Propuesta Metodológica para la Gestión de Riesgos ...

Propuesta Metodológica para la Gestión de Riesgos Basándose en los Lineamientos de la Norma NTC 31000:2011 en el Proceso de Cartera de la Empresa FAM Agencia Marítima

S.A

Lina María Pérez Gómez [email protected]

Universidad del Valle

Ingeniería Industrial

Guadalajara de Buga 2018

mailto:[email protected]

Propuesta Metodológica para la Gestión de Riesgos Basándose en los Lineamientos de la Norma NTC 31000:2011 en el Proceso de Cartera de la Empresa FAM Agencia Marítima

S.A

Lina María Pérez Gómez [email protected]

Proyecto de Grado para Optar al Título de

Ingeniera Industrial

Director de Trabajo de Grado

Ing. Jorge Andrés Moncaleano Maquilon

Universidad del Valle

Ingeniería Industrial

Guadalajara de Buga 2018

mailto:[email protected]

III

AGRADECIMIENTOS

A DIOS por guiarme en cada paso de mi vida, por acompañarme en todo momento y nunca abandonarme.

A MIS PADRES por darme su amor, por los valores que me inculcaron, por la paciencia que tuvieron, por siempre estar allí para mí.

A MI HERMANA por su empuje, por su apoyo, por darme ánimo para no desfallecer.

A MI ESPOSO por sus consejos, por su amor incondicional, por su entrega, por siempre acompañarme en los buenos y malos momentos, por apoyarme en este proceso ya que sin ti no estaría obteniendo este logro.

Y MUY ESPECIALMENTE A MI HIJO, por ti tome la decisión de culminar esta etapa de mi vida, tú eres mi impulso, eres mi fuerza, eres mi motor.

Y a todas las personas que forman parte de mi vida que de una u otra manera han contribuido en mi formación no solo como persona sino también como profesional.

IV

CONTENIDO

PÁG.

1. Introducción 1

2. Planteamiento del Problema 2 2.1 Descripción del Problema 2 2.2 Formulación del Problema 3

3. Objetivos 4

3.1 Objetivo General 4 3.2 Objetivos Específicos 4

4. Justificación 5

5. Marco Referencial 6

5.1 Antecedentes 6 5.2 Marco Teórico 11

6. Metodología 23 6.1 Análisis de Resultados 24 6.2 Procedimiento Gestión del Riesgo 25

6.2.1 Diagrama de Flujo de Gestión de Riesgo 25 6.2.2 Plan de Evaluación del Riesgo 29 6.2.3 Identificación del Riesgo 34 6.2.4 Evaluación de Riesgo 35

6.2.4.1 Análisis Cualitativo 37 6.2.4.2 Análisis Cuantitativo 38

6.2.5 Tratamiento del Riesgo 38 6.2.6 Herramientas de Recopilación de información 39

7. Aplicación – Caso de Estudio 44 7.1 Diagnóstico de la Empresa 44 7.2 Plan de Evaluación del Riesgo 48 7.3 Identificación del Riesgo 51 7.4 Análisis Cualitativo 53

V

7.5 Matriz de Gestión de Riesgo 53

8. Conclusiones 54

9. Bibliografía 55

VI

Lista de Tablas

PÁG.

Tabla 1. Metodología AMEF. 18

Tabla 2. Resumen de Resultados obtenidos en Investigación. 25

Tabla 3. Calculo de valor Esperado. 33

Tabla 4. Rangos para Priorización de acción. 33

Tabla 5. Descripción de Herramientas para la Identificación de Riesgos. 35

Tabla 6. Matriz de Gestión de Riesgo. 57

Tabla 7 Resumen de Herramientas para Evaluación de Riesgo. 36

Tabla 8. Resumen de Herramientas para el Tratamiento del Riesgo. 39

Tabla 9. Variables consignadas en la Matriz de Gestión de Riesgo. 42

Tabla 10. Continuación Variables consignadas en la Matriz de Gestión 43

De Riesgo.

Tabla 11. Misión – Visión 45

Tabla 12. Factores Interno y Externos del Proceso de Cartera. 45

Tabla 13. Criterios para Diagnostico de la Empresa Vs la Norma 47

Tabla 14. Criterios de Probabilidad. 48

Tabla 15. Criterios de Impacto 49

Tabla 16. Calculo del Valor Esperado del Riesgo. 50

Tabla 17. Calcificación de Tipo de Riesgo. 50

Tabla 18. Estrategias para Riesgos Negativos o Positivos. 51

Tabla 19. Formato para identificación de Riesgo. 52

Tabla 20. Formato Análisis Cualitativo. 65

VII

Lista de Ilustraciones

PÁG.

Ilustración 1. Proceso para la Administración del Riesgo. 14

Ilustración 2. Estándar Australiano. 19

Ilustración 3. Fases para la Gestión del Riesgo. 21

Ilustración 4. Diagrama de Flujo. 26

Ilustración 5. Ejemplos de factores de riesgo internos y externos. 30

Ilustración 6. Probabilidad de Ocurrencia para Amenazas y Oportunidades. 31

Ilustración 7. Evaluación de Impacto. 32

Ilustración 8. Matriz de Probabilidad de Impacto. 37

VIII

Lista de Anexos

PÁG.

Anexo 1. Tabla 6. Matriz de Riesgo. 57

Anexo 2. Caracterización del proceso de Cartera 61

Anexo 3. Diagnóstico del grado de Cumplimiento 62

de requisitos de la norma NTC ISO 31000:2011

Anexo 4. Identificación de Riesgos 64

Anexo 5. Tabla 20. Formato Análisis Cualitativo 65

IX

SINOPSIS

Este documento hace referencia a una propuesta metodológica para la gestión de riesgos, basándose

en los lineamientos de la norma técnica Colombiana ISO 31000 versión 2011. En él se establecen

los parámetros a seguir para una correcta gestión del riesgo.

Es así, que se espera que este trabajo sea de ayuda a cualquier entidad que requiera implementar

una gestión del riesgo.

ABSTRACT

This document refers to a methodological proposal for risk management based on the guidelines

of the Colombian Technical standard ISO 31000 version 2011. The parameters to be followed for

correct risk management are read.

It is thus, that it is hoped that this work will be of help to any entity that require to implement a risk

management.

PALABRAS CLAVE

Gestión de Riesgo

Identificación del Riesgo.

Análisis del Riesgo.

Evaluación del Riesgo.

Tratamiento del Riesgo.

1

1. Introducción

Hoy día el concepto de Gestión de riesgos ha tomado mucha relevancia en las organizaciones,

principalmente por la necesidad de mitigar los efectos negativos que se puedan generar como

resultado de la operación, sea de servicios o de producto. Dicha relevancia ha llevado a las

organizaciones a ajustar y normalizar sus procesos internos, conduciéndolas al desarrollo de

metodologías sistemáticas que permitan el conocimiento del tema y el desarrollo de la misma

por parte de los diferentes actores – partes interesadas - en las organizaciones.

La Norma Técnica Colombiana NTC-ISO 31000:2011 es una norma de referencia para

implementar dentro de las organizaciones sistemas de gestión eficientes que permitan de manera

controlada mitigar el impacto de riesgos inherentes a la operación y objeto social de la

organización, teniendo en cuenta tanto los factores internos como externos.

Conforme a la necesidad de mitigar los riesgos en las organizaciones se plantea como objetivo

de este trabajo generar una propuesta metodológica para la gestión del riesgo basada en la NTC-

ISO 31000:2011, estableciendo principios y directrices que conlleven a gestionar el riesgo,

brindando herramientas que permitan identificar, analizar, evaluar y monitorear los riesgos

aplicada a cualquier proceso, tomando como caso de aplicación el proceso de gestión de cartera

de una organización.

2

2. Planteamiento del Problema

2.1 Descripción del Problema

En América Latina a través de los años se puede tener la percepción de actuar de manera

correctiva cuando se presenta un evento y no de manera preventiva que logre anticiparse y

minimizar la ocurrencia del mismo; esto frente a otras culturas desarrolladas que planifican,

previenen y mitigan la ocurrencia de eventos en ambientes controlados, obteniendo mejores

resultados de gestión y cumplimiento de los objetivos trazados sea a nivel personal, profesional,

laboral y organizacional.

A nivel organizacional actuar solo de manera correctiva ocasiona costos operativos elevados

yendo en detrimento del cumplimiento de los objetivos organizacionales. Un ejemplo que pueda

generar gran impacto en las organizaciones – a tal punto del cierre por incumplimiento- tiene

que ver con el factor de riesgo normativo1. El desconocimiento de la actualización o aplicación

de una norma gubernamental o cumplimiento de los requisitos planteados en ellas, puede

ocasionar sanciones relativamente onerosas; riesgo que a simple vista puede ser corregido con

una planeación y controles adecuados para garantizar la actualización permanente de los

procesos conforme los cambios normativos a aplicar y su ejecución en el tiempo.

Debido a lo que representan las organizaciones dentro de la economía de las regiones y del país

en cuanto a la responsabilidad social de cada una de ellas, no se pueden dar el lujo de dar pasos

1 Riesgo normativo o de cumplimiento: Se Asocia con la capacidad de una organización para cumplir con los requisitos regulativos, legales, contractuales, de conducta de negocios, de ética y de calidad si aplica.

3

en falso en su gestión. Los procesos de cartera en las organizaciones son fundamentales para

garantizar la permanencia de la empresa en el tiempo, por ello deben estar debidamente

estructurados para minimizar al máximo los riesgos inherentes a la operación; principalmente

enfocados al análisis del cliente, sus esquemas de crédito y el respectivo recaudo de la cartera.

Situación qué en el evento de no contar con los controles adecuados, podría generar pérdidas

irremediables a la organización, tales como: afectación del flujo de caja y liquidez, incremento

de la morosidad de los clientes y edad de la cartera y la posible relación comercial con clientes

involucrados en lavado de activos y financiación de terrorismo que ocasione a la empresa

situaciones legales o hasta el cierre de la misma.2

Debido a la importancia de este proceso en las empresas y lo que genera su adecuada o no

gestión, es fundamental intervenir y estructurarlos de manera que se anticipe a los posibles

riesgos, optimizando su gestión y garantizando la permanencia de la empresa en el tiempo.

2.2 Formulación del Problema

¿Cómo desarrollar una propuesta metodológica para la gestión del riesgo en el proceso de cartera

en la empresa FAM AGENCIA MARÍTIMA S.A. con base en la norma NTC-ISO 31000:2011?

2 Unidad de Información y Análisis financiero // Lavado de Activos y Financiación del terrorismo https://www.uiaf.gov.co/sistema_nacional_ala_cft/lavado_activos_financiacion_29271

4

3. Objetivos

3.1 Objetivo General

Proponer una metodología para la gestión del riesgo basándose en los lineamientos de la Norma

Técnica Colombiana NTC ISO 31000 versión 2011 al proceso de cartera de la empresa FAM

Agencia Marítima S.A.

