DISEÑO DE LA HERRAMIENTA DE CONTROL PARA LA GESTIÓN DEL RIESGO EN LA CAJA COLOMBIANA DEL SUBSIDIO FAMILIAR

COLSUBSIDIO, BASADO EN LA METODOLOGÍA DEL INFORME COSO Y LA NTC-ISO 31000

JONATHAN ALBEIRO CORDERO NEUTO

UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA INDUSTRIAL BOGOTÁ D.C.

2017

DISEÑO DE LA HERRAMIENTA DE CONTROL PARA LA GESTIÓN DEL RIESGO EN LA CAJA COLOMBIANA DEL SUBSIDIO FAMILIAR

COLSUBSIDIO, BASADO EN LA METODOLOGÍA DEL INFORME COSO Y LA NTC-ISO 31000

JONATHAN ALBEIRO CORDERO NEUTO

Proyecto de práctica empresarial, social y solidaria

Directora Ing. Jeimmy Sandra Rojas Malaver

UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA INDUSTRIAL BOGOTÁ D.C.

2017

RESUMEN

El presente trabajo de grado presentado a la Universidad Cooperativa de Colombia, busca presentar el Diseño de una Herramienta de Control para la Gestión del Riesgo en la Caja Colombiana del subsidio familiar – Colsubsidio. El proyecto nace a partir de la necesidad de indagar como están afectando los factores o fuentes de riesgo que se presentan en la organización, de acuerdo al grado de probabilidad e impacto dentro de la organización, que pueda afectar sus intereses particulares y el alcance de objetivos. La metodología deductiva aplicada para el desarrollo del presente proyecto tuvo el enfoque de normatividad técnica (Informe COSO I y II y la NTC-ISO 31000), así como por la normatividad legal, principalmente por lo establecido en la Circular 023 de 2010 de la Superintendencia del Subsidio Familiar. A partir de la metodología establecida, en el desarrollo del primer objetivo se identificaron aquellos procesos que presentan un incremento considerable en la generación de riesgos en la organización, mediante una observación de los procesos donde mayores eventos se han generado, luego de realizar esta identificación, se procedió a crear una matriz donde se identificaron los riesgos presentados. Posteriormente en el segundo objetivo, se realizó un análisis cualitativo de los riesgos identificados para evaluarlos mediante un análisis cuantitativo y aplicar los resultados dentro de la herramienta de control para la Gestión del Riesgo. Al desarrollar el tercer objetivo, se creó una matriz para formular los planes de tratamiento de acuerdo a la gravedad arrojada en la fase de análisis y evaluación. Adicionalmente, se creó un formato para consignar las actividades a desarrollar como parte de los planes de tratamiento a los riesgos y su posterior control y monitoreo, como parte de la metodología aplicada de acuerdo a la normatividad técnica. Se establece en el cuarto objetivo, el desarrollo de capacitaciones al personal, con el fin de mostrar la importancia de llevar un correcto manejo de la Gestión del Riesgo en las organizaciones como parte del alcance de objetivos de la organización y el compromiso que debe adquirir el personal frente al tema. Además, pone a disposición de la organización la herramienta de control para su uso. Por último, el trabajo finaliza con las conclusiones y recomendaciones realizadas a la organización para una correcta administración de la gestión del riesgo, desde la identificación oportuna de los riesgos presentados en los procesos, hasta la capacitación continua al personal y las mejoras que requiera la herramienta de control para su correcto funcionamiento.

ABSTRACT

This degree work presented at the Universidad Cooperativa de Colombia, seeks to present the design of a Control tool for the management of risk in the Colombian Box of The Family Allowance - Colsubsidio. The project was born from the need to investigate how they are affecting factors or sources of risk arising in the Organization, according to the degree of likelihood and impact within the organization that may affect their interests and the scope of objectives The deductive methodology applied for the development of this project was the focus of technical regulations (COSO I & II and the NTC-ISO 31000), as well as the legal norms, mainly by the provisions of the Circular 023 of the Superintendence of the family subsidy 2010. Based on the established methodology, those processes that have a considerable increase in the generation of risks in the Organization through an observation of the processes where major events have been generated, then proceeded to create a matrix where presented risks were identified for this identification, were identified in the development of the first objective. then in the second goal, was a qualitative analysis of the identified risks for evaluation by using quantitative analysis and apply outcomes within the control tool for the risk management. Developing the third objective, a matrix was created to formulate treatment plans according to the gravity thrown in the phase of analysis and evaluation. In addition, created a format to consign the activities to develop as part of treatment plans to the risks and its subsequent control and monitoring, as part of the methodology applied according to the technical regulations. In the quarter objective, the development of training to the personal, to show the importance of carry a correct administration of the management of the risk in them organizations as part of the scope of objectives of the Organization and the commitment that must acquire the personal facing the theme. Also, puts to disposition of the organization it tool of control for their use. Finally, the work ends with conclusions and recommendations to the Organization for a correct administration of the risk management, from the timely identification of risks presented in processes, the continuous training to staff and the improvements that needed the tool of control for proper operation.

GLOSARIO

CAJA DE COMPENSACIÓN FAMILIAR: Son entidades integrales que tienen como función velar por el bienestar de los trabajadores y sus familias, por medio de los bienes y servicios que estos ofrecen, como recreación y turismo, educación, fomento de la salud, vivienda, entre otros (Comfenalco Antioquia, 2016). CAJA: Nombre asignado de manera interna a la Caja Colombiana del Subsidio Familiar Colsubsidio (Isolución-Colsubsidio, 2006). COLSUBSIDIO: Caja Colombiana del Subsidio Familiar, es una organización privada sin ánimo de lucro, que pertenece al Sistema de Protección y Seguridad Social (Colsubsidio, 2016). CONTROLES: Conjunto de mediciones requeridas para hacer debida regulación a una serie de actividades. Estas mediciones pueden ser cualitativas o cuantitativas; y buscan verificar, comprobar o regular las condiciones estandarizadas de un patrón que son consideradas normales. ESTUDIOS DE CASO: Herramienta que tiene como función la investigación de fenómenos, que se convierten en algún problema real, del que no se tiene control. FRAUDE: Es una acción que es considerada contraria a actos altruistas como la ética, la verdad y la rectitud. FUGA DE INFORMACIÓN: Es un incidente que pone en personas ajenas a los grupos y/u organizaciones, información considerada sensible o confidencial y que debe ser manejada únicamente por integrantes de los mismos. De la confidencialidad de la organización depende la gravedad de la fuga de información. GESTIÓN DEL RIESGO: Conjunto de actividades que son coordinadas para dirigir y controlar una organización con respecto al riesgo (ICONTEC, 2011). GESTIÓN HUMANA: Proceso de una organización que permite un manejo y control eficiente de las personas que integran una organización. Entre otras funciones, la Gestión Humana maneja el ambiente propicio para el desarrollo de las actividades, y la vigilancia de las necesidades de los trabajadores.

IMPACTO: Grado de interferencia de los riesgos dentro de los objetivos establecidos en los procesos o actividades desarrolladas en una organización. INFORMACIÓN Y TECNOLOGÍA (IT): Estudio, diseño, desarrollo, innovación, puesta en práctica o gerencia de los sistemas computarizados, particularmente usos de software y hardware (ITAA, 2016). INFRAESTRUCTURA: Proceso encargado de brindar los servicios, medios e instalaciones para el desarrollo de actividades, bienes o servicios para ser utilizados por las personas a quienes va dirigido o para el público en general. MEJORA CONTINUA: De acuerdo a la gestión del Riesgo, la mejora continua busca enfocar a través del establecimiento de indicadores de gestión, medición y modificación de procesos o actividades para lograr una eficiente gestión del riesgo. PROBABILIDAD: Posibilidades de ocurrencia de riesgos dentro de los procesos o actividades desarrolladas en una organización. PROCEDIMIENTOS: Método estandarizado para el desarrollo de actividades, tareas o acciones determinadas. PROCESOS: Son acciones realizadas secuencialmente mediante instrucciones y recursos para llevar a cabo una actividad determinada. RIESGOS: Efecto de la incertidumbre sobre los objetivos (ICONTEC, 2011). El efecto puede ser una desviación de un estándar esperado, el cual puede ser positivo, negativo o ambos. SUPERINTENDENCIA DEL SUBSIDIO FAMILIAR: Es una entidad estatal, que tiene como función principal mantener la vigilancia y control, la inspección y el eficaz funcionamiento de las Cajas de Compensación Familiar (Mintrabajo, 2012). UNIDAD DE NEGOCIO ESTRATÉGICO: Las UEN son un conjunto de bienes, productos o servicios que tienen en común grupos de usuarios o clientes y crean una serie de estrategias en búsqueda de mejorarlas para alcanzar objetivos.

CONTENIDO

pág.

INTRODUCCIÓN 15 1. PROBLEMA DE INVESTIGACIÓN 16 1.1. DESCRIPCIÓN DE LA EMPRESA 16 1.2. PLANTEAMIENTO DEL PROBLEMA 17 1.3. HIPÓTESIS 17 1.4. FORMULACIÓN DEL PROBLEMA 17 1.5. SISTEMATIZACIÓN DEL PROBLEMA 18 2. JUSTIFICACIÓN 19 3. OBJETIVOS 20 3.1. OBJETIVO GENERAL 20 3.2. OBJETIVOS ESPECÍFICOS 20 4. MARCO REFERENCIAL 21 4.1. MARCO TEÓRICO 21

4.2. MARCO CONCEPTUAL 27 4.3. MARCO LEGAL 28

5. MARCO METODOLÓGICO 30 5.1. METODOLOGÍA ESTABLECIDA POR COLSUBSIDIO PARA

LA GESTIÓN DEL RIESGO 30 5.2. IDENTIFICAR AQUELLOS PROCESOS DENTRO DE

LA ORGANIZACIÓN QUE PUEDAN CONVERTIRSE EN POTENCIALES FACTORES DE RIESGO EN LA ORGANIZACIÓN 30

5.3. EVALUAR LOS RIESGOS ENCONTRADOS DENTRO DE LOS

PROCESOS, CON EL FIN DE DAR PRIORIDAD A LOS QUE TIENEN MAYOR IMPACTO Y PROBABILIDAD DE OCURRENCIA 31

5.4. PREPARAR PLANES DE TRATAMIENTO, CON EL FIN

DE MINIMIZAR RIESGOS POTENCIALES Y MEJORAR CONTINUAMENTE LA GESTIÓN DEL RIESGO 31

5.5. CAPACITAR CONTINUAMENTE AL PERSONAL SOBRE

LA IMPORTANCIA DE TENER EN CUENTA LOS POSIBLES RIESGOS QUE PUEDAN AFECTAR LAS ACTIVIDADES QUE SE DESARROLLAN DENTRO DE LA ORGANIZACIÓN 32

6. DESARROLLO DE LOS OBJETIVOS 33 6.1. IDENTIFICAR AQUELLOS PROCESOS DENTRO DE

LA ORGANIZACIÓN QUE PUEDAN CONVERTIRSE EN POTENCIALES FACTORES DE RIESGO EN LA ORGANIZACIÓN 33

6.1.1. Establecimiento del contexto 33

6.1.2. Identificación de los procesos en Colsubsidio 33 6.1.3. Procesos misionales 34 6.1.4. Procesos estratégicos 35

6.1.5. Procesos de apoyo 38 6.1.6. Identificación de los procesos que presentan riesgos potenciales 39 6.1.7. Identificación de factores o fuentes de riesgo 41 6.2. EVALUAR LOS RIESGOS ENCONTRADOS DENTRO DE LOS

PROCESOS, CON EL FIN DE DAR PRIORIDAD A LOS QUE TIENEN MAYOR IMPACTO Y PROBABILIDAD DE OCURRENCIA 44

6.2.1. Análisis de riesgos 44

6.2.2. Evaluación de los riesgos 46 6.3. PREPARAR PLANES DE TRATAMIENTO, CON EL FIN

DE MINIMIZAR RIESGOS POTENCIALES Y MEJORAR CONTINUAMENTE LA GESTIÓN DEL RIESGO 50

6.3.1. Generalidades 50 6.3.2. Establecimiento de Planes de tratamiento 51 6.3.3. Planteamiento de controles y seguimientos a riesgos 53 6.3.4. Análisis gráfico a los controles establecidos por proceso 56 6.4. CAPACITAR CONTINUAMENTE AL PERSONAL SOBRE

LA IMPORTANCIA DE TENER EN CUENTA LOS POSIBLES RIESGOS QUE PUEDAN AFECTAR LAS ACTIVIDADES QUE SE DESARROLLAN DENTRO DE LA ORGANIZACIÓN 56

6.4.1. Importancia de la capacitación 56 6.4.2. Capacitación al personal de la Caja Colombiana del Subsidio

Familiar Colsubsidio 57

7. CONCLUSIONES 59 8. RECOMENDACIONES 61

BIBLIOGRAFÍA Y WEBGRAFÍA 62 ANEXOS 65

LISTA DE TABLAS

pág.

