Metologia para la administracion del riesgo en las instituciones

METODOLOGÍA PARA LA ADMINISTRACIÓN DEL

RIESGO EN EL IPSFA 2009

ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL GO EN EL GO EN EL GO EN EL

INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 1

INDICE

PRELIMINARES 4

METODOLOGÍA PARA LA ADMINISTRACION DEL RIESGO EN EL IPSFA 4

1. OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO 5

GENERAL 5

ESPECIFICOS 5

2. MARCO NORMATIVO 5

3. MARCO CONCEPTUAL 6

4. METODOLOGÍA 7

LINEAS GENERALES 8

Compromiso Gerencial 8

Conformación de un equipo de trabajo 8

Capacitación en la metodología 8

4.1 PLANIFICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO 8

4.2 VALORACIÓN DEL RIESGO 9

4.2.1 Identificación del riesgo 9

Formato de identificación de riesgos 10

Clasificación del riesgo 10

4.2.2 Análisis del riesgo 11

Análisis cualitativo 12

Análisis cuantitativo 12





Evaluación de los riesgos

14

4.2.3 Determinación del nivel del riesgo 16

Calificación de los controles 16

Criterios para evaluar la efectividad de los controles 16

Criterios para evaluar el nivel del riesgo 17

Resultado Nivel de riesgo 17

4.3 MANEJO DEL RIESGO 18

4.3.1 Consideración de Acciones

18

Evitar el riesgo 18

Reducir el riesgo 18

Dispersar y atomizar el riesgo 19

Transferir el riesgo 19

Asumir el riesgo 19

4.3.2 Elaboración del Mapa de Riesgos

19

MAPA DE RIESGOS

20

Descripción del Mapa de riesgos

20

4.3.3 Implementación de acciones

21

4.5 MONITOREO

21

5. DIAGRAMAS DE LA ADMINISTRACION DEL RIESGO

22

ETAPA DE PLANIFICACION 23





EATAPA DE VALORACION DEL RIESGO 23

ETAPA DE MANEJO DEL RIESGO 24

ETAPA DE MONITOREO 25

6. DEFINICIÓN DE TÉRMINOS 26





PRELIMINARES El riesgo esta relacionado con todo el quehacer de la especie humana, de

manera que no hay actividad de la vida, los negocios o de cualquier asunto que no incluya el riesgo, es por ello que el ser humano desde sus inicios buscó maneras de protegerse contra las eventualidades y desarrolló modos de sortear, disminuir o asumir riesgos a través de acciones preventivas.

Así mismo, la administración pública y en especial el Instituto de Previsión Social de la Fuerza Armada no son ajenas al riesgo y deben buscar como manejarlos partiendo de la base de su razón de ser y su compromiso con el Estado; por esto, se debe tener en cuenta que los riesgos no sólo son de carácter económico y están directamente relacionados con entidades financieras, aseguradoras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de cualquier gestión que se realice.

La Auditoría Interna del IPSFA en ejercicio de su competencia de la evaluación del Sistema de Control Interno del Instituto y aún más el de contribuir en desarrollo de su Cultura ha estimado necesario compilar la presente información, tomada de otros Estados que han tenido un desarrollo importante en esta área, y la presenta en forma de guía metodológica de forma tal que pueda ser utilizada como referencia en el empeño gerencial de lograr desarrollar la ADMINISTRACION DEL RIESGO en el Instituto.

Es importante advertir, que en lo relativo al manejo de los indicadores en el área de la Administración del Riesgo, la presente guía metodológica la limita a una modesta mención, toda vez que la misma merece que sea atendida por separado, cuando se trate lo relativo a las técnicas construcción de los indicadores de gestión, validos también para la Administración del Riesgo.

METODOLOGÍA PARA LA ADMINISTRACION DEL RIESGO EN EL IPSFA La Administración del Riesgo se presenta como una herramienta que le

permita a la administración hacer un manejo adecuado del mismo desde la planificación, por lo cual, se aspira que el usuario de ella, pueda identificar, analizar y manejar permanentemente el riesgo, garantizando el cumplimiento de los objetivos institucionales, la supervivencia de la entidad y fortaleciendo continuamente la credibilidad de la misma ante el afiliado. Para efectos de esta metodología, se va a considerar el riesgo, como toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.