3.2 Objetivos Específicos

Realizar el diagnóstico inicial de la empresa FAM AGENCIA MARÍTIMA S.A. conforme al

cumplimiento de los requisitos de la norma NTC-ISO 31000:2011.

Estructurar un procedimiento que permita identificar, valorar y tratar los riesgos del proceso de

cartera en la empresa FAM AGENCIA MARÍTIMA S.A. Bajo los lineamientos de la norma

NTC-ISO 31000:2011.

Realizar la Matriz de riesgos aplicando la metodología propuesta al proceso de cartera de la

empresa FAM AGENCIA MARÍTIMA S.A.

5

4. Justificación

La adecuada gestión del riesgo ayuda al conocimiento y mejoramiento de la organización, aporta

a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos

organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindándole una

estructura metodológica bajo parámetros normativos.

La finalidad es que la gestión del riesgo sea incorporada en el interior de la organización como

una política de gestión por parte de la alta dirección y cuente con la participación y respaldo de

todas las partes interesadas (colaboradores, clientes, proveedores, accionistas y el entorno); tarea

que se facilitará con la implementación de la metodología aquí presentada, la cual permite

establecer mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente

está expuesta y poder de esta manera fortalecer el sistema de control permitiendo el

cumplimiento de los objetivos misionales, contando con una matriz de riesgos que involucre los

requisitos de la norma NTC-ISO 31000:2011, de tal forma que se cuente con una metodología

clara y ágil para dar cumplimiento a los diferentes frentes que se requiere para la gestión del

riesgo y contribuir a mejorar el desempeño de los procesos.

6

5. Marco Referencial

5.1 Antecedentes

El término Riesgo etimológicamente se asocia con risco (peñasco escarpado) que para los

marinos medievales era una representación de peligro al navegar.3 En la actualidad existen

disciplinas científicas preocupadas por la ocurrencia de eventos y por anticiparse a ellos antes

de que ocurran (Meteorología, Economía, Epidemiología, entre otras). Estas disciplinas han

adaptado el concepto de riesgo y utilizan la probabilidad para expresar la incertidumbre de que

el evento ocurra.

Los sectores financiero y asegurador fueron los primeros en lograr avances en el tema, con

documentos como Basilea II que detalla los requisitos de una gestión adecuada de los riesgos

en el sector bancario, publicado en el año 1997 y actualizado en el año 2004. Dentro de las

particularidades allí consignadas se encuentra que solo tratan los riesgos específicos de los

sectores afectados, son además de obligatorio cumplimiento para las organizaciones de esos

sectores y consideran los riesgos únicamente como eventos con consecuencias indeseables4.

Teniendo en cuenta las ventajas que representa para las organizaciones la gestión del riesgo,

muchos sectores económicos tomaron el ejemplo y crearon sus propios estándares, logrando su

evolución y estandarización al punto de desarrollar normas que en algunos casos son de

3 Diccionario de la Real Academia Española – 22 ͣedición - 2001 4 GAVIRIA JUÁREZ, Miguel Ángel. Administración de riesgos organizacionales, aplicado a una entidad del gobierno del Distrito Federal con base al modelo iso-31001; evaluando los riesgos financieros y operacionales. México. 2012

7

aplicación a la gestión de cualquier tipo de riesgo independientemente de su naturaleza. A

continuación, se detallan algunas:

COBIT e ITIL (Riesgos tecnológicos): Combina los modelos existentes y conocidos, como

COSO (requerimientos financieros), SAC (requerimientos de calidad) y SAS (requerimientos

de seguridad). Estos modelos se centran en habilitar tecnologías y las mejores prácticas para

lograr sistemas con alta disponibilidad, confiabilidad, mantenimiento y administración. COBIT

se enfoca en los procesos base y en riesgos, mientras que ITIL se enfoca en los servicios IT

(tecnología de la información).

ISO 27000 (Seguridad de la información): Estándar para la seguridad de la información,

aprobado y publicado como estándar internacional en octubre de 2005, proporcionan un marco

de gestión de la seguridad de la información utilizable por cualquier tipo de organización,

pública o privada, grande o pequeña.

ISO 14001 (Riesgos ambientales): La norma ISO 14001 es la norma internacional de sistemas

de gestión ambiental (SGA), que ayuda a las organizaciones a identificar, priorizar y gestionar

los riesgos ambientales, como parte de sus prácticas de negocios habituales.

OHSAS 18001 (Riesgos laborales): Norma británica reconocida internacionalmente que

establece los requisitos para la implementación de un Sistema de Gestión de la Seguridad y

salud en el Trabajo orientado a la identificación y control de riesgos y a la adopción de las

medidas necesarias para prevenir la aparición de accidentes.

8

PMBOK (Riesgos en proyectos): es el estándar para la Administración de Proyectos y cuyas

siglas significan en inglés Project Management Body of Knowledge (el Compendio del Saber

de la Gestión de Proyectos en español). Éste a su vez puede ser entendido como una colección

de sistemas, procesos y áreas de conocimiento que son universalmente aceptados y reconocidos

como los mejores dentro de la gestión de proyectos.

COSO: Emitido por el comité de organizaciones Sponsor en 1991 y ampliado en 2004, se trata

de un estándar de control interno para la gestión del riesgo. Probablemente es el estándar más

utilizado en la actualidad.

IRM Standard: Emitido por el Instituto Británico de gestión de riesgos, su versión actual es de

2002. Propone una metodología para la gestión de los riesgos considerando estos como eventos

que tengan consecuencias, tanto negativas como positivas.

AS/NZS 4360: Publicado en 1993 por Australia y Nueva Zelanda como esquema para la gestión

de riesgos en las empresas públicas y reeditado en 2004, su uso se ha extendido a organizaciones

privadas.

NS 5814:1991 Requirements for risk assessment: Estándar noruego publicado en 1991 para la

identificación y análisis de riesgos, una de sus características es que únicamente considera como

riesgos los eventos con consecuencias negativas.

ISO 31010:2009 (Gestión del Riesgo) Técnicas de evaluación de riesgos: Esta norma

complementa a la ISO 31000 y provee de una seria de técnicas para la identificación y

evaluación de riesgos y hace alusión tanto a consecuencias positivas como negativas.

9

Muchas organizaciones a nivel mundial han comenzado la implementación de estándares para

la gestión del riesgo, buscando ventajas competitivas, de esta manera en el año 2011 se realizó

el estudio denominado “Accenture 2011 Global Risk Management Study”, que buscaba

establecer la percepción de las empresas frente a la gestión del riesgo y las ventajas obtenidas

al implementar un sistema de gestión del riesgo; el estudio estuvo basado en una encuesta

cuantitativa de directivos de casi 400 empresas pertenecientes a diez sectores diferentes; todos

los encuestados eran al menos directores generales de su área involucrados en decisiones de

gestión de riesgos en sus compañías. Estas entrevistas permitieron probar muchas de las

cuestiones principales y algunas lecciones de exploración y perspectivas sobre la gestión de

riesgos, donde la principal conclusión son los avances competitivos logrados por las empresas

que han incluido la gestión del riesgo dentro de su planeación estratégica, en comparación con

aquellas que no han estudiado el tema5.

Antecedentes a Nivel Nacional

Los pioneros en cuanto a la implementación de metodologías de gestión del riesgo a nivel

nacional fueron las empresas públicas; la ley 872 de 2003 creó el Sistema de Gestión de Calidad

para la rama ejecutiva del poder público y en otras entidades prestadoras de servicios y relaciona

su implementación con un enfoque basado en procesos como herramienta de gestión para

evaluar el desempeño institucional en términos de calidad y satisfacción social en la prestación

de los servicios de las entidades del estado.

5 NADAL, Josep. La gestión de riesgos como fuente de ventaja competitiva sostenible. Harvard Deusto Business Review. Noviembre 2011.

10

En 2004 se crea la NTC GP 1000:2004, la cual se basa en la NTC ISO 9001:2000 y muestra la

manera de establecer, documentar, implementar y mantener un sistema de gestión de la calidad

en el sector público colombiano. A través del decreto 4110 de 2004 se adoptó la NTC GP

1000:2004 en todo el sector público como una reglamentación de la Ley 872 de 2003.

Una vez exigido el cumplimiento de dicha ley surge el interés de generar políticas sobre

administración del riesgo, esto con la finalidad de darle un manejo apropiado al riesgo en cada

una de ellas y así lograr eficiencia en el logro de sus propósitos organizacionales.

La adopción del MECI establece la Administración de riesgos dentro del Subsistema de Control

Estratégico, a través de elementos como identificación, análisis, valoración y unas políticas de

administración del riesgo. La NTC GP 1000:2004 incluye el riesgo entre sus términos y

definiciones aplicables para su propósito y plantea como uno de los requisitos generales del

sistema de gestión de la calidad que la entidad identifique y diseñe, con la participación del

personal, los puntos de control sobre los riesgos de mayor probabilidad de ocurrencia o que

generan un impacto considerable en la satisfacción de necesidades y expectativas de calidad de

los clientes, en las materias y funciones que le competen a cada entidad.

Como organismo normalizador para Colombia, el Icontec pone a disposición de las entidades

públicas o privadas la NTC 5254:2006 Gestión del Riesgo, con el propósito fundamental de

convertir la gestión del riesgo en herramienta de mejoramiento continuo de los procesos.

Luego las organizaciones privadas comienzan a mostrar su interés sobre la gestión del riesgo y

los esquemas para la implementación de diferentes metodologías, una de ellas la norma ISO

31000. Esta norma internacional proporciona los principios y las directrices genéricas sobre la

gestión del riesgo. Puede utilizarse por cualquier empresa pública, privada o social, asociación,

11

grupo o individuo, ya que, a diferencia de muchas otras, no es específica de una industria o

sector concreto.

5.2 Marco Teórico

La NTC ISO 9001:2015 define el riesgo como “…el efecto de la incertidumbre y dicha

incertidumbre puede tener efectos positivos o negativos. Una desviación positiva que surge de

un riesgo puede proporcionar una oportunidad, pero no todos los efectos positivos del riesgo

tienen como resultado oportunidades6”. Partiendo de dicha definición se puede adaptar al

contexto organizacional como la posibilidad de que ocurra un evento adverso con consecuencias

económicas negativas para la organización. Frente a ese riesgo con impacto negativo para la

empresa, las organizaciones deben estructurar planes de identificación, evaluación y tratamiento

del mismo con la finalidad de evitar que el evento ocurra o que, si lo hace, se pueda mitigar el

impacto. A continuación, se presenta la clasificación de tipos de riesgos definidos en la guía

para la administración del riesgo del Departamento Administrativo de la Función Pública

(DAFP)7:

Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo

estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los

objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad

por parte de la alta gerencia.

