propuesta metodológica para la gestión de riesgos
TRANSCRIPT
Propuesta Metodológica para la Gestión de Riesgos Basándose en los Lineamientos de la Norma NTC 31000:2011 en el Proceso de Cartera de la Empresa FAM Agencia Marítima
S.A
Lina María Pérez Gómez [email protected]
Universidad del Valle
Ingeniería Industrial
Guadalajara de Buga 2018
Propuesta Metodológica para la Gestión de Riesgos Basándose en los Lineamientos de la Norma NTC 31000:2011 en el Proceso de Cartera de la Empresa FAM Agencia Marítima
S.A
Lina María Pérez Gómez [email protected]
Proyecto de Grado para Optar al Título de
Ingeniera Industrial
Director de Trabajo de Grado
Ing. Jorge Andrés Moncaleano Maquilon
Universidad del Valle
Ingeniería Industrial
Guadalajara de Buga 2018
III
AGRADECIMIENTOS
A DIOS por guiarme en cada paso de mi vida, por acompañarme en todo momento y nunca abandonarme.
A MIS PADRES por darme su amor, por los valores que me inculcaron, por la paciencia que tuvieron, por siempre estar allí para mí.
A MI HERMANA por su empuje, por su apoyo, por darme ánimo para no desfallecer.
A MI ESPOSO por sus consejos, por su amor incondicional, por su entrega, por siempre acompañarme en los buenos y malos momentos, por apoyarme en este proceso ya que sin ti no estaría obteniendo este logro.
Y MUY ESPECIALMENTE A MI HIJO, por ti tome la decisión de culminar esta etapa de mi vida, tú eres mi impulso, eres mi fuerza, eres mi motor.
Y a todas las personas que forman parte de mi vida que de una u otra manera han contribuido en mi formación no solo como persona sino también como profesional.
IV
CONTENIDO
PÁG.
1. Introducción 1
2. Planteamiento del Problema 2 2.1 Descripción del Problema 2 2.2 Formulación del Problema 3
3. Objetivos 4
3.1 Objetivo General 4 3.2 Objetivos Específicos 4
4. Justificación 5
5. Marco Referencial 6
5.1 Antecedentes 6 5.2 Marco Teórico 11
6. Metodología 23 6.1 Análisis de Resultados 24 6.2 Procedimiento Gestión del Riesgo 25
6.2.1 Diagrama de Flujo de Gestión de Riesgo 25 6.2.2 Plan de Evaluación del Riesgo 29 6.2.3 Identificación del Riesgo 34 6.2.4 Evaluación de Riesgo 35
6.2.4.1 Análisis Cualitativo 37 6.2.4.2 Análisis Cuantitativo 38
6.2.5 Tratamiento del Riesgo 38 6.2.6 Herramientas de Recopilación de información 39
7. Aplicación – Caso de Estudio 44 7.1 Diagnóstico de la Empresa 44 7.2 Plan de Evaluación del Riesgo 48 7.3 Identificación del Riesgo 51 7.4 Análisis Cualitativo 53
V
7.5 Matriz de Gestión de Riesgo 53
8. Conclusiones 54
9. Bibliografía 55
VI
Lista de Tablas
PÁG.
Tabla 1. Metodología AMEF. 18
Tabla 2. Resumen de Resultados obtenidos en Investigación. 25
Tabla 3. Calculo de valor Esperado. 33
Tabla 4. Rangos para Priorización de acción. 33
Tabla 5. Descripción de Herramientas para la Identificación de Riesgos. 35
Tabla 6. Matriz de Gestión de Riesgo. 57
Tabla 7 Resumen de Herramientas para Evaluación de Riesgo. 36
Tabla 8. Resumen de Herramientas para el Tratamiento del Riesgo. 39
Tabla 9. Variables consignadas en la Matriz de Gestión de Riesgo. 42
Tabla 10. Continuación Variables consignadas en la Matriz de Gestión 43
De Riesgo.
Tabla 11. Misión – Visión 45
Tabla 12. Factores Interno y Externos del Proceso de Cartera. 45
Tabla 13. Criterios para Diagnostico de la Empresa Vs la Norma 47
Tabla 14. Criterios de Probabilidad. 48
Tabla 15. Criterios de Impacto 49
Tabla 16. Calculo del Valor Esperado del Riesgo. 50
Tabla 17. Calcificación de Tipo de Riesgo. 50
Tabla 18. Estrategias para Riesgos Negativos o Positivos. 51
Tabla 19. Formato para identificación de Riesgo. 52
Tabla 20. Formato Análisis Cualitativo. 65
VII
Lista de Ilustraciones
PÁG.
Ilustración 1. Proceso para la Administración del Riesgo. 14
Ilustración 2. Estándar Australiano. 19
Ilustración 3. Fases para la Gestión del Riesgo. 21
Ilustración 4. Diagrama de Flujo. 26
Ilustración 5. Ejemplos de factores de riesgo internos y externos. 30
Ilustración 6. Probabilidad de Ocurrencia para Amenazas y Oportunidades. 31
Ilustración 7. Evaluación de Impacto. 32
Ilustración 8. Matriz de Probabilidad de Impacto. 37
VIII
Lista de Anexos
PÁG.
Anexo 1. Tabla 6. Matriz de Riesgo. 57
Anexo 2. Caracterización del proceso de Cartera 61
Anexo 3. Diagnóstico del grado de Cumplimiento 62
de requisitos de la norma NTC ISO 31000:2011
Anexo 4. Identificación de Riesgos 64
Anexo 5. Tabla 20. Formato Análisis Cualitativo 65
IX
SINOPSIS
Este documento hace referencia a una propuesta metodológica para la gestión de riesgos, basándose
en los lineamientos de la norma técnica Colombiana ISO 31000 versión 2011. En él se establecen
los parámetros a seguir para una correcta gestión del riesgo.
Es así, que se espera que este trabajo sea de ayuda a cualquier entidad que requiera implementar
una gestión del riesgo.
ABSTRACT
This document refers to a methodological proposal for risk management based on the guidelines
of the Colombian Technical standard ISO 31000 version 2011. The parameters to be followed for
correct risk management are read.
It is thus, that it is hoped that this work will be of help to any entity that require to implement a risk
management.
PALABRAS CLAVE
Gestión de Riesgo
Identificación del Riesgo.
Análisis del Riesgo.
Evaluación del Riesgo.
Tratamiento del Riesgo.
X
1
1. Introducción
Hoy día el concepto de Gestión de riesgos ha tomado mucha relevancia en las organizaciones,
principalmente por la necesidad de mitigar los efectos negativos que se puedan generar como
resultado de la operación, sea de servicios o de producto. Dicha relevancia ha llevado a las
organizaciones a ajustar y normalizar sus procesos internos, conduciéndolas al desarrollo de
metodologías sistemáticas que permitan el conocimiento del tema y el desarrollo de la misma
por parte de los diferentes actores – partes interesadas - en las organizaciones.
La Norma Técnica Colombiana NTC-ISO 31000:2011 es una norma de referencia para
implementar dentro de las organizaciones sistemas de gestión eficientes que permitan de manera
controlada mitigar el impacto de riesgos inherentes a la operación y objeto social de la
organización, teniendo en cuenta tanto los factores internos como externos.
Conforme a la necesidad de mitigar los riesgos en las organizaciones se plantea como objetivo
de este trabajo generar una propuesta metodológica para la gestión del riesgo basada en la NTC-
ISO 31000:2011, estableciendo principios y directrices que conlleven a gestionar el riesgo,
brindando herramientas que permitan identificar, analizar, evaluar y monitorear los riesgos
aplicada a cualquier proceso, tomando como caso de aplicación el proceso de gestión de cartera
de una organización.
2
2. Planteamiento del Problema
2.1 Descripción del Problema
En América Latina a través de los años se puede tener la percepción de actuar de manera
correctiva cuando se presenta un evento y no de manera preventiva que logre anticiparse y
minimizar la ocurrencia del mismo; esto frente a otras culturas desarrolladas que planifican,
previenen y mitigan la ocurrencia de eventos en ambientes controlados, obteniendo mejores
resultados de gestión y cumplimiento de los objetivos trazados sea a nivel personal, profesional,
laboral y organizacional.
A nivel organizacional actuar solo de manera correctiva ocasiona costos operativos elevados
yendo en detrimento del cumplimiento de los objetivos organizacionales. Un ejemplo que pueda
generar gran impacto en las organizaciones – a tal punto del cierre por incumplimiento- tiene
que ver con el factor de riesgo normativo1. El desconocimiento de la actualización o aplicación
de una norma gubernamental o cumplimiento de los requisitos planteados en ellas, puede
ocasionar sanciones relativamente onerosas; riesgo que a simple vista puede ser corregido con
una planeación y controles adecuados para garantizar la actualización permanente de los
procesos conforme los cambios normativos a aplicar y su ejecución en el tiempo.
Debido a lo que representan las organizaciones dentro de la economía de las regiones y del país
en cuanto a la responsabilidad social de cada una de ellas, no se pueden dar el lujo de dar pasos
1 Riesgo normativo o de cumplimiento: Se Asocia con la capacidad de una organización para cumplir con los requisitos regulativos, legales, contractuales, de conducta de negocios, de ética y de calidad si aplica.
3
en falso en su gestión. Los procesos de cartera en las organizaciones son fundamentales para
garantizar la permanencia de la empresa en el tiempo, por ello deben estar debidamente
estructurados para minimizar al máximo los riesgos inherentes a la operación; principalmente
enfocados al análisis del cliente, sus esquemas de crédito y el respectivo recaudo de la cartera.
Situación qué en el evento de no contar con los controles adecuados, podría generar pérdidas
irremediables a la organización, tales como: afectación del flujo de caja y liquidez, incremento
de la morosidad de los clientes y edad de la cartera y la posible relación comercial con clientes
involucrados en lavado de activos y financiación de terrorismo que ocasione a la empresa
situaciones legales o hasta el cierre de la misma.2
Debido a la importancia de este proceso en las empresas y lo que genera su adecuada o no
gestión, es fundamental intervenir y estructurarlos de manera que se anticipe a los posibles
riesgos, optimizando su gestión y garantizando la permanencia de la empresa en el tiempo.
2.2 Formulación del Problema
¿Cómo desarrollar una propuesta metodológica para la gestión del riesgo en el proceso de cartera
en la empresa FAM AGENCIA MARÍTIMA S.A. con base en la norma NTC-ISO 31000:2011?
2 Unidad de Información y Análisis financiero // Lavado de Activos y Financiación del terrorismo https://www.uiaf.gov.co/sistema_nacional_ala_cft/lavado_activos_financiacion_29271
4
3. Objetivos
3.1 Objetivo General
Proponer una metodología para la gestión del riesgo basándose en los lineamientos de la Norma
Técnica Colombiana NTC ISO 31000 versión 2011 al proceso de cartera de la empresa FAM
Agencia Marítima S.A.
3.2 Objetivos Específicos
Realizar el diagnóstico inicial de la empresa FAM AGENCIA MARÍTIMA S.A. conforme al
cumplimiento de los requisitos de la norma NTC-ISO 31000:2011.
Estructurar un procedimiento que permita identificar, valorar y tratar los riesgos del proceso de
cartera en la empresa FAM AGENCIA MARÍTIMA S.A. Bajo los lineamientos de la norma
NTC-ISO 31000:2011.
Realizar la Matriz de riesgos aplicando la metodología propuesta al proceso de cartera de la
empresa FAM AGENCIA MARÍTIMA S.A.
5
4. Justificación
La adecuada gestión del riesgo ayuda al conocimiento y mejoramiento de la organización, aporta
a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos
organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindándole una
estructura metodológica bajo parámetros normativos.
La finalidad es que la gestión del riesgo sea incorporada en el interior de la organización como
una política de gestión por parte de la alta dirección y cuente con la participación y respaldo de
todas las partes interesadas (colaboradores, clientes, proveedores, accionistas y el entorno); tarea
que se facilitará con la implementación de la metodología aquí presentada, la cual permite
establecer mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente
está expuesta y poder de esta manera fortalecer el sistema de control permitiendo el
cumplimiento de los objetivos misionales, contando con una matriz de riesgos que involucre los
requisitos de la norma NTC-ISO 31000:2011, de tal forma que se cuente con una metodología
clara y ágil para dar cumplimiento a los diferentes frentes que se requiere para la gestión del
riesgo y contribuir a mejorar el desempeño de los procesos.
