarda la información más relevante desconectada de la red en un centro de información.
Resultado Nivel de riesgo: Medio por los controles establecidos
Lo anterior significa que a pesar de que la probabilidad y el impacto son altos confrontado con los controles, se puede afirmar que el nivel de riesgo es
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 18
medio y por lo tanto las acciones que se implementen entrarán a reforzar los controles existentes y a valorar la efectividad de los mismos.
Siguiendo con la elaboración del formato y partiendo de la evaluación del Riesgo obtenido, se incluye lo relativo a la evaluación de controles existentes, la identificación del control, si el mismo existe, si está documentado, si se aplica, si es efectivo, y la correspondiente evaluación del control de acuerdo a la aplicación de los criterios para evaluar la efectividad de los controles existentes, finalmente la valoración del Riesgo de acuerdo a los criterios desarrollados para evaluar el nivel del riesgo.
EVALUACION DEL RIESGO
CONTROLES EXISTENTES VALORACION DEL RIESGO CONTROL EXISTE DOCUMEN
TADO APLICA
EFECTIVO EVALUACION DEL
CONTROL
4.3 MANEJO DEL RIESGO
Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de los mismos.
4.3.1 Consideración de Acciones Para el manejo de los riesgos se deben analizar las posibles acciones a
emprender las cuales deben ser factibles y efectivas, tales como: la implementación de políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. Se pueden tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto.
Evitar el riesgo:
Es siempre la primera alternativa a considerar. Se logra cuando en los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
Reducir el riesgo:
Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 19
reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Ejemplo: Planes de contingencia.
Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos
lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.
Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo
como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia.
Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un
riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.
Una vez establecidas cuales de las anteriores opciones de manejo del riesgo se van a concretar, estas deben evaluarse con relación al beneficio costo para proceder a elaborar el mapa de riesgos, el cual permitirá visualizar todo el proceso de valoración, análisis y manejo de los riesgos.
4.3.2 Elaboración del Mapa de Riesgos Para la consolidación del Mapa de Riesgos, adicional a las consideraciones
expuestas, es necesario identificar las causas que los pueden ocasionar, lo cual facilita el proceso de definición de acciones para mitigar los mismos. La selección de las acciones más convenientes debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los siguientes factores:
a) El nivel del riesgo
b) El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 20
Así mismo en el Mapa de Riesgos se deben identificar los controles existentes, las áreas o dependencias responsables de llevar a cabo las acciones, definir un cronograma y unos indicadores que permitan verificar el cumplimiento para tomar medidas correctivas cuando sea necesario. (Ver formato)
MAPA DE RIESGOS
Activid
ad
Riesg
o
Descripción
Causas
Consecu
encias
Impacto
Probabilidad
Evalu
ación del
riesgo
Controles
existente
Valoració
n del
riesgo
Accio
nes
Responsables
Cronogram
a
Indicad
ores
Descripción del Mapa de riesgos
Actividad: Paso del proceso al cual se le esta aplicando las técnicas de Administración del Riesgo
Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
Descripción: Las características generales o las formas como se observa el riesgo en la actividad
Consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social administrativo, etc.
Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
Probabilidad entendida como la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo aunque este no se haya presentado nunca.
Control existente: especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 21
Nivel de riesgo: El resultado de la aplicación de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes.
Causas: Son los medios, circunstancias y agentes que generan los riesgos.
Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.
Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas.
Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo.
Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas.
Finalmente, partiendo de que el fin último de la administración del riesgo es propender por el cumplimiento de la misión y objetivos institucionales, los cuales están consignados en la planeación anual de la entidad, se sugiere articular el mapa de riesgos con la planeación de manera que no sean planes aislados sino complementarios.
4.3.3 Implementación de acciones Definido el Mapa de Riesgos con sus acciones, responsables y
cronogramas, es fundamental comenzar a ejecutar dichas acciones con el fin de determinar su efectividad en el menor tiempo posible.
4.5 MONITOREO Una vez diseñado y validado el plan para administrar los riesgos, en el
mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.
El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.
El monitoreo debe estar a cargo de los responsables de las diferentes áreas con el apoyo de las Oficinas Coordinadora de Control Interno y su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 22
asegurar un efectivo manejo del riesgo. La Oficina Coordinadora de Control Interno dentro de su función asesora comunicará y presentará luego del monitoreo, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.
5. DIAGRAMAS DE LA ADMINISTRACIÓN DEL RIESGO
A continuación se presenta un diagrama que consolida todo el proceso de administración del riesgo y puede facilitar la comprensión del mismo al momento de llevar a cabo la tarea de levantamiento del Mapa de Riesgos.