6 Instituto Colombiano de Normas Técnicas y Certificación-ICONTEC, 2015, pág. V 7 Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública (DAFP), 2011, pág. 14

12

Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

ciudadanía hacia la institución.

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de

los sistemas de información institucional, de la definición de los procesos, de la estructura de la

entidad, de la articulación entre dependencias.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la

ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de

excedentes de tesorería y el manejo sobre los bienes.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los

requisitos legales, contractuales, de ética pública y en general con su compromiso ante la

comunidad.

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para

satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

Gestión del Riesgo

Una vez entendido el concepto de riesgo, es necesario entender también el concepto de gestión

del riesgo, el cual lleva a las organizaciones a buscar las mejores metodologías que permitan

alcanzar los resultados esperados; en este sentido surgió por ejemplo la actualización de la NTC

ISO 9001:2015 incorporando este nuevo enfoque, en la cual se incluye el pensamiento basado

en riesgos como elemento fundamental para el desarrollo eficaz de los Sistemas de Gestión de

Calidad.

13

La gestión del riesgo debe ser una estrategia que debe ser aplicada en las organizaciones debido

a que permite identificar los riesgos para minimizarlos, permitiendo mitigar la incertidumbre y

facilitar el logro de los objetivos de una organización.

Es por ello que para mitigar la incertidumbre se debe analizar el contexto tanto interno como

externo y determinar así los riesgos, los cuales van a constituirse en un componente de la

planeación organizacional; las organizaciones deben entonces identificar, analizar y evaluar los

riesgos con el propósito de alcanzar una toma de decisión más acertada para la institución8.

Metodologías para la Gestión del Riesgo

A continuación, se recopilan diferentes modelos para la gestión del riesgo con la finalidad de

consolidar los factores comunes para luego formular los instrumentos para la identificación y

valoración de los riesgos y la posterior definición de acciones para el tratamiento de los mismos.

Guía para la administración del riesgo (DAFP) 2011: Esta guía ha entregado importantes

lineamentos para que las entidades públicas puedan desarrollar la metodología de gestión de

riesgos. La siguiente ilustración resume la metodología propuesta por el DAFP:

8 Instituto Colombiano de Normas Técnicas y Certificación-ICONTEC, 2011, pág. 1

14

Ilustración 1. Proceso para la Administración del Riesgo

Fuente: Guía para la administración del riesgo, Departamento Administrativo

De la Función Pública -DAFP. 2011. Página 19.

En el ámbito organizacional primero se debe analizar el contexto estratégico, el cual consiste en

analizar las condiciones internas y externas que puedan afectar positiva o negativamente el logro

de los resultados; la siguiente fase es la identificación del riesgo, lo cual se realiza determinando

las causas, con base en los factores internos y/o externos analizados para la entidad, y que

pueden afectar el logro de los objetivos. En esta fase resulta clave centrarse en los riesgos más

significativos relacionados con los objetivos de los procesos y los objetivos institucionales.

15

Continúa con el análisis del riesgo para determinar la probabilidad de ocurrencia, las

consecuencias, y se hace una clasificación del riesgo; es esencial dentro de este análisis

identificar las causas que pueden estar generando las situaciones de riesgo en la institución y de

esta forma dirigir las acciones a las causas principales de tal forma que los resultados sean

acertados.

La Guía presenta una metodología para la determinación de probabilidad e impacto, la cual

puede ser implementada por las organizaciones.

Probabilidad: Posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de

frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o

de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden

propiciar el riesgo, aunque este no se haya materializado.

Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.

La siguiente actividad a desarrollar es la valoración del riesgo, lo cual se obtiene de confrontar

los resultados de la evaluación del riesgo con los controles identificados, los cuales permiten

obtener información para efectos de tomar decisiones; estas decisiones dependen de lo asertivo

que se sea en la identificación precisa de las amenazas, y de la probabilidad de ocurrencia, así

como de seleccionar apropiadamente las acciones para la mitigación de los riesgos identificados.

Luego se procede con la elaboración del mapa de riesgos como representación final de la

probabilidad e impacto de los riesgos. Un mapa de riesgos puede adoptar la forma de un cuadro

resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento.

16

Finalmente, es esencial el monitoreo a las acciones definidas y el resultado obtenido con las

mismas; este monitoreo debe estar a cargo de: los responsables de los procesos y la Oficina de

Control Interno (cuando aplique). Su finalidad principal será la de aplicar y sugerir los

correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

COSO (Committee of Sponsoring Organizations of the Treadway Commission): Surgió

como respuesta a las inquietudes que planteaba la diversidad de conceptos, definiciones e

interpretaciones existentes al control interno. Esta comisión tuvo como objetivo principal

identificar los factores causales de los informes financieros fraudulentos, con el fin de hacer

recomendaciones para reducir la ocurrencia de estos hechos.

El enfoque COSO define la administración de riesgo como un proceso continuo que fluye a lo

largo de cada uno de los niveles de la organización, afectando el personal de manera activa. Se

emplea a partir del establecimiento de la estrategia y sus objetivos.

Existen dos informes el COSO 1 (1992) y el COSO II (2004), esta última es una versión

ampliada del informe original, compuesta por 8 componentes para dotar al control interno de un

mayor enfoque hacia la gestión del riesgo (ambiente de control, establecimiento de objetivos,

identificación de eventos, evaluación de riesgos, respuesta a los riesgos, actividades de control,

información y comunicación, supervisión). La tercera versión, COSO III, se publicó en el año

2013. COSO III es la renovación del Marco Integrado de Gestión de Riesgos e incluye

novedades, entre ellas es la inclusión de un ciclo para la evaluación de riesgos:

Identificación de cada uno de los riesgos

Análisis de riesgos

17

Respuesta precisa a los riesgos.

Federation of European Risk Management (FERMA): Estándar europeo para la

administración de riesgos; define los riesgos a partir de las potenciales amenazas para el

cumplimiento de los objetivos estratégicos y operacionales y de las oportunidades que se derivan

de las incertidumbres asociadas. Igualmente tiene en cuenta el análisis de los factores internos

y externos con el fin de profundizar el análisis de causa antes de gestionar los mecanismos para

el tratamiento, es muy utilizado en las empresas petroleras.

Modelo Estándar de Control Interno Colombiano (MECI): El Modelo Estándar de Control

Interno para el Estado Colombiano MECI proporciona una estructura básica para evaluar la

estrategia, la gestión y los propios mecanismos de evaluación del proceso administrativo,

aunque promueve una estructura uniforme, puede ser adaptada a las necesidades específicas de

cada entidad, a sus objetivos, estructura, tamaño, procesos y servicios que suministran.

La actualización del modelo (decreto 943 de 2014) brinda a las organizaciones una orientación

con el fin de garantizar el cumplimiento de los objetivos institucionales, posee 3 principios:

autocontrol, autorregulación y autogestión y está compuesta por: 2 módulos: Modulo de control

de planeación y gestión y el módulo de control de evaluación y seguimiento, 6 componentes:

talento humano, direccionamiento estratégico, administración del riesgo, autoevaluación

institucional, auditoría interna y planes de mejoramiento, 13 elementos y un eje transversal de

información y comunicación.

18

AMEF: Se encuentra también el análisis de modos y efectos de falla (AMEF) como otra

metodología que aporta elementos para la gestión del riesgo; es un proceso sistemático para la

identificación de las fallas potenciales del diseño de un producto o de un proceso antes de que

éstas ocurran, con el propósito de eliminarlas o de minimizar el riesgo asociado a las mismas.

Por lo tanto, el AMEF puede ser considerado como un método analítico estandarizado para

detectar y eliminar problemas de forma sistemática y total9. Esta metodología contempla evaluar

y cuantificar las siguientes variables: Grado de severidad, Probabilidad de ocurrencia, Grado de

detección.

Los pasos que se contemplan en esta metodología pueden resumirse en la siguiente Tabla 1:

Tabla 1. Metodología AMEF

N° Metodología AMEF

1 Identificar los modos potenciales de falla

2 Identificar efectos potenciales.

3 Identificar las causas potenciales.

4 Identificar los controles.

5 Identificar y evaluar los riesgos

6 Acciones para reducir el riesgo

Fuente: Elaboración propia

Estándar Australiano de Administración del Riesgo (AS/NZS 4360:1999): El estándar

australiano de administración del riesgo lo define como un método lógico sistemático de

establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos

9 Soto Guzmán & Rubio Bohórquez, 2013. pág. 23 Diseño de un Sistema de Gestión de Riesgo en una IPS Hospitalaria de Primer Nivel. Bogotá: Universidad EAN.

19

asociados con una actividad, función o proceso de una forma que permita a las organizaciones

minimizar pérdidas y maximizar oportunidades10.

Este estándar al igual que las otras metodologías, establece los siguientes pasos para la

identificación y valoración de los riesgos, ver ilustración 2:

Ilustración 2. Estándar Australiano

Fuente: AS/NZS 4360:1999. Estándar australiano. Pág. 8-9

Establecer el contexto: Establecer el contexto estratégico, organizacional y de administración

de riesgos en el cual tendrá lugar el resto del proceso.

Identificar riesgos: Identificar qué, por qué y cómo pueden surgir las cosas como base para el

análisis posterior.

Analizar riesgos: Determinar los controles existentes y analizar riesgos en términos de

consecuencias y probabilidades en el contexto de esos controles.

10 AS/NZS 4360:1999. Estándar australiano, 1999, pág. 3.

20

Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos.

Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de

administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una

categoría aceptable y no se requeriría un tratamiento.

Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos,

desarrollar e implementar un plan de administración específico que incluya consideraciones de

fondo.

Monitorear y revisar: Monitorear y revisar el desempeño del sistema de administración de

riesgos y los cambios que podrían afectarlo.

Comunicar y consultar: Comunicar y consultar con interesados internos y externos según

corresponda en cada etapa del proceso de administración de riesgos. La administración de

riesgos se puede aplicar en una organización a muchos niveles. Se lo puede aplicar a nivel

estratégico y a niveles operativos. Se lo puede aplicar a proyectos específicos, para asistir con

decisiones específicas o para administrar áreas específicas reconocidas de riesgo.

NTC ISO 31000:2011: Esta norma es un referente en Colombia que suministra directrices sobre

la selección y la aplicación de técnicas sistemáticas para la valoración del riesgo, cuyo propósito

es “…suministrar información y análisis con base en evidencias para tomar decisiones

informadas sobre la manera de tratar los riesgos particulares…”11

Las fases para la gestión de riesgos en esta norma se presentan en la ilustración 3:

11 Instituto Colombiano de Normas Técnicas-ICONTEC, 2011, pág. 3

21

Ilustración 3. Fases para la Gestión del Riesgo

Fuente: NTC-ISO 31000:2011 Gestión del Riesgo Principios y Directrices

Establecimiento del contexto: Incluye contexto interno y externo

Valoración del riesgo: Incluye identificación del riesgo, análisis del riesgo y evaluación de

riesgo

22

Tratamiento del riesgo: Implica la selección y el acuerdo sobre una o más opciones pertinentes

para cambiar la probabilidad de ocurrencia del riesgo, su efecto o ambos y la implementación

de estas opciones.