Es conveniente aclarar que la presente metodología resulta ser una compilación de diversas instituciones de otros Estados que han avanzado considerablemente en el modelo de Administración del riesgo, toda vez que en Venezuela apenas estamos desarrollando nuestras primeras experiencias y aún no se recibe información oficial sobre la materia. Sin embargo la misma no agota la materia de Administración de Riesgo y menos invalida otros modelos de administración existentes, información que no solo es aceptada por el compilador del presente trabajo, sino por el contrario se estimula al desarrollo de la investigación en esta área, de manera de complementar la información aquí contenida.

1. OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO GENERAL

Facilitar el cumplimiento de la misión y objetivos de la institución a través de la prevención y administración de los riesgos.

ESPECIFICOS Generar una visión sistémica acerca de la administración y evaluación de

riesgos.

Servir como herramienta de trabajo a la administración activa en su meta de protección de los recursos del Estado.

Introducir dentro de los procesos y procedimientos la administración del riesgo.

Involucrar y comprometer a todos los funcionarias y funcionarias del instituto, en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.

Propender porque cada entidad interactúe con otras, para fortalecer su desarrollo.

Asegurar el cumplimiento de normas, leyes y regulaciones.

2. MARCO NORMATIVO El Manual de Normas de Control Interno sobre un modelo Genérico de la

Administración Central y Descentralizada Funcionalmente (Gaceta Oficial No 38.282 del 28 de septiembre de 2005), dictado por la Superintendencia Nacional de Auditoría Interna, órgano rector del sistema de control interno del sector publico, de acuerdo a las previsiones del Artículo 5 de la Ley Orgánica de Administración Financiera del Sector Público, en nombre del Estado venezolano





reconoce la aplicación del Modelo COSO como herramienta de control de la administración pública, con la cual se suma a la nueva filosofía de gobierno del Control Fiscal (Sistema Nacional de Control Fiscal Venezolano). Con ello reconoce la aplicación del componente del sistema denominado: “Administración y Valoración del riesgo”, de esta manera da entrada en toda la administración pública al “Riesgo” como herramienta para ser tomada en cuenta en la planificación pública.

3. MARCO CONCEPTUAL La administración pública al ocuparse de los fenómenos de organización y

gestión, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administración, para lo cual requiere estar en constante actualización y estar abierta al cambio y a la aplicación de diferentes instrumentos que le permitan a las entidades ser cada vez más eficientes, por lo que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en un momento determinado el cumplimiento de los objetivos institucionales.

Por lo anterior, se hace necesario introducir el concepto de administración del riesgo en el instituto, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente expuestos a diferentes riesgos que pueden poner en peligro su existencia. Desde la perspectiva del control, el modelo COSO interpreta que la eficiencia del control es la reducción de los riesgos, es decir: el propósito principal del control es la eliminación o reducción de los riesgos, es lograr que el proceso y sus controles garanticen, de manera razonable que los riesgos están minimizados o se están reduciendo y por lo tanto, que los objetivos de la organización y en este caso del instituto, van a ser alcanzados.

Para el caso particular del IPSFA, dada la diversidad y particularidad de las dependencias en cuanto a sus funciones, estructura, manejo presupuestario, contacto con la ciudadanía y compromiso social entre otros, es preciso identificar o precisar las áreas, los procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la buena gestión y la obtención de resultados para tener un adecuado manejo del riesgo.

Igualmente, es importante tener en cuenta que los riesgos están determinados por factores de carácter externo, también denominados del entorno y factores de carácter interno.





Entre los factores externos se destacan: la normatividad en la medida que se hace parte de un Estado social de derecho; a manera de ejemplo se pueden mencionar cambios constitucionales, legales, reglamentarios o cualquier otra normativa superior al instituto de producirse; jurisprudenciales como los que se expresan en sentencias que declaran sin efecto normas que venían aplicándose y que en un momento determinado pueden afectar las funciones específicas del instituto y por lo tanto sus objetivos. También pueden mencionarse las reformas a la administración y los constantes recortes presupuestales que afectan la capacidad de gestión de la entidad, lo cual sumado a la reducción o eliminación total del presupuesto de inversión, obliga a considerar en todo momento el riesgo que tendría el IPSFA de no poder cumplir con su objeto social.

Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y procedimientos, la disponibilidad presupuestaria, la forma como se vinculan las personas a la entidad, los intereses de los directivos, el nivel del talento humano, la motivación y los niveles salariales, entre otros.

Es así como se hace necesario además de la identificación de factores y riesgos en las entidades, su análisis, valoración e implementación de un plan de manejo el cual se materialice en un mapa de Riesgos, al cual se le haga una evaluación y monitoreo permanentes.

Para llevar a cabo dicho proceso se considera importante señalar el papel de la Oficina de Coordinadora de Control Interno del instituto, coordinar para que en las gerencias se implementen políticas de administración del riesgo y se conformen equipos de trabajo que apoyen dicho proceso y propendan por que se implementen mecanismos reales para la administración del riesgo.

Igualmente estimular para que la identificación y el análisis del riesgo sean un proceso permanente e interactivo entre la administración y las coordinaciones de control interno o quien haga sus veces con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y dichas oficinas.

4. METODOLOGÍA El IPSFA al igual que el resto de entidades de la administración pública

tiene unos objetivos institucionales definidos por su norma de constitución y demás normas que la involucran, los cuales debe desarrollar a través de diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos se puede ver afectado por la presencia de riesgos, razón por la cual se hace





necesario contar con una metodología para administrar los mismos dentro de la organización.

En este sentido y partiendo de la razón de ser de la entidad, la administración del riesgo debe ser una política institucional definida, respaldada por la Gerencia, de tal forma que se comprometa a manejar el tema dentro de la misma.

LINEAS GENERALES Las etapas sugeridas para una adecuada Administración del Riesgo son las

siguientes:

Compromiso Gerencial: Para el éxito en la Implementación de una adecuada administración del

riesgo, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de definir las políticas y en segunda instancia de estimular la cultura de la identificación y prevención del riesgo. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios.

Conformación de un equipo de trabajo: Es importante conformar un equipo de trabajo que junto con la Coordinación

de Control Interno se encargue de liderar el proceso de administración del riesgo dentro de la gerencia y cuente con un canal directo de comunicación con la alta dirección. Dicho equipo lo deben integrar personas de diferentes áreas que conozcan muy bien la entidad y la dependencia en particular, el funcionamiento de los diferentes procesos para que se facilite la administración del riesgo y la construcción de los mapas de riesgos institucionales.

Capacitación en la metodología: Definido el equipo o equipos de trabajo, la Gerencia y la Coordinación de

Control interno deben velar por la capacitación de sus integrantes en la metodología de la administración del riesgo, para lo cual se podrá contar con el apoyo de las diferentes instituciones del estado en materia de Control Fiscal incluyendo la Auditoría interna del IPSFA.

4.1 PLANIFICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO Como cualquier otro proceso, la administración del riesgo debe planificarse

y programarse de manera que haga parte de todo el quehacer de la entidad. Para el diseño de esta planificación es fundamental tener claridad en la misión de la entidad, en sus objetivos y tener una visión sistémica de manera que no se





perciba la administración del riesgo como algo aislado. Igualmente es necesario conocer sobre el tema de riesgos y la metodología propuesta.

Dicha planificación debe contener: ¿Cuándo va a empezar a manejarse el tema dentro de la entidad?, ¿Quiénes van a participar directamente en el proceso?, ¿Cuándo van a realizarse las capacitaciones y a quién van a ir dirigidas? y ¿Cómo se va a articular el tema dentro de la planificación y con los procesos?, ¿Cómo se conducir el seguimiento?, entre otros.

4.2 VALORACIÓN DEL RIESGO La valoración del riesgo consta de tres etapas: la identificación, el análisis y

la determinación del nivel del riesgo. Estas etapas son de singular interés para desarrollar con éxito la administración del riesgo e implementar una política al respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las personas que ejecutan los procesos para lograr que las acciones determinadas alcancen los niveles de efectividad esperados.