Tabla 1. Marco Legal. 28 Tabla 2. Clasificación de los factores de riesgo establecidos para Colsubsidio. 42 Tabla 3. Matriz realizada para la identificación de riesgos encontrados en Colsubsidio. 44 Tabla 4. Clasificación cualitativa de riesgos por probabilidad en Colsubsidio. 45 Tabla 5. Clasificación cualitativa de riesgos por impacto en Colsubsidio. 46 Tabla 6. Escala de riesgos según su gravedad. 47 Tabla 7. Escala cuantitativa para la calificación del riesgo según la gravedad. 47 Tabla 8. Mapa de calor evaluación cuantitativa de riesgos por proceso según la gravedad, aplicado a la herramienta para la gestión del riesgo en Colsubsidio. 48 Tabla 9. Valoración y evaluación de riesgos por proceso en la Herramienta de control para la Gestión del Riesgo en Colsubsidio. 49 Tabla 10. Recomendaciones aplicadas para el establecimiento de planes de tratamiento. 51 Tabla 11. Formato propuesta de tratamiento para la Gestión de Riesgos en la Caja Colombiana del Subsidio Familiar – Colsubsidio. 52 Tabla 12. Tipos de controles aplicados en la Herramienta para el control de la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar – Colsubsidio. 54 Tabla 13. Calificación de Riesgos para su aplicación en la Herramienta para el control de la Gestión del Riesgo en Colsubsidio. 54

Tabla 14. Control y monitoreo de riesgos por proceso en la Herramienta de control para la Gestión del Riesgo en Colsubsidio. 55

LISTA DE FIGURAS

pág.

Figura 1. Ejemplo de mapa de procesos en una organización. 22 Figura 2. Estructura del informe COSO. 24 Figura 3. Modelo para la gestión del riesgo según NTC-ISO 31000: 2011. 26 Figura 4. Esquema de Gestión de riesgos basado en el informe COSO, aplicado en Colsubsidio. 27 Figura 5. Mapa de procesos de la Caja Colombiana del Subsidio Familiar – Colsubsidio. 34 Figura 6. Mapa de Calor – Herramienta de control para la Gestión del Riesgo de la Caja Colombiana del Subsidio Familiar. 49 Figura 7. Análisis gráfico de riesgos por proceso de la herramienta para el control de la Gestión del Riesgo en Colsubsidio. 50 Figura 8. Análisis gráfico de riesgos por proceso de la herramienta para el control de la Gestión del Riesgo en Colsubsidio. 56

LISTA DE ANEXOS

pág.

Anexo A. Herramienta para el control de la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar (Archivo ubicado en el CD). 65 Anexo B. Identificación de riesgos por proceso – Estudios de caso (Archivo ubicado en el CD). 65 Anexo C. Lista de chequeo identificación preliminar de riesgos por proceso (Archivo ubicado en el CD). 65 Anexo D. Matriz recomendaciones plan de Tratamiento (Archivo ubicado en el CD) 65 Anexo E. Formato desarrollo de actividades planes de tratamiento (Archivo ubicado en el CD) 65 Anexo F. Capacitación al personal – Gestión del riesgo (Archivo ubicado en el CD) 65 Anexo G. Fichas de caracterización – Capacitación al personal (Archivo ubicado en el CD) 65 Anexo H. Instructivo para el manejo de la Herramienta de control para la Gestión del Riesgo (Archivo ubicado en el CD) 65 Anexo I. Capacitación al personal – Actas de capacitación (Archivo ubicado en el CD) 65

15

INTRODUCCIÓN

La gestión de riesgos ha adquirido una gran importancia para el alcance de objetivos y metas de las organizaciones. Con ello se busca anticipar posibles novedades que afectan el desarrollo de las actividades, así mismo busca identificar oportunamente fallas que presentan los procesos y corregir aquellas anomalías. De una correcta administración de riesgos en los procesos, depende el correcto funcionamiento de las organizaciones. En el caso de las Cajas de Compensación Familiar, la Circular de la Superintendencia del Subsidio Familiar número 023 de 2010, establece directrices para que estas organizaciones ajusten lineamientos para el control interno y la Gestión del Riesgo. Colsubsidio, una Caja de Compensación Familiar, sin ánimo de lucro y considerada la organización de este orden con mayor número de afiliados en Colombia, cuenta con un eficiente sistema de protección de su información, bienes y servicios. No obstante, se presentan algunos casos en que los que no existen controles y se presentan novedades que se convierten posteriormente en riesgos y que llevaron a consecuencias como pérdidas económicas, insatisfacción de usuarios, fuga de información, entre otras; las cuales llevaron a un deterioro de la imagen de la organización. Por tal motivo, el objetivo de este trabajo es diseñar una herramienta para el control de la Gestión del Riesgo, que permita llevar un control de las posibles novedades que puedan convertirse en riesgos, producto de las actividades que se desarrollan en la Caja, así mismo permite analizar y evaluar los riesgos según los lineamientos establecidos por la Caja, establecer planes de tratamiento y desarrollar los controles para mitigar y eliminar los riesgos. La herramienta de control de la Gestión del Riesgo, permite a los colaboradores de la organización contar con elementos que permitan manejar sus procesos y evitar novedades que se puedan presentar. Así mismo, permite desarrollar acciones o actividades de tratamiento perdurables en el tiempo.

16

1. PROBLEMA DE INVESTIGACIÓN 1.1. DESCRIPCIÓN DE LA EMPRESA

¿Quiénes somos?: “Colsubsidio es una organización privada sin ánimo de lucro, que pertenece al Sistema de Protección y Seguridad Social, su evolución ha estado marcada tanto por el reconocimiento de las personas como seres integrales con necesidades dinámicas, múltiples e interdependientes, como por las transformaciones que ha tenido el Estado colombiano en el desarrollo de su función social” (Colsubsidio, 2016). Marco estratégico Colsubsidio: La gestión que desarrolla la Caja Colombiana del Subsidio Familiar Colsubsidio, se enfoca en el desarrollo de la “Administración de Recursos y la Prestación de Servicios Sociales”, en donde se busca el desarrollo integral de los colombianos a partir del portafolio de servicios que ofrece la Caja, con el fin de satisfacer las necesidades fundamentales en condiciones de dignidad. Los servicios que ofrece la Caja son: Salud, Educación y cultura, Recreación y Turismo, Mercadeo Social, vivienda y crédito. Así mismo, cuenta con servicios adicionales de salud (famisanar), con el que se busca brindar una atención en salud digna para sus afiliados, mejorando su calidad de vida, así como servicios financieros (Finamérica) y educación continuada a través de la Corporación de Educación Tecnológica Colsubsidio CET (Marco estratégico Colsubsidio, 2016). Historia: Colsubsidio nace en el año de 1957, distinguiéndose por ser pionera en la realización de proyectos, bienes y servicios que favorecen el desarrollo del país. Durante más de 50 años, la organización ha logrado en sus más de 50 años la anticipación y la apertura al cambio, en donde se busca responder oportunamente a las necesidades estructurales y sociales del país, enfocándose principalmente en el bienestar de la población, y ofrecer más y mejores servicios que generen una mejor calidad de vida de los colombianos (CET Colsubsidio, 2016). Misión: Generar oportunidades para el cierre de brechas sociales. Visión: Ser la empresa social de los colombianos.

17

1.2. PLANTEAMIENTO DEL PROBLEMA

En la actualidad las organizaciones deben mantener un control riguroso en los procesos que realizan con el fin de evitar posibles factores de riesgo que pudieran perjudicar directa o indirectamente estos procesos y puedan afectar los intereses particulares de las organizaciones. La identificación oportuna de estos factores de riesgo permite una toma de decisiones oportuna, y posteriormente una posibilidad de minimizar los impactos a un gran nivel, con el fin de evitar que se convierta en un riesgo que afecte el proceso de la organización. El propósito del presente proyecto es determinar cómo afectan los factores o fuentes de riesgo en la organización, evaluar los mismos según su grado de probabilidad e impacto dentro de los procesos realizados, y proponer a los diferentes jefes de área tratamientos para minimizar los factores de riesgo encontrados, con el fin de minimizarlos, basado en normas técnicas (Informe COSO I y II y NTC-ISO 31000), así como normatividad legal vigente (principalmente los requerimientos solicitados por la Circular 23 de 2010 por la Superintendencia del Subsidio Familiar) que busca una mejora en aspectos relacionados con la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar Colsubsidio. 1.3. HIPÓTESIS Debe existir por parte de Colsubsidio un mayor control interno para la gestión del riesgo a las actividades que se desarrollan dentro de la organización, con el fin de evitar factores de riesgo que afecten los procesos llevados a cabo dentro de la organización. 1.4. FORMULACIÓN DEL PROBLEMA ¿Cómo gestionar el riesgo de una manera eficiente en la Caja Colombiana del Subsidio Familiar COLSUBSIDIO mediante el diseño de una herramienta computacional basada en la NTC 31000 y el informe COSO?

18

1.5. SISTEMATIZACIÓN DEL PROBLEMA • ¿Cómo determinar los procesos que representan un riesgo potencial para el

desarrollo de las actividades en la Caja Colombiana del Subsidio Familiar a partir de sus mapas de procesos y novedades presentadas?

• ¿Es posible realizar una identificación de riesgos en los procesos a partir de

herramientas adicionales para efectuar tal fin? • ¿Cómo efectuar una óptima evaluación de los riesgos encontrados siguiendo los

lineamientos de la NTC – ISO 31000: 2011 y el Informe COSO I y II? • ¿Cómo se puede realizar un control y minimización eficiente de riesgos a partir

de los planes de tratamiento propuestos para tal fin? • ¿Cuáles serían las herramientas para capacitar al personal de la Caja

Colombiana del Subsidio Familiar sobre la importancia de contar con una gestión del riesgo que permita minimizar los riesgos presentados en sus procesos, y conlleve a la organización al cumplimiento de los requerimientos normativos y al alcance de sus objetivos y metas?

19

2. JUSTIFICACIÓN

Colsubsidio es la Caja de Compensación Familiar que mayor número de afiliados tiene en Colombia, y permanentemente cuenta con factores de riesgo, que pueden convertirse en un Impacto muy alto y generar consecuencias negativas para los intereses de la organización y de sus afiliados. El propósito de la investigación es reforzar con herramientas efectivas para evaluar y tratar posibles riesgos que puedan afectar uno o todos los procesos de Colsubsidio. Estos riesgos (como estructurales, organizacionales, económicos, informáticos, etc.), se pueden evitar con estas herramientas que permitan una identificación más efectiva, además posibilita indicar el tipo de riesgo y el grado de importancia del proceso de la organización mediante matrices y gráficas indicadoras del riesgo, evalúa posibles tratamientos durante el proceso e informar a los diferentes jefes de área, los riesgos encontrados para que por parte de ellos, se encuentren soluciones efectivas y se logren minimizar y controlar estos factores de riesgo dentro de la Organización. Un control interno eficiente por parte de las organizaciones permite dar un apoyo para la mejora continua del desarrollo de sus actividades.