Monitoreo y revisión: Revisar regularmente entre otras, que el análisis de contexto interno y

externo continúe siendo válido, que los resultados esperados se estén alcanzando y el

tratamiento de los riesgos sea eficaz.

En conclusión, lo que se pretende es armonizar las metodologías que han venido surgiendo a

medida que se han presentado nuevas necesidades, de tal forma que sea un ejercicio ágil, con

resultados concretos, de fácil comprensión y aplicación para los responsables, dando

cumplimiento así a las exigencias normativas y a las necesidades reales de la organización.

23

6. Metodología

Este trabajo se desarrolló con el enfoque de investigación cuantitativo, debido a que el proceso a

abordar – proceso de cartera - es un proceso sistémico y ordenado que se lleva a cabo siguiendo

unos pasos mediante secuencia lógica: fase conceptual, fase de planeación y diseño, fase empírica,

fase analítica y fase de difusión.

El tipo de investigación del trabajo es descriptivo porque analiza información desde las entradas al

proceso de cartera hasta la salida de información y documentación. El diseño de la investigación

es no experimental transversal descriptivo porque describe variables y analiza su incidencia e

interrelación en un momento dado.

Para recolectar la información se realizó la consulta de normas internacionales y adaptaciones

nacionales, trabajos de grado y otros documentos con literatura especializada sobre el tema de

evaluación de riesgos, aplicados dentro del proceso de cartera de la empresa FAM Agencia

Marítima. Posteriormente, se diseñan tablas para recolectar la información concerniente a

antecedentes de autores consultados, estructuración y estandarización de procesos y por último la

aplicación del modelo en el proceso de cartera. Luego de recopilar información pertinente al

proceso evaluado y aplicando información estadística, se digita la información para su respectivo

análisis y elaboración de un documento técnico con los resultados.

Igualmente se estandarizó un procedimiento para la evaluación de riesgos cuyos pasos serán

adaptados de los diferentes autores consultados y su estructura se fundamente en un objetivo,

alcance, responsable, diagrama de flujo con actividades a realizar, instructivos y anexos; y

24

finalmente se aplicó el procedimiento de evaluación de riesgos al proceso de cartera de la empresa

FAM Agencia Marítima S.A. en las Oficinas de la ciudad de Cali.

6.1 Análisis de Resultados

Se llevó a cabo la revisión de la literatura consultada sobre los estándares que abarcan la gestión

del riesgo tomando como referente las normas ISO donde en su contenido coinciden en que se

debe abarcar cuatro variables: planificación de la evaluación, identificación de riesgo, análisis del

riesgo y tratamiento del riesgo; es importante mencionar que la fase de control no se considerará

para construir el procedimiento de evaluación del riesgo, debido a que esto hace parte de la gerencia

del riesgo y no de la evaluación.

La Tabla 2 resume los resultados obtenidos en este trabajo, las variables que deben ser

consideradas para el proceso de gestión de riesgos, detalla las técnicas de análisis y técnicas de

solución de problemas seleccionadas según los estándares consultados, estas tienen el objetivo de

contribuir a determinar la adecuada gestión de los procesos y finalmente la matriz de gestión de

riesgos que pretende recopilar la información obtenida en cada fase del proceso de gestión de

riesgos.

25

Tabla 2. Resumen de Resultados Obtenidos en Investigación

Proceso de Gestión de Riesgos

Herramientas de análisis y Técnicas de solución de problema

Herramienta de

Recopilación de

información

Planificación de la evaluación

Calificación de probabilidad Criterios de impacto (oportunidad) Criterios de impacto (Amenaza) Escala de impacto Calificación de riesgo

Matriz de Gestión del

Riesgo

Identificación del riesgo

Tormenta de Ideas Entrevistas estructuradas o semi-estructuradas Delphi Análisis de Causa Efecto

Evaluación del riesgo Matriz de consecuencia / probabilidad

Tratamiento del riesgo

Estrategias para riesgos negativos o Estrategias para riesgos positivos u oportunidades Plan de acción para los riesgos

Fuente: Elaboración Propia

6.2 Procedimiento Gestión del Riesgo

6.2.1 Diagrama de Flujo de Gestión del Riesgo

Se elabora un diagrama de flujo para llevar a cabo la gestión del riesgo dentro de un proceso y así

identificar los riesgos existentes. En la siguiente ilustración se puede observar el diagrama de flujo:

Ilustración 4. Diagrama de Flujo

26


Inicio

3. Identificación preliminar de riesgos

4. Lista de verificación contra estándares y contra supuestos

5. Clasificar los riesgos e identificar las causas y disparador de su ocurrencia

6. Evaluación de riesgos

¿Han ocurrido cambios que impliquen actualización de los

procesos de las evaluaciones??

¿Riesgo significativo?

¿Riesgo negativo?

Riesgo NO prioritario “Supervisar”

Compartir Explotar

Mejorar Aceptar

Evitar

Mitigar

Transferir

NO

NO

NO

SI

SI

SI

7. Establecer planes de acción y costos para los riesgos que sobrepasen el nivel de tolerancia

8. Presentar resultados

FIN

2. Plan de evaluación de riesgos del proceso objeto de análisis

1. PROCESO a evaluar

Aceptar

27

A continuación, y con base en el diagrama de flujo de gestión del riesgo se detalla cada una de las

8 actividades planteadas:

Actividad #1: Proceso a evaluar partiendo de la caracterización del proceso.

Para llevar a cabo la identificación del proceso se debe partir de la caracterización del mismo con

el objetivo de identificar todos los elementos que conforman al proceso desde las entradas,

actividades y salidas; generando una perspectiva global de los posibles riesgos en cada una de las

actividades del proceso.

Actividad #2: Realizar el plan de evaluación de los riesgos inherentes al proceso objeto de estudio.

Identificar los elementos de control, que permitan establecer los lineamientos estratégicos que

orienten a la adecuada toma de decisiones frente a los riesgos, que puedan afectar el cumplimiento

de su función, misión y objetivos partiendo de un análisis de factores externos e internos.

Actividad #3: Identificación preliminar de los riesgos con los integrantes de cada evaluación,

teniendo en cuenta los objetivos y el cumplimiento del plan estratégico definido para el proceso.

La finalidad de esta actividad es conocer los eventos potenciales, estén o no bajo el control de la

empresa que ponen en riesgo el logro de su misión, estableciendo los agentes generadores, las

causas y los efectos de ocurrencia.

Actividad #4: Realizar las listas de verificación contra los estándares de gestión del riesgo y contra

supuestos.

Tomar como referencia la norma objeto de estudio para determinar el cumplimiento o no de la

empresa con relación a los requisitos allí planteados.

28

Actividad #5: Realizar la clasificación de los riesgos e identificar las causas y disparador de su

ocurrencia.

Esta actividad busca establecer elementos de control para analizar la posibilidad (Frecuencia o

factibilidad) de ocurrencia de los eventos positivos y/o negativos y el impacto entendido como las

consecuencias (efectos).

Actividad #6: Realizar evaluación de los riesgos identificados para determinar la probabilidad de

ocurrencia y el grado de impacto hacia los objetivos del proceso.

Para la evaluación del riesgo se debe tener en cuenta si han ocurrido cambios relevantes que hayan

generado modificaciones en los procesos. En caso positivo, redefinir la identificación de los

riesgos; en caso negativo demostrar los resultados de la medición de aquellos que superen el nivel

de tolerancia aceptado. Si no hay riesgos asociados a estas clasificaciones, confirmar el

aseguramiento del control y comunicar a las partes interesadas.

Si hay riesgos que superan el nivel de tolerancia aceptado, se debe elaborar el plan de acción

adecuado para el mejoramiento de los controles, identificando controles nuevos y definiendo los

registros, responsable, autorizaciones y tolerancias.

Seleccionar y definir estrategias de control que apliquen para cada uno de los eventos de riesgos,

dichas estrategias aplican para riesgos negativos donde se busca evitar, reducir, aceptar, o compartir

el riesgo negativo identificado o puede ser aplicado en riesgos positivos donde se busca explotar,

aceptar, mejorar y compartir.

Actividad #7: Establecer planes de acción y costos para los riesgos que sobrepasen el nivel de

tolerancia, logrando así correcciones que minimicen la ocurrencia en el tiempo.

29

Para esta actividad se establecen elementos de control, que permiten estructurar criterios orientados

a la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de empresa

(eliminar la causa, evitar la posibilidad de ocurrencia, reducir el riesgo o en su defecto compartir,

transferir o asumir el riesgo)

Actividad #8: Presentar resultados sobre la medición realizada y las acciones tomadas, como

trazabilidad a las gestiones realizadas frente a los riesgos identificados con mayor impacto.

Esta actividad comprende el seguimiento permanente a la aplicación de los planes de acción y los

resultados de dichos planes para mitigar el impacto del riesgo detectado.

6.2.2 Plan de Evaluación del Riesgo.

El proceso de establecer el plan de evaluación del riesgo consiste en definir los parámetros y

criterios en base a cuáles deben planificarse, en esta fase se debe hacer un diagnóstico del contexto

externo e interno actual ver ejemplo en la ilustración 5. Se debe conocer previamente los objetivos

del proceso, actividades, tareas, partes interesadas y entorno. Es importante resaltar que los

parámetros y criterios varían según la naturaleza de la empresa y proceso evaluado. A continuación,

se relacionan los pasos a considerar para el plan de evaluación del riesgo:

30

Ilustración 5. Ejemplo de Factores de Riesgo Internos y Externos

Ejemplo de Factores Internos y Externos

Factores Externos Factores Internos

Económicos: Disponibilidad de capital, emisión de deuda o no pago de esta, liquidez, mercados financieros, desempleo, competencia

Infraestructura: Disponibilidad de activos, capacidad de los activos, acceso al capital.

Medio ambiente: Emisión y residuos, energía, catástrofes naturales, desarrollo sostenible

Personal: Capacidad del personal, salud, seguridad

Políticos: Cambios de gobierno. Legislación, políticas públicas, regulación

Procesos: Capacidad de diseño, de ejecución, proveedores, entradas, salidas, conocimiento

Sociales: Demografía, responsabilidad social, terrorismo

Tecnología: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento

Tecnológicos: Interrupciones, comercio electrónico, datos externos, tecnología emergente

Fuente: Cartilla Guía Mapa de Riesgos Oficina de Control Interno Sistema de Gestión Integral de la Calidad, Universidad del Magdalena 2014.