4.2.1 Identificación del riesgo El proceso de la identificación del riesgo debe ser permanente e interactivo

integrado al proceso de planificación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

Previa la identificación de los riesgos es importante tener en cuenta tal como se mencionó anteriormente, los factores que pueden incidir en la aparición de los mismos, los cuales pueden ser externos e internos y llegar a afectar la organización en cualquier momento.

Debe considerarse además de los factores previamente citados, factores externos relacionados con la entidad como son: económicos, sociales, de orden público, políticos, legales y cambios tecnológicos, entre otros y como factores internos: la naturaleza de las actividades de la entidad, la estructura organizacional, los sistemas de información, los procesos y procedimientos y los recursos económicos.

Para la identificación se recomienda la aplicación de varias herramientas y técnicas como por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre





otros. Igualmente pueden utilizarse diferentes fuentes de información de la entidad, tales como registros históricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de años anteriores, los cuales pueden proporcionar información importante, la técnica utilizada dependerá de las necesidades y naturaleza de la dependencia.

Una manera de visualizar los riesgos es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia los riesgos, posteriormente presentando una descripción de cada uno de estos, las causas y finalmente definiendo las posibles consecuencias. Es importante centrarse en los riesgos más significativos para la dependencia.

Formato de identificación de riesgos

ACTIVIDAD RIESGO DESCRIPCIÓN CAUSAS POSIBLES

CONSECUENCIAS

Actividad: Paso del proceso al cual se le esta aplicando las técnicas de Administración del Riesgo

Riesgo: Posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.

Causas: Identificar el agente generador del riesgo

Posibles consecuencias: Corresponde a los posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, entre otros.

Clasificación del riesgo Durante el proceso de identificación del riesgo se recomienda hacer una

clasificación de los mismos teniendo en cuenta los siguientes conceptos:

Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia





Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información y comunicación, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales.

Riesgos de Control: Están directamente relacionados con inadecuados o inexistentes puntos de control y en otros casos, con puntos de controles obsoletos, inoperantes o poco efectivos.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporten el cumplimiento de la misión.

4.2.2 Análisis del riesgo El objetivo del análisis es el de establecer una valoración y evaluación de

los riesgos con base en la información obtenida en el formato de identificación de riesgos elaborados en la etapa de identificación, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre el mismo, de su causa y la disponibilidad de datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas. Se han establecido dos aspectos para realizar el análisis de los riesgos identificados:

Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.





A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos.

Análisis cualitativo: Se refiere a la utilización de formas descriptivas para presentar la magnitud

de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada organización o el concepto particular del riesgo evaluado.

Escala de medida cualitativa de PROBABILIDAD: se deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de ella los mismos ítems, por ejemplo:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.

Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las categorías y la descripción, por ejemplo:

ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad.

MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad.

BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad.

Con base en los ejemplos anteriormente expuestos, los equipos de trabajo en coordinación con los encargados de adelantar los procesos pueden construir sus propias escalas de acuerdo a la naturaleza de la entidad y a las características de los procesos y procedimientos, de forma que estas escalas se ajusten al análisis de los riesgos identificados.

Análisis cuantitativo: Este análisis contempla valores numéricos para los cuales se pueden

construir tablas; la calidad depende de lo exactas y completas que estén las cifras utilizadas. La forma en la cual la probabilidad y el impacto son expresada y las





formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo.

Ejemplo de escala de impacto:

Ejemplo de escala de probabilidad:

FRECUENCIA VALORACÍON CARACTERISTICA

Baja 1, 2, 3 Ha ocurrido al menos 1 vez en los últimos cinco (5)

años.

Media 4, 5, 6 Ha ocurrido al menos 1 vez en los últimos dos (2)

años.

Alta 7, 8, 9, 10 Ha ocurrido al menos 1 vez en el último semestre.

IMPACTO VALORACÍON CARACTERISTICA

Bajo 1, 2, 3 No afecta la operación del proceso ni su desempeño.