20

3. OBJETIVOS 3.1. OBJETIVO GENERAL

Diseñar herramientas que permitan la identificación efectiva de novedades que puedan convertirse en factores de riesgo para los procesos y servicios llevados a cabo en Colsubsidio. 3.2. OBJETIVOS ESPECÍFICOS • Identificar aquellos procesos dentro de la organización que puedan convertirse

en potenciales factores de riesgo en la organización.

• Evaluar los riesgos encontrados dentro de los procesos, con el fin de dar prioridad a los que tienen mayor impacto y probabilidad de ocurrencia.

• Preparar planes de tratamiento, con el fin de minimizar estos riesgos potenciales

y mejorar continuamente la gestión del riesgo. • Capacitar continuamente al personal sobre la importancia de tener en cuenta los

posibles riesgos que puedan afectar las actividades que se desarrollan dentro de la organización.

21

4. MARCO REFERENCIAL

4.1. MARCO TEÓRICO • Auditoría Interna: Es una actividad que se caracteriza por ser una evaluación

independiente dentro de una organización. Generalmente, las organizaciones tienen comités de Auditoría Interna encargadas de revisar las operaciones de las diferentes áreas, e informar acerca de su funcionamiento. Además, tiene la función de promover mediante recomendaciones las mejoras a realizar con el objetivo de proteger el patrimonio, la información, etc., y optimizar los recursos disponibles (Aumatell, 2003).

El Instituto de Auditores Internos (IIA, 2016) define la auditoría interna de la siguiente forma:

“Función de la dirección, cuya finalidad es analizar y apreciar, con vistas a las eventuales acciones correctivas, el Control Interno de las empresas para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión”

Así mismo, la Auditoría Interna realiza evaluaciones dentro de los procesos de una organización, teniendo en cuenta los siguientes parámetros (IAI Perú, 2015):

o Eficiencia y eficacia de las operaciones. o Confiabilidad e integridad de la información sensible. o Protección de activos. o Cumplimiento de la normatividad y procedimientos internos. o Procedimiento de los responsables de los procesos frente a novedades que

se pueden convertir en riesgos potenciales en la operación. o Comportamiento ético. o Gestión del desempeño. o Comunicación entre responsables de los riesgos encontrados y los controles

efectuados para minimizar los mismos. La auditoría interna tiene unas funciones que brindan herramientas a la alta dirección de las organizaciones a una toma de decisiones que mejoren el

22

desarrollo de sus actividades, así como al cumplimiento de los objetivos y metas. Entre otras, estas herramientas son (Spencer Picket, 2007):

o Control de actividades que la alta gerencia no puede controlar

personalmente. o Plena identificación y minimización de riesgos. o Verificación de los resultados en los informes realizados a los altos directivos

de la organización. o Proporción de información para una correcta toma de decisiones. o Realizar análisis comparativos de datos. o Ayuda a los altos directivos a identificar incumplimientos a procedimientos y

principios fijados para la Gestión del Riesgo en la organización. • Mapa de procesos: En las organizaciones actualmente se maneja el mapa de

procesos, con el que se busca una descripción clara de los procesos que se llevan a cabo dentro de una organización. Así mismo, describe las “actividades de planeación, autoevaluación y mejoramiento continuo como bases para el direccionamiento estratégico” de una organización (UDEM, 2012).

Los mapas de procesos indican también los procesos con los que cuenta una empresa, y la relación que tienen entre ellos.

Figura 1. Ejemplo de mapa de procesos en una organización.

Fuente: Gestión de procesos en UCA (UCA, 2007).

o Procesos claves o misionales: Son aquellos que incluyen todos los

procesos que buscan mediante las actividades que realizan lograr el objetivo de la organización.

23

o Procesos estratégicos: Son procesos que realizan la planeación y el

establecimiento de políticas, lineamientos, objetivos y metas en la organización. Adicionalmente, realiza la provisión y el aseguramiento de los recursos disponibles del mismo.

o Procesos de soporte o apoyo: Como su nombre lo indica, los procesos de

apoyo son aquellos que provisionan los recursos necesarios a los procesos misionales y estratégicos dentro de la consecución de objetivos y metas por parte de la organización.

• La gestión del riesgo en la ISO 9001: 2015 (Sistema de Gestión de la

Calidad): El pensamiento basado en riesgos es esencial para lograr un Sistema de Gestión de Calidad eficaz (ISO, 2015). Aunque esta norma ha presentado implícitamente el riesgo en actualizaciones anteriores, en esta ocasión indica la importancia que tiene el riesgo dentro de las organizaciones en el propósito de lograr la eficacia en el Sistema de Gestión de Calidad, mejorar resultados y abordar riesgos para evitar que sucedan efectos negativos en la organización.

• NTC 5254 (Gestión del riesgo): Esta norma tiene como finalidad especificar los

elementos del proceso de Gestión del Riesgo, que consta de pasos definidos secuencialmente, ayuda a mejorar la toma de decisiones respecto a la identificación, análisis, evaluación, tratamiento, seguimiento, la comunicación del riesgo y sus posibles impactos (ICONTEC, 2004).

Esta norma generaliza el concepto de gestión del riesgo y el reconocimiento como una parte integral de las buenas prácticas de la organización. Una buena práctica de la gestión del riesgo indica una cultura organizada y efectiva, para la prevención de posibles riesgos que puedan generar un peligro en las compañías. Esta norma está constituida para la ISO 31000 en nuestro país.

• NTC-ISO 31000 (Gestión del riesgo. Principios y directrices): Esta norma,

como se menciona, fija la directriz para armonizar los procesos de gestión del riesgo según lo establecido por una organización. Además, suministra un apoyo

24

de las normas que tratan los riesgos y sus sectores específicos (ICONTEC, 2011).

Esta norma nace con el objetivo de generar enfoques que permitan mejorar continuamente la gestión del riesgo, pero de una manera sistemática. Además contiene un procedimiento detallado, con el fin de procesar, establecer, implementar y mantener principios para crear una serie de recomendaciones que garanticen a la alta dirigencia opciones para una toma de decisiones que favorezcan los intereses de una organización; así como generar conciencia entre los miembros de una organización a la protección de todo su patrimonio y cómo ayuda a mejorar la seguridad de su información, el aumento de la confianza de sus clientes con una compañía, y por ende, el cumplimiento de objetivos y metas por parte de la misma.

• Modelo para la gestión de riesgo de acuerdo a la NTC-ISO 31000: 2011: Como se menciona en la NTC-ISO 31000: 2011 en el numeral 5 – Proceso, “el proceso para la gestión del riesgo debería ser parte integral de la gestión, estar incluido en la cultura, práctica y adaptabilidad a los procesos de negocio en la organización” (ICONTEC, 2011). Para relacionar el proceso y sus actividades relacionadas para la Gestión del Riesgo, se ilustra en la siguiente figura. Figura 2. Modelo para la gestión del riesgo según la NTC – ISO 31000: 2011

Fuente: NTC-ISO 31000: 2011 (ICONTEC, 2011).

25

• Control interno: El control interno es el término al cual se definen los procedimientos y normas establecidas por una organización para lograr identificar, medir, tratar y seguir continuamente los principales factores de riesgo que afectan a todas las organizaciones.

Generalmente, el control interno, permite verificar eficazmente un factor o de riesgo y garantizar que tanto el patrimonio, como la información de la organización, no solamente permanezcan seguros dentro de la organización; sino que también cumpla con lo establecido por la normatividad vigente.

Es esencial el control interno dentro de una organización, ya que además contribuye a una toma de decisiones que son coherentes y ayudan a combatir riesgos latentes dentro de la organización.

• Informe COSO: El informe COSO es un manual de control interno elaborado

por el Instituto de Auditores internos, en donde se resume todo lo relacionado para las actividades desarrolladas dentro de una organización (Cooper & Lybrand, 1997). Este informe consta de siete componentes, que se relacionan entre sí y se derivan de la forma de cómo la administración maneja su organización y se integran a los procesos administrativos (Auditool, 2016). Estos componentes son:

o Ambiente de control: Marca los comportamientos del personal frente al

control. o Verificación de objetivos o Identificación de eventos o Evaluación de riesgos: Identificación de riesgos para el alcance de

objetivos. o Actividades de control: Acciones relacionadas con procedimientos, con los

cuales se busca el cumplimiento de las directrices de la Dirección, en búsqueda de afrontar los riesgos identificados anteriormente.

o Información y comunicación: Captación de la información, para “desarrollar, gestionar y guardar sus operaciones” (Auditool, 2016).

o Supervisión y seguimiento: Realiza la evaluación de los controles realizados en intervalos de tiempo anteriormente establecidos.

26

Figura 3. Estructura del informe COSO.

Fuente: ¿Cómo realizar un mapa de riesgo de fraude interno? (Auditool, 2016)

Estos componentes forman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes.

• Modelo del informe COSO aplicado en la Caja Colombiana del Subsidio Familiar – Colsubsidio: Es imprescindible una adecuada administración del sistema, ya que este permite identificar eficientemente las novedades internas y externas encontradas en la Caja, y se busca tomar las decisiones adecuadas para mitigar los riesgos, a través de acciones preventivas eficaces. El ciclo de gestión de riesgos tiene como punto de partida los objetivos planteados por la organización a partir de la planeación estratégica, así como las funciones que desarrollan los procesos de la Caja. Posteriormente, se realiza la identificación y evaluación de riesgos en los procesos. A partir de la evaluación de riesgos, se establece el control de actividades a partir de las herramientas establecidas para mitigar los riesgos y finalmente el monitoreo continuo para determinar la evolución de los controles a los riesgos encontrados. La figura 4 ilustra el esquema de gestión de riesgos, basado en el informe COSO y establecido por la Caja Colombiana del Subsidio Familiar Colsubsidio.

27

Figura 4. Esquema de Gestión de riesgos basado en el informe COSO, aplicado en Colsubsidio

Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012).

4.2. MARCO CONCEPTUAL Para el desarrollo de este proyecto se tienen en cuenta los siguientes términos y definiciones (ICONTEC, 2011): • Riesgo: Efecto de la incertidumbre sobre los objetivos. • Gestión del riesgo: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo. • Identificación del riesgo: Proceso global de identificación del riesgo, análisis

del riesgo y evaluación del riesgo. • Fuente del riesgo: Elemento que solo o en combinación tiene el potencial

intrínseco de originar un riesgo. • Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y

determinar el nivel del riesgo. • Nivel del riesgo: Magnitud de un riesgo o de una combinación de riesgos,

expresada en términos de la combinación de las consecuencias y su probabilidad.

28

• Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel del riesgo.

• Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables.

• Tratamiento del riesgo: Proceso para modificar el riesgo. El tratamiento puede

implicar:

o Evitar el riesgo decidiendo no iniciar o continuar la actividad que la originó. o Tomar o incrementar el riesgo con el fin de perseguir una oportunidad. o Retirar la fuente del riesgo. o Cambiar la probabilidad. o Cambiar las consecuencias. o Compartir el riesgo con una o varias de las partes. o Retener el riesgo a través de la decisión informada.

• Perfil del riesgo: Descripción de cualquier conjunto de riesgos. • Evento: Presencia o cambio de un conjunto particular de circunstancias. 4.3. MARCO LEGAL La Tabla 1 indica el marco legal aplicado al desarrollo del presente proyecto, incluyendo normatividad técnica y legal vigente. Tabla 1. Marco Legal.

ITEM LEGISLACIÓN DOCUMENTO Ley 25 de 1981 Por la cual se crea la superintendencia del Subsidio

Familiar y se dictan otras disposiciones.

Circular

023 de 2010 Establece lineamientos para el control interno y la Gestión Integral del Riesgo (GIR) en las Cajas de Compensación Familiar.

Ley

87 de 1993

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones.

29

Ley

1474 de 2011

Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.

Ley 489 de 1998 Capítulo IV: Sistema Nacional de Control Interno. Ley 1581 de 2012 Disposiciones generales para la protección de datos

personales. Ley 1443 de 2014 Implementación del Sistema de Gestión de la

Seguridad y Salud en el Trabajo (SG-SST). Directiva

presidencial 9 de 1999 Política de lucha contra la corrupción.

NTC 5254-2004 Gestión del Riesgo. GTC 137-2011 Gestión del riesgo. Vocabulario.