1. Determinar la escala para priorizar los riesgos, a continuación se presenta un ejemplo el cual es

subjetivo y depende de la naturaleza del proceso, en este caso se hace una categorización 5x5

considerando que se obtiene una mejor valoración por las calificaciones intermedias. Estas escalas

serían, ver ilustración 6:

31

Ilustración 6. Probabilidad de ocurrencia para Amenazas y Oportunidades


Partiendo de la probabilidad de ocurrencia muy alta, hasta la probabilidad de ocurrencia muy baja,

se asigna el siguiente valor:

Probabilidad de ocurrencia MUY ALTA = 5

Probabilidad de ocurrencia ALTA = 4

Probabilidad de ocurrencia MODERADA = 3

Probabilidad de ocurrencia BAJA = 2

Probabilidad de ocurrencia MUY BAJA = 1

2. Determinar la escala de evaluación del impacto, para el ejemplo se considera el impacto sobre

los objetivos del proceso objeto de estudio según, Costo, tiempo, alcance y Calidad, sin embargo,

los encargados de realizar la planificación de la evaluación pueden considerar otras variables. Ver

ilustración 7.

Concepto

Calificación

Definición

CALIFICACIÓN DE PROBABILIDADAsigna la probabilidad de ocurrencia: Alta, Baja, Muy Probable, Poco Probable, etc.

Asigna una calificación numérica a la probabilidad de ocurrencia 1, 2, 3……

Detalla las variables escogidas para el concepto

32

Ilustración 7. Evaluación del Impacto


Partiendo de la evaluación del Impacto catastrófico hasta el impacto insignificante, se asigna el

siguiente valor:

Impacto CATASTRÓFICO (suspensión, paro del servicio, sanción por parte de algún ente gubernamental) = 5

Impacto MAYOR (Interrupción temporal, intermitencia, pausas en el servicio) = 4

Impacto MODERADO (Cambios en la interacción de los procesos) = 3

Impacto MENOR (Cambios procedimentales) = 2

Impacto INSIGNIFICANTE (ajuste a una actividad concreta) = 1

3. En la Tabla 3 se calcula el valor esperado del riesgo, corresponde al resultado de evaluar los

criterios definidos por el plan de riesgo para el análisis de los mismos (Probabilidad e Impacto). Se

calcula multiplicando los valores de los dos criterios:

Valor Esperado = Probabilidad * Impacto

Objetivo del proceso Muy Baja Baja Moderada Alta Muy Alta

0,05 0,1 0,2 0,4 0,8Variable 1

Variable 2

Variable n….

EVALUACIÓN DEL IMPACTOAsigna una variable cualitativa al impacto

Asigna una calificación numérica al impacto

Detalla cómo son impactados los objetivos del proceso, considerando las variables escogidas

Definir las variables que impactan a los objetivos del proyecto: Costo, Calidad, etc.

33

Tabla 3. Cálculo del Valor Esperado del Riesgo

CALIFICACIÓN DEL RIESGO (VALOR ESPERADO) (PROBABILIDAD * IMPACTO)

Probabilidad Impacto 1 Impacto 2 Impacto 3 Impacto 4 Impacto 5

Probabilidad 5 5 10 15 20 25 Probabilidad 4 4 8 12 16 20 Probabilidad 3 3 6 9 12 15 Probabilidad 2 2 4 6 8 10 Probabilidad 1 1 2 3 4 5


4. Esta etapa termina, cuando la dirección indica sus prioridades en materia de riesgos y del

tratamiento para implementar, las acciones recomendadas deben ser identificadas de acuerdo a la

Tabla 4, donde se establecen unos rangos que prioricen las acciones a tomar.

Tabla 4. Rangos para priorización de acción

Valor esperado (Probabilidad x Impacto)

Priorización de Acción

Rango 1 – MAYOR Riesgos que exceden un criterio de aceptabilidad y deben ser reducidos mediante medidas para compensación de fallas.

Rango 2 – INTERMEDIO Los riesgos son aceptables, pero se deberán investigar medidas adicionales para la compensación riesgo y deben ser evaluados.

Rango 3 - MENOR Riesgos que han sido reducidos hasta un nivel inferior a un criterio de aceptabilidad y no requieren la toma de medidas adicionales para la compensación del riesgo.


La calificación de los riesgos ayuda a definir las respuestas a los mismos. Por ejemplo, los riesgos

que tienen un impacto negativo sobre los objetivos, conocidos como amenazas cuando se

materializan, y que se encuentran en la zona de riesgo alto (rojo) de la matriz, pueden requerir

34

prioridad en la acción y estrategias de respuesta agresivas. Las amenazas que se encuentran en la

zona de riesgo bajo (amarillo) pueden no requerir una acción de gestión proactiva, más allá de ser

incluidas en el registro de riesgos como parte de la lista de observación o de ser agregadas a una

reserva para contingencias. Lo mismo ocurre para las oportunidades, debe darse prioridad a las

oportunidades que se encuentran en la zona de riesgo alto (rojo), ya que se pueden obtener más

fácilmente y proporcionar mayores beneficios. Las oportunidades en la zona de riesgo bajo

(amarillo) deben monitorearse. (Institute, Guía de los fundamentos para la dirección de proyectos

- Quinta edición, 2013)

6.2.3 Identificación del Riesgo

Para el proceso de identificación de riesgos es necesario usar herramientas que generen un flujo

constante de información, es importante saber que la elección de las herramientas depende de la

naturaleza de la empresa, del proceso a evaluar y de las interacciones significativas con las partes

involucradas. Los estándares consultados proponen un listado de herramientas que pueden ser

usadas para conseguir los outputs de la identificación de riesgos, sin embargo, el éxito de las

mismas depende de la capacidad del equipo evaluador para el desarrollo de cada actividad. En la

Tabla 5 se enuncian algunas técnicas y herramientas entre los estándares consultados para la

identificación de riesgos.

35

Tabla 5. Descripción de Herramientas para Identificación de Riesgos

HERRAMIENTAS DESCRIPCIÓN

Tormenta de Ideas Se basa en el trabajo de grupo con el objeto de facilitar el surgimiento de nuevas ideas sobre un tema o problema determinado.

Entrevista Estructurada

Es una manera formal o informal de obtener información de los interesados, a través de un diálogo directo con ellos.

Delphi Es una manera de lograr un consenso de expertos. Los expertos en riesgos participan en esta técnica de forma anónima.

Análisis Causa Efecto

Se utiliza como punto de partida para trazar el origen del problema hacia su causa raíz.

Supuestos del Marco Lógico

Factores externos que implican riesgos, Cada proyecto comprende riesgos: ambientales, financieros, institucionales, sociales, políticos, climatológicos u otros factores que pueden hacer que el mismo fracase. El marco lógico requiere que el equipo de diseño de proyecto identifique los riesgos en cada etapa: Actividad, Componente, Propósito y Fin. El riesgo se expresa como un supuesto que tiene que ser cumplido para avanzar al nivel siguiente en la jerarquía de objetivos.12


6.2.4 Evaluación del Riesgo

La segunda fase del procedimiento corresponde a la evaluación de riesgo, la entrada de esta etapa

es la lista de riesgos previamente identificados y el objetivo es desarrollar un entendimiento y

comprensión acerca del riesgo, utilizando como criterios la probabilidad de ocurrencia y el impacto

de sus consecuencias, esto permite calcular el valor esperado en función de estas dos variables.

Debido a la gran cantidad de datos sobre los riesgos identificados es necesario que los mismos

estén detallados, esta fase permite encontrar una descripción de cada riesgo, encontrar las causas,

si corresponde a una amenaza u oportunidad para el proceso, cuáles son los entregables que se

12 ORTEGÓN, EDGAR. Metodología del marco lógico para la planificación, el seguimiento y la evaluación de proyectos y programas. [en línea] [Chile]: Santiago, CEPAL, 2005.

36

verían afectados, esta información puede ser recopilada en la matriz sugerida en la Tabla 6 del

Anexo 1.

El análisis del riesgo proporciona elementos de entrada para tomar decisiones sobre cuáles son los

riesgos y las causas a los que se les debe dar un tratamiento inmediato, cuales admiten acciones a

mediano plazo y cuáles pueden ser aceptados sin tener nuevas acciones, así como sobre las

estrategias y los métodos de tratamiento del riesgo más apropiados. (Institute, Guía de los

fundamentos para la dirección de proyectos - Quinta edición, 2013).

La Tabla 7 resume las herramientas que se sugieren para llevar a cabo el procedimiento de

evaluación de riesgos, según la literatura consultada.

Tabla 7. Resumen de Herramientas para Evaluación de Riesgos

Tipo de Análisis

Entradas a la Fase

Salidas de la Fase Criterio de Selección de Herramientas

Herramientas

Análisis Cualitativo

Lista de Riesgos

Valor esperado de los Riesgos.

Coincidencia entre los Estándares consultados. Reactivas y proactivas

Matriz de Consecuencia / Probabilidad

Análisis Cuantitativo

Lista de Riesgos

Actualización a los documentos del

proceso

Coincidencia entre los Estándares consultados. Reactivas y proactivas

Técnicas de Probabilidad y

Modelado Fuente: Elaboración Propia

37

6.2.4.1 Análisis Cualitativo

La matriz de probabilidad e impacto, es una tabla de doble entrada que combina la probabilidad de

que ocurra un evento, con el impacto que éste puede causar en el proceso. De esta manera, se

consigue establecer una priorización de los riesgos.

Para obtener una ayuda grafica la matriz obtenida se puede dividir en zonas y asignar un Color que

enmarque el riesgo, los más usados son rojo, amarillo, naranja y verde (ver ilustración 7), sin

embargo esto puede variar dependiendo del tamaño de la matriz que es determinado por la fase de

planificación del riesgo, al tener la tabla visual se puede observar fácilmente que riesgos requieren

acción inmediata y cuáles no; la matriz tiene como finalidad determinar la aceptabilidad de los

riesgos analizados, para priorizar la intervención y el plan de trabajo.

Ilustración 8. Matriz de Probabilidad e Impacto

Fuente: www.ceolevel.com

http://www.ceolevel.com/

38

6.2.4.2 Análisis Cuantitativo

El análisis cuantitativo es la evolución matemática de la probabilidad de cada riesgo y sus

consecuencias en las salidas del proceso. El análisis de riesgo cuantitativo utiliza técnicas para

determinar la probabilidad de conseguir los objetivos específicos del proceso objeto de estudio,

Cuantificar el valor esperado del riesgo y sus probabilidades de ocurrencia y aportar a determinar

la mejor decisión del direccionamiento del proceso cuando algunas condiciones o resultados son

inciertos

El análisis cuantitativo de riesgos debe aplicarse nuevamente después de la planificación de la

respuesta a los riesgos, también como parte del seguimiento y control de riesgos, para luego

determinar si el riesgo dentro del proceso ha sido reducido satisfactoriamente.