Medio 4, 5, 6 Permite la operación del proceso, bajo condiciones de

desempeño reducido.

Alto 7, 8, 9, 10 Afecta la operación segura del proceso y/o involucra el

incumplimiento de regulaciones existentes.





Al igual que para determinar las escalas cualitativas, el diseño de las escalas cuantitativas debe contar con la participación de las personas encargadas de los procesos y con el grupo encargado de liderar la administración del riesgo.

Evaluación de los riesgos Una vez realizado el análisis de los riesgos con base en los aspectos de

probabilidad e impacto, se recomienda utilizar la matriz de evaluación que permite determinar cuales requieren de un tratamiento inmediato.

Matriz de evaluación de riesgos

A B C D

Impacto BAJO ALTO

Cuando se ubican los riesgos en la matriz se define cuáles de ellos requieren acciones inmediatas, que en este caso son los del cuadrante B, es decir los de alto impacto y alta probabilidad. Los que no requieren acciones inmediatas (pero desde luego requieren que se formulen) son los ubicados en el cuadrante C bajo impacto y baja probabilidad. Respecto a los ubicados en las casillas A y D, es la entidad la que debe seleccionar de acuerdo a la naturaleza del riesgo cuáles van a trabajar primero, los de alto impacto pero baja probabilidad o los de alta probabilidad y bajo impacto, ya que estos pueden ser peligrosos para el logro de los objetivos institucionales, por las consecuencias que presentan en el caso de los ubicados en la casilla D, o por lo constante de su presencia en el caso de la casilla A.

Cuantitativamente la evaluación del riesgo es el producto automático, realizado mediante una formula matemática que resulta de la relación entre el impacto y la probabilidad del riesgo evaluado.

Multiplicadas estas dos calificaciones, grado de ocurrencia o frecuencia por la relevancia del riesgo, nos arroja una calificación o ponderación final por riesgo sobre una escala de 100 puntos donde se establece que a una mayor calificación mayor es el riesgo.

ALTA

BAJA

Frecu

en

cia





La matriz de evaluación del riesgo cuando se trate de la realización de un análisis cuantitativo se representará en el eje (x, y), donde los valores representado en el eje de las abscisas (horizontal) corresponden a los valores del nivel del impacto y los valores del eje de las coordenadas (vertical) representa los valores del nivel de la probabilidad

La representación de la cuantificación obtenida en la matriz o grafico, permite la observar el resultado de la evaluación del riesgo identificado, esta información podrá ser registrada en el formato que se viene elaborando de la siguiente forma:

ACTIVIDAD

RIESGO

DESCRIPCIÓN

CAUSAS

POSIBLES CONSECUENCIAS

IMPACTO

PROBABILIDAD

EVALUACION DEL RIESGO

VALOR

NIVEL

VALOR

NIVEL





4.2.3 Determinación del nivel del riesgo (Valoración del Riesgo) La determinación del nivel de riesgo es el resultado de confrontar el

impacto y la probabilidad (evaluación del riesgo obtenida) con los controles existentes en los diferentes procesos y procedimientos que se realizan. Para adelantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones, estos niveles de riesgo pueden ser:

ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o unidad. (Impacto y probabilidad alta vs controles)

MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto - probabilidad baja o Impacto bajo – probabilidad alta vs controles).

BAJO: Cuando el riesgo presenta vulnerabilidad baja. (Impacto y probabilidad baja vs controles).

Calificación de los controles:

Para la evaluación de los controles existentes de cada uno de los riesgos, es necesario establecer si son preventivos o correctivos y responder las siguientes preguntas:

¿Están documentados?

¿Se están aplicando en la actualidad? ¿Son efectivos en minimizar el riesgo?

Criterios para evaluar la efectividad de los controles existentes

• Cuando no existen controles,

La probabilidad de ocurrencia es alta.

• Cuando los controles existentes no son efectivos,

La probabilidad de ocurrencia es alta

• Cuando los controles existentes son efectivos, pero no están documentados,

La probabilidad de ocurrencia es media





• Cuando los controles son efectivos y están documentados,

La probabilidad de ocurrencia es baja

Criterios para evaluar el nivel del riesgo

• Cuando la evaluación de los controles es alta, aumenta el nivel del riesgo.