ETAPA DE PLANIFICACION
CONOCIMIENTO GENERAL DE
LA INSTITUCION
IDENTIFICAR LA MISION
IDENTIFICAR LOS OBJETIVOS
IDENTIFICAR LOS PROCESOS
DISEÑO DEL PLAN
DEFINIR LOS OBJETIVOS EN MATERIA DE
ADMINISTRACION DE RIESGOS
DISEÑO DE CRONOGRAMAS DE ACTIVIDADES
CAPACITACION EN LA METODOLOGIA
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 23
ETAPA DE VALORACION DEL RIESGO
IDENTIFICACION DEL RIESGO
IDENTIFICACION DE LOS FACTORES INTERNOS Y
EXTERNOS
ELABORACION DEL FORMATO IDENTIFICACION
DEL RIESGO
CLASIFICACION DE LOS RIESGOS
EVALUACION DEL RIESGO
MEDIR IMPACTO Y PROBALIDAD
JERARQUIZAR LOS RIESGOS ACORDE CON LA ESCALA
DE MEDICIÓN DEFINIDA (COMENZANDO POR LOS
DE MAYOR IMPACTO Y PROBABILIDAD)
DETERMINACIÓN DEL NIVEL DE RIESGO
IDENTIFICAR LOS CONTROLES EXISTENTES PARA CADA
UNO DE LOS RIESGOS SELECCIONADOS
CONFRONTAR EL IMPACTO Y LA
PROBABILIDAD FRENTE A LOS CONTROLES EXISTENTES
SELECCIONAR LOS RIESGOS
DE MAYOR INCIDENCIA PARA EL CUMPLIMIENTO
DE LOS OBJETIVOS
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 24
ETAPA DE MANEJO DEL RIESGO
CONSIDERACIONES Y ACCIONES ESTUDIO DE POSIBLES
ACCIONES PARA MITIGAR LOS RIESGOS
ELABORACION DEL MAPA DE
RIESGO
DEFINICIÓN DE LAS CAUSAS QUE PROPICIAN LOS RIESGOS
DEFINICIÓN DE ACCIONES
PARA MITIGAR LOS RIESGOS
ANÁLISIS COSTO BENEFICIO DE LAS ACCIONES
PROCESAMIENTO DEL FORMATO DE MAPA DE
RIESGOS
IMPLEMENTACION DE LAS
ACCIONES
EJECUCIÓN DE LOS COMPROMISOS ADQUIRIDOS
SEGUIMIENTO A LAS ACCIONES
POR PARTE DE LOS RESPONSABLES
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 25
ETAPA DE MONITOREO
ELABORACION DE UN PLAN DE
SEGUIMIENTO
DEFINIR LOS RIESGOS A LOS CUALES SE VA A HACER SEGUIMIENTO
ELABORAR CRONOGRAMA
DE SEGUIMIENTO
DEFINICIÓN DE RESPONSABLES DEL SEGUIMIENTO
EJECUCION DEL SEGUIMIENTO
REVISIÓN DE LOS COMPROMISOS ADQUIRIDOS PARA
MITIGAR LOS RIESGOS SELECCIONADOS
VERIFICACIÓN DE LA IMPLEMENTACIÓN
DE LAS ACTIVIDADES
PRESENTACIÓN DE RESULTADOS Y PROPUESTAS
CONSOLIDACIÓN DE LA INFORMACIÓN
PRESENTACIÓN DE SUGERENCIAS
Y RECOMENDACIONES
ELABORACIÓN DEL INFORME
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 26
6. DEFINICIÓN DE TÉRMINOS
Administración de riesgos: Una rama de administración que aborda las consecuencias del riesgo. Consta de dos etapas: i El diagnóstico o valoración, mediante Identificación, Análisis y determinación del Nivel, y ii El manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace seguimiento al Plan de manejo que contiene las Técnicas de Administración del Riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta dirección.
• Análisis de Beneficio-Costo: Una herramienta de Administración de Riesgos usada para tomar decisiones sobre las técnicas propuestas por el grupo para la administración de los riesgos, en la cual se valoran y comparan los costos, financieros y económicos, de implementar la medida, contra los beneficios generados por la misma. Una medida de administración de riesgos será aceptada siempre que el beneficio valorado supere al costo.
• Análisis de riesgos: Determinar el Impacto y la Probabilidad del riesgo.
• Causa: Son los medios, circunstancias y agentes que generan los riesgos.
• Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos.
• Costo: Se entiende por costo las erogaciones, directas e indirectas en que incurre la entidad en la producción, prestación de un servicio o manejo de un riesgo.
• Factores de riesgo: Manifestaciones o características medibles u observables de un proceso que indican la presencia de Riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.
• Identificación de riesgos: Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humilde operativo.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 27
Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
• Indicador: es la valoración de una o más variables que informa sobre una situación y soporta la toma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa. • Mapas de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias
• Nivel de riesgo (determinación del): Es el resultado de confrontar el impacto y la probabilidad, con los controles existentes.
• Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.
• Plan de manejo de riesgos: Plan de acción propuesto por el grupo de trabajo, cuya evaluación de beneficio costo resulta positiva y es aprobado por la gerencia.
• Plan de mejoramiento: Parte del plan de manejo que contiene las técnicas de administración del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos.
• Probabilidad: Una medida (expresada como porcentaje o razón) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.
• Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas.
• Retroalimentación: Información sistemática sobre los resultados alcanzados en la ejecución de un plan, que sirven para actualizar y mejorar la planeación futura.
• Riesgo: posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
• Riesgo absoluto: el máximo riesgo sin los efectos mitigantes de la administración del riesgo.
METODOLOGÍA PARA LA ADMINISTRACIÓN DEL
RIESGO EN EL IPSFA 2009
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 28
Riesgo residual: es el riesgo que queda cuando las técnicas de administración del riesgo han sido aplicadas.
• Seguimiento: Recolección regular y sistemática sobre la ejecución del plan, que sirven para actualizar y mejorar la planeación futura.
• Sistema: Conjunto de cosas o partes coordinadas, ordenadamente relacionadas entre sí, que contribuyen a un determinado objetivo.
• Técnicas para manejar el riesgo: Evitar o prevenir, reducir, dispersar, transferir y asumir riesgos.
• Valoración del riesgo: Primera fase en la administración de riesgos, diagnóstico que consta de la identificación, análisis y determinación del nivel de riesgo.
Rafael María Contreras Acevedo CI 4208526