6.2.5 Tratamiento del Riesgo

La tercera Fase tiene como salida la determinación de las acciones del tratamiento para intervenir

a los riesgos, detalla la descripción de la acción, asignación de responsables, plazos, requisitos y

recursos. El tratamiento comprende decisiones sobre eliminar la fuente del riesgo, cambiar la

probabilidad de que ocurra, cambiar las consecuencias, entre otras. La decisión también debe

balancear el costo de oportunidad frente a las oportunidades, requisitos reglamentarios, legales y

otros. La herramienta más usada en la fase de tratamiento es el Juicio de Expertos. En la Tabla 8

se resumen las herramientas que se sugieren para llevar a cabo el tratamiento del riesgo.

39

Tabla 8. Resumen de herramientas para el tratamiento del riesgo

Entradas a la Fase

Salidas de la Fase Criterio de Selección

de Herramientas Herramientas

Valor esperado

del Riesgo

Acciones para Mejorar oportunidades Acciones para Disminuir amenazas Control para los riesgos Modificación de los riesgos

Coincidencia entre los Estándares

consultados. Reactivas y proactivas

Entrevistas Estructuradas

/ Juicio de Expertos.


Dentro del plan de tratamiento se debe considerar las medidas de seguimiento, ayudando al proceso

de gestión de riesgos a seleccionar medidas eficaces, porque el mismo tratamiento puede

desencadenar nuevos riesgos que deben ser valorados dentro del mismo plan de tratamiento, la

norma ISO 31000 recomienda identificar y valorar el vínculo entre los dos riesgos.

6.2.6 Herramienta de Recopilación de Información

Matriz de Gestión de Riesgos

La matriz de gestión de riesgos, es una herramienta complementaria y de soporte a las técnicas y

herramientas que se evaluaron previamente en los estándares consultados, es una recopilación de

las variables claves que deben considerarse en todo el proceso de gestión de riesgo, tiene como

objetivo contribuir al mejoramiento continuo de los procesos, mediante un análisis sistémico,

contribuye a identificar y analizar los riesgos de los proyectos de cualquier naturaleza, asegurando

que se tienen en cuenta todos los riesgos que son potencialmente concebibles, esta herramienta

evalúa la probabilidad de ocurrencia y el impacto de las consecuencias para cada riesgo, mediante

40

los cuales, se realizará el cálculo del valor esperado, para priorizar los riesgos, sobre las cuales

habrá que actuar con un tratamiento para evitar que afecten el proyecto. (ICONTEC, 2011).

La matriz es una herramienta dinámica que permite que los usuarios mantengan una política de

prevención y mejora, adopta acciones correctivas y preventivas para eliminar causas pertenecientes

al riesgo en cada proceso, además de valorar la eficacia de las acciones tomadas mediante la

asignación de responsables, el seguimiento y la verificación.

Fase 1: Conformación del Equipo interdisciplinario

El equipo encargado del proceso evaluación de riesgos, debe ser multidisciplinario, los integrantes

deben conocer el proceso, Se recomienda formar un grupo con las diferentes áreas involucradas y

que interactúan con el proceso, además de involucrar personas que tenga conocimientos en técnicas

estadísticas, métodos y herramienta de mejoramiento y calidad, también se debe elegir un

responsable del documento el cual debe tener competencias de análisis y solución de problemas.

Algunas de las actividades del responsable son:

1. Formular, orientar, dirigir y coordinar la implementación del proceso de gestión de riesgos.

2. Asegurar el cumplimiento y desarrollo de cada una de las etapas del proceso de gestión de

riesgos.

3. Informar a la dirección sobre los avances de la implementación de la planificación y proceso de

gestión de riesgos.

4. Asegurar el cumplimiento de las acciones establecidas en el proceso de gestión de riesgos.

41

5. Capacitar a los participantes en la metodología y el proceso de evaluación de riesgos.

Responsabilidades del Equipo Interdisciplinario

1. Seleccionar la evaluación sobre el cual se va a implementar el proceso de evaluación de riesgos.

2. Implementar el proceso de evaluación de riesgos.

3. Proponer medidas de mejora y solución a problemas.

4. Consolidar la información en la matriz de registro de riesgos.

Fase 2: Preparar el Documento

Se deberán hacer una o varias reuniones para recopilar la información necesaria para el ingreso a

la matriz, se hace uso del conocimiento y habilidades del equipo para el manejo de las técnicas de

análisis, herramientas de solución de problemas más adecuada para proceso objeto de estudio. Las

técnicas que se sugieren en este trabajo se escogieron por la coincidencia entre los estándares

consultados, sin embargo, es importante aclarar que la naturaleza de la empresa y el proceso objeto

de estudio puede requerir otro tipo de herramientas que arrojarán la información que requiere la

matriz. Se recomienda Excel® como sistema informático para el registro de la información. En la

Tabla 9 se muestran las variables consignadas en la matriz de gestión de riesgos y su respectiva

definición:

42

Tabla 9. Variables Consignadas en la Matriz de Gestión de Riesgos.

N° VARIABLE DESCRIPCIÓN DE CAMPOS

1 Número Numero único del riesgo

2 Riesgo Posibilidad de ocurrencia de un evento que produce un efecto negativo o positivo en los objetivos del proceso.

3 Causa Raíz

Es la razón de la ocurrencia de un evento o suceso que genera el Riesgo. Las causas relacionadas deben ser lo más concisas y completas posibles, de modo que las acciones correctoras y/o preventivas puedan ser orientadas hacia las causas pertinentes.

4 Consecuencia Hecho o acontecimiento derivado o que resulta de los riesgos. 5 Evaluación Grupo de evaluación al que corresponde el riesgo 6 Fecha de identificación Fecha en que se identificó el riesgo

7 Probabilidad

Grado de posibilidad de que ocurra un evento no deseado y pueda producir consecuencias. El índice de la ocurrencia representa más bien un valor intuitivo más que un dato estadístico matemático, a no ser que se dispongan de datos históricos de fiabilidad o se haya modelado y previsto con anterioridad.


43

Tabla 10. Continuación Variables Consignadas en la Matriz de Gestión de Riesgos.

N° VARIABLE DESCRIPCIÓN DE CAMPOS

8 Estimación de Probabilidad

Calificación dada en números según los criterios de calificación.

9 Objetivo Afectado Objetivos del proceso afectado (Alcance, Tiempo, Costo, Calidad)

10 Impacto

Este parámetro está directamente relacionado con los efectos del modo de falla, este debe considerar las posibles consecuencias sobre las partes interesadas (clientes, colaboradores, accionistas, proveedores y el entorno)

11 Estimación del Impacto

Calificación dada en números según los criterios de calificación

12 Valor Esperado

Es el resultado de evaluar los criterios definidos por la empresa para analizar los Riesgos (Probabilidad y Consecuencia). Se calcula multiplicando los valores de los dos criterios: VALOR ESPERADO (VA) = PROBABILIDAD * IMPACTO. Valoración del riesgo: Decisión de si el riesgo es aceptable o no dependiendo de los colores de la matriz de relaciones entre los dos criterios de (Probabilidad e Impacto). Esta casilla toma como entrada el nivel de riesgo, y tiene como finalidad determinar la aceptabilidad de los riesgos analizados, para priorizar la intervención y el plan de trabajo.

13 Tipo de riesgo Valor Monetario Esperado del Riesgo: Resulta de multiplicar la probabilidad x el impacto.

14 Total Valor Esperado

(P*I) Suma del valor esperado del alcance, tiempo, costo y calidad

15 Estrategia Respuestas proporcionadas que pueden utilizarse en caso de que ocurra un evento disparador específico

16 Acción a tomar Opciones y acciones para mejorar las oportunidades y reducir las amenazas presentadas en el proceso

17 Descripción de Costo Detalle de los costos del plan de acción 18 Unidad Tipo de unidad de los costos 19 Cantidad Número de unidades de los costos 20 Valor unitario Costo unitario 21 Costos ($) Valor total (Cantidad * Valor Unitario)


44

7. Aplicación - Caso de Estudio

Con el objetivo de aplicar la metodología desarrollada, se toma como referencia el proceso de

cartera de la empresa FAM Agencia Marítima ubicada en la sede de la ciudad de Cali al cual se le

aplica la metodología para gestionar los riesgos inherentes a las actividades generadas dentro del

proceso, involucrando las partes interesadas que intervienen.

Adicionalmente y dando cumplimiento al logro de uno de los objetivos del trabajo se realiza el

diagnóstico de la empresa con relación al cumplimiento de los requisitos de la norma NTC ISO

31000:2011; esto con la finalidad de evaluar su estado de cumplimiento frente a la norma y poder

así sustentar su implementación y adaptación a los sistemas de gestión con los que la empresa

cuenta actualmente.

7.1. Diagnóstico de la empresa

La empresa Frontier Agencia Marítima S.A. suministra soluciones logísticas y de servicios a

clientes usuarios por vía marítima. El factor diferencial de ellos se basa en tecnología de punta, que

permite la eficiencia en las operaciones, la adaptabilidad y la atención personalizada a los clientes.

En la Tabla 11 se muestra la misión y visión:

45

Tabla 11. Misión – Visión

Misión Visión Suministrar soluciones logísticas y de servicios a nuestros clientes usuarios, por vía marítima a nombre de nuestros representados, dentro del marco de los principios éticos y legales, con un grupo humano motivado y con vocación de servicio

FAM Agencia Marítima S.A., será líder en el agenciamiento y desarrollo de soluciones y servicios logísticos de Transporte Marítimo innovando de manera permanente con tecnología en sistemas de información

Fuente: Suministrada de la página web de la Empresa

Debido a que la aplicación del modelo se lleva a cabo al proceso de cartera, se presenta en el Anexo

2 Caracterización del proceso de cartera FAM Agencia Marítima S.A., adicionalmente se presentan

en la Tabla 12 los factores internos y externos de riesgo que pueden afectar el desempeño y

cumplimiento de los objetivos del proceso, esto como parte de la contextualización estratégica.

Tabla 12. Factores internos y Externos del proceso de cartera.