• Cuando la evaluación de los controles existentes es media:

� Si la evaluación del riesgo es baja, el nivel del riesgo se ubica en medio.

� Si la evaluación de riesgo es media, el nivel de riesgo pudiera mantenerse en medio si su referencia marcadora es la probabilidad (probabilidad alta-impacto bajo); si su referencia marcadora es el impacto (impacto alto-probabilidad baja) el nivel del riesgo pudiera aumentar a alto.

� Si la evaluación del riesgo es alta, el nivel de riesgo es alto.

• Cuando la evaluación de los controles existentes baja, disminuye el nivel de riesgo

Un ejemplo de la determinación del nivel del riesgo y del grado de exposición al mismo:

Riesgo: Perdida de información debido a la entrada de un virus en la red de información de la entidad.

Probabilidad: Alta, porque todos los computadores de la entidad están conectados a la red de Internet e intranet.

Impacto: Alto, porque la pérdida de información traería consecuencias graves para el quehacer de la entidad.

Controles existentes: la entidad tiene establecidos controles semanales haciendo Backus o copias de seguridad y vacunando todos los programas y equipos; además guarda la información más relevante desconectada de la red en un centro de información.

Resultado Nivel de riesgo: Medio por los controles establecidos

Lo anterior significa que a pesar de que la probabilidad y el impacto son altos confrontado con los controles, se puede afirmar que el nivel de riesgo es





medio y por lo tanto las acciones que se implementen entrarán a reforzar los controles existentes y a valorar la efectividad de los mismos.

Siguiendo con la elaboración del formato y partiendo de la evaluación del Riesgo obtenido, se incluye lo relativo a la evaluación de controles existentes, la identificación del control, si el mismo existe, si está documentado, si se aplica, si es efectivo, y la correspondiente evaluación del control de acuerdo a la aplicación de los criterios para evaluar la efectividad de los controles existentes, finalmente la valoración del Riesgo de acuerdo a los criterios desarrollados para evaluar el nivel del riesgo.


CONTROLES EXISTENTES VALORACION DEL RIESGO CONTROL EXISTE DOCUMEN

TADO APLICA

EFECTIVO EVALUACION DEL

CONTROL

4.3 MANEJO DEL RIESGO

Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de los mismos.

4.3.1 Consideración de Acciones Para el manejo de los riesgos se deben analizar las posibles acciones a

emprender las cuales deben ser factibles y efectivas, tales como: la implementación de políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. Se pueden tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto.

Evitar el riesgo:

Es siempre la primera alternativa a considerar. Se logra cuando en los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

Reducir el riesgo:

Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La





reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Ejemplo: Planes de contingencia.

Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos

lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo

como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia.

Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un

riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

Una vez establecidas cuales de las anteriores opciones de manejo del riesgo se van a concretar, estas deben evaluarse con relación al beneficio costo para proceder a elaborar el mapa de riesgos, el cual permitirá visualizar todo el proceso de valoración, análisis y manejo de los riesgos.

4.3.2 Elaboración del Mapa de Riesgos Para la consolidación del Mapa de Riesgos, adicional a las consideraciones

expuestas, es necesario identificar las causas que los pueden ocasionar, lo cual facilita el proceso de definición de acciones para mitigar los mismos. La selección de las acciones más convenientes debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los siguientes factores:

a) El nivel del riesgo

b) El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.





Así mismo en el Mapa de Riesgos se deben identificar los controles existentes, las áreas o dependencias responsables de llevar a cabo las acciones, definir un cronograma y unos indicadores que permitan verificar el cumplimiento para tomar medidas correctivas cuando sea necesario. (Ver formato)

MAPA DE RIESGOS

Activid

ad

Riesg

o

Descripción

Causas

Consecu

encias

Impacto

Probabilidad

Evalu

ación del

riesgo

Controles

existente

Valoració

n del

riesgo

Accio

nes

Responsables

Cronogram

a

Indicad

ores

Descripción del Mapa de riesgos

Actividad: Paso del proceso al cual se le esta aplicando las técnicas de Administración del Riesgo

Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

Descripción: Las características generales o las formas como se observa el riesgo en la actividad

Consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social administrativo, etc.