6
5. Marco Referencial
5.1 Antecedentes
El término Riesgo etimológicamente se asocia con risco (peñasco escarpado) que para los
marinos medievales era una representación de peligro al navegar.3 En la actualidad existen
disciplinas científicas preocupadas por la ocurrencia de eventos y por anticiparse a ellos antes
de que ocurran (Meteorología, Economía, Epidemiología, entre otras). Estas disciplinas han
adaptado el concepto de riesgo y utilizan la probabilidad para expresar la incertidumbre de que
el evento ocurra.
Los sectores financiero y asegurador fueron los primeros en lograr avances en el tema, con
documentos como Basilea II que detalla los requisitos de una gestión adecuada de los riesgos
en el sector bancario, publicado en el año 1997 y actualizado en el año 2004. Dentro de las
particularidades allí consignadas se encuentra que solo tratan los riesgos específicos de los
sectores afectados, son además de obligatorio cumplimiento para las organizaciones de esos
sectores y consideran los riesgos únicamente como eventos con consecuencias indeseables4.
Teniendo en cuenta las ventajas que representa para las organizaciones la gestión del riesgo,
muchos sectores económicos tomaron el ejemplo y crearon sus propios estándares, logrando su
evolución y estandarización al punto de desarrollar normas que en algunos casos son de
3 Diccionario de la Real Academia Española – 22 ͣedición - 2001 4 GAVIRIA JUÁREZ, Miguel Ángel. Administración de riesgos organizacionales, aplicado a una entidad del gobierno del Distrito Federal con base al modelo iso-31001; evaluando los riesgos financieros y operacionales. México. 2012
7
aplicación a la gestión de cualquier tipo de riesgo independientemente de su naturaleza. A
continuación, se detallan algunas:
COBIT e ITIL (Riesgos tecnológicos): Combina los modelos existentes y conocidos, como
COSO (requerimientos financieros), SAC (requerimientos de calidad) y SAS (requerimientos
de seguridad). Estos modelos se centran en habilitar tecnologías y las mejores prácticas para
lograr sistemas con alta disponibilidad, confiabilidad, mantenimiento y administración. COBIT
se enfoca en los procesos base y en riesgos, mientras que ITIL se enfoca en los servicios IT
(tecnología de la información).
ISO 27000 (Seguridad de la información): Estándar para la seguridad de la información,
aprobado y publicado como estándar internacional en octubre de 2005, proporcionan un marco
de gestión de la seguridad de la información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña.
ISO 14001 (Riesgos ambientales): La norma ISO 14001 es la norma internacional de sistemas
de gestión ambiental (SGA), que ayuda a las organizaciones a identificar, priorizar y gestionar
los riesgos ambientales, como parte de sus prácticas de negocios habituales.
OHSAS 18001 (Riesgos laborales): Norma británica reconocida internacionalmente que
establece los requisitos para la implementación de un Sistema de Gestión de la Seguridad y
salud en el Trabajo orientado a la identificación y control de riesgos y a la adopción de las
medidas necesarias para prevenir la aparición de accidentes.
8
PMBOK (Riesgos en proyectos): es el estándar para la Administración de Proyectos y cuyas
siglas significan en inglés Project Management Body of Knowledge (el Compendio del Saber
de la Gestión de Proyectos en español). Éste a su vez puede ser entendido como una colección
de sistemas, procesos y áreas de conocimiento que son universalmente aceptados y reconocidos
como los mejores dentro de la gestión de proyectos.
COSO: Emitido por el comité de organizaciones Sponsor en 1991 y ampliado en 2004, se trata
de un estándar de control interno para la gestión del riesgo. Probablemente es el estándar más
utilizado en la actualidad.
IRM Standard: Emitido por el Instituto Británico de gestión de riesgos, su versión actual es de
2002. Propone una metodología para la gestión de los riesgos considerando estos como eventos
que tengan consecuencias, tanto negativas como positivas.
AS/NZS 4360: Publicado en 1993 por Australia y Nueva Zelanda como esquema para la gestión
de riesgos en las empresas públicas y reeditado en 2004, su uso se ha extendido a organizaciones
privadas.
NS 5814:1991 Requirements for risk assessment: Estándar noruego publicado en 1991 para la
identificación y análisis de riesgos, una de sus características es que únicamente considera como
riesgos los eventos con consecuencias negativas.
ISO 31010:2009 (Gestión del Riesgo) Técnicas de evaluación de riesgos: Esta norma
complementa a la ISO 31000 y provee de una seria de técnicas para la identificación y
evaluación de riesgos y hace alusión tanto a consecuencias positivas como negativas.
9
Muchas organizaciones a nivel mundial han comenzado la implementación de estándares para
la gestión del riesgo, buscando ventajas competitivas, de esta manera en el año 2011 se realizó
el estudio denominado “Accenture 2011 Global Risk Management Study”, que buscaba
establecer la percepción de las empresas frente a la gestión del riesgo y las ventajas obtenidas
al implementar un sistema de gestión del riesgo; el estudio estuvo basado en una encuesta
cuantitativa de directivos de casi 400 empresas pertenecientes a diez sectores diferentes; todos
los encuestados eran al menos directores generales de su área involucrados en decisiones de
gestión de riesgos en sus compañías. Estas entrevistas permitieron probar muchas de las
cuestiones principales y algunas lecciones de exploración y perspectivas sobre la gestión de
riesgos, donde la principal conclusión son los avances competitivos logrados por las empresas
que han incluido la gestión del riesgo dentro de su planeación estratégica, en comparación con
aquellas que no han estudiado el tema5.
Antecedentes a Nivel Nacional
Los pioneros en cuanto a la implementación de metodologías de gestión del riesgo a nivel
nacional fueron las empresas públicas; la ley 872 de 2003 creó el Sistema de Gestión de Calidad
para la rama ejecutiva del poder público y en otras entidades prestadoras de servicios y relaciona
su implementación con un enfoque basado en procesos como herramienta de gestión para
evaluar el desempeño institucional en términos de calidad y satisfacción social en la prestación
de los servicios de las entidades del estado.
5 NADAL, Josep. La gestión de riesgos como fuente de ventaja competitiva sostenible. Harvard Deusto Business Review. Noviembre 2011.
10
En 2004 se crea la NTC GP 1000:2004, la cual se basa en la NTC ISO 9001:2000 y muestra la
manera de establecer, documentar, implementar y mantener un sistema de gestión de la calidad
en el sector público colombiano. A través del decreto 4110 de 2004 se adoptó la NTC GP
1000:2004 en todo el sector público como una reglamentación de la Ley 872 de 2003.
Una vez exigido el cumplimiento de dicha ley surge el interés de generar políticas sobre
administración del riesgo, esto con la finalidad de darle un manejo apropiado al riesgo en cada
una de ellas y así lograr eficiencia en el logro de sus propósitos organizacionales.
La adopción del MECI establece la Administración de riesgos dentro del Subsistema de Control
Estratégico, a través de elementos como identificación, análisis, valoración y unas políticas de
administración del riesgo. La NTC GP 1000:2004 incluye el riesgo entre sus términos y
definiciones aplicables para su propósito y plantea como uno de los requisitos generales del
sistema de gestión de la calidad que la entidad identifique y diseñe, con la participación del
personal, los puntos de control sobre los riesgos de mayor probabilidad de ocurrencia o que
generan un impacto considerable en la satisfacción de necesidades y expectativas de calidad de
los clientes, en las materias y funciones que le competen a cada entidad.
Como organismo normalizador para Colombia, el Icontec pone a disposición de las entidades
públicas o privadas la NTC 5254:2006 Gestión del Riesgo, con el propósito fundamental de
convertir la gestión del riesgo en herramienta de mejoramiento continuo de los procesos.
Luego las organizaciones privadas comienzan a mostrar su interés sobre la gestión del riesgo y
los esquemas para la implementación de diferentes metodologías, una de ellas la norma ISO
31000. Esta norma internacional proporciona los principios y las directrices genéricas sobre la
gestión del riesgo. Puede utilizarse por cualquier empresa pública, privada o social, asociación,
11
grupo o individuo, ya que, a diferencia de muchas otras, no es específica de una industria o
sector concreto.
5.2 Marco Teórico
La NTC ISO 9001:2015 define el riesgo como “…el efecto de la incertidumbre y dicha
incertidumbre puede tener efectos positivos o negativos. Una desviación positiva que surge de
un riesgo puede proporcionar una oportunidad, pero no todos los efectos positivos del riesgo
tienen como resultado oportunidades6”. Partiendo de dicha definición se puede adaptar al
contexto organizacional como la posibilidad de que ocurra un evento adverso con consecuencias
económicas negativas para la organización. Frente a ese riesgo con impacto negativo para la
empresa, las organizaciones deben estructurar planes de identificación, evaluación y tratamiento
del mismo con la finalidad de evitar que el evento ocurra o que, si lo hace, se pueda mitigar el
impacto. A continuación, se presenta la clasificación de tipos de riesgos definidos en la guía
para la administración del riesgo del Departamento Administrativo de la Función Pública
(DAFP)7:
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo
estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los
objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad
por parte de la alta gerencia.
6 Instituto Colombiano de Normas Técnicas y Certificación-ICONTEC, 2015, pág. V 7 Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública (DAFP), 2011, pág. 14
12
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la
ciudadanía hacia la institución.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de
los sistemas de información institucional, de la definición de los procesos, de la estructura de la
entidad, de la articulación entre dependencias.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para
satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
Gestión del Riesgo
Una vez entendido el concepto de riesgo, es necesario entender también el concepto de gestión
del riesgo, el cual lleva a las organizaciones a buscar las mejores metodologías que permitan
alcanzar los resultados esperados; en este sentido surgió por ejemplo la actualización de la NTC
ISO 9001:2015 incorporando este nuevo enfoque, en la cual se incluye el pensamiento basado
en riesgos como elemento fundamental para el desarrollo eficaz de los Sistemas de Gestión de
Calidad.
13
La gestión del riesgo debe ser una estrategia que debe ser aplicada en las organizaciones debido
a que permite identificar los riesgos para minimizarlos, permitiendo mitigar la incertidumbre y
facilitar el logro de los objetivos de una organización.
Es por ello que para mitigar la incertidumbre se debe analizar el contexto tanto interno como
externo y determinar así los riesgos, los cuales van a constituirse en un componente de la
planeación organizacional; las organizaciones deben entonces identificar, analizar y evaluar los
riesgos con el propósito de alcanzar una toma de decisión más acertada para la institución8.
Metodologías para la Gestión del Riesgo
A continuación, se recopilan diferentes modelos para la gestión del riesgo con la finalidad de
consolidar los factores comunes para luego formular los instrumentos para la identificación y
valoración de los riesgos y la posterior definición de acciones para el tratamiento de los mismos.
Guía para la administración del riesgo (DAFP) 2011: Esta guía ha entregado importantes
lineamentos para que las entidades públicas puedan desarrollar la metodología de gestión de
riesgos. La siguiente ilustración resume la metodología propuesta por el DAFP:
8 Instituto Colombiano de Normas Técnicas y Certificación-ICONTEC, 2011, pág. 1
14
Ilustración 1. Proceso para la Administración del Riesgo
Fuente: Guía para la administración del riesgo, Departamento Administrativo
De la Función Pública -DAFP. 2011. Página 19.
En el ámbito organizacional primero se debe analizar el contexto estratégico, el cual consiste en
analizar las condiciones internas y externas que puedan afectar positiva o negativamente el logro
de los resultados; la siguiente fase es la identificación del riesgo, lo cual se realiza determinando
las causas, con base en los factores internos y/o externos analizados para la entidad, y que
pueden afectar el logro de los objetivos. En esta fase resulta clave centrarse en los riesgos más
significativos relacionados con los objetivos de los procesos y los objetivos institucionales.