NTC-ISO 9001-2015 Sistema de Gestión de Calidad. NTC-ISO 14001-2015 Sistema de Gestión Ambiental. NTC-ISO 31000-2011 Gestión del riesgo, principios y directrices.

ISO 31010-2011 Técnicas de evaluación de riesgos. ISO 45001-2016 Sistema de Gestión de Seguridad y Salud Laboral.

Informe

COSO I y II

Informe elaborado para el control interno del riesgo en una organización (Enterprise Risk Management Framework). Fuente: Autor.

30

5. MARCO METODOLÓGICO

5.1. METODOLOGÍA ESTABLECIDA POR COLSUBSIDIO PARA LA GESTIÓN DEL RIESGO.

Para la evaluación de los riesgos, con el fin de determinar su impacto y las probabilidades de ocurrencia dentro de los procesos, Colsubsidio maneja una metodología establecida teniendo en cuenta los lineamientos establecidos por la siguiente normatividad: • Circular 023 de 2010 – Superintendencia del Subsidio Familiar (SSF), donde se

establece lineamientos para el control interno y la Gestión Integral del Riesgo (GIR) en las Cajas de Compensación Familiar (SSF, 2010)

• ISO 31000: 2011 – Gestión del riesgo. Principios y directrices (ICONTEC, 2011). • AS/NZS 4360: 2004 – Directriz australiana y neozelandesa para la

administración de riesgos. (AS/NZS, 2004). • ISO 9001: 2015 – Sistema de Gestión de la Calidad. En la última actualización

se establece un capítulo especial para el manejo de la Gestión del Riesgo en las organizaciones.

• Informe COSO: Establece un marco referencial para el Control Interno en las organizaciones. No obstante, el informe COSO I se enfoca en la mitigación de riesgos, mientras que el COSO II, se enfoca en la identificación y evaluación de los riesgos mediante técnicas que garanticen la correcta “administración de una base de datos de riesgos” (Auditool, 2016).

5.2. IDENTIFICAR AQUELLOS PROCESOS DENTRO DE LA ORGANIZACIÓN

QUE PUEDAN CONVERTIRSE EN POTENCIALES FACTORES DE RIESGO EN LA ORGANIZACIÓN

A partir del mapa de procesos establecido por la Caja Colombiana del Subsidio Familiar y de acuerdo a la metodología establecida por la NTC – ISO 31000: 2011, se tomó como punto inicial una revisión a todos los procesos, áreas o funciones específicas, observando aquellas que puedan convertirse en riesgos potenciales dentro del desarrollo normal de la organización.

31

Posteriormente, la identificación de los riesgos se realizó mediante la problemática presentada en estudios de caso en donde la identificación de los mismos se realizó con elementos creados como una matriz de identificación y listas de chequeo preliminares.

5.3. EVALUAR LOS RIESGOS ENCONTRADOS DENTRO DE LOS

PROCESOS, CON EL FIN DE DAR PRIORIDAD A LOS QUE TIENEN MAYOR IMPACTO Y PROBABILIDAD DE OCURRENCIA

El análisis y evaluación de los riesgos encontrados en el proceso de identificación y establecimiento del contexto se realizó siguiendo los lineamientos establecidos anteriormente por la Caja, se procedió a la elaboración de la herramienta para el control de la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar. Como complemento a lo establecido por la organización, a partir de la metodología de la NTC – ISO 31000: 2011 y el informe COSO se elaboró un mapa de Calor en donde se establecía cuantitativamente un valor al riesgo teniendo en cuenta su probabilidad de ocurrencia. Adicionalmente, se elaboró un control estadístico en donde muestra la cantidad de riesgos encontrados por proceso, y los riesgos encontrados según el nivel de gravedad establecido por Colsubsidio. 5.4. PREPARAR PLANES DE TRATAMIENTO, CON EL FIN DE MINIMIZAR

RIESGOS POTENCIALES Y MEJORAR CONTINUAMENTE LA GESTIÓN DEL RIESGO

A partir de la ejecución de las fases de análisis y evaluación de los riesgos, se procedió a realizar la etapa de establecimiento de planes de tratamiento de acuerdo a lo establecido en la normatividad técnica. Así mismo, se realizó la elaboración de un formato en donde se detallen los planes de tratamiento para los riesgos encontrados en los procesos, en donde se incluyen las actividades a realizar por parte de los responsables de los para la mitigación de los mismos; esto con el objeto de llevar un control detallado de las actividades a realizar y verificar en la fase de control y monitoreo si se minimizó el riesgo.

32

A partir del desarrollo de los planes de tratamiento, siguiendo lo establecido en la NTC – ISO 31000: 2011 y el informe COSO, se desarrolla la fase de monitoreo y control, en donde se instauró el control y monitoreo en período de tiempo según la efectividad de los planes de tratamiento y el control realizado, así como los responsables del proceso, documentación como evidencia de las actividades realizadas, controles realizados, entre otros aspectos. Por último, se procedió a aplicar el desarrollo de la fase de establecimiento de planes de tratamiento y planteamiento de control y monitoreo en la herramienta para el control de la gestión del riesgo en la Caja Colombiana del Subsidio Familiar. Como valor agregado, se elaboró un control estadístico en donde muestra la cantidad de controles realizados en cada proceso, y la frecuencia de los controles según el tratamiento realizado para mitigar el riesgo identificado. 5.5. CAPACITAR CONTINUAMENTE AL PERSONAL SOBRE LA

IMPORTANCIA DE TENER EN CUENTA LOS POSIBLES RIESGOS QUE PUEDAN AFECTAR LAS ACTIVIDADES QUE SE DESARROLLAN DENTRO DE LA ORGANIZACIÓN

Para el desarrollo de la capacitación al personal, se elaboró una serie de elementos para la capacitación para mostrar el contexto de la gestión del riesgo y su importancia en el desarrollo de las actividades de la Caja. Estos elementos contienen una presentación en donde se muestra la importancia de llevar una gestión del riesgo eficiente dentro de la organización, la normatividad referente a gestión del riesgo que aplica a la Caja Colombiana del Subsidio Familiar; así mismo, se incluye en la presentación, algunos pasos para el manejo de la herramienta de control, con el fin de familiarizar a los trabajadores con la misma. Adicionalmente, se elaboró una serie de fichas de caracterización donde se estableció el plan de trabajo a realizar durante la capacitación. Por último, se realizó un manual para la herramienta de control y las listas de chequeo anteriormente mencionadas para optimizar la identificación de riesgos y el manejo de la herramienta dentro de los procesos de la Caja.

33

6. DESARROLLO DE LOS OBJETIVOS 6.1. IDENTIFICAR AQUELLOS PROCESOS DENTRO DE LA ORGANIZACIÓN

QUE PUEDAN CONVERTIRSE EN POTENCIALES FACTORES DE RIESGO EN LA ORGANIZACIÓN

6.1.1. Establecimiento del contexto

De acuerdo a los lineamientos de la NTC-ISO 31000, el establecimiento del contexto permite definir “los parámetros externos e internos” que se van a tener en cuenta para la Gestión del Riesgo, así como enfatiza los criterios y el alcance para el desarrollo de este proceso. En pocas palabras, el establecimiento del contexto para le gestión del riesgo, permite identificar los factores internos y/o externos de las situaciones que se presentan en los procesos de la organización, y que pueden convertirse en potenciales riesgos para los intereses de la organización. La definición del contexto para el presente trabajo, se realiza a partir de los procesos realizados en la Caja Colombiana del Subsidio Familiar – Colsubsidio. 6.1.2. Identificación de los procesos en Colsubsidio Se realiza un estudio cualitativo de los procesos realizados en la Caja Colombiana del Subsidio Familiar (Colsubsidio), con el fin de conocer en detalle las actividades realizadas dentro de la organización. A continuación, se muestra el mapa de procesos de Colsubsidio.

34

Figura 5. Mapa de procesos de la Caja Colombiana del Subsidio Familiar – Colsubsidio.

Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2006).

Los mapas de procesos permiten una identificación de las principales actividades desarrolladas dentro de la organización, así mismo, establece la relación directa entre los procesos de una organización. Adicionalmente, se caracterizan por mostrar claramente el vínculo entre procesos. Estos pueden ser “de información, recursos económicos, influencia, autoridad, etcétera” (Medina Giopp, 2005). En el caso de Colsubsidio, estos procesos brindan apoyo y soluciones para cubrir las necesidades de los clientes; en este caso los afiliados. Como valor agregado, se busca dar una respuesta oportuna y eficiente a las solicitudes de los afiliados, con el fin de satisfacer sus necesidades. A continuación, se realiza un breve resumen de los procesos realizados (Colsubsidio, Isolución, 2013): 6.1.3. Procesos misionales • Gestión gerencial: Este proceso es realizado por la dirección general y las

subdirecciones de la organización, tiene como objetivo el establecimiento de

35

directrices con el fin de definir el modelo de planeación que será utilizado en el proceso de Direccionamiento Estratégico Corporativo en la Organización. La Gestión Gerencial cuenta con los siguientes procesos internos que van orientados al cumplimiento de los objetivos:

o Planeación estratégica: Tiene como función la definición de políticas,

esquemas y metodologías enfocadas al establecimiento del marco estratégico de la Caja.

o Articulación estratégica: Se encarga de la definición de planes, metas e indicadores que permitan verificar el cumplimiento de los objetivos propuestos por la Caja.

o Control de Gestión: Realiza el seguimiento al cumplimiento de los objetivos estratégicos y verificar si se requiere una mejora mediante acciones a aplicar.

6.1.4. Procesos estratégicos • Recreación, deportes y eventos: Este proceso tiene como objetivo dar una

respuesta oportuna a las necesidades de los clientes mediante panes de bienestar y desarrollo, mediante un servicio competitivo y eficiente, con el fin de generar la satisfacción de los clientes.

• Medicamentos: Este proceso tiene como función gestionar la comercialización

de productos de manera oportuna y eficiente del servicio farmacéutico incluido dentro del plan de salud garantizando la disponibilidad del producto, generando procesos que garantice la superación de las expectativas d la comunidad, dentro de los criterios de calidad, precio oportunidad y servicio.

Los procesos que garantizan la viabilidad y funcionalidad del servicio son los siguientes:

o Planeación estratégica: Estructura la viabilidad de la Unidad de Negocio

Estratégico (UEN). o Gestión comercial (Mercadeo): Gestiona la negociación con los clientes,

además desarrolla los canales comerciales e institucionales de la UES. o Gestión Compras: Realiza la compra y la negociación con los proveedores

de los productos y servicios. o Gestión de la cadena de abastecimiento: Realiza el servicio logístico, la

gestión operativa, distribución e integración con los proveedores de la UES.

36

o Gestión de canales: Administra los inventarios, surtido, ventas de los productos de la cadena comercial e institucional de la UES.

o Gestión operativa: Administra las ventas. o Seguimiento y control: Realiza el análisis de costos y gastos, gestión del

negocio, inventarios y aplicación y seguimiento de la calidad. • Gestión social: Se encarga de administrar eficientemente la información y los

recursos de los cuales dispone, con el fin de cumplir la normatividad vigente y destinarlos a un servicio que sirva a los afiliados y la comunidad en general. Los siguientes son los procesos que prestan apoyo al negocio de la Caja:

o Planeación: Planeación estratégica, operativa y alistamiento logístico. o Afiliaciones y registro: Gestiona las novedades y asistencia al

desempleado cumpliendo la normatividad vigente. o Recaudo: Garantiza el correcto ingreso de los recursos para la eficiente

prestación de los servicios de la Caja. o Apropiación: Aplicación de los recursos de acuerdo a lo establecido en la

ley. o Asignación: Garantiza la destinación de los recursos al público objetivo del

negocio. o Compensación: Determina el monto de los recursos a ejecutar en cada

programa de la Caja. o Garantía de la prestación: Asegura el acceso del público objetivo a los

servicios prestados en la UES. o Seguimiento: Realiza la medición continua de la Gestión Social.

• Vivienda: Tiene como función dar conocimiento a soluciones que permitan

mejorar la calidad de vida de los afiliados y clientes en general, mediante programas de vivienda de acuerdo al comportamiento del mercado y las necesidades de los mismos.