Probabilidad entendida como la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo aunque este no se haya presentado nunca.

Control existente: especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo.





Nivel de riesgo: El resultado de la aplicación de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes.

Causas: Son los medios, circunstancias y agentes que generan los riesgos.

Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.

Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas.

Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo.

Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas.

Finalmente, partiendo de que el fin último de la administración del riesgo es propender por el cumplimiento de la misión y objetivos institucionales, los cuales están consignados en la planeación anual de la entidad, se sugiere articular el mapa de riesgos con la planeación de manera que no sean planes aislados sino complementarios.

4.3.3 Implementación de acciones Definido el Mapa de Riesgos con sus acciones, responsables y

cronogramas, es fundamental comenzar a ejecutar dichas acciones con el fin de determinar su efectividad en el menor tiempo posible.

4.5 MONITOREO Una vez diseñado y validado el plan para administrar los riesgos, en el

mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.

El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

El monitoreo debe estar a cargo de los responsables de las diferentes áreas con el apoyo de las Oficinas Coordinadora de Control Interno y su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para





asegurar un efectivo manejo del riesgo. La Oficina Coordinadora de Control Interno dentro de su función asesora comunicará y presentará luego del monitoreo, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.

5. DIAGRAMAS DE LA ADMINISTRACIÓN DEL RIESGO

A continuación se presenta un diagrama que consolida todo el proceso de administración del riesgo y puede facilitar la comprensión del mismo al momento de llevar a cabo la tarea de levantamiento del Mapa de Riesgos.

ETAPA DE PLANIFICACION

CONOCIMIENTO GENERAL DE

LA INSTITUCION

IDENTIFICAR LA MISION

IDENTIFICAR LOS OBJETIVOS

IDENTIFICAR LOS PROCESOS

DISEÑO DEL PLAN

DEFINIR LOS OBJETIVOS EN MATERIA DE

ADMINISTRACION DE RIESGOS

DISEÑO DE CRONOGRAMAS DE ACTIVIDADES

CAPACITACION EN LA METODOLOGIA





ETAPA DE VALORACION DEL RIESGO

IDENTIFICACION DEL RIESGO

IDENTIFICACION DE LOS FACTORES INTERNOS Y

EXTERNOS

ELABORACION DEL FORMATO IDENTIFICACION

DEL RIESGO

CLASIFICACION DE LOS RIESGOS


MEDIR IMPACTO Y PROBALIDAD

JERARQUIZAR LOS RIESGOS ACORDE CON LA ESCALA

DE MEDICIÓN DEFINIDA (COMENZANDO POR LOS

DE MAYOR IMPACTO Y PROBABILIDAD)