15
Continúa con el análisis del riesgo para determinar la probabilidad de ocurrencia, las
consecuencias, y se hace una clasificación del riesgo; es esencial dentro de este análisis
identificar las causas que pueden estar generando las situaciones de riesgo en la institución y de
esta forma dirigir las acciones a las causas principales de tal forma que los resultados sean
acertados.
La Guía presenta una metodología para la determinación de probabilidad e impacto, la cual
puede ser implementada por las organizaciones.
Probabilidad: Posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de
frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o
de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden
propiciar el riesgo, aunque este no se haya materializado.
Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
La siguiente actividad a desarrollar es la valoración del riesgo, lo cual se obtiene de confrontar
los resultados de la evaluación del riesgo con los controles identificados, los cuales permiten
obtener información para efectos de tomar decisiones; estas decisiones dependen de lo asertivo
que se sea en la identificación precisa de las amenazas, y de la probabilidad de ocurrencia, así
como de seleccionar apropiadamente las acciones para la mitigación de los riesgos identificados.
Luego se procede con la elaboración del mapa de riesgos como representación final de la
probabilidad e impacto de los riesgos. Un mapa de riesgos puede adoptar la forma de un cuadro
resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento.
16
Finalmente, es esencial el monitoreo a las acciones definidas y el resultado obtenido con las
mismas; este monitoreo debe estar a cargo de: los responsables de los procesos y la Oficina de
Control Interno (cuando aplique). Su finalidad principal será la de aplicar y sugerir los
correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.
COSO (Committee of Sponsoring Organizations of the Treadway Commission): Surgió
como respuesta a las inquietudes que planteaba la diversidad de conceptos, definiciones e
interpretaciones existentes al control interno. Esta comisión tuvo como objetivo principal
identificar los factores causales de los informes financieros fraudulentos, con el fin de hacer
recomendaciones para reducir la ocurrencia de estos hechos.
El enfoque COSO define la administración de riesgo como un proceso continuo que fluye a lo
largo de cada uno de los niveles de la organización, afectando el personal de manera activa. Se
emplea a partir del establecimiento de la estrategia y sus objetivos.
Existen dos informes el COSO 1 (1992) y el COSO II (2004), esta última es una versión
ampliada del informe original, compuesta por 8 componentes para dotar al control interno de un
mayor enfoque hacia la gestión del riesgo (ambiente de control, establecimiento de objetivos,
identificación de eventos, evaluación de riesgos, respuesta a los riesgos, actividades de control,
información y comunicación, supervisión). La tercera versión, COSO III, se publicó en el año
2013. COSO III es la renovación del Marco Integrado de Gestión de Riesgos e incluye
novedades, entre ellas es la inclusión de un ciclo para la evaluación de riesgos:
Identificación de cada uno de los riesgos
Análisis de riesgos
17
Respuesta precisa a los riesgos.
Federation of European Risk Management (FERMA): Estándar europeo para la
administración de riesgos; define los riesgos a partir de las potenciales amenazas para el
cumplimiento de los objetivos estratégicos y operacionales y de las oportunidades que se derivan
de las incertidumbres asociadas. Igualmente tiene en cuenta el análisis de los factores internos
y externos con el fin de profundizar el análisis de causa antes de gestionar los mecanismos para
el tratamiento, es muy utilizado en las empresas petroleras.
Modelo Estándar de Control Interno Colombiano (MECI): El Modelo Estándar de Control
Interno para el Estado Colombiano MECI proporciona una estructura básica para evaluar la
estrategia, la gestión y los propios mecanismos de evaluación del proceso administrativo,
aunque promueve una estructura uniforme, puede ser adaptada a las necesidades específicas de
cada entidad, a sus objetivos, estructura, tamaño, procesos y servicios que suministran.
La actualización del modelo (decreto 943 de 2014) brinda a las organizaciones una orientación
con el fin de garantizar el cumplimiento de los objetivos institucionales, posee 3 principios:
autocontrol, autorregulación y autogestión y está compuesta por: 2 módulos: Modulo de control
de planeación y gestión y el módulo de control de evaluación y seguimiento, 6 componentes:
talento humano, direccionamiento estratégico, administración del riesgo, autoevaluación
institucional, auditoría interna y planes de mejoramiento, 13 elementos y un eje transversal de
información y comunicación.
18
AMEF: Se encuentra también el análisis de modos y efectos de falla (AMEF) como otra
metodología que aporta elementos para la gestión del riesgo; es un proceso sistemático para la
identificación de las fallas potenciales del diseño de un producto o de un proceso antes de que
éstas ocurran, con el propósito de eliminarlas o de minimizar el riesgo asociado a las mismas.
Por lo tanto, el AMEF puede ser considerado como un método analítico estandarizado para
detectar y eliminar problemas de forma sistemática y total9. Esta metodología contempla evaluar
y cuantificar las siguientes variables: Grado de severidad, Probabilidad de ocurrencia, Grado de
detección.
Los pasos que se contemplan en esta metodología pueden resumirse en la siguiente Tabla 1:
Tabla 1. Metodología AMEF
N° Metodología AMEF
1 Identificar los modos potenciales de falla
2 Identificar efectos potenciales.
3 Identificar las causas potenciales.
4 Identificar los controles.
5 Identificar y evaluar los riesgos
6 Acciones para reducir el riesgo
Fuente: Elaboración propia
Estándar Australiano de Administración del Riesgo (AS/NZS 4360:1999): El estándar
australiano de administración del riesgo lo define como un método lógico sistemático de
establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos
9 Soto Guzmán & Rubio Bohórquez, 2013. pág. 23 Diseño de un Sistema de Gestión de Riesgo en una IPS Hospitalaria de Primer Nivel. Bogotá: Universidad EAN.
19
asociados con una actividad, función o proceso de una forma que permita a las organizaciones
minimizar pérdidas y maximizar oportunidades10.
Este estándar al igual que las otras metodologías, establece los siguientes pasos para la
identificación y valoración de los riesgos, ver ilustración 2:
Ilustración 2. Estándar Australiano
Fuente: AS/NZS 4360:1999. Estándar australiano. Pág. 8-9
Establecer el contexto: Establecer el contexto estratégico, organizacional y de administración
de riesgos en el cual tendrá lugar el resto del proceso.
Identificar riesgos: Identificar qué, por qué y cómo pueden surgir las cosas como base para el
análisis posterior.
Analizar riesgos: Determinar los controles existentes y analizar riesgos en términos de
consecuencias y probabilidades en el contexto de esos controles.
10 AS/NZS 4360:1999. Estándar australiano, 1999, pág. 3.
20
Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos.
Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de
administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una
categoría aceptable y no se requeriría un tratamiento.
Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos,
desarrollar e implementar un plan de administración específico que incluya consideraciones de
fondo.
Monitorear y revisar: Monitorear y revisar el desempeño del sistema de administración de
riesgos y los cambios que podrían afectarlo.
Comunicar y consultar: Comunicar y consultar con interesados internos y externos según
corresponda en cada etapa del proceso de administración de riesgos. La administración de
riesgos se puede aplicar en una organización a muchos niveles. Se lo puede aplicar a nivel
estratégico y a niveles operativos. Se lo puede aplicar a proyectos específicos, para asistir con
decisiones específicas o para administrar áreas específicas reconocidas de riesgo.
NTC ISO 31000:2011: Esta norma es un referente en Colombia que suministra directrices sobre
la selección y la aplicación de técnicas sistemáticas para la valoración del riesgo, cuyo propósito
es “…suministrar información y análisis con base en evidencias para tomar decisiones
informadas sobre la manera de tratar los riesgos particulares…”11
Las fases para la gestión de riesgos en esta norma se presentan en la ilustración 3:
11 Instituto Colombiano de Normas Técnicas-ICONTEC, 2011, pág. 3
21
Ilustración 3. Fases para la Gestión del Riesgo
Fuente: NTC-ISO 31000:2011 Gestión del Riesgo Principios y Directrices
Establecimiento del contexto: Incluye contexto interno y externo
Valoración del riesgo: Incluye identificación del riesgo, análisis del riesgo y evaluación de
riesgo
22
Tratamiento del riesgo: Implica la selección y el acuerdo sobre una o más opciones pertinentes
para cambiar la probabilidad de ocurrencia del riesgo, su efecto o ambos y la implementación
de estas opciones.
Monitoreo y revisión: Revisar regularmente entre otras, que el análisis de contexto interno y
externo continúe siendo válido, que los resultados esperados se estén alcanzando y el
tratamiento de los riesgos sea eficaz.
En conclusión, lo que se pretende es armonizar las metodologías que han venido surgiendo a
medida que se han presentado nuevas necesidades, de tal forma que sea un ejercicio ágil, con
resultados concretos, de fácil comprensión y aplicación para los responsables, dando
cumplimiento así a las exigencias normativas y a las necesidades reales de la organización.
23
6. Metodología
Este trabajo se desarrolló con el enfoque de investigación cuantitativo, debido a que el proceso a
abordar – proceso de cartera - es un proceso sistémico y ordenado que se lleva a cabo siguiendo
unos pasos mediante secuencia lógica: fase conceptual, fase de planeación y diseño, fase empírica,
fase analítica y fase de difusión.
El tipo de investigación del trabajo es descriptivo porque analiza información desde las entradas al
proceso de cartera hasta la salida de información y documentación. El diseño de la investigación
es no experimental transversal descriptivo porque describe variables y analiza su incidencia e
interrelación en un momento dado.
Para recolectar la información se realizó la consulta de normas internacionales y adaptaciones
nacionales, trabajos de grado y otros documentos con literatura especializada sobre el tema de
evaluación de riesgos, aplicados dentro del proceso de cartera de la empresa FAM Agencia
Marítima. Posteriormente, se diseñan tablas para recolectar la información concerniente a
antecedentes de autores consultados, estructuración y estandarización de procesos y por último la
aplicación del modelo en el proceso de cartera. Luego de recopilar información pertinente al
proceso evaluado y aplicando información estadística, se digita la información para su respectivo
análisis y elaboración de un documento técnico con los resultados.
Igualmente se estandarizó un procedimiento para la evaluación de riesgos cuyos pasos serán
adaptados de los diferentes autores consultados y su estructura se fundamente en un objetivo,
alcance, responsable, diagrama de flujo con actividades a realizar, instructivos y anexos; y
24
finalmente se aplicó el procedimiento de evaluación de riesgos al proceso de cartera de la empresa
FAM Agencia Marítima S.A. en las Oficinas de la ciudad de Cali.
6.1 Análisis de Resultados
Se llevó a cabo la revisión de la literatura consultada sobre los estándares que abarcan la gestión
del riesgo tomando como referente las normas ISO donde en su contenido coinciden en que se
debe abarcar cuatro variables: planificación de la evaluación, identificación de riesgo, análisis del
riesgo y tratamiento del riesgo; es importante mencionar que la fase de control no se considerará
para construir el procedimiento de evaluación del riesgo, debido a que esto hace parte de la gerencia
del riesgo y no de la evaluación.
La Tabla 2 resume los resultados obtenidos en este trabajo, las variables que deben ser
consideradas para el proceso de gestión de riesgos, detalla las técnicas de análisis y técnicas de
solución de problemas seleccionadas según los estándares consultados, estas tienen el objetivo de
contribuir a determinar la adecuada gestión de los procesos y finalmente la matriz de gestión de
riesgos que pretende recopilar la información obtenida en cada fase del proceso de gestión de
riesgos.