Factores INTERNOS

Factor Interno Descripción

Infraestructura 1. Disponibilidad de Activos 2. Capacidad de los activos 3. Fácil acceso al capital de trabajo

Personal

1. Fraude interno de empleado 2. Robo de información, base de datos (clientes y proveedores) 3. Inadecuado proceso de selección y contratación de personal para análisis y gestión de Cartera 4. Infracción a las normas de Seguridad y salud en el trabajo

Proceso

1. Carencia de capacitación en gestión documental 2. Inadecuado proceso de inducción y formación en cartera 3. Error en digitación de información en el sistema 4. Omitir filtros documentales 5. Incumplimiento de indicadores de gestión (Rotación de Cartera, Presupuesto de recaudo, Cartera >90 días)

46

Tecnología

1. Integridad de datos 2. Disponibilidad de datos y sistemas 3. Delitos informáticos, robo de información y base de datos 4. Debilidad en el comercio electrónico 5. Carencia de políticas de seguridad de la administración de Software y Hardware

Factores EXTERNOS

Factores Externos Descripción

Económicos

1. Disponibilidad de Capital del cliente 2. Lavado de activos 3. Patrimonio del cliente (solvencia económica) 4. Incremento en volúmenes de crédito

Políticos

1. Crecimiento económico. 2. Golpes de estado. 3. Inflación 4. Cambios de gobierno 5. Cambios en normatividad legal 6. Política Publica

Sociales

1. Integridad u honradez del cliente 2. Orden Público puerto de buenaventura y Cartagena 3. Terrorismo 4. Comercialización de productos no autorizados en contenedores.

Tecnológicos 1. Fallas de Software 2. Fallas de hardware 3. Fallas en telecomunicación


Para elaborar el diagnóstico de la empresa se tomó como referencia los requisitos de la norma NTC

ISO 31000:2011 y se evaluó su grado de cumplimiento teniendo en cuenta los criterios presentados

en la Tabla 13.

47

Tabla 13. Criterios para Diagnóstico de la Empresa vs Norma.

CRITERIOS CALIFICACIÓN

Criterio no cumplido en la empresa 1

Criterio que se cumple, pero no está documentado 2

Criterio que se cumple y está documentado 3

Criterio se cumple, está documentado y se evalúa frecuentemente 4 Criterio que se cumple, está documentado, se evalúa frecuentemente y se generan planes de acción para el mejoramiento continuo

5


En el Anexo 3 se presenta la información consolidada del resultado obtenido del diagnóstico del

grado de cumplimiento frente a la norma NTC ISO 31000:2011.

Es de anotar que todo criterio evaluado y que cuente con una calificación inferior a 5, deberán

generarse actividades estructuradas y con base al ciclo PHVA13 para lograr la documentación y

cumplimiento del requisito, desde su elaboración hasta la generación de planes de acción que

garanticen su implementación en el tiempo.

Como resultado la empresa y luego de evaluar la información logra cumplir con una calificación

del 54% de los requisitos establecidos, siendo una calificación baja pese a contar con la

implementación del sistema de gestión de calidad bajo la norma ISO 9001:2015, en las

observaciones del diagnóstico se generan algunas recomendaciones para la empresa para

implementar el sistema de gestión de riesgos e incrementar la calificación toda vez se vayan

implementando las mejoras.

13 CICLO PHVA: También conocido como ciclo Deming. En español sería PHVA (Planificar-Hacer-Verificar-Actuar).

48

7.2 Plan de Evaluación del Riesgo

Con el objetivo de evaluar la probabilidad basada en la ocurrencia del riesgo en la gestión del

proceso se generan los criterios de probabilidad. Con el objetivo de simplificar la metodología en

aras de que cualquier persona que interactúe con el proceso pueda aplicarla, se define de manera

cuantitativa una escala de 1 a 5 desde la probabilidad de ocurrencia muy baja hasta muy alta;

adicionalmente se define la frecuencia de la probabilidad partiendo de la información obtenida del

proceso con relación a la ocurrencia de eventos dentro de la empresa que hayan involucrado al

proceso de cartera y la frecuencia de los mismos. A continuación, en la Tabla 14 se consolidan los

criterios de probabilidad.

Tabla 14. Criterios de probabilidad

CALIFICACIÓN DE PROBABILIDAD Concepto Muy Baja Baja Moderada Alta Muy Alta Calificación 1 2 3 4 5

Definición

Puede ocurrir solo en

circunstancias excepcionales

Pudo ocurrir en algún momento

Podría ocurrir en

algún momento

Probablemente ocurrirá en la

mayoría de las circunstancias

Se espera que ocurra en la

mayoría de las circunstancias

Frecuencia No en la historia

Reciente

1 vez últimos 5 años

1 vez últimos 2 años

1 vez último año

+ de 1 vez al año


Con el objetivo de evaluar el impacto basado en el efecto final o en el impacto del riesgo durante

los procesos, se presenta la Tabla 15 de los criterios de impacto.

49

Tabla 15. Criterios de Impacto

EVALUACIÓN DE IMPACTO Concepto Insignificante Menor Moderado Mayor Catastrófico

Calificación 1 2 3 4 5

Definición

Tendría efectos mínimos sobre los objetivos del proceso

Tendría bajo impacto sobre los objetivos del proceso

Tendría medianos efectos sobre los objetivos del proceso

Tendría altos efectos sobre los objetivos del proceso

Tendría desastrosos efectos sobre los objetivos del proceso

TIPOS DE IMPACTOS

Confidencialidad

de la información

De manera personal, pero

no sensible

De carácter reservado o

privado a nivel personal

De manejo del proceso, pero no sensible

De carácter reservado o

privado a nivel de proceso

De carácter reservado o privado a

nivel empresarial

Credibilidad e imagen

A nivel de grupos de

funcionarios y/o servidores

A nivel de todos los

funcionarios y/o servidores

A nivel de usuarios

A nivel de región

A nivel País y/o del exterior

Financiero (en SMMLV)

De 0 a menos de 5

>= 5 y <10 >= 10 y <20 >= 20 y <50 >= 50

Legal Multas

pedagógicas o monetarias

Demandas civiles,

laborales, administrativas,

denuncias, tutelas

Investigaciones disciplinarias

Investigaciones fiscales

Intervenciones y/o sanciones penales, cierre de la empresa.

Operativo Ajustes a una

actividad concreta

Cambios a procedimientos

Cambios en la interacción a los procesos

Interrupción temporal,

intermitencia, pausas en el

servicio

Suspensión, paro del servicio.


En la Tabla 16 Se calculó el valor esperado del riesgo multiplicando la Probabilidad por el

Impacto.

50

Tabla 16. Cálculo del valor esperado del riesgo

PROBABILIDAD (Valor esperado – cualitativo)

IMP

AC

TO

Muy baja (1)

Baja (2)

Moderada (3)

Alta (4)

Muy Alta (5)

Insignificante (1) Baja Baja Baja Baja Moderada

Menor (2) Baja Baja Moderada Moderada Alta

Moderado (3) Baja Moderada Moderada Alta Alta

Mayor (4) Baja Moderada Alta Alta Alta

Catastrófico (5) Moderada Alta Alta Alta Alta

Valor esperado - Cuantitativo Insignificante (1) 1 2 3 4 5 Menor (2) 2 4 6 8 10 Moderado (3) 3 6 9 12 15 Mayor (4) 4 8 12 16 20 Catastrófico (5) 5 10 15 20 25


En la Tabla 17 se clasifica el tipo de riesgo, esto se hace después de obtener los resultados de la

estimación del riesgo.

Tabla 17. Clasificación de tipo de riesgos

Tipo de Riesgo Probabilidad x Impacto

Alto Mayor o igual a 10 Moderado Entre 5 y 9 Bajo Menor o igual a 4


En la Tabla 18 se nombran las opciones de estrategia para riesgos positivos y negativos de acuerdo

a las necesidades del proceso. Dependiendo del tipo de riesgo identificado se puede clasificar la

estrategia para abordar el riesgo, ya sean positivos u oportunidades o negativos o amenazas. La

51

definición de estrategia a desarrollar es otra variable para la clasificación del riesgo dentro de la

matriz, y no es resultado de cruzar la matriz 5 x 5 de probabilidad vs impacto.

Tabla 18. Estrategias para riesgos negativos o positivos

PARA RIESGOS NEGATIVOS O AMENAZAS Evitar Cambiar el plan, objetivos, etc. Transferir Pasarlo a una aseguradora Mitigar Reducir la probabilidad o impacto del riesgo Aceptar No hacer nada

PARA RIESGOS POSITIVOS U OPORTUNIDADES Explotar Aprovechar la oportunidad Compartir Adjudicar la propiedad del riesgo a alguien más capacitado para

sacarle provecho Aumentar Identificar y potenciar las probabilidades o impacto del riesgo


7.3 Identificación del Riesgo

El equipo evaluador escogió para el proceso de identificación de riesgos la herramienta lluvia de

ideas, a través de una reunión generó un listado de los posibles riesgos para el proceso de cartera,

el formato fue proporcionado por el grupo de evaluación de riesgos de acuerdo a lo implementado

en la empresa con el sistema de gestión de calidad (ver Anexo 4). Este debía ser diligenciado con

los resultados de la lluvia de ideas de cada participante – Analistas de cartera de cada una de las

sedes-. Posteriormente se tabularon los riesgos identificados por cada analista obteniendo los 12

riesgos más relevantes – los más relevantes van en función de la cantidad de veces identificado por

cada uno de los analistas y el argumento presentado frente al riesgo-.

52

En la siguiente Tabla 19 se presenta el formato diligenciado con una recopilación de 12 riesgos

identificados para todas las evaluaciones.

Tabla 19. Formato para Identificación de Riesgos


N° RIESGO CAUSA RAIZ CONSECUENCIA FACTOR

1Carencia de flujo de caja para

transacciones comerciales

Mora en el pago de

obligaciones financieras por

parte de los clientes

Insolvencia económica Económico

2

Incremento nivel de endeudamiento

con entidades financieras para

soportar operación.

La administración de los

recursos financieros y

morosidad de los clientes

Difícil acceso a capital de

trabajoEconómico

3Pagos inadecuados por

desconocimiento del cliente

Falta de información al cliente

de como realizar los pagos

Devoluciones o cobros por

pagos mal realizadosEconómico

4Aplicar pagos sin antes verificar el

ingreso del dinero en banco

Falta de revisión previa en los

estados de cuentas de las

cuentas bancarias

Liberación de mercancía sin

previa cancelación de las

facturas

Económico

5Gestionar el cobro de facturas sin

el envío de las mismas

Falta de control de las facturas

generadas al momento de la

distribución

Al cliente no le llega la factura y

se presenta reclamaciónEconómico

6Reclamación por facturas

expedidas con errores en la tarifa

Tarifa errada al momento de

facturar

Envío de facturación errada a

los clientesEconómico

7 Perdida o hurto de información

1. Fraude interno del

empleado

2. Gestión documental

inadecuada

Procesos legales por ley de

protección de datosPersonal

8 Ataque cibernético

Inadecuadas políticas de

seguridad Software y

Hardware

Hurto de información,

inoperatividad o cese de

actividades comerciales

Tecnológico

9Deterioro y perdida de los

soportes físicosAlmacenamiento incorrecto

La no respuesta a tiempo de

solicitudes realizadas ya que no

se localizan los soportes

Procesos

10Generar estados de cartera

errados por fallas en el sistema

Falta de comunicación entre el

área de sistemas con cartera al

momento de realizar algún

ajuste o mantenimiento

Enviar a los clientes estados de

cartera con erroresProcesos

11Utilización de base de datos con

información errada del cliente

Creación incorrecta de los

clientes

Generación errada de informes

requeridos o documentos

solicitados

Procesos

12Lavado de activos y financiación

del terrorismo por parte del cliente

No validación adecuada de la

información y documentación

suministrada por el cliente

Sanciones legales por

transacciones comerciales con

clientes al margen de la ley

Social

53

7.4 Análisis cualitativo

En la Tabla 20 Formato análisis cualitativo del Anexo 5 se realizó una estimación de riesgos

mediante la calificación de la probabilidad vs impacto, obteniendo un valor esperado por objetivo

y finalmente un valor esperado total. Los riesgos se ubican en rangos y se clasifican como Muy

Alto, Alto, Medio, Bajo y Muy Bajo, luego se ordenan de Mayor a menor y se aborda cada uno de

acuerdo a su prioridad.