DETERMINACIÓN DEL NIVEL DE RIESGO

IDENTIFICAR LOS CONTROLES EXISTENTES PARA CADA

UNO DE LOS RIESGOS SELECCIONADOS

CONFRONTAR EL IMPACTO Y LA

PROBABILIDAD FRENTE A LOS CONTROLES EXISTENTES

SELECCIONAR LOS RIESGOS

DE MAYOR INCIDENCIA PARA EL CUMPLIMIENTO

DE LOS OBJETIVOS





ETAPA DE MANEJO DEL RIESGO

CONSIDERACIONES Y ACCIONES ESTUDIO DE POSIBLES

ACCIONES PARA MITIGAR LOS RIESGOS

ELABORACION DEL MAPA DE

RIESGO

DEFINICIÓN DE LAS CAUSAS QUE PROPICIAN LOS RIESGOS

DEFINICIÓN DE ACCIONES

PARA MITIGAR LOS RIESGOS

ANÁLISIS COSTO BENEFICIO DE LAS ACCIONES

PROCESAMIENTO DEL FORMATO DE MAPA DE

RIESGOS

IMPLEMENTACION DE LAS

ACCIONES

EJECUCIÓN DE LOS COMPROMISOS ADQUIRIDOS

SEGUIMIENTO A LAS ACCIONES

POR PARTE DE LOS RESPONSABLES





ETAPA DE MONITOREO

ELABORACION DE UN PLAN DE

SEGUIMIENTO

DEFINIR LOS RIESGOS A LOS CUALES SE VA A HACER SEGUIMIENTO

ELABORAR CRONOGRAMA

DE SEGUIMIENTO

DEFINICIÓN DE RESPONSABLES DEL SEGUIMIENTO

EJECUCION DEL SEGUIMIENTO

REVISIÓN DE LOS COMPROMISOS ADQUIRIDOS PARA

MITIGAR LOS RIESGOS SELECCIONADOS

VERIFICACIÓN DE LA IMPLEMENTACIÓN

DE LAS ACTIVIDADES

PRESENTACIÓN DE RESULTADOS Y PROPUESTAS

CONSOLIDACIÓN DE LA INFORMACIÓN

PRESENTACIÓN DE SUGERENCIAS

Y RECOMENDACIONES

ELABORACIÓN DEL INFORME





6. DEFINICIÓN DE TÉRMINOS

Administración de riesgos: Una rama de administración que aborda las consecuencias del riesgo. Consta de dos etapas: i El diagnóstico o valoración, mediante Identificación, Análisis y determinación del Nivel, y ii El manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace seguimiento al Plan de manejo que contiene las Técnicas de Administración del Riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta dirección.

• Análisis de Beneficio-Costo: Una herramienta de Administración de Riesgos usada para tomar decisiones sobre las técnicas propuestas por el grupo para la administración de los riesgos, en la cual se valoran y comparan los costos, financieros y económicos, de implementar la medida, contra los beneficios generados por la misma. Una medida de administración de riesgos será aceptada siempre que el beneficio valorado supere al costo.

• Análisis de riesgos: Determinar el Impacto y la Probabilidad del riesgo.

• Causa: Son los medios, circunstancias y agentes que generan los riesgos.

• Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos.

• Costo: Se entiende por costo las erogaciones, directas e indirectas en que incurre la entidad en la producción, prestación de un servicio o manejo de un riesgo.

• Factores de riesgo: Manifestaciones o características medibles u observables de un proceso que indican la presencia de Riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.

• Identificación de riesgos: Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humilde operativo.






• Indicador: es la valoración de una o más variables que informa sobre una situación y soporta la toma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa. • Mapas de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias

• Nivel de riesgo (determinación del): Es el resultado de confrontar el impacto y la probabilidad, con los controles existentes.

• Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.

• Plan de manejo de riesgos: Plan de acción propuesto por el grupo de trabajo, cuya evaluación de beneficio costo resulta positiva y es aprobado por la gerencia.

• Plan de mejoramiento: Parte del plan de manejo que contiene las técnicas de administración del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos.

• Probabilidad: Una medida (expresada como porcentaje o razón) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.

• Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas.

• Retroalimentación: Información sistemática sobre los resultados alcanzados en la ejecución de un plan, que sirven para actualizar y mejorar la planeación futura.

• Riesgo: posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

• Riesgo absoluto: el máximo riesgo sin los efectos mitigantes de la administración del riesgo.





Riesgo residual: es el riesgo que queda cuando las técnicas de administración del riesgo han sido aplicadas.

• Seguimiento: Recolección regular y sistemática sobre la ejecución del plan, que sirven para actualizar y mejorar la planeación futura.

• Sistema: Conjunto de cosas o partes coordinadas, ordenadamente relacionadas entre sí, que contribuyen a un determinado objetivo.

• Técnicas para manejar el riesgo: Evitar o prevenir, reducir, dispersar, transferir y asumir riesgos.

• Valoración del riesgo: Primera fase en la administración de riesgos, diagnóstico que consta de la identificación, análisis y determinación del nivel de riesgo.

Rafael María Contreras Acevedo CI 4208526

Metologia para la administracion del riesgo en las instituciones

Documents

Transcript of Metologia para la administracion del riesgo en las instituciones