25
Tabla 2. Resumen de Resultados Obtenidos en Investigación
Proceso de Gestión de Riesgos
Herramientas de análisis y Técnicas de solución de problema
Herramienta de
Recopilación de
información
Planificación de la evaluación
Calificación de probabilidad Criterios de impacto (oportunidad) Criterios de impacto (Amenaza) Escala de impacto Calificación de riesgo
Matriz de Gestión del
Riesgo
Identificación del riesgo
Tormenta de Ideas Entrevistas estructuradas o semi-estructuradas Delphi Análisis de Causa Efecto
Evaluación del riesgo Matriz de consecuencia / probabilidad
Tratamiento del riesgo
Estrategias para riesgos negativos o Estrategias para riesgos positivos u oportunidades Plan de acción para los riesgos
Fuente: Elaboración Propia
6.2 Procedimiento Gestión del Riesgo
6.2.1 Diagrama de Flujo de Gestión del Riesgo
Se elabora un diagrama de flujo para llevar a cabo la gestión del riesgo dentro de un proceso y así
identificar los riesgos existentes. En la siguiente ilustración se puede observar el diagrama de flujo:
Ilustración 4. Diagrama de Flujo
26
Fuente: Elaboración Propia
Inicio
3. Identificación preliminar de riesgos
4. Lista de verificación contra estándares y contra supuestos
5. Clasificar los riesgos e identificar las causas y disparador de su ocurrencia
6. Evaluación de riesgos
¿Han ocurrido cambios que impliquen actualización de los
procesos de las evaluaciones??
¿Riesgo significativo?
¿Riesgo negativo?
Riesgo NO prioritario “Supervisar”
Compartir Explotar
Mejorar Aceptar
Evitar
Mitigar
Transferir
NO
NO
NO
SI
SI
SI
7. Establecer planes de acción y costos para los riesgos que sobrepasen el nivel de tolerancia
8. Presentar resultados
FIN
2. Plan de evaluación de riesgos del proceso objeto de análisis
1. PROCESO a evaluar
Aceptar
27
A continuación, y con base en el diagrama de flujo de gestión del riesgo se detalla cada una de las
8 actividades planteadas:
Actividad #1: Proceso a evaluar partiendo de la caracterización del proceso.
Para llevar a cabo la identificación del proceso se debe partir de la caracterización del mismo con
el objetivo de identificar todos los elementos que conforman al proceso desde las entradas,
actividades y salidas; generando una perspectiva global de los posibles riesgos en cada una de las
actividades del proceso.
Actividad #2: Realizar el plan de evaluación de los riesgos inherentes al proceso objeto de estudio.
Identificar los elementos de control, que permitan establecer los lineamientos estratégicos que
orienten a la adecuada toma de decisiones frente a los riesgos, que puedan afectar el cumplimiento
de su función, misión y objetivos partiendo de un análisis de factores externos e internos.
Actividad #3: Identificación preliminar de los riesgos con los integrantes de cada evaluación,
teniendo en cuenta los objetivos y el cumplimiento del plan estratégico definido para el proceso.
La finalidad de esta actividad es conocer los eventos potenciales, estén o no bajo el control de la
empresa que ponen en riesgo el logro de su misión, estableciendo los agentes generadores, las
causas y los efectos de ocurrencia.
Actividad #4: Realizar las listas de verificación contra los estándares de gestión del riesgo y contra
supuestos.
Tomar como referencia la norma objeto de estudio para determinar el cumplimiento o no de la
empresa con relación a los requisitos allí planteados.
28
Actividad #5: Realizar la clasificación de los riesgos e identificar las causas y disparador de su
ocurrencia.
Esta actividad busca establecer elementos de control para analizar la posibilidad (Frecuencia o
factibilidad) de ocurrencia de los eventos positivos y/o negativos y el impacto entendido como las
consecuencias (efectos).
Actividad #6: Realizar evaluación de los riesgos identificados para determinar la probabilidad de
ocurrencia y el grado de impacto hacia los objetivos del proceso.
Para la evaluación del riesgo se debe tener en cuenta si han ocurrido cambios relevantes que hayan
generado modificaciones en los procesos. En caso positivo, redefinir la identificación de los
riesgos; en caso negativo demostrar los resultados de la medición de aquellos que superen el nivel
de tolerancia aceptado. Si no hay riesgos asociados a estas clasificaciones, confirmar el
aseguramiento del control y comunicar a las partes interesadas.
Si hay riesgos que superan el nivel de tolerancia aceptado, se debe elaborar el plan de acción
adecuado para el mejoramiento de los controles, identificando controles nuevos y definiendo los
registros, responsable, autorizaciones y tolerancias.
Seleccionar y definir estrategias de control que apliquen para cada uno de los eventos de riesgos,
dichas estrategias aplican para riesgos negativos donde se busca evitar, reducir, aceptar, o compartir
el riesgo negativo identificado o puede ser aplicado en riesgos positivos donde se busca explotar,
aceptar, mejorar y compartir.
Actividad #7: Establecer planes de acción y costos para los riesgos que sobrepasen el nivel de
tolerancia, logrando así correcciones que minimicen la ocurrencia en el tiempo.
29
Para esta actividad se establecen elementos de control, que permiten estructurar criterios orientados
a la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de empresa
(eliminar la causa, evitar la posibilidad de ocurrencia, reducir el riesgo o en su defecto compartir,
transferir o asumir el riesgo)
Actividad #8: Presentar resultados sobre la medición realizada y las acciones tomadas, como
trazabilidad a las gestiones realizadas frente a los riesgos identificados con mayor impacto.
Esta actividad comprende el seguimiento permanente a la aplicación de los planes de acción y los
resultados de dichos planes para mitigar el impacto del riesgo detectado.
6.2.2 Plan de Evaluación del Riesgo.
El proceso de establecer el plan de evaluación del riesgo consiste en definir los parámetros y
criterios en base a cuáles deben planificarse, en esta fase se debe hacer un diagnóstico del contexto
externo e interno actual ver ejemplo en la ilustración 5. Se debe conocer previamente los objetivos
del proceso, actividades, tareas, partes interesadas y entorno. Es importante resaltar que los
parámetros y criterios varían según la naturaleza de la empresa y proceso evaluado. A continuación,
se relacionan los pasos a considerar para el plan de evaluación del riesgo:
30
Ilustración 5. Ejemplo de Factores de Riesgo Internos y Externos
Ejemplo de Factores Internos y Externos
Factores Externos Factores Internos
Económicos: Disponibilidad de capital, emisión de deuda o no pago de esta, liquidez, mercados financieros, desempleo, competencia
Infraestructura: Disponibilidad de activos, capacidad de los activos, acceso al capital.
Medio ambiente: Emisión y residuos, energía, catástrofes naturales, desarrollo sostenible
Personal: Capacidad del personal, salud, seguridad
Políticos: Cambios de gobierno. Legislación, políticas públicas, regulación
Procesos: Capacidad de diseño, de ejecución, proveedores, entradas, salidas, conocimiento
Sociales: Demografía, responsabilidad social, terrorismo
Tecnología: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento
Tecnológicos: Interrupciones, comercio electrónico, datos externos, tecnología emergente
Fuente: Cartilla Guía Mapa de Riesgos Oficina de Control Interno Sistema de Gestión Integral de la Calidad, Universidad del Magdalena 2014.
1. Determinar la escala para priorizar los riesgos, a continuación se presenta un ejemplo el cual es
subjetivo y depende de la naturaleza del proceso, en este caso se hace una categorización 5x5
considerando que se obtiene una mejor valoración por las calificaciones intermedias. Estas escalas
serían, ver ilustración 6:
31
Ilustración 6. Probabilidad de ocurrencia para Amenazas y Oportunidades
Fuente: Elaboración Propia
Partiendo de la probabilidad de ocurrencia muy alta, hasta la probabilidad de ocurrencia muy baja,
se asigna el siguiente valor:
Probabilidad de ocurrencia MUY ALTA = 5
Probabilidad de ocurrencia ALTA = 4
Probabilidad de ocurrencia MODERADA = 3
Probabilidad de ocurrencia BAJA = 2
Probabilidad de ocurrencia MUY BAJA = 1
2. Determinar la escala de evaluación del impacto, para el ejemplo se considera el impacto sobre
los objetivos del proceso objeto de estudio según, Costo, tiempo, alcance y Calidad, sin embargo,
los encargados de realizar la planificación de la evaluación pueden considerar otras variables. Ver
ilustración 7.
Concepto
Calificación
Definición
CALIFICACIÓN DE PROBABILIDADAsigna la probabilidad de ocurrencia: Alta, Baja, Muy Probable, Poco Probable, etc.
Asigna una calificación numérica a la probabilidad de ocurrencia 1, 2, 3……
Detalla las variables escogidas para el concepto
32
Ilustración 7. Evaluación del Impacto
Fuente: Elaboración Propia
Partiendo de la evaluación del Impacto catastrófico hasta el impacto insignificante, se asigna el
siguiente valor:
Impacto CATASTRÓFICO (suspensión, paro del servicio, sanción por parte de algún ente gubernamental) = 5
Impacto MAYOR (Interrupción temporal, intermitencia, pausas en el servicio) = 4
Impacto MODERADO (Cambios en la interacción de los procesos) = 3
Impacto MENOR (Cambios procedimentales) = 2
Impacto INSIGNIFICANTE (ajuste a una actividad concreta) = 1
3. En la Tabla 3 se calcula el valor esperado del riesgo, corresponde al resultado de evaluar los
criterios definidos por el plan de riesgo para el análisis de los mismos (Probabilidad e Impacto). Se
calcula multiplicando los valores de los dos criterios:
Valor Esperado = Probabilidad * Impacto
Objetivo del proceso Muy Baja Baja Moderada Alta Muy Alta
0,05 0,1 0,2 0,4 0,8Variable 1
Variable 2
Variable n….
EVALUACIÓN DEL IMPACTOAsigna una variable cualitativa al impacto
Asigna una calificación numérica al impacto
Detalla cómo son impactados los objetivos del proceso, considerando las variables escogidas
Definir las variables que impactan a los objetivos del proyecto: Costo, Calidad, etc.
33
Tabla 3. Cálculo del Valor Esperado del Riesgo
CALIFICACIÓN DEL RIESGO (VALOR ESPERADO) (PROBABILIDAD * IMPACTO)
Probabilidad Impacto 1 Impacto 2 Impacto 3 Impacto 4 Impacto 5
Probabilidad 5 5 10 15 20 25 Probabilidad 4 4 8 12 16 20 Probabilidad 3 3 6 9 12 15 Probabilidad 2 2 4 6 8 10 Probabilidad 1 1 2 3 4 5
Fuente: Elaboración Propia
4. Esta etapa termina, cuando la dirección indica sus prioridades en materia de riesgos y del
tratamiento para implementar, las acciones recomendadas deben ser identificadas de acuerdo a la
Tabla 4, donde se establecen unos rangos que prioricen las acciones a tomar.
Tabla 4. Rangos para priorización de acción
Valor esperado (Probabilidad x Impacto)
Priorización de Acción
Rango 1 – MAYOR Riesgos que exceden un criterio de aceptabilidad y deben ser reducidos mediante medidas para compensación de fallas.
Rango 2 – INTERMEDIO Los riesgos son aceptables, pero se deberán investigar medidas adicionales para la compensación riesgo y deben ser evaluados.
Rango 3 - MENOR Riesgos que han sido reducidos hasta un nivel inferior a un criterio de aceptabilidad y no requieren la toma de medidas adicionales para la compensación del riesgo.
Fuente: Elaboración Propia
La calificación de los riesgos ayuda a definir las respuestas a los mismos. Por ejemplo, los riesgos
que tienen un impacto negativo sobre los objetivos, conocidos como amenazas cuando se
materializan, y que se encuentran en la zona de riesgo alto (rojo) de la matriz, pueden requerir
34
prioridad en la acción y estrategias de respuesta agresivas. Las amenazas que se encuentran en la
zona de riesgo bajo (amarillo) pueden no requerir una acción de gestión proactiva, más allá de ser
incluidas en el registro de riesgos como parte de la lista de observación o de ser agregadas a una
reserva para contingencias. Lo mismo ocurre para las oportunidades, debe darse prioridad a las
oportunidades que se encuentran en la zona de riesgo alto (rojo), ya que se pueden obtener más
fácilmente y proporcionar mayores beneficios. Las oportunidades en la zona de riesgo bajo
(amarillo) deben monitorearse. (Institute, Guía de los fundamentos para la dirección de proyectos
- Quinta edición, 2013)
6.2.3 Identificación del Riesgo
Para el proceso de identificación de riesgos es necesario usar herramientas que generen un flujo
constante de información, es importante saber que la elección de las herramientas depende de la
naturaleza de la empresa, del proceso a evaluar y de las interacciones significativas con las partes
involucradas. Los estándares consultados proponen un listado de herramientas que pueden ser
usadas para conseguir los outputs de la identificación de riesgos, sin embargo, el éxito de las
mismas depende de la capacidad del equipo evaluador para el desarrollo de cada actividad. En la
Tabla 5 se enuncian algunas técnicas y herramientas entre los estándares consultados para la
identificación de riesgos.