7.5 Matriz de Gestión del Riesgo

En la Tabla 6 del Anexo 1 se listan los riesgos considerando el criterio de abordar prioritariamente

los riesgos que tienen un valor esperado mayor correspondientes a riesgos Muy altos y Altos; los

recursos, las actividades y planes de acción para mitigar el impacto del riesgo.

54

8. Conclusiones

Todas las metodologías consultadas abordan de manera implícita 5 pasos fundamentales

para la gestión del riesgo: Realizar el plan de evaluación del riesgo, Identificar los riesgos,

Hacer lista de verificación, Clasificar los riesgos según sus causas y ocurrencia, Evaluar

los riesgos y dependiendo de los resultados obtenidos se establecen los planes a seguir y se

presentan los resultados, direccionadas siempre a la gestión basada en procesos.

El desarrollo de este trabajo y los resultados expuestos, contribuye al fortalecimiento e

interiorización de la cultura de autocontrol y autogestión en la empresa FAM agencia

Marítima S.A. partiendo como prueba piloto la aplicación al proceso de cartera;

estableciendo los principales factores de riesgo internos y externos que afectan el

desempeño, rentabilidad, resultados y sostenibilidad del proceso, para minimizar posibles

impactos negativos con la implementación de controles sugeridos para dichos riesgos.

La consolidación de la matriz de riesgo del proceso de cartera plantea a la empresa enfocar

sus esfuerzos principalmente en controles hacia los colaboradores (capacitación y

reinducción de la gestión documental), principalmente en el análisis de la información de

los clientes y revisión permanente del estado de cartera con las variables de decisión y

control para minimizar el error.

55

9. Bibliografía

Aplicación de la gestión de riesgos en los principales procesos de una PYME

comercializadora. Escuela de Ingeniería de Antioquia. Proyecto final 2012.

AS/NZS 4360:1999. Estándar australiano, 1999.

Cartilla Guía Mapa de Riesgos Oficina de Control Interno Sistema de Gestión Integral de

la Calidad, Universidad del Magdalena 2014.

Diseño del sistema de gestión en seguridad en una empresa transportadora de carga.

Universidad Javeriana. Proyecto final de carrea. 2013.

GAVIRIA JUÁREZ, Miguel Ángel. Administración de riesgos organizacionales, aplicado

a una entidad del gobierno del Distrito Federal con base al modelo iso-31001; evaluando

los riesgos financieros y operacionales. México. 2012.

Gestión de riesgo empresarial en una empresa de transporte. Pontificia Universidad

Católica del Perú, proyecto final de carrera. Lima – Perú 2017.

Guía para la Administración del Riesgo, Departamento Administrativo de la Función

Pública (DAFP), 2011.

Instituto Colombiano de Normas Técnicas-ICONTEC, 2011.

56

NADAL, Josep. La gestión de riesgos como fuente de ventaja competitiva sostenible.

Harvard Deusto Business Review. Noviembre 2011.

ORTEGÓN, EDGAR. Metodología del marco lógico para la planificación, el seguimiento

y la evaluación de proyectos y programas. [en línea] [Chile]: Santiago, CEPAL, 2005.

Propuesta sistema de control de gestión en una empresa de transporte Chilena. Universidad

de Chile Facultad de Economía y Negocios. Santiago de Chile 2013.

Soto Guzmán & Rubio Bohórquez, 2013. Diseño de un Sistema de Gestión de Riesgo en

una IPS Hospitalaria de Primer Nivel. Bogotá: Universidad EAN.

57

Anexo 1. Tabla 6. Matriz de Gestión de Riesgo (del 1 al 6)


NOMBRE DEL PROCESO: Cartera

OBJETIVO: Realizar gestiones efectivas para mantener al día la cartera y legalizados los ingresos recibidos.

ALCANCE:

N

°Riesgo Causa Raíz Consecuencia

Fecha

IdentificaciónProbabilidad

Est

imac

ión

pro

bab

ilid

ad

1Carencia de flujo de caja para

transacciones comerciales

Mora en el pago de obligaciones

financieras por parte de los clientesInsolvencia económica 18/06/2018 Alta 4

2

Incremento nivel de endeudamiento

con entidades financieras para soportar

operación.

La administración de los recursos

financieros y morosidad de los clientesDifícil acceso a capital de trabajo 18/06/2018 Alta 4


desconocimiento del cliente

Falta de información al cliente de como

realizar los pagos

Devoluciones o cobros por pagos mal

realizados18/06/2018 Baja 2


ingreso del dinero en banco

Falta de revisión previa en los estados

de cuentas de las cuentas bancarias

Liberación de mercancía sin previa

cancelación de las facturas18/06/2018 Muy Baja 1

5Gestionar el cobro de facturas sin el

envío de las mismas

Falta de control de las facturas

generadas al momento de la

distribución

Al cliente no le llega la factura y se

presenta reclamación18/06/2018 Moderada 3

6Reclamación por facturas expedidas

con errores en la tarifaTarifa errada al momento de facturar

Envío de facturación errada a los

clientes18/06/2018 Moderada 3

Hacer gestión de cobro e identificar los pagos recibidos , liquidarlos y elaborar

VARIABLES

MATRIZ DE GESTIÓN DE RIESGO

58

Anexo 1. Tabla 6. Matriz de Gestión de Riesgo continuación (del 1 al 6)


N

°Objetivo Afectado Impacto

Est

imaci

ón

Imp

act

o

Valor

esperado

Tipo de

riesgoEstrategia Acción a Tomar Descripción de Costo

1Cumplir Presupuesto de

recaudo de carteraCatastrófico 5 20 Alto

Generar acuerdo de pago con

los clientes. Aumentar gestión de cobro y visitas a los clientes

Viáticos desplazamientos

clientes en la ciudad de Cali

2 Liquidez de la empresa Mayor 4 16 Alto Reestructuración financieraConciliar con los bancos y reestructurar obligaciones

financieras. Mejorar nivel de apalancamiento

Incremento tasas de interés por

refinanciación

3Rotar la cartera < 45

díasCatastrófico 5 10 Alto

Analizar los estados de cartera

real de los clientes y

comunicación directa con ellos

Generar los listados por edades de las carteras, analizar

la información y comunicación directa con el cliente para

cruzar saldos y cuadrar cartera

Incremento en la gestión de

cobro (llamadas telefónicas)

4Cumplir Presupuesto de

recaudo de carteraMenor 2 2 Bajo

Evaluar y estructurar los

programas de formación y

capacitación en gestión de

cartera

Desarrollar plan de capacitación sobre manejo de la

aplicación y esquemas a tener en cuenta para conciliar

bancos con información real

Capacitación virtual a los

analistas de carteras sobre

conciliaciones de bancos y

revisión de información

5

Cumplimiento del

cronograma de

actividades programadas

Moderado 3 9 AltoContar con un control sobre

facturas generadas para el envío

Desarrollar listados diarios de facturas generadas para

evitar pasar por alto un consecutivo

Incremento en el consumo de

insumos (papel / tinta para

impresión del los listados)

6

Cumplimiento del

cronograma de


Moderado 3 9 Alto

Revisar con anticipación los

valores correspondientes según

los cargos aceptados

Verificar Tie out de impo/expo con anticipación para

revisar que las tarifas estén correctas antes de generar la

facturación

Incremento en el consumo de

insumos (papel / tinta para

impresión del los listados)

V

59

Anexo 1. Tabla 6. Matriz de Gestión de Riesgo (del 7 al 12)


NOMBRE DEL PROCESO: Cartera

OBJETIVO: Realizar gestiones efectivas para mantener al día la cartera y legalizados los ingresos recibidos.

ALCANCE:

N

°Riesgo Causa Raíz Consecuencia

Fecha

IdentificaciónProbabilidad

Est

imaci

ón

pro

bab

ilid

ad

7 Perdida o hurto de información 1. Fraude interno del empleado

2. Gestión documental inadecuada

Procesos legales por ley de protección

de datos18/06/2018 Moderada 3

8 Ataque cibernéticoInadecuadas políticas de seguridad

Software y Hardware

Hurto de información, inoperatividad o

cese de actividades comerciales18/06/2018 Muy Baja 1

9Deterioro y perdida de los soportes

físicosAlmacenamiento incorrecto

La no respuesta a tiempo de

solicitudes realizadas ya que no se

localizan los soportes

18/06/2018 Muy Baja 1

10Generar estados de cartera errados

por fallas en el sistema

Falta de comunicación entre el área de

sistemas con cartera al momento de

realizar algún ajuste o mantenimiento

Enviar a los clientes estados de cartera

con errores18/06/2018 Baja 2


información errada del clienteCreación incorrecta de los clientes

Generación errada de informes

requeridos o documentos solicitados18/06/2018 Baja 2

12Lavado de activos y financiación del

terrorismo por parte del cliente

No validación adecuada de la

información y documentación

suministrada por el cliente

Sanciones legales por transacciones

comerciales con clientes al margen de

la ley

18/06/2018 Muy Baja 1

Hacer gestión de cobro e identificar los pagos recibidos , liquidarlos y elaborar

VARIABLES

MATRIZ DE GESTIÓN DE RIESGO

60

Anexo 1. Tabla 6. Matriz de Gestión de Riesgo continuación (del 7 al 12)


N

°Objetivo Afectado Impacto

Est

imac

ión

Imp

acto

Valor

esperado

Tipo de

riesgoEstrategia Acción a Tomar Descripción de Costo

7

Cumplimiento del

cronograma de


Menor 2 6 Moderado

Implementar sistema de

seguridad y control de la

información

Establecer procedimientos de seguridad y acceso a las

área donde se almacena la información.

Mediante directorio activo crear carpetas de acceso con

restricciones y claves de seguridad.

Tiempo invertido por el

personal de sistemas para

modificar los protocolos de

seguridad.

8

Objetivo que

corresponde a la