• Educación continuada: Este proceso es producto de la unión público-privado

que tiene como función desarrollar la formación integral de los trabajadores, así como las familias y la comunidad en general, con el fin de mejorar la calidad de vida y de trabajo de los mismos.

Dentro de los procesos manejados dentro del negocio, se enumeran los siguientes:

37

o Planeación: Planeación estratégica y operativa del negocio. o Definición de servicios educativos: Realiza la definición y el ajuste del

portafolio. o Desarrollo operativo: Se encarga de gestionar los servicios individuales y

los operativos. o Prestación de servicios: Realiza la ejecución de los servicios mediante el

uso correcto y eficiente de los recursos, con el fin de obtener los resultados esperados.

o Seguimiento: Realiza la medición continua del comportamiento del negocio y garantizar el mejoramiento continuo.

• Crédito social: Se encarga de dar facilidades de acceso a productos financieros a los afiliados y las familias. Cuenta con procesos internos que definen estrategias, para dar cumplimiento a este objetivo, como se resumen a continuación:

o Planeación: Define las estrategias a seguir y revisa políticas, así como

analiza el entorno jurídico que rige a esta área. o Diseño y formalización del producto: Realiza el diseño de los productos,

así como la definición de estrategias de divulgación para el lanzamiento de los productos y servicios.

o Comercialización y venta de productos y servicios: Busca los convenios comerciales para ampliar la divulgación de los productos y servicios.

o Origen del crédito: Se encarga de la recepción, gestión documental, decisión de operaciones, legalización y desembolso de las solicitudes de los afiliados y sus familias.

o Administración y mantenimiento: Registra las novedades y el monitoreo de las transacciones de crédito en el sistema.

o Gestión de cobranza: Administra la cartera pendiente, además del cobro jurídico.

o Seguimiento y control: Se encarga del seguimiento y el control del desempeño de la unidad de negocio estratégico y adicionalmente registra todas las solicitudes de Peticiones, Quejas y Reclamos de los afiliados.

38

6.1.5. Procesos de apoyo • Mejora continua: Realiza la medición continua del comportamiento del negocio

que hace parte del Sistema de Gestión de Calidad. • Talento humano: Se orienta al compromiso por parte del talento humano con el

fin de dar cumplimiento a los resultados corporativos, mediante un ambiente de trabajo adecuado, ágil y seguro.

• Gestión financiera: Tiene como función realizar correctamente la gestión de los

recursos, el control del presupuesto, con el fin de mantener el liderazgo financiero de la Caja, mediante el control financiero, contable y tributario.

• Apoyo legal: Establece directrices legales que mejoren los servicios y el

desarrollo de los procesos dentro de la Caja. Esta debe cumplirse rígidamente para orientar el logro de los objetivos de la organización.

• Gestión compras: Tiene como función la obtención de mayores beneficios en

aspectos como calidad y costos competitivos en la adquisición de bienes y servicios requeridos por la organización.

• Gestión documental: Garantiza el control documental de acuerdo con los

requisitos de los usuarios, de la normatividad legal vigente y de la norma ISO 9001.

• Comunicaciones: Genera herramientas, políticas y lineamientos de medición y

control, para generar una experiencia optima y eficiente con los usuarios de la Caja y sus servicios.

• Infraestructura: Tiene como función el mantenimiento oportuno de la

infraestructura con la que cuenta la Caja, que sirva a los usuarios y genere los objetivos del negocio, los cambios y la innovación.

• Auditoría interna: Garantiza el cumplimiento de las necesidades de los clientes,

la normatividad vigente y de la norma ISO 9001.

39

6.1.6. Identificación de los procesos que presentan riesgos potenciales Aunque el objetivo de realizar la herramienta de control para la Gestión del Riesgo en Colsubsidio, permite ser aplicable para todos los procesos, para el desarrollo del presente trabajo se realiza la identificación para los procesos que presentan un mayor riesgo potencial para la Organización, mediante situaciones que se han presentado, y ocasionaron un estado de alerta para sus propios intereses. De acuerdo a parámetros como la gravedad de las situaciones presentadas, y la ocurrencia con la que se presentan las mismas; así como los procesos relacionados en el mapa de procesos de Colsubsidio (Colsubsidio, 2006), se pondrá como ejemplo los procesos de apoyo relacionados con comunicaciones, infraestructura y Talento Humano. A continuación, se describen una serie de sucesos que son base del presente trabajo para tener en cuenta estos procesos como los que actualmente presentan mayor riesgo dentro de la Caja. • Proceso de apoyo 1 – Infraestructura

Como se mencionó anteriormente, el departamento de infraestructura tiene como función realizar adecuaciones necesarias de la estructura física con la que cuenta la Caja, con el fin de prestar un servicio de calidad a sus usuarios. Este proceso presenta adicionalmente criterios financieros, logísticos, normativos, entre otros; que permiten que el departamento de infraestructura cumpla con el objetivo establecido por la alta gerencia de Colsubsidio. Sin embargo, estas facultades también hacen que el proceso sea uno de los que generen mayor riesgo para la operación, debido al alcance que tiene dentro de la organización, lo cual aumenta considerablemente el riesgo de que se presenten situaciones que incumplen los procedimientos establecidos por la organización, los organismos de control y el marco legal vigente.

Uno de los subprocesos que presentan inconvenientes es el relacionado con la Gestión de combustibles, el cual ha presentado inconvenientes de tipo económico y documental, debido a inconsistencias en entrega de dineros reflejados en tanqueo de vehículos de Carga, y de pasajeros adscritos o de terceros que prestan su servicio a la compañía, en el cumplimiento de las necesidades requeridas por el departamento de Infraestructura.

40

A pesar que Colsubsidio cuenta con una tabla de rutas frecuentes por Kilómetros de distancia entre los puntos de mayor frecuencia en los recorridos de estos vehículos, no se ven reflejados los dineros pagados con respecto a los recorridos realizados por estos vehículos. Asimismo, existe un procedimiento vigente relacionado para la Gestión de los combustibles en la Caja (Colsubsidio, 2006), no obstante, éste no se cumple. Otro de los subprocesos con falencias dentro del área de infraestructura es el de Mantenimiento, ya que ha presentado situaciones de riesgo potencial en el desarrollo del mantenimiento preventivo y/o correctivo en los distintos activos pertenecientes a la Caja.

• Proceso de apoyo 2 – Comunicaciones

Se presentó una novedad relacionada con las bases de datos de usuarios de la Caja que cuentan con el subsidio estudiantil; la cual es manejada por el departamento de Tecnología e Información (TI) pertenecientes al proceso de apoyo denominado comunicaciones dentro de la Caja. Se detalla el inconveniente que se presentó con relación a filtración de información de un grupo de 20 usuarios por parte de terceros, que atacaron cibernéticamente la base de datos de Colsubsidio. Los responsables de dicho proceso fueron informados de esto después de que los usuarios afectados presentaron la queja ante la Caja y ante la Superintendencia del Subsidio Familiar, en donde informaron que los subsidios a los cuales accedieron fueron retirados días antes de que los titulares de los mismos se presentaran.

Luego de realizarse una investigación, se encontró que personas ajenas a la organización accedieron mediante ataques cibernéticos a esta base de datos y que la Caja no contaba con un procedimiento o una señal de alerta que protegiera la vulnerabilidad de la información de los usuarios, y que no existía un nivel de atribución para enfrentar este tipo de inconvenientes. Adicionalmente, se encontró que existían 17 usuarios de la organización que manejaban una cuenta única para administrar estas bases de datos mediante el sistema SAP. Por último, se evidencia una falla muy grave en el proceso de entrega de estos subsidios, ya que, dentro del dentro del mismo, pudo estar involucrado un funcionario de la organización, debido a que se entregaron estos subsidios, sin la documentación pertinente que verificara la identidad de los usuarios afectados.

41

• Proceso de apoyo 3 – Talento Humano

En este proceso se genera una serie de comportamientos que se pueden convertir en un factor de riesgo potencial, ya que existen subprocesos. Un ejemplo es el subproceso de compensación y beneficios, que como su nombre lo indica, brinda ciertos auxilios y bonos adicionales a los trabajadores de la Caja. Sin embargo, se encuentran algunas falencias que pueden ocasionar una pérdida económica para la organización, debido a que existen trabajadores que reciben una cantidad de dinero mayor a la establecida por Colsubsidio. Además, se presentan inconvenientes relacionados a la gestión documental dentro de este proceso, ya que los trabajadores deben presentar documentación de soporte para aprobación por parte de los Responsables de Compensación y Beneficios.

Otros procesos que presentan vulnerabilidad por orden financiero, documental y normativo, que generan probabilidad alta de convertirse en factores de riesgo, generando como consecuencia, tanta pérdida económica, como un probable deterioro de la Figura corporativa de la Caja.

6.1.7. Identificación de factores o fuentes de riesgo Las fuentes de riesgo son antecedentes o causas que generan eventos, las cuales pueden originar efectos adversos dentro de un proceso. Brinda una visión más detallada para determinar dichas fuentes (internas y/o externas) que afectan una determinada actividad. Adicionalmente, facilita realizar una correcta evaluación de los riesgos. Para el desarrollo del presente proyecto, se manejaron las categorías de riesgo establecidas anteriormente por el departamento de Auditoría Interna de Colsubsidio (Colsubsidio, Manual de metodología Auditoría Interna, 2015). Estas categorías del riesgo se dividen en estratégicos, financieros, operativos, tecnológicos y legales. Adicionalmente, se usaron herramientas adicionales como listas de chequeo y entrevistas directas a los responsables de los procesos. A continuación, se relacionan los factores de riesgo establecidos para el desarrollo de la gestión del riesgo en la Caja:

42

Tabla 2. Clasificación de los factores o fuentes de riesgo establecidos para Colsubsidio (Colsubsidio, Manual de metodología Auditoría Interna, 2015).

CATEGORIA DE RIESGO

FACTORES O FUENTE DE RIESGO

CONSECUENCIAS DEL EVENTO

Estratégico

• Deficiencias en el manejo

• Deterioro de la Figura corporativa.

• Incumplimiento en la ejecución de proyectos.

• Debilidades en la planeación estratégica.

• Incumplimiento de responsabilidades.

Financiero

• Debilidades en el monitoreo a los empleados en el desarrollo de las actividades.

• Entrada injustificada de dineros a la Caja.

• Deficiencias en la organización de la gestión financiera.

• Pérdida Económica. • Incumplimiento de

procedimientos. • Carencia de controles

internos. • Ausencia de indicadores de

gestión. • Fallas en el estudio de

seguridad.

Operativo

• Falta de capacitación a los responsables del proceso.

• Debilidades en los controles internos.

• Incumplimientos en los Niveles de servicio.

• Falta de definición, reglas y parámetros para el desarrollo de funciones operativas.

• Fallas operativas en plataformas virtuales.

• Deterioro de la Figura corporativa.

• Incumplimiento en los procedimientos establecidos.

• Inadecuada prestación de servicios.

• Insatisfacción de usuarios. • Falta de identificación de

cargos críticos. • Ausencia de documentación

soporte.

43

Tecnológico

• Falta de mantenimiento correctivo y/o preventivo a las plataformas virtuales.

• Carencia de políticas de seguridad de la información.

• Entrega indiscriminada de acceso a transacciones a usuarios que no requieren uso de las mismas.

• Ataques a la plataforma virtual sin respuesta alguna del departamento de comunicaciones de la Caja.

• Retrasos en la planeación estratégica.

• Falta de acuerdos en la asamblea.

• Posible detrimento patrimonial.

• Errores en el proceso y transmisión de información.

• Debilidades en la autorización de accesos.

• Errores en el manejo de la seguridad en la información.

• Filtración de información privada.

Legal

• Desconocimiento de la normatividad legal vigente.

• Fallas a la aplicación de lo establecido en el Sistema de Gestión de la Calidad de Colsubsidio.

• Fallas o desconocimiento a procedimientos vitales para el desarrollo de actividades.

• Incumplimiento a la normatividad legal colombiana.

• Incumplimiento en el Sistema de Gestión de la Calidad.