35
Tabla 5. Descripción de Herramientas para Identificación de Riesgos
HERRAMIENTAS DESCRIPCIÓN
Tormenta de Ideas Se basa en el trabajo de grupo con el objeto de facilitar el surgimiento de nuevas ideas sobre un tema o problema determinado.
Entrevista Estructurada
Es una manera formal o informal de obtener información de los interesados, a través de un diálogo directo con ellos.
Delphi Es una manera de lograr un consenso de expertos. Los expertos en riesgos participan en esta técnica de forma anónima.
Análisis Causa Efecto
Se utiliza como punto de partida para trazar el origen del problema hacia su causa raíz.
Supuestos del Marco Lógico
Factores externos que implican riesgos, Cada proyecto comprende riesgos: ambientales, financieros, institucionales, sociales, políticos, climatológicos u otros factores que pueden hacer que el mismo fracase. El marco lógico requiere que el equipo de diseño de proyecto identifique los riesgos en cada etapa: Actividad, Componente, Propósito y Fin. El riesgo se expresa como un supuesto que tiene que ser cumplido para avanzar al nivel siguiente en la jerarquía de objetivos.12
Fuente: Elaboración Propia
6.2.4 Evaluación del Riesgo
La segunda fase del procedimiento corresponde a la evaluación de riesgo, la entrada de esta etapa
es la lista de riesgos previamente identificados y el objetivo es desarrollar un entendimiento y
comprensión acerca del riesgo, utilizando como criterios la probabilidad de ocurrencia y el impacto
de sus consecuencias, esto permite calcular el valor esperado en función de estas dos variables.
Debido a la gran cantidad de datos sobre los riesgos identificados es necesario que los mismos
estén detallados, esta fase permite encontrar una descripción de cada riesgo, encontrar las causas,
si corresponde a una amenaza u oportunidad para el proceso, cuáles son los entregables que se
12 ORTEGÓN, EDGAR. Metodología del marco lógico para la planificación, el seguimiento y la evaluación de proyectos y programas. [en línea] [Chile]: Santiago, CEPAL, 2005.
36
verían afectados, esta información puede ser recopilada en la matriz sugerida en la Tabla 6 del
Anexo 1.
El análisis del riesgo proporciona elementos de entrada para tomar decisiones sobre cuáles son los
riesgos y las causas a los que se les debe dar un tratamiento inmediato, cuales admiten acciones a
mediano plazo y cuáles pueden ser aceptados sin tener nuevas acciones, así como sobre las
estrategias y los métodos de tratamiento del riesgo más apropiados. (Institute, Guía de los
fundamentos para la dirección de proyectos - Quinta edición, 2013).
La Tabla 7 resume las herramientas que se sugieren para llevar a cabo el procedimiento de
evaluación de riesgos, según la literatura consultada.
Tabla 7. Resumen de Herramientas para Evaluación de Riesgos
Tipo de Análisis
Entradas a la Fase
Salidas de la Fase Criterio de Selección de Herramientas
Herramientas
Análisis Cualitativo
Lista de Riesgos
Valor esperado de los Riesgos.
Coincidencia entre los Estándares consultados. Reactivas y proactivas
Matriz de Consecuencia / Probabilidad
Análisis Cuantitativo
Lista de Riesgos
Actualización a los documentos del
proceso
Coincidencia entre los Estándares consultados. Reactivas y proactivas
Técnicas de Probabilidad y
Modelado Fuente: Elaboración Propia
37
6.2.4.1 Análisis Cualitativo
La matriz de probabilidad e impacto, es una tabla de doble entrada que combina la probabilidad de
que ocurra un evento, con el impacto que éste puede causar en el proceso. De esta manera, se
consigue establecer una priorización de los riesgos.
Para obtener una ayuda grafica la matriz obtenida se puede dividir en zonas y asignar un Color que
enmarque el riesgo, los más usados son rojo, amarillo, naranja y verde (ver ilustración 7), sin
embargo esto puede variar dependiendo del tamaño de la matriz que es determinado por la fase de
planificación del riesgo, al tener la tabla visual se puede observar fácilmente que riesgos requieren
acción inmediata y cuáles no; la matriz tiene como finalidad determinar la aceptabilidad de los
riesgos analizados, para priorizar la intervención y el plan de trabajo.
Ilustración 8. Matriz de Probabilidad e Impacto
Fuente: www.ceolevel.com
38
6.2.4.2 Análisis Cuantitativo
El análisis cuantitativo es la evolución matemática de la probabilidad de cada riesgo y sus
consecuencias en las salidas del proceso. El análisis de riesgo cuantitativo utiliza técnicas para
determinar la probabilidad de conseguir los objetivos específicos del proceso objeto de estudio,
Cuantificar el valor esperado del riesgo y sus probabilidades de ocurrencia y aportar a determinar
la mejor decisión del direccionamiento del proceso cuando algunas condiciones o resultados son
inciertos
El análisis cuantitativo de riesgos debe aplicarse nuevamente después de la planificación de la
respuesta a los riesgos, también como parte del seguimiento y control de riesgos, para luego
determinar si el riesgo dentro del proceso ha sido reducido satisfactoriamente.
6.2.5 Tratamiento del Riesgo
La tercera Fase tiene como salida la determinación de las acciones del tratamiento para intervenir
a los riesgos, detalla la descripción de la acción, asignación de responsables, plazos, requisitos y
recursos. El tratamiento comprende decisiones sobre eliminar la fuente del riesgo, cambiar la
probabilidad de que ocurra, cambiar las consecuencias, entre otras. La decisión también debe
balancear el costo de oportunidad frente a las oportunidades, requisitos reglamentarios, legales y
otros. La herramienta más usada en la fase de tratamiento es el Juicio de Expertos. En la Tabla 8
se resumen las herramientas que se sugieren para llevar a cabo el tratamiento del riesgo.
39
Tabla 8. Resumen de herramientas para el tratamiento del riesgo
Entradas a la Fase
Salidas de la Fase Criterio de Selección
de Herramientas Herramientas
Valor esperado
del Riesgo
Acciones para Mejorar oportunidades Acciones para Disminuir amenazas Control para los riesgos Modificación de los riesgos
Coincidencia entre los Estándares
consultados. Reactivas y proactivas
Entrevistas Estructuradas
/ Juicio de Expertos.
Fuente: Elaboración Propia
Dentro del plan de tratamiento se debe considerar las medidas de seguimiento, ayudando al proceso
de gestión de riesgos a seleccionar medidas eficaces, porque el mismo tratamiento puede
desencadenar nuevos riesgos que deben ser valorados dentro del mismo plan de tratamiento, la
norma ISO 31000 recomienda identificar y valorar el vínculo entre los dos riesgos.
6.2.6 Herramienta de Recopilación de Información
Matriz de Gestión de Riesgos
La matriz de gestión de riesgos, es una herramienta complementaria y de soporte a las técnicas y
herramientas que se evaluaron previamente en los estándares consultados, es una recopilación de
las variables claves que deben considerarse en todo el proceso de gestión de riesgo, tiene como
objetivo contribuir al mejoramiento continuo de los procesos, mediante un análisis sistémico,
contribuye a identificar y analizar los riesgos de los proyectos de cualquier naturaleza, asegurando
que se tienen en cuenta todos los riesgos que son potencialmente concebibles, esta herramienta
evalúa la probabilidad de ocurrencia y el impacto de las consecuencias para cada riesgo, mediante
40
los cuales, se realizará el cálculo del valor esperado, para priorizar los riesgos, sobre las cuales
habrá que actuar con un tratamiento para evitar que afecten el proyecto. (ICONTEC, 2011).
La matriz es una herramienta dinámica que permite que los usuarios mantengan una política de
prevención y mejora, adopta acciones correctivas y preventivas para eliminar causas pertenecientes
al riesgo en cada proceso, además de valorar la eficacia de las acciones tomadas mediante la
asignación de responsables, el seguimiento y la verificación.
Fase 1: Conformación del Equipo interdisciplinario
El equipo encargado del proceso evaluación de riesgos, debe ser multidisciplinario, los integrantes
deben conocer el proceso, Se recomienda formar un grupo con las diferentes áreas involucradas y
que interactúan con el proceso, además de involucrar personas que tenga conocimientos en técnicas
estadísticas, métodos y herramienta de mejoramiento y calidad, también se debe elegir un
responsable del documento el cual debe tener competencias de análisis y solución de problemas.
Algunas de las actividades del responsable son:
1. Formular, orientar, dirigir y coordinar la implementación del proceso de gestión de riesgos.
2. Asegurar el cumplimiento y desarrollo de cada una de las etapas del proceso de gestión de
riesgos.
3. Informar a la dirección sobre los avances de la implementación de la planificación y proceso de
gestión de riesgos.
4. Asegurar el cumplimiento de las acciones establecidas en el proceso de gestión de riesgos.
41
5. Capacitar a los participantes en la metodología y el proceso de evaluación de riesgos.
Responsabilidades del Equipo Interdisciplinario
1. Seleccionar la evaluación sobre el cual se va a implementar el proceso de evaluación de riesgos.
2. Implementar el proceso de evaluación de riesgos.
3. Proponer medidas de mejora y solución a problemas.
4. Consolidar la información en la matriz de registro de riesgos.
Fase 2: Preparar el Documento
Se deberán hacer una o varias reuniones para recopilar la información necesaria para el ingreso a
la matriz, se hace uso del conocimiento y habilidades del equipo para el manejo de las técnicas de
análisis, herramientas de solución de problemas más adecuada para proceso objeto de estudio. Las
técnicas que se sugieren en este trabajo se escogieron por la coincidencia entre los estándares
consultados, sin embargo, es importante aclarar que la naturaleza de la empresa y el proceso objeto
de estudio puede requerir otro tipo de herramientas que arrojarán la información que requiere la
matriz. Se recomienda Excel® como sistema informático para el registro de la información. En la
Tabla 9 se muestran las variables consignadas en la matriz de gestión de riesgos y su respectiva
definición:
42
Tabla 9. Variables Consignadas en la Matriz de Gestión de Riesgos.
N° VARIABLE DESCRIPCIÓN DE CAMPOS
1 Número Numero único del riesgo
2 Riesgo Posibilidad de ocurrencia de un evento que produce un efecto negativo o positivo en los objetivos del proceso.
3 Causa Raíz
Es la razón de la ocurrencia de un evento o suceso que genera el Riesgo. Las causas relacionadas deben ser lo más concisas y completas posibles, de modo que las acciones correctoras y/o preventivas puedan ser orientadas hacia las causas pertinentes.
4 Consecuencia Hecho o acontecimiento derivado o que resulta de los riesgos. 5 Evaluación Grupo de evaluación al que corresponde el riesgo 6 Fecha de identificación Fecha en que se identificó el riesgo
7 Probabilidad
Grado de posibilidad de que ocurra un evento no deseado y pueda producir consecuencias. El índice de la ocurrencia representa más bien un valor intuitivo más que un dato estadístico matemático, a no ser que se dispongan de datos históricos de fiabilidad o se haya modelado y previsto con anterioridad.
Fuente: Elaboración Propia
43
Tabla 10. Continuación Variables Consignadas en la Matriz de Gestión de Riesgos.
N° VARIABLE DESCRIPCIÓN DE CAMPOS
8 Estimación de Probabilidad
Calificación dada en números según los criterios de calificación.
9 Objetivo Afectado Objetivos del proceso afectado (Alcance, Tiempo, Costo, Calidad)
10 Impacto
Este parámetro está directamente relacionado con los efectos del modo de falla, este debe considerar las posibles consecuencias sobre las partes interesadas (clientes, colaboradores, accionistas, proveedores y el entorno)
11 Estimación del Impacto
Calificación dada en números según los criterios de calificación
12 Valor Esperado
Es el resultado de evaluar los criterios definidos por la empresa para analizar los Riesgos (Probabilidad y Consecuencia). Se calcula multiplicando los valores de los dos criterios: VALOR ESPERADO (VA) = PROBABILIDAD * IMPACTO. Valoración del riesgo: Decisión de si el riesgo es aceptable o no dependiendo de los colores de la matriz de relaciones entre los dos criterios de (Probabilidad e Impacto). Esta casilla toma como entrada el nivel de riesgo, y tiene como finalidad determinar la aceptabilidad de los riesgos analizados, para priorizar la intervención y el plan de trabajo.
13 Tipo de riesgo Valor Monetario Esperado del Riesgo: Resulta de multiplicar la probabilidad x el impacto.
14 Total Valor Esperado
(P*I) Suma del valor esperado del alcance, tiempo, costo y calidad
15 Estrategia Respuestas proporcionadas que pueden utilizarse en caso de que ocurra un evento disparador específico
16 Acción a tomar Opciones y acciones para mejorar las oportunidades y reducir las amenazas presentadas en el proceso
17 Descripción de Costo Detalle de los costos del plan de acción 18 Unidad Tipo de unidad de los costos 19 Cantidad Número de unidades de los costos 20 Valor unitario Costo unitario 21 Costos ($) Valor total (Cantidad * Valor Unitario)
Fuente: Elaboración Propia
44
7. Aplicación - Caso de Estudio
Con el objetivo de aplicar la metodología desarrollada, se toma como referencia el proceso de
cartera de la empresa FAM Agencia Marítima ubicada en la sede de la ciudad de Cali al cual se le
aplica la metodología para gestionar los riesgos inherentes a las actividades generadas dentro del
proceso, involucrando las partes interesadas que intervienen.
Adicionalmente y dando cumplimiento al logro de uno de los objetivos del trabajo se realiza el
diagnóstico de la empresa con relación al cumplimiento de los requisitos de la norma NTC ISO
31000:2011; esto con la finalidad de evaluar su estado de cumplimiento frente a la norma y poder
así sustentar su implementación y adaptación a los sistemas de gestión con los que la empresa
cuenta actualmente.
7.1. Diagnóstico de la empresa
La empresa Frontier Agencia Marítima S.A. suministra soluciones logísticas y de servicios a
clientes usuarios por vía marítima. El factor diferencial de ellos se basa en tecnología de punta, que
permite la eficiencia en las operaciones, la adaptabilidad y la atención personalizada a los clientes.
En la Tabla 11 se muestra la misión y visión:
45
Tabla 11. Misión – Visión
Misión Visión Suministrar soluciones logísticas y de servicios a nuestros clientes usuarios, por vía marítima a nombre de nuestros representados, dentro del marco de los principios éticos y legales, con un grupo humano motivado y con vocación de servicio
FAM Agencia Marítima S.A., será líder en el agenciamiento y desarrollo de soluciones y servicios logísticos de Transporte Marítimo innovando de manera permanente con tecnología en sistemas de información
Fuente: Suministrada de la página web de la Empresa
Debido a que la aplicación del modelo se lleva a cabo al proceso de cartera, se presenta en el Anexo
2 Caracterización del proceso de cartera FAM Agencia Marítima S.A., adicionalmente se presentan
en la Tabla 12 los factores internos y externos de riesgo que pueden afectar el desempeño y
cumplimiento de los objetivos del proceso, esto como parte de la contextualización estratégica.
Tabla 12. Factores internos y Externos del proceso de cartera.
Factores INTERNOS
Factor Interno Descripción
Infraestructura 1. Disponibilidad de Activos 2. Capacidad de los activos 3. Fácil acceso al capital de trabajo
Personal
1. Fraude interno de empleado 2. Robo de información, base de datos (clientes y proveedores) 3. Inadecuado proceso de selección y contratación de personal para análisis y gestión de Cartera 4. Infracción a las normas de Seguridad y salud en el trabajo
Proceso
1. Carencia de capacitación en gestión documental 2. Inadecuado proceso de inducción y formación en cartera 3. Error en digitación de información en el sistema 4. Omitir filtros documentales 5. Incumplimiento de indicadores de gestión (Rotación de Cartera, Presupuesto de recaudo, Cartera >90 días)
46
Tecnología
1. Integridad de datos 2. Disponibilidad de datos y sistemas 3. Delitos informáticos, robo de información y base de datos 4. Debilidad en el comercio electrónico 5. Carencia de políticas de seguridad de la administración de Software y Hardware
Factores EXTERNOS
Factores Externos Descripción
Económicos
1. Disponibilidad de Capital del cliente 2. Lavado de activos 3. Patrimonio del cliente (solvencia económica) 4. Incremento en volúmenes de crédito
Políticos
1. Crecimiento económico. 2. Golpes de estado. 3. Inflación 4. Cambios de gobierno 5. Cambios en normatividad legal 6. Política Publica
Sociales
1. Integridad u honradez del cliente 2. Orden Público puerto de buenaventura y Cartagena 3. Terrorismo 4. Comercialización de productos no autorizados en contenedores.
Tecnológicos 1. Fallas de Software 2. Fallas de hardware 3. Fallas en telecomunicación
Fuente: Elaboración Propia
Para elaborar el diagnóstico de la empresa se tomó como referencia los requisitos de la norma NTC
ISO 31000:2011 y se evaluó su grado de cumplimiento teniendo en cuenta los criterios presentados
en la Tabla 13.
47
Tabla 13. Criterios para Diagnóstico de la Empresa vs Norma.
CRITERIOS CALIFICACIÓN
Criterio no cumplido en la empresa 1
Criterio que se cumple, pero no está documentado 2
Criterio que se cumple y está documentado 3
Criterio se cumple, está documentado y se evalúa frecuentemente 4 Criterio que se cumple, está documentado, se evalúa frecuentemente y se generan planes de acción para el mejoramiento continuo
5
Fuente: Elaboración Propia
En el Anexo 3 se presenta la información consolidada del resultado obtenido del diagnóstico del
grado de cumplimiento frente a la norma NTC ISO 31000:2011.
Es de anotar que todo criterio evaluado y que cuente con una calificación inferior a 5, deberán
generarse actividades estructuradas y con base al ciclo PHVA13 para lograr la documentación y
cumplimiento del requisito, desde su elaboración hasta la generación de planes de acción que
garanticen su implementación en el tiempo.
Como resultado la empresa y luego de evaluar la información logra cumplir con una calificación
del 54% de los requisitos establecidos, siendo una calificación baja pese a contar con la
implementación del sistema de gestión de calidad bajo la norma ISO 9001:2015, en las
observaciones del diagnóstico se generan algunas recomendaciones para la empresa para
implementar el sistema de gestión de riesgos e incrementar la calificación toda vez se vayan
implementando las mejoras.
13 CICLO PHVA: También conocido como ciclo Deming. En español sería PHVA (Planificar-Hacer-Verificar-Actuar).
48
7.2 Plan de Evaluación del Riesgo
Con el objetivo de evaluar la probabilidad basada en la ocurrencia del riesgo en la gestión del
proceso se generan los criterios de probabilidad. Con el objetivo de simplificar la metodología en
aras de que cualquier persona que interactúe con el proceso pueda aplicarla, se define de manera
cuantitativa una escala de 1 a 5 desde la probabilidad de ocurrencia muy baja hasta muy alta;
adicionalmente se define la frecuencia de la probabilidad partiendo de la información obtenida del
proceso con relación a la ocurrencia de eventos dentro de la empresa que hayan involucrado al
proceso de cartera y la frecuencia de los mismos. A continuación, en la Tabla 14 se consolidan los
criterios de probabilidad.
Tabla 14. Criterios de probabilidad
CALIFICACIÓN DE PROBABILIDAD Concepto Muy Baja Baja Moderada Alta Muy Alta Calificación 1 2 3 4 5
Definición
Puede ocurrir solo en
circunstancias excepcionales
Pudo ocurrir en algún momento
Podría ocurrir en
algún momento
Probablemente ocurrirá en la
mayoría de las circunstancias
Se espera que ocurra en la
mayoría de las circunstancias
Frecuencia No en la historia
Reciente
1 vez últimos 5 años
1 vez últimos 2 años
1 vez último año
+ de 1 vez al año
Fuente: Elaboración Propia
Con el objetivo de evaluar el impacto basado en el efecto final o en el impacto del riesgo durante
los procesos, se presenta la Tabla 15 de los criterios de impacto.
49
Tabla 15. Criterios de Impacto
EVALUACIÓN DE IMPACTO Concepto Insignificante Menor Moderado Mayor Catastrófico
Calificación 1 2 3 4 5
Definición
Tendría efectos mínimos sobre los objetivos del proceso
Tendría bajo impacto sobre los objetivos del proceso
Tendría medianos efectos sobre los objetivos del proceso
Tendría altos efectos sobre los objetivos del proceso
Tendría desastrosos efectos sobre los objetivos del proceso
TIPOS DE IMPACTOS
Confidencialidad
de la información
De manera personal, pero
no sensible
De carácter reservado o
privado a nivel personal
De manejo del proceso, pero no sensible
De carácter reservado o
privado a nivel de proceso
De carácter reservado o privado a
nivel empresarial
Credibilidad e imagen
A nivel de grupos de
funcionarios y/o servidores
A nivel de todos los
funcionarios y/o servidores
A nivel de usuarios
A nivel de región
A nivel País y/o del exterior
Financiero (en SMMLV)
De 0 a menos de 5
>= 5 y <10 >= 10 y <20 >= 20 y <50 >= 50
Legal Multas
pedagógicas o monetarias
Demandas civiles,
laborales, administrativas,
denuncias, tutelas
Investigaciones disciplinarias
Investigaciones fiscales
Intervenciones y/o sanciones penales, cierre de la empresa.
Operativo Ajustes a una
actividad concreta
Cambios a procedimientos
Cambios en la interacción a los procesos
Interrupción temporal,
intermitencia, pausas en el
servicio
Suspensión, paro del servicio.
Fuente: Elaboración Propia
En la Tabla 16 Se calculó el valor esperado del riesgo multiplicando la Probabilidad por el
Impacto.
50
Tabla 16. Cálculo del valor esperado del riesgo
PROBABILIDAD (Valor esperado – cualitativo)
IMP
AC
TO
Muy baja (1)
Baja (2)
Moderada (3)
Alta (4)
Muy Alta (5)
Insignificante (1) Baja Baja Baja Baja Moderada
Menor (2) Baja Baja Moderada Moderada Alta
Moderado (3) Baja Moderada Moderada Alta Alta
Mayor (4) Baja Moderada Alta Alta Alta
Catastrófico (5) Moderada Alta Alta Alta Alta
Valor esperado - Cuantitativo Insignificante (1) 1 2 3 4 5 Menor (2) 2 4 6 8 10 Moderado (3) 3 6 9 12 15 Mayor (4) 4 8 12 16 20 Catastrófico (5) 5 10 15 20 25
Fuente: Elaboración Propia
En la Tabla 17 se clasifica el tipo de riesgo, esto se hace después de obtener los resultados de la
estimación del riesgo.
Tabla 17. Clasificación de tipo de riesgos
Tipo de Riesgo Probabilidad x Impacto
Alto Mayor o igual a 10 Moderado Entre 5 y 9 Bajo Menor o igual a 4
Fuente: Elaboración Propia
En la Tabla 18 se nombran las opciones de estrategia para riesgos positivos y negativos de acuerdo
a las necesidades del proceso. Dependiendo del tipo de riesgo identificado se puede clasificar la
estrategia para abordar el riesgo, ya sean positivos u oportunidades o negativos o amenazas. La
51
definición de estrategia a desarrollar es otra variable para la clasificación del riesgo dentro de la
matriz, y no es resultado de cruzar la matriz 5 x 5 de probabilidad vs impacto.