• Incumplimiento a los procedimientos establecidos por la Caja.

Fuente: Colsubsidio, Manual de metodología Auditoría Interna, 2015. Así mismo, se procedió a realizar una lista de chequeo (ver Anexo C), con el fin de detallar los riesgos encontrados en los estudios de caso mencionados en la identificación de riesgos encontrados en los procesos de Colsubsidio. En la tabla 3, se muestra un ejemplo para ilustrar el proceso de diligenciamiento. Para ver los resultados obtenidos detalladamente, ver Anexo B.

44

Tabla 3. Matriz realizada para la identificación de riesgos encontrados en Colsubsidio.

Código de

Riesgo Subproceso Objetivo del

Proceso Evento o novedad

Causas del evento Consecuencias Categoría

de riesgo

IT0101

Seguridad de la

tecnología

Promoción de comportamientos

éticos y transparentes.

Errores en el proceso y transmisión

de información.

Fallas de controles de seguridad

informática.

Inadecuada prestación de

servicios. Tecnológica

IT0102

Falta de definición de

procedimientos, reglas y

parámetros.

Incumplimiento de la

normatividad. Operativa

IT0201 Control de la información

Aumentar las Capacidades de Tecnologías de

información, como parte de las estrategias competitivas de

los servicios.

Filtración de información sensible de los usuarios de la Caja.

Fuga de información.

Deterioro de la Figura de la

Caja. Operativa

IT0202 Control de la información

Aumentar las Capacidades de Tecnologías de

información, como parte de las estrategias competitivas de

los servicios.

Filtración de información sensible de los usuarios de la Caja.

Ataques cibernéticos a la plataforma de la Caja.

Fallas en el sistema de

seguridad virtual de la Caja.

Tecnológica

Fuente: Autores. 6.2. EVALUAR LOS RIESGOS ENCONTRADOS DENTRO DE LOS

PROCESOS, CON EL FIN DE DAR PRIORIDAD A LOS QUE TIENEN MAYOR IMPACTO Y PROBABILIDAD DE OCURRENCIA.

6.2.1. Análisis de riesgos De acuerdo al modelo para la gestión del riesgo ilustrado anteriormente y siguiendo los lineamientos establecidos por la NTC-ISO 31000, en donde brinda la importancia al análisis del riesgo, en donde se detalla el desarrollo del riesgo; así como

45

establece un antecedente para lograr evaluar eficazmente; teniendo en cuenta parámetros como la fuente, consecuencias y la probabilidad de que afecte uno o varios procesos en una organización. En el desarrollo del proyecto, se tuvo en cuenta las variables establecidas por la Caja Colombiana del Subsidio Familiar – Colsubsidio, en donde se relaciona el riesgo presentado con su probabilidad de ocurrencia y el impacto que puede presentar en uno o varios procesos en la Caja. Estas variables se definen cualitativamente, con el fin de que permita valorar y determinar las posibles consecuencias de los riesgos para la Caja. A continuación, se presenta la siguiente tabla, en donde se muestra la calificación de las variables por probabilidad. Tabla 4. Clasificación cualitativa de riesgos por probabilidad en Colsubsidio.

PROBABILIDAD DETALLE

Muy Alta (A) • Sucede varias veces al año en Colsubsidio. • Ocurrirá con un alto nivel de certeza el año próximo. • Con certeza ocurrirá en el desarrollo del proyecto.

Alta (B)

• Ha ocurrido una vez en el último año en Colsubsidio. • Es bastante probable que ocurra el año próximo. • Es muy probable que ocurra en el desarrollo del proyecto.

Moderada (C)

• Ha ocurrido en los últimos 5 años en Colsubsidio. • Es probable que ocurra el año próximo. • Es probable que ocurra en el desarrollo del proyecto.

Baja (D)

• Ha ocurrido en los últimos 10 años en Colsubsidio o en el sector. • Es poco probable que ocurra el año próximo. • Es poco probable que ocurra en el desarrollo del proyecto.

Muy Baja (E)

• Ha ocurrido en el sector hace más de 10 años. • No es probable que ocurra el año próximo. • Es poco probable que ocurra en el desarrollo del proyecto.

Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012). Así mismo, se manejará la tabla 5 para calificar los riesgos por impacto en los procesos llevados a cabo en Colsubsidio.

46

Tabla 5. Clasificación cualitativa de riesgos por impacto en Colsubsidio. Nivel de impacto/ Tipos de impacto

Insignificante (1)

Menor (2)

Moderado (3)

Mayor (4)

Catastrófico (5)

Gestión Social Afectación mínima

Afectación menor

Afectación importante

Afectación mayor

Afectación catastrófica

Pérdidas económicas

𝟐% > 𝑿

𝟒% > 𝑿

≥ 𝟐%

𝟓% > 𝑿

≥ 𝟒%

𝟔% > 𝑿 ≥ 𝟓%

𝑿 ≥ 𝟔%

Medio Ambiente Efecto leve Efecto menor

Efecto medio Efecto mayor Efecto máximo

Reputación y legal

Por área Interna De negocio o servicio

Corporativo Sistémico

Infraestructura y personas

Lesión leve o menor, sin pérdidas

humanas ni materiales.

Pérdidas que

generan incapacidad temporal o

daños menores en estructura y

equipos.

Pérdidas que generan incapacidad permanente

parcial o daños

importantes en estructura

y equipos.

Pérdidas que generan

incapacidad permanente

parcial o daños graves

en estructura y equipos.

Pérdidas con una o más fatalidades, incapacidad

por discapacidad permanente o

daños menores en estructura y

equipos. Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012).

A partir del establecimiento de las variables cualitativas, se procedió a la evaluación de los riesgos, el cual se aplicará en la herramienta para la gestión del riesgo en Colsubsidio. 6.2.2. Evaluación de los riesgos Los riesgos afectan la posibilidad de la organización de mantener su poder competitivo frente a otras organizaciones que prestan los mismos bienes y servicios (Estupiñan Gaitán, 2015). Por tal motivo, es crucial para la toma de decisiones por parte de la alta gerencia de una organización la correcta evaluación de riesgos, previo a los criterios anteriores como el análisis y el establecimiento del contexto de

47

los mismos, permite establecer cuál es la hoja de ruta con el fin de minimizar y controlar el riesgo inicialmente encontrado. Así pues, se realizó la evaluación de riesgos del presente proyecto, teniendo en cuenta las variables cualitativas de probabilidad e impacto. Adicionalmente, se estableció una escala según la gravedad del riesgo, clasificándolos de la siguiente manera: Bajo, moderado, Alto y Extremo. A continuación, se describe en la tabla 6, las características de los riesgos según su gravedad: Tabla 6. Escala de riesgos según su gravedad.

ESCALA DE RIESGO

CARACTERÍSTICAS

Extremo Requiere una acción inmediata, planes de tratamiento inminentes, con revisión por parte de la alta gerencia.

Alto Requiere atención permanente, planes de tratamiento y monitoreo acordados con jefes de proceso.

Moderado

Requiere planeación estratégica de acuerdo al hallazgo de la evaluación, planes de tratamiento acordados con responsables del proceso, con conocimiento de los jefes de proceso.

Bajo Administración de los riesgos, mediante controles con frecuencias establecidas con los responsables del proceso.

Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012) La gravedad del riesgo define qué tipo de plan de tratamiento se realizará al riesgo encontrado en la evaluación del proceso. El posterior plan de tratamiento y control para los riesgos (catalogados en escala moderada y baja) tiene como objetivo evitar que se conviertan en riesgos en escala alta y extrema. Mientras que, una puesta en marcha oportuna y efectiva de un plan de tratamiento en escala alta y extrema, permite minimizar y posteriormente controlar estos riesgos. A partir de la escala de gravedad del mismo, se establece un valor numérico para establecer la gravedad del mismo, como lo muestra la tabla 7. Tabla 7. Escala cuantitativa para la calificación del riesgo según la gravedad.

ESCALA RANGO Bajo 1 – 7

Moderado 8 – 16 Alto 17 – 22

Extremo 23 – 25 Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012)

48

De acuerdo a la escala de riesgos por gravedad, se realizó el mapa de calor para la evaluación de riesgos con el fin de identificar mediante una matriz de riesgos la gravedad del mismo teniendo en cuenta los criterios de probabilidad e impacto mencionados anteriormente y que son aplicados por Colsubsidio en la actualidad (Colsubsidio, 2012). De acuerdo a los criterios, la implementación de un mapa de calor permite visualizar una información eficaz de los riesgos encontrados en un proceso, así como un puente rápido de comunicación con los responsables de los mismos. En la tabla 8 se visualiza el mapa de calor aplicado a la herramienta para la gestión del Riesgo en la Colsubsidio. Tabla 8. Mapa de calor evaluación cuantitativa de riesgos por proceso según la gravedad, aplicado a la herramienta para la gestión del riesgo en Colsubsidio.

PRO

BA

BIL

IDA

D Muy Alta (A) 9 17 20 23 25

Alta (B) 8 11 18 21 24 Moderada (C) 3 10 13 19 22

Baja (D) 2 5 12 14 16 Muy Baja (E) 1 4 6 7 15

Insignificante (1)

Menor (2)

Moderado (3)

Mayor (4)

Catastrófico (5)

IMPACTO Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012)

Para establecer el valor numérico del riesgo encontrado en el proceso evaluado se manejó el criterio del riesgo que mayor puntuación tuvo y, por ende, el que más afectó al proceso (Auditool, 2016). Esto se debe a que existen riesgos que no tienen injerencia alguna en los tipos de impacto establecidos anteriormente (Ver Anexo A). La tabla 9 indica el procedimiento de evaluación y valoración de riesgos por proceso aplicado para la herramienta. La valoración de los riesgos se realizó de acuerdo a los resultados obtenidos en las evaluaciones llevadas a cabo por el departamento de Auditoría Interna de la Caja y su valor numérico se establece de acuerdo a los valores otorgados en el mapa de calor. Los resultados fueron consignados en la Matriz de valoración y evaluación por proceso de la Herramienta.

49

En el Anexo A – Apartado Valoración y evaluación se visualizan los resultados obtenidos en el proceso de evaluación. Tabla 9. Valoración y evaluación de riesgos por proceso en la Herramienta de control para la Gestión del Riesgo en Colsubsidio.

Código de

riesgo

PROBABILIDAD X IMPACTO Valoración del riesgo Económico Medio

Ambiente Reputación

y Legal Gestión Social

Infraestructura y Personas

IT0101 1A - Moderado

1A - Moderado

1A - Moderado

1A - Moderado 1A - Moderado Moderado

IT0201 1B - Moderado

1B - Moderado

1B - Moderado

1B - Moderado 1B - Moderado Moderado

Fuente: Autor. La Figura 6 indica la asignación del riesgo al mapa de calor, derivado del proceso de análisis y evaluación de riesgos. En el anexo A – Apartado Mapa de calor Riesgos; se puede visualizar el mapa de calor, con la evaluación de proceso de Tecnología y comunicaciones – IT. Figura 6. Mapa de Calor – Herramienta de control para la Gestión del Riesgo de la Caja Colombiana del Subsidio Familiar.

Fuente: Autor.

Adicionalmente, la herramienta para el control de la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar permite analizar gráficamente la cantidad de riesgos generados en un proceso determinado, la escala de gravedad y las posibles fuentes del riesgo establecidas por categoría, tal como lo muestra la figura 7.

50

Figura 7. Análisis gráfico de riesgos por proceso de la herramienta para el control de la Gestión del Riesgo en Colsubsidio.

Fuente: Autor.

6.3. PREPARAR PLANES DE TRATAMIENTO, CON EL FIN DE MINIMIZAR

RIESGOS POTENCIALES Y MEJORAR CONTINUAMENTE LA GESTIÓN DEL RIESGO.