Tabla 18. Estrategias para riesgos negativos o positivos
PARA RIESGOS NEGATIVOS O AMENAZAS Evitar Cambiar el plan, objetivos, etc. Transferir Pasarlo a una aseguradora Mitigar Reducir la probabilidad o impacto del riesgo Aceptar No hacer nada
PARA RIESGOS POSITIVOS U OPORTUNIDADES Explotar Aprovechar la oportunidad Compartir Adjudicar la propiedad del riesgo a alguien más capacitado para
sacarle provecho Aumentar Identificar y potenciar las probabilidades o impacto del riesgo
Fuente: Elaboración Propia
7.3 Identificación del Riesgo
El equipo evaluador escogió para el proceso de identificación de riesgos la herramienta lluvia de
ideas, a través de una reunión generó un listado de los posibles riesgos para el proceso de cartera,
el formato fue proporcionado por el grupo de evaluación de riesgos de acuerdo a lo implementado
en la empresa con el sistema de gestión de calidad (ver Anexo 4). Este debía ser diligenciado con
los resultados de la lluvia de ideas de cada participante – Analistas de cartera de cada una de las
sedes-. Posteriormente se tabularon los riesgos identificados por cada analista obteniendo los 12
riesgos más relevantes – los más relevantes van en función de la cantidad de veces identificado por
cada uno de los analistas y el argumento presentado frente al riesgo-.
52
En la siguiente Tabla 19 se presenta el formato diligenciado con una recopilación de 12 riesgos
identificados para todas las evaluaciones.
Tabla 19. Formato para Identificación de Riesgos
Fuente: Elaboración Propia
N° RIESGO CAUSA RAIZ CONSECUENCIA FACTOR
1Carencia de flujo de caja para
transacciones comerciales
Mora en el pago de
obligaciones financieras por
parte de los clientes
Insolvencia económica Económico
2
Incremento nivel de endeudamiento
con entidades financieras para
soportar operación.
La administración de los
recursos financieros y
morosidad de los clientes
Difícil acceso a capital de
trabajoEconómico
3Pagos inadecuados por
desconocimiento del cliente
Falta de información al cliente
de como realizar los pagos
Devoluciones o cobros por
pagos mal realizadosEconómico
4Aplicar pagos sin antes verificar el
ingreso del dinero en banco
Falta de revisión previa en los
estados de cuentas de las
cuentas bancarias
Liberación de mercancía sin
previa cancelación de las
facturas
Económico
5Gestionar el cobro de facturas sin
el envío de las mismas
Falta de control de las facturas
generadas al momento de la
distribución
Al cliente no le llega la factura y
se presenta reclamaciónEconómico
6Reclamación por facturas
expedidas con errores en la tarifa
Tarifa errada al momento de
facturar
Envío de facturación errada a
los clientesEconómico
7 Perdida o hurto de información
1. Fraude interno del
empleado
2. Gestión documental
inadecuada
Procesos legales por ley de
protección de datosPersonal
8 Ataque cibernético
Inadecuadas políticas de
seguridad Software y
Hardware
Hurto de información,
inoperatividad o cese de
actividades comerciales
Tecnológico
9Deterioro y perdida de los
soportes físicosAlmacenamiento incorrecto
La no respuesta a tiempo de
solicitudes realizadas ya que no
se localizan los soportes
Procesos
10Generar estados de cartera
errados por fallas en el sistema
Falta de comunicación entre el
área de sistemas con cartera al
momento de realizar algún
ajuste o mantenimiento
Enviar a los clientes estados de
cartera con erroresProcesos
11Utilización de base de datos con
información errada del cliente
Creación incorrecta de los
clientes
Generación errada de informes
requeridos o documentos
solicitados
Procesos
12Lavado de activos y financiación
del terrorismo por parte del cliente
No validación adecuada de la
información y documentación
suministrada por el cliente
Sanciones legales por
transacciones comerciales con
clientes al margen de la ley
Social
53
7.4 Análisis cualitativo
En la Tabla 20 Formato análisis cualitativo del Anexo 5 se realizó una estimación de riesgos
mediante la calificación de la probabilidad vs impacto, obteniendo un valor esperado por objetivo
y finalmente un valor esperado total. Los riesgos se ubican en rangos y se clasifican como Muy
Alto, Alto, Medio, Bajo y Muy Bajo, luego se ordenan de Mayor a menor y se aborda cada uno de
acuerdo a su prioridad.
7.5 Matriz de Gestión del Riesgo
En la Tabla 6 del Anexo 1 se listan los riesgos considerando el criterio de abordar prioritariamente
los riesgos que tienen un valor esperado mayor correspondientes a riesgos Muy altos y Altos; los
recursos, las actividades y planes de acción para mitigar el impacto del riesgo.
54
8. Conclusiones
Todas las metodologías consultadas abordan de manera implícita 5 pasos fundamentales
para la gestión del riesgo: Realizar el plan de evaluación del riesgo, Identificar los riesgos,
Hacer lista de verificación, Clasificar los riesgos según sus causas y ocurrencia, Evaluar
los riesgos y dependiendo de los resultados obtenidos se establecen los planes a seguir y se
presentan los resultados, direccionadas siempre a la gestión basada en procesos.
El desarrollo de este trabajo y los resultados expuestos, contribuye al fortalecimiento e
interiorización de la cultura de autocontrol y autogestión en la empresa FAM agencia
Marítima S.A. partiendo como prueba piloto la aplicación al proceso de cartera;
estableciendo los principales factores de riesgo internos y externos que afectan el
desempeño, rentabilidad, resultados y sostenibilidad del proceso, para minimizar posibles
impactos negativos con la implementación de controles sugeridos para dichos riesgos.
La consolidación de la matriz de riesgo del proceso de cartera plantea a la empresa enfocar
sus esfuerzos principalmente en controles hacia los colaboradores (capacitación y
reinducción de la gestión documental), principalmente en el análisis de la información de
los clientes y revisión permanente del estado de cartera con las variables de decisión y
control para minimizar el error.
55
9. Bibliografía
Aplicación de la gestión de riesgos en los principales procesos de una PYME
comercializadora. Escuela de Ingeniería de Antioquia. Proyecto final 2012.
AS/NZS 4360:1999. Estándar australiano, 1999.
Cartilla Guía Mapa de Riesgos Oficina de Control Interno Sistema de Gestión Integral de
la Calidad, Universidad del Magdalena 2014.
Diseño del sistema de gestión en seguridad en una empresa transportadora de carga.
Universidad Javeriana. Proyecto final de carrea. 2013.
GAVIRIA JUÁREZ, Miguel Ángel. Administración de riesgos organizacionales, aplicado
a una entidad del gobierno del Distrito Federal con base al modelo iso-31001; evaluando
los riesgos financieros y operacionales. México. 2012.
Gestión de riesgo empresarial en una empresa de transporte. Pontificia Universidad
Católica del Perú, proyecto final de carrera. Lima – Perú 2017.
Guía para la Administración del Riesgo, Departamento Administrativo de la Función
Pública (DAFP), 2011.
Instituto Colombiano de Normas Técnicas-ICONTEC, 2011.
56
NADAL, Josep. La gestión de riesgos como fuente de ventaja competitiva sostenible.
Harvard Deusto Business Review. Noviembre 2011.
ORTEGÓN, EDGAR. Metodología del marco lógico para la planificación, el seguimiento
y la evaluación de proyectos y programas. [en línea] [Chile]: Santiago, CEPAL, 2005.
Propuesta sistema de control de gestión en una empresa de transporte Chilena. Universidad
de Chile Facultad de Economía y Negocios. Santiago de Chile 2013.
Soto Guzmán & Rubio Bohórquez, 2013. Diseño de un Sistema de Gestión de Riesgo en
una IPS Hospitalaria de Primer Nivel. Bogotá: Universidad EAN.
57
Anexo 1. Tabla 6. Matriz de Gestión de Riesgo (del 1 al 6)
Fuente: Elaboración Propia
NOMBRE DEL PROCESO: Cartera
OBJETIVO: Realizar gestiones efectivas para mantener al día la cartera y legalizados los ingresos recibidos.
ALCANCE:
N
°Riesgo Causa Raíz Consecuencia
Fecha
IdentificaciónProbabilidad
Est
imac
ión
pro
bab
ilid
ad
1Carencia de flujo de caja para
transacciones comerciales
Mora en el pago de obligaciones
financieras por parte de los clientesInsolvencia económica 18/06/2018 Alta 4
2
Incremento nivel de endeudamiento
con entidades financieras para soportar
operación.
La administración de los recursos
financieros y morosidad de los clientesDifícil acceso a capital de trabajo 18/06/2018 Alta 4
3Pagos inadecuados por
desconocimiento del cliente
Falta de información al cliente de como
realizar los pagos
Devoluciones o cobros por pagos mal
realizados18/06/2018 Baja 2
4Aplicar pagos sin antes verificar el
ingreso del dinero en banco
Falta de revisión previa en los estados
de cuentas de las cuentas bancarias
Liberación de mercancía sin previa
cancelación de las facturas18/06/2018 Muy Baja 1
5Gestionar el cobro de facturas sin el
envío de las mismas
Falta de control de las facturas
generadas al momento de la
distribución
Al cliente no le llega la factura y se
presenta reclamación18/06/2018 Moderada 3
6Reclamación por facturas expedidas
con errores en la tarifaTarifa errada al momento de facturar
Envío de facturación errada a los
clientes18/06/2018 Moderada 3
Hacer gestión de cobro e identificar los pagos recibidos , liquidarlos y elaborar
VARIABLES
MATRIZ DE GESTIÓN DE RIESGO
58
Anexo 1. Tabla 6. Matriz de Gestión de Riesgo continuación (del 1 al 6)
Fuente: Elaboración Propia
N
°Objetivo Afectado Impacto
Est
imaci
ón
Imp
act
o
Valor
esperado
Tipo de
riesgoEstrategia Acción a Tomar Descripción de Costo
1Cumplir Presupuesto de
recaudo de carteraCatastrófico 5 20 Alto
Generar acuerdo de pago con
los clientes. Aumentar gestión de cobro y visitas a los clientes
Viáticos desplazamientos
clientes en la ciudad de Cali
2 Liquidez de la empresa Mayor 4 16 Alto Reestructuración financieraConciliar con los bancos y reestructurar obligaciones
financieras. Mejorar nivel de apalancamiento
Incremento tasas de interés por
refinanciación
3Rotar la cartera < 45
díasCatastrófico 5 10 Alto
Analizar los estados de cartera
real de los clientes y
comunicación directa con ellos
Generar los listados por edades de las carteras, analizar
la información y comunicación directa con el cliente para
cruzar saldos y cuadrar cartera
Incremento en la gestión de
cobro (llamadas telefónicas)
4Cumplir Presupuesto de
recaudo de carteraMenor 2 2 Bajo
Evaluar y estructurar los
programas de formación y
capacitación en gestión de
cartera
Desarrollar plan de capacitación sobre manejo de la
aplicación y esquemas a tener en cuenta para conciliar
bancos con información real
Capacitación virtual a los
analistas de carteras sobre
conciliaciones de bancos y
revisión de información
5
Cumplimiento del
cronograma de
actividades programadas
Moderado 3 9 AltoContar con un control sobre
facturas generadas para el envío
Desarrollar listados diarios de facturas generadas para
evitar pasar por alto un consecutivo
Incremento en el consumo de
insumos (papel / tinta para
impresión del los listados)
6
Cumplimiento del
cronograma de
actividades programadas
Moderado 3 9 Alto
Revisar con anticipación los
valores correspondientes según
los cargos aceptados
Verificar Tie out de impo/expo con anticipación para
revisar que las tarifas estén correctas antes de generar la
facturación
Incremento en el consumo de
insumos (papel / tinta para
impresión del los listados)
V
59
Anexo 1. Tabla 6. Matriz de Gestión de Riesgo (del 7 al 12)
Fuente: Elaboración Propia
NOMBRE DEL PROCESO: Cartera
OBJETIVO: Realizar gestiones efectivas para mantener al día la cartera y legalizados los ingresos recibidos.