6.3.1. Generalidades El tratamiento a un riesgo encontrado en un proceso consiste en la planeación e implementación de medidas que buscan eliminar (en lo posible) el riesgo; o reducir la probabilidad de ocurrencia, así como su impacto, con el fin de evitar las consecuencias que éste podría causar (Lopez Lemos, 2016). Los planes de tratamiento de los procesos de la Caja se clasifican según el grado de gravedad establecido en la evaluación de los riesgos descritos anteriormente. En el desarrollo de la Herramienta para el control de la Gestión del Riesgo en Colsubsidio se tuvo en cuenta las fuentes de los riesgos, la categoría del riesgo y la valoración dada en el Mapa de Calor durante la evaluación de riesgos. La implementación de los planes de tratamiento permite además un primer paso para establecer controles y es un indicador de desempeño de la efectividad del tratamiento al riesgo encontrado en determinado proceso.

51

6.3.2. Establecimiento de Planes de tratamiento En el desarrollo del presente proyecto se estableció como fase inicial el establecimiento de planes de tratamiento. A partir de la evaluación y análisis de los riesgos, se realizó una serie de recomendaciones con los responsables del proceso, con el fin de dar un punto inicial a la fase de planes de tratamiento a los riesgos hallados en sus procesos. Cuenta con criterios adicionales como el evento o riesgo encontrado y la fuente del mismo, como lo muestra la Tabla 10. Para visualizar la totalidad de las recomendaciones realizadas para el establecimiento de los planes de tratamiento a los riesgos encontrados, analizados y evaluados anteriormente, ver anexo D. Tabla 10. Recomendaciones aplicadas para el establecimiento de planes de tratamiento. CÓDIGO

DE RIESGO

EVENTO FUENTE DEL EVENTO RECOMENDACIONES

IT0101 Errores en el proceso

y transmisión de información.

Fallas de controles de seguridad informática.

• Creación de un manual de seguridad informática, para su aprobación, formalización y divulgación a los responsables del proceso.

IT0201

Filtración de información sensible de los usuarios de la

Caja.

Fuga de información.

• Creación de matrices de roles y responsabilidades para el área de seguridad informática.

• Monitoreo a usuarios responsables del proceso de recepción y almacenamiento

Fuente: Autor. Como continuación al establecimiento de planes de tratamiento y de acuerdo a las recomendaciones realizadas, se procedió a elaborar un formato general, donde los responsables de los procesos detallen las actividades a realizar dentro del proceso de tratamiento para la mitigación y/o eliminación del riesgo en los procesos identificaos, analizados y evaluados anteriormente.

52

Adicionalmente, se busca llevar un control por parte de los responsables de los procesos sobre las actividades propuestas para ejecutar los planes de tratamiento. La tabla 11 muestra el formato para la consignación de actividades a realizar como parte de los planes de tratamiento de riesgos por procesos en la Caja Colombiana del Subsidio Familiar. Para visualizar el formato, ver Anexo E. Tabla 11. Formato de actividades para los planes de tratamiento para la Gestión de Riesgos en la Caja Colombiana del Subsidio Familiar – Colsubsidio.

FORMATO DE PLANES DE TRATAMIENTO

Riesgo asociado: Errores en el proceso y transmisión de información.

Fecha Código del Riesgo IT0101

Objetivo del Plan de Tratamiento:

Reducir las fallas derivadas de las debilidades en los controles de seguridad informática.

Recomendación Inicial:

Creación de un manual de seguridad informática, para su aprobación, formalización y divulgación a los responsables del proceso.

ACTIVIDADES A DESARROLLAR

RESPONSABLES DEL PROCESO

FECHA DE ENTREGA

Planteamiento de manuales de seguridad informática.

Departamento de IT

Por definir

Formalización de manuales de seguridad informática

Departamento de IT

Por definir

Capacitación de manuales de seguridad informática

Departamento de IT

Por definir

Presentado: Depto. IT Aprobado N/A Fecha de aprob. N/A Aprobado:

Fuente: Autor.

Cabe anotar que a partir de la proposición de planes de tratamiento se debe pasar a estudio por parte de Planeación Estratégica y los responsables del proceso para su análisis y posterior aprobación, lo cual se encuentra establecido anteriormente por la Caja (Colsubsidio, Isolución, 2013).

53

6.3.3. Planteamiento de controles y seguimientos a riesgos El monitoreo y revisión del tratamiento realizado a los riesgos encontrados en la evaluación debe estar planificado (Auditool, 2016). Así mismo se define con anterioridad las responsabilidades de la aplicación de los controles y el posterior monitoreo. Esto con el fin de garantizar que los controles sean eficientes, así mismo tener información adicional para valorar el riesgo y posteriormente hacer identificación de potenciales riesgos emergentes (ICONTEC, 2011). A partir de la aprobación de las propuestas para el tratamiento del riesgo, se debe ubicar la actividad a desarrollar en la Herramienta para el control de la Gestión de Riesgo en Colsubsidio. El control debe establecer un período, que puede ser periódico o como convenga para la organización (ICONTEC, 2011). Para la aplicación en la Herramienta el período de el monitoreo del control se estableció en mensual, trimestral, semestral o anual. Con esto se busca generar períodos según la gravedad del riesgo y el desarrollo de las actividades establecidas en el plan de tratamiento. El responsable del proceso se establece según la gravedad del riesgo frente al desarrollo de las actividades. Adicionalmente, coordina el desarrollo de las actividades de tratamiento, y su posterior documentación. En la etapa de control y monitoreo se verifica si en efecto fue documentado el desarrollo de las actividades. Es esencial la documentación ya que es la evidencia del desarrollo de la actividad. En la aplicación de la Herramienta se definieron al personal equivalente a los cargos de Auxiliar, Jefe Sección, Jefe Departamento, Jefe Unidad de Negocio Estratégico, Subdirector y Director administrativo como responsables de los controles, monitoreo y revisión de las actividades de tratamiento llevados a cabo en la Caja. Los responsables tienen como función verificar si en efecto se documentó el desarrollo de la actividad y consignarlo en el aplicativo. El tipo de control se estableció de acuerdo a las actividades desarrolladas para mitigar los riesgos. Se busca con el tipo de control realizar una serie de pruebas para determinar la efectividad de los planes de tratamiento de los riesgos encontrados en un determinado proceso.

54

Estos controles se clasifican de acuerdo a lo establecido por la Caja, como lo muestra la tabla 12. Estos controles se aplicaron en la herramienta para el control de la Gestión del Riesgo y se clasifican en Preventivos, correctivos y detectivos. Tabla 12. Tipos de controles aplicados en la Herramienta para el control de la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar Colsubsidio.

TIPO DESCRIPCIÓN EJEMPLO

Preventivo

Aquellas actividades diseñadas para reducir la frecuencia con

que ocurren las causas del riesgo.

• Cotejar las firmas antes de realizar un pago.

• Revisar los formularios de inscripción antes de la aceptación de un afiliado.

• Segregación e funciones

Detectivo

Actividades que no evitan que ocurran las fuentes del riesgo, sino que los detecta luego de

ocurridos.

• Detección de un capital adicional de créditos al momento del desembolso.

• Identificar la omisión de un dato obligatorio en el formulario de inscripción de un afiliado.

Correctivo

Aseguran que las acciones

correctivas sean tomadas para revertir un evento no deseado.

• Creación de planes de contingencia.

• Revisiones por partes de las gerencias.

• Procedimientos de respaldo. Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012)

El tratamiento se calificó de acuerdo a la actividad ejecutada y control realizado por los responsables del proceso. Posteriormente, se realiza la revisión de las actividades propuestas para mitigar los riesgos y se asignó un valor cualitativo de acuerdo a los criterios establecidos en la tabla 13. Tabla 13. Calificación de controles aplicados en la Herramienta para el control de la Gestión del Riesgo en Colsubsidio. CALIFICACIÓN DESCRIPCIÓN

Fuerte

• Cumple con toda la descripción de la actividad. • Se aplica efectivamente y contribuye a la mitigación del riesgo. • Se encuentra implementado y funciona adecuadamente.

55

Por Mejorar

• No cumple con toda la descripción de la actividad. • Puede presentar problemas en su implementación. • No mitiga adecuadamente el Riesgo.

Insatisfactorio

• No cumple con toda la descripción de la actividad. • Presenta problemas en su implementación. • No mitiga el Riesgo; probablemente aumente el riesgo.

Fuente: Plataforma ISolución Colsubsidio (Colsubsidio, 2012) Al momento de establecer la calificación se debe tener en cuenta los criterios definidos anteriormente. Es decir, si el tratamiento se considera fuerte al momento de realizar el control, debe cumplir con todos los criterios. Por el contrario, si la calificación es por mejorar o insatisfactorio, la actividad puede cumplir todos o algunos de los criterios definidos. Si la actividad requiere una segunda revisión, se debe a que en la calificación del control de riesgos fue “Por Mejorar” o “insatisfactorio”. Esto se realiza con el fin de buscar nuevas alternativas que permitan mitigar los riesgos y encausar la Gestión del Riesgo a una óptima Mejora continua. La tabla 14 muestra cómo debe diligenciarse correctamente el control y monitoreo de las actividades de los planes de tratamientos por Procesos en la herramienta de control para la Gestión del Riesgo. (Ver anexo A – Apartado control de Riesgos para ver los resultados en la herramienta). Para ver la totalidad de los controles propuestos para los riesgos identificados en el desarrollo del presente proyecto, ver Anexo A – Apartado control de Riesgos para ver los resultados en la herramienta. Tabla 14. Control y monitoreo de riesgos por proceso aplicado en la Herramienta de control para la Gestión del Riesgo en Colsubsidio.

CONTROLES Código

del Riesgo

Frecuencia del Control Responsable Documentado Tipo de

control Calificación de control

Requiere segunda revisión

Observ.

IT0101 Mensual Auxiliar SI Correctivo Fuerte NO Ninguna

IT0201 Trimestral Jefe Sección NO Preventivo Por Mejorar SI Requiere segunda revisión

IT0301 Trimestral Jefe Departamento SI Detectivo Insatisfactorio SI

No mitiga el riesgo

Fuente: Autor.

56

6.3.4. Análisis gráfico a los controles establecidos por proceso La herramienta para el control de la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar permite analizar gráficamente la cantidad de controles realizados a los riesgos de los procesos. Adicionalmente, detalla la calificación de los controles. Por último, muestra la frecuencia de los controles con el fin de verificar la efectividad de los planes de tratamiento por proceso, tal como lo muestra la figura 8. Figura 8. Análisis gráfico de riesgos por proceso de la herramienta para el control de la Gestión del Riesgo en Colsubsidio.

Fuente: Autor

6.4. CAPACITAR CONTINUAMENTE AL PERSONAL SOBRE LA IMPORTANCIA DE TENER EN CUENTA LOS POSIBLES RIESGOS QUE PUEDAN AFECTAR LAS ACTIVIDADES QUE SE DESARROLLAN DENTRO DE LA ORGANIZACIÓN.

6.4.1. Importancia de la capacitación Una óptima capacitación permite al personal comprender la importancia de la gestión del riesgo dentro del desarrollo de sus funciones y la responsabilidad que tienen dentro de sus procesos. Así mismo, brinda garantías para que los responsables de los procesos cuenten con herramientas suficientes para controlar sus riesgos, como parte de la mejora continua (ICONTEC, 2011).

57

La capacitación crea conciencia hacia una buena aplicación de los modelos de Gestión del Riesgo dentro de una organización, para el cumplimiento de objetivos y metas; así como la responsabilidad que tiene todo el personal dentro de su ejecución independientemente del cargo y la responsabilidad dentro de una organización (Cuartas, 2012). 6.4.2. Capacitación al personal de la Caja Colombiana del Subsidio Familiar–

Colsubsidio En el desarrollo del presente proyecto se crearon diferentes elementos para capacitar al personal con referencia al tema de la gestión del riesgo, así como pautas para el manejo de la Herramienta para la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar – Colsubsidio. La capacitación al personal consta de los siguientes elementos:

o Presentación: Muestra generalidades como la normatividad que rige la Gestión del Riesgo para la Caja, responsabilidades para la gestión de riesgos, metodología implementada basada en la NTC – ISO 31000: 2011, y el Informe COSO I y II y su aplicación dentro de la Herramienta para el Control de la Gestión del Riesgo para la Caja Colombiana del Subsidio Familiar – Colsubsidio (ver Anexo F).

o Fichas de caracterización: Muestra el plan de trabajo para el desarrollo de la Capacitación al personal (ver Anexo G).

o Listas de chequeo: Hace una revisión de los aspectos generales de los procesos con el fin de identificar hallazgos preliminares, con el fin de hacer una revisión detallada para identificar riesgos potenciales (Ver Anexo C).

o Formato desarrollo de actividades Plan de tratamiento: Detalla las actividades a realizar como parte del plan de tratamiento a riesgos para su posterior control y monitoreo (Ver Anexo E)

o Ejecutable (herramienta) para el control de la Gestión del riesgo: Aplicativo que tiene como función principal manejar los riesgos de los procesos o actividades desarrolladas en la organización. Permite llevar el historial de los riesgos hallados y sus controles (ver Anexo A).

o Instructivo del ejecutable (herramienta): Indica paso a paso el procedimiento para realizar un manejo correcto de la Herramienta para la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar – Colsubsidio (ver Anexo H).