ALCANCE:
N
°Riesgo Causa Raíz Consecuencia
Fecha
IdentificaciónProbabilidad
Est
imaci
ón
pro
bab
ilid
ad
7 Perdida o hurto de información 1. Fraude interno del empleado
2. Gestión documental inadecuada
Procesos legales por ley de protección
de datos18/06/2018 Moderada 3
8 Ataque cibernéticoInadecuadas políticas de seguridad
Software y Hardware
Hurto de información, inoperatividad o
cese de actividades comerciales18/06/2018 Muy Baja 1
9Deterioro y perdida de los soportes
físicosAlmacenamiento incorrecto
La no respuesta a tiempo de
solicitudes realizadas ya que no se
localizan los soportes
18/06/2018 Muy Baja 1
10Generar estados de cartera errados
por fallas en el sistema
Falta de comunicación entre el área de
sistemas con cartera al momento de
realizar algún ajuste o mantenimiento
Enviar a los clientes estados de cartera
con errores18/06/2018 Baja 2
11Utilización de base de datos con
información errada del clienteCreación incorrecta de los clientes
Generación errada de informes
requeridos o documentos solicitados18/06/2018 Baja 2
12Lavado de activos y financiación del
terrorismo por parte del cliente
No validación adecuada de la
información y documentación
suministrada por el cliente
Sanciones legales por transacciones
comerciales con clientes al margen de
la ley
18/06/2018 Muy Baja 1
Hacer gestión de cobro e identificar los pagos recibidos , liquidarlos y elaborar
VARIABLES
MATRIZ DE GESTIÓN DE RIESGO
60
Anexo 1. Tabla 6. Matriz de Gestión de Riesgo continuación (del 7 al 12)
Fuente: Elaboración Propia
N
°Objetivo Afectado Impacto
Est
imac
ión
Imp
acto
Valor
esperado
Tipo de
riesgoEstrategia Acción a Tomar Descripción de Costo
7
Cumplimiento del
cronograma de
actividades programadas
Menor 2 6 Moderado
Implementar sistema de
seguridad y control de la
información
Establecer procedimientos de seguridad y acceso a las
área donde se almacena la información.
Mediante directorio activo crear carpetas de acceso con
restricciones y claves de seguridad.
Tiempo invertido por el
personal de sistemas para
modificar los protocolos de
seguridad.
8
Objetivo que
corresponde a la
interacción con otros
procesos.
Catastrófico 5 5 Moderado
Instalar programas que protejan
los equipos de computo de
ataques cibernéticos
Blindar el sistema ERP de la empresa con Antivirus y
protocolos de seguridad informática.
Restringir mediante IP publica el acceso externo a la red
interna de la empresa.
Licencia del Antivirus, Costos
de tecnología para restringir
accesos externos
9
Cumplimiento del
cronograma de
actividades programadas
Catastrófico 5 5 Moderado
Contar con una área adecuada
para el almacenamiento de los
documentos
Determinar donde se ubicaran los documentos
archivadosInversión en archivadores
10Indice de cartera > 90
días. Menor 2 4 Moderado
Contar con una programación
adecuada para que ambas áreas
estén informadas
Programar con anticipación los mantenimientos
preventivos o ajustes del sistema (actualizaciones
permanentes) con las respectivas pruebas de
funcionamiento.
Costos de acuerdo al
cronograma de mantenimiento
preventivo del software y
Hardware de la empresa.
11
Cumplimiento del
presupuesto de recaudo
de cartera.
Menor 2 4 Moderado
Evaluar requerimientos de
capacitación de personal de
Cartera
Capacitar al personal para la correcta revisión de
documentos
Costos de plan anual de
capacitación.
12Presupuesto de recaudo
de carteraInsignificante 1 1 Bajo
Realizar la revisión adecuada en
las diferentes centrales de riesgo
Dar a conocer al personal de cartera las centrales de
riesgos requeridas por la empresa para la revisión
Uso de internet y recurso
humano para análisis de
informacióin.
V
61
Anexo 2. Caracterización del proceso de Cartera FAM Agencia Marítima
Fuente: Copia no controlada Sistema de Gestión de Calidad de la empresa
62
Anexo 3. Diagnóstico del grado de cumplimiento de requisitos de la norma NTC ISO 31000:2011.
Fuente: Elaboración Propia
1 3
2 3
4 2
5 3
6 3
7 2
8 2
9 3
10 3
11 4
12 3
13 2
14 2
15 1
3
Se encuentran definidos y documentados los objetivos del sistema de gestión del riesgo
para cada función y nivel pertinente dentro de la organizaciónPlanificar los objetivos y medir su desempeño en el
tiempo para generar los planes de acción conforme las
oportunidades de mejora detectadas. Los objetivos cuentan con indicadores medibles, de acuerdo a su desempeño
Se comunica a todo el personal los objetivos del proceso en el cual interactuan
Procedimiento definido para la implementación de medidas de control
Existen medidas de control para los riesgos identificados y evaluados
Cuenta con una valoración completa de todos los riesgos significativos
La organización tiene definido los requisitos legislativos y regulatorios que la rigenSe debe aplicar el marco legal según la actividad
económica de la empresaLa organización mantiene actualizada y comunicada los requisitos legales para operar
adecuadamente y cumplimiendo con la normatividad legal
Política de Gestión de riesgo definida, aprobada por la gerenciaSe han establecido politicas de seguridad y gestión del
riesgo, pero se deben establecer unos objetivos que
justifiquen estas politicas plasmadas por la empresa.
Objetivos generales de la gestión del riesgo definidos
Compromiso definido para el mejoramiento continuo del sistema de gestión del riesgo 2
Procedimiento definido para la identificación de Riesgos/Peligros (actividades rutinarias
y no rutinariasSe debe realizar una estructura de los procedimientos
por riesgo, o un protocolo por tarea de trabajo, que
identifiquen los riesgos en los procesos, con el fin de
mejorar estas condiciones con las medidas de control
establecidas.
Los riesgos se encuentran definidos
Procedimiento definido para la evaluación de riesgos
Existen evaluaciones de los riesgos identificados
GRADO DE CUMPLIMIENTO DE LOS REQUISITOS QUE EXIGE
LA NORMA (NTC) ISO 31000:2011
GRADO DE
CUMPLIMIENTO 54%
N° DESCRIPCION
Cu
mp
lim
ien
to
OBSERVACIONES Y ACTIVIDADES A
DESARROLLAR
63
Fuente: Elaboración Propia
36 5
37 2
38 2
39 3
40 3
41 5
42 3
43 4
47 2
48 3
49 3
TOTAL CALIFICACIÓN 133
GRADO DE CUMPLIMIENTO DE REQUISITOS 54%
44
46
45 Existe un procedimiento para realizar las auditorias periódicas 3 Realizar mas adelante la interacción entre la iso 9001 y
las oshas 18001 para dar con los cumplimientos
establecidos de estos sistemas de gestión.Existe una programacion sobre auditorias a ejecutarce durante el año 2
La alta gerencia revisa periodicamente el sistema de gestión de riesgo para asegurar
su efectividad Garantizar mediante una politica que los proceso y
procedimiento de gestió del riesgo se han revisados
periodicamente por gerencia para dar su cumplimiento.
Se genera un informe sobre la revisión por la dirección del sistema de gestion del
riesgo
Se registran acciones correctivas y preventivas sobre la revision por la dirección
Existe un procedimiento para el manejo de No de conformidades.Se cumple con la norma iso 9001 de 2015, solamente
implementar en los documentos del
sistema de gestión del Riesgo
Se lleva acabo acciones correctivas para mitigar las consecuencias de los riesgos y
No conformidades detectadas.
Se confirma la efectividad de las acciones correctivas y preventivas emprendidas.
La organización establece y mantiene procedimientos para la identificacion,
mantenimiento y disposicion de los registros del sistema de gestión del riesgo4
Mantener el control de documento y registros de los
procesos.
Existe un control definido para el mantenimiento de equipos.
Implementar los grupos de trabajo interdisciplinario para
optimizar la gestión del riesgo
Se verifica la conformidad de las actividades enfocadas al sistema de gestión del
Riesgo
Se investigan, analizan y registran las fallas en el sistema de gestión.
Se lleva a cabo inspecciones sistemáticas en las areas de trabajo, (listas de
Se lleva a cabo informes de las inspecciones realizadas.
17 2
18 4
19 3
20 3
21 3
22 1
23 2
24 2
25 3
26 1
27 1
28 1
29
30
31 5
32 1
33 3
34 4
35 3
16
Está establecido un procedimiento para el control de documentos de la organización. 5 Se cumple con la norma iso 9001 de 2015, solamente
implementar en los documentos del
sistema de gestión del RiesgoEstá establecido un procedimiento para el control de los registros de la organización y
su ubicación.
Están establecidos y mantenidos procedimientos relacionados con los riesgos
identificados Realizar un programa de almacenamiento adecuado
documentado y justificado, para asi realizar seguimiento
a este.
Los sitios de almacenamiento de información están definidos e inventariados.
Está definido un control de acceso al área de almacenamiento.
existen procedimientos documentados para el mantenimiento de equipos.
Existe procedimiento documentado sobre la consulta y comunicación de la información
del sistema de gestión del riesgo a los empleados.Crear sistemas de divulgacion informativa.
Los empleados son parte activa en la identificación, evaluación y control de riesgos.
Existen publicaciones (carteleras), sobre el desempeño de la gestión del riesgo
La documentación del sistema de gestión del riesgo esta identificada de manera que
opere efectiva y eficientemente. Modificar las responsabilidades.Está definida la responsabilidad y autoridad de los responsables del sistema de gestión
del riesgo
Las funciones, responsabilidades y autoridad del personal que administra, desempeña y
verifica actividades que tengan efecto sobre los riesgos están definidas.conformar equipo de trabajo para asi definir
responsabilidades en materia de gestión del riesgoEsta definido en cada cargo: la competencia, educación, habilidad, experiencia,
entrenamiento, con el cual debe contar el aspirante.
Cada cargo tiene definido el nivel de riesgo al cual puede estar expuesto.
Dentro del proceso de inducción se incluyen todos los temas relacionados con la
gestión del riesgo
Establecer un procedimiento de formación y
capacitación en materia de gestión de riesgo
Existen programas de entrenamiento, de acuerdo al nivel de riesgo que están expuestos
los empleados.
Se lleva acabo evaluaciones de entrenamiento y el nivel de competencias resultante.
Existen planes individuales de capacitación para empleados.
Se encuentran definidas las actividades para el cumplimiento de cada objetivo y el
responsable4
De acuerdo a la implementación del sistema de gestión
de la calidad, la empresa cuenta con caracterización de
cada uno de los procesos.
64
Anexo 4. Identificación de riesgos
Fuente: Copia no controlada Sistema de Gestión de Calidad de la empresa
65
Anexo 5. Tabla 20. Formato Análisis Cualitativo
Fuente: Elaboración Propia
N° Riesgo ProbabilidadEstimación de
probabilidadImpacto
Estimación
del Impacto
Valor
esperadoTipo de riesgo
12Lavado de activos y financiación del
terrorismo por parte del clienteAlta 4 Catastrófico 5 20 Muy Alto
3Pagos inadecuados por
desconocimiento del clienteAlta 4 Mayor 4 16 Muy Alto
8 Ataque cibernético Baja 2 Catastrófico 5 10 Alto
2Incremento nivel de endeudamiento
con entidades financieras para soportar Moderada 3 Moderado 3 9 Alto
5Gestionar el cobro de facturas sin el
envío de las mismasModerada 3 Moderado 3 9 Alto
10Generar estados de cartera errados
por fallas en el sistemaModerada 3 Moderado 3 9 Alto
6Reclamación por facturas expedidas
con errores en la tarifaModerada 3 Menor 2 6 Moderado
1 Carencia de flujo de caja para Muy Baja 1 Catastrófico 5 5 Bajo
9Deterioro y perdida de los soportes
físicosMuy Baja 1 Catastrófico 5 5 Bajo
4Aplicar pagos sin antes verificar el
ingreso del dinero en bancoBaja 2 Menor 2 4 Bajo
11Utilización de base de datos con
información errada del clienteBaja 2 Menor 2 4 Bajo
7 Perdida o hurto de información Muy Baja 1 Insignificante 1 1 Muy Bajo
FORMATO DE ANALISIS CUALITATIVO