58

Así mismo, se elaboró un acta de asistencia a la capacitación realizada por parte de los trabajadores. Adicionalmente, dentro de lo estipulado en el acta, se estableció realizar una capacitación trimestral para realizar una retroalimentación sobre la importancia de la Gestión del Riesgo en el funcionamiento de la organización (ver anexo I).

59

7. CONCLUSIONES • Se realizó una identificación eficiente de riesgos a los procesos que presentan

un mayor riesgo en la organización, a partir de la revisión del mapa de procesos. La revisión de los procesos establecida en la metodología permitió conocer casos recientes en los cuales existió un riesgo en proceso, en donde se pudo evidenciar que afectaba en gran proporción las actividades de la organización. Por último, el diseño de elementos para la identificación de riesgos preliminares como las listas de chequeo, y una revisión detallada de estos casos permitió identificar plenamente los riesgos encontrados en estos procesos y sirvió como punto de partida para el desarrollo de la herramienta para el control de la Gestión del Riesgo en la Caja.

• Se logró realizar de manera óptima la evaluación de los riesgos identificados en los procesos. Posteriormente se dio prioridad a los riesgos a partir de lo establecido por la organización en materia de valoración cualitativa y cualitativa de los riesgos identificados anteriormente. Así mismo, se mostró la importancia de plasmar en un mapa de calor los riesgos que pueden afectar los procesos. Como valor agregado, se logró un análisis gráfico de los riesgos hallados en cada proceso, que permite tener un control estadístico de los riesgos identificados en cada proceso, y el tipo de riesgo que lo caracteriza.

• Se preparó una serie de planes de tratamiento a los riesgos encontrados en los

procesos de la Caja, con el fin de minimizar, mitigar y eliminar los mismos; adicionalmente, como parte de la metodología establecida en la NTC – ISO 31000: 2011 y el Informe COSO, se logró establecer controles aplicados dentro de la herramienta con el fin de mostrar la efectividad del tratamiento a los riesgos. Adicionalmente, se logró desarrollar indicadores de gestión a los tratamientos y controles realizados, así como la intensidad de los mismos, buscando brindar elementos a los responsables de los procesos en búsqueda de una toma de decisiones en marco de los intereses de la organización.

• Se realizó satisfactoriamente la capacitación a los trabajadores de la Caja, sentando las bases para el conocimiento del personal de la Caja sobre la importancia del control sobre los riesgos en la Caja; del mismo modo, puso en conocimiento para su posterior aplicación las herramientas que permitan al personal ilustrar la importancia de tener una Gestión del Riesgo que garantice la menor cantidad de riesgos encontrados en sus procesos; y a su vez que cumpla

60

con lo establecido por la normatividad técnica y legal vigente, como parte de una mejora continua dentro del desarrollo de las actividades de la organización.

61

8. RECOMENDACIONES

• Una correcta administración de la Gestión del Riesgo, permite una identificación

oportuna de situaciones que posteriormente, se conviertan en potenciales riesgos para los intereses de la Caja. La herramienta para el Control de la Gestión del Riesgo en Colsubsidio, así como la lista de chequeo diseñada para la identificación preliminar de los mismos, no sólo permite una identificación eficiente de riesgos; también busca el cumplimiento de los procesos con los lineamientos establecidos por la normatividad legal vigente.

• Se debe tener en cuenta para el manejo de la herramienta, el proceso de evaluación cuenta los riesgos catalogados como “Alto” y “Extremo” requieren planes de tratamiento de acuerdo a lo establecido anteriormente. Mientras que, los riesgos catalogados como “Moderado” y “Bajo”, requieren una planeación por parte de los responsables de los procesos comprometidos, con el fin de evitar que estos se conviertan en altos y/o extremos.

• Efectuar planes de tratamiento de acuerdo a las actividades que se desarrollan

dentro del proceso. Así mismo, el análisis estadístico de los controles realizados a los riesgos, permiten dar una base para la toma de decisiones que requiera la Caja para el cumplimiento de los requerimientos técnicos y legales que se encuentren en vigencia, así como la protección de los intereses de la organización para el cumplimiento de los objetivos y metas.

• Realizar revisiones y modificaciones a la herramienta para el control de la

Gestión del Riesgo para la Caja Colombiana del Subsidio Familiar, de acuerdo a los lineamientos técnicos y legales que la Caja requiera ya las actualizaciones solicitadas por la normatividad técnica y legal vigente.

• Es imprescindible capacitar continuamente al personal, sobre la importancia de

una gestión correcta del riesgo, así como las modificaciones que se realizan tanto a la Herramienta de control, como a los requerimientos técnicos y legales para el cumplimiento de los objetivos y metas de la organización.

62

BIBLIOGRAFÍA Y WEBGRAFÍA AS/NZS. (2004). Australian/New Zealand Standard 4360 - Risk Management.

Sydney - Wellington: Standards Australia International Ltd, Standards New Zealand.

Auditool. (23 de Octubre de 2016). Auditool. Obtenido de Artículo: Cómo realizar un mapa de riesgo de fraude interno : https://auditool.org/blog/fraude/3966-como-realizar-un-mapa-de-riesgo-de-fraude-interno

Auditool. (15 de Septiembre de 2016). Auditool. Obtenido de Informe Coso I y II: https://www.auditool.org/blog/control-interno/290-el-informe-coso-i-y-ii

Aumatell, C. S. (2003). Auditoría de la información. Barcelona: UOC.

CET Colsubsidio. (2016). CET. Recuperado el 7 de Abril de 2016, de http://www.cetcolsubsidio.edu.co/conoce-la-instituci%C3%B3n/historia.html

Colsubsidio. (14 de Noviembre de 2006). Isolución. Recuperado el 12 de Abril de 2016, de Intranet Colsubsidio - Aplicativo documental : http://windtiintrane01/isolucion/FrameSetArticulo.asp?Pagina=/Isolucion/bancoconocimiento/M/Mapadeprocesos_v0/Mapadeprocesos_v0.asp&IdArticulo=807

Colsubsidio. (2012). Plataforma Isolución. Obtenido de Intranet Colsubsidio: http://windtiintrane01/isolucion/FrameSetGeneral.asp?Pagina=ListadoMaestroDocumentos4.asp

Colsubsidio. (2013). Isolución. Recuperado el 14 de Abril de 2016, de Aplicación Isolución: http://windtiintrane01/isolucion/FrameSetGeneral.asp?Pagina=ListadoMaestroDocumentos3.asp

Colsubsidio. (2015). Manual de metodología Auditoría Interna. Bogotá.

Colsubsidio. (2016). Quienes somos. Recuperado el 7 de Abril de 2016, de http://www.colsubsidio.com/index.php?option=com_content&view=article&id=128&Itemid=278

Comfenalco Antioquia. (2016). Las Cajas como un aliado. Obtenido de Sistema de Compensación familiar:

63

http://www.comfenalcoantioquia.com/QuieacutenesSomos/LaCompensaci%C3%B3nFamiliar.aspx

Cooper, & Lybrand. (1997). Los nuevos conceptos del control interno: El informe COSO. Madrid: Ediciones Díaz de Santos S.A.

Cuartas, J. D. (15 de Noviembre de 2012). Diseño, implementación, seguimiento y mejoramiento del Sistema de Gestión de Riesgos. Obtenido de http://www.usergioarboleda.edu.co/santamarta/descargas/sgc/Gestion_del_Riesgo.pdf

Estupiñan Gaitán, R. (2015). Administración de riesgos E.R.M. y la auditoría interna (2a. ed.). Bogotá D.C.: Ecoe Ediciones, consulta en la nase de datos de la Universidad Cooperativa de Colombia.

IAI Perú. (2015). Institudo de Auditores Internos del Perú. Obtenido de ¿Qué es la Auditoría Interna?: http://www.iaiperu.org/index.php?option=com_content&view=article&id=80:ique-es-auditoria-interna&catid=49:preguntas-frecuentes&Itemid=40

ICONTEC. (2004). NTC - 5254. Bogotá D.C.: Instituto Colombiano de Normas Técnicas y CErtificación.

ICONTEC. (2011). NTC-ISO 31000. Bogotá D.C.: Instituto Colombiano de Normas Técnicas.

ICONTEC. (2011). NTC-ISO 31000 GESTIÓN DEL RIESGO. PRINCIPIOS Y DIRECTRICES. Bogotá D.C.: Instituto Colombiano de Normas Técnicas.

IIA. (2016). The institute of Internal Auditors. Recuperado el 9 de Abril de 2016, de https://na.theiia.org/iiarf/Pages/The-IIA-Research-Foundation.aspx

ISO. (2015). NTC-ISO 9001: 2015 - Sistema de Gestión de Calidad. Bogotá: ICONTEC.

Isolución-Colsubsidio. (2006). Plataforma Isolución. Obtenido de Plan estratégico Colsubsidio: http://windtiintrane01/isolucion/FrameSetGeneral.asp?Pagina=ListadoMaestroDocumentos154.asp

ITAA. (2016). Information Technology Association of America. Obtenido de http://searchcio.techtarget.com/definition/ITAA

64

Lopez Lemos, P. (2016). Novedades ISO 9001:2015. Madrid, España: Fundación Confemetal.

Marco estratégico Colsubsidio. (15 de Septiembre de 2016). Marco estratégico. Obtenido de http://www.colsubsidio.com/index.php?option=com_content&view=article&id=128&Itemid=278

Medina Giopp, A. (2005). Gestión de procesos y creación de valor público: Un enfoque analítico. Santo Domingo, Reública Dominicana: Búho.

Mintrabajo. (2012). Superintendencia del Subsidio Familiar. Bogotá D.C. Obtenido de Audiencia pública de rendición de cuentas.

Spencer Picket, K. (2007). Manual Básico de Auditoría Interna. Barcelona, España: Accid, Gestión 2000.

SSF. (2010). Circular 023 del 30 de noviermbre de 2010. Bogotá D.C.: Superintendencia del Subsidio Familiar.

UCA. (2007). Gestión de procesos en UCA. Obtenido de http://servicio.uca.es/personal/guia_procesos

UDEM. (2012). Universidad de Medellín. Obtenido de Mapa de procesos: http://www.udem.edu.co/index.php/gestion-por-procesos/mapa-de-procesos

65

ANEXOS

Anexo A. Herramienta para el control de la Gestión del Riesgo en la Caja Colombiana del Subsidio Familiar (Archivo ubicado en el CD).

Anexo B. Identificación de riesgos por proceso – Estudios de caso (Archivo ubicado en el CD).

Anexo C. Lista de chequeo identificación preliminar de riesgos por proceso (Archivo ubicado en el CD).

Anexo D. Matriz recomendaciones plan de Tratamiento (Archivo ubicado en el CD)

Anexo E. Formato desarrollo de actividades planes de tratamiento (Archivo ubicado en el CD)

Anexo F. Capacitación al personal – Gestión del riesgo (Archivo ubicado en el CD).

Anexo G. Fichas de caracterización – Capacitación al personal (Archivo ubicado en el CD).

Anexo H. Instructivo para el manejo de la Herramienta de control para la Gestión del Riesgo (Archivo ubicado en el CD).

Anexo I. Capacitación al personal – Actas de capacitación (Archivo ubicado en el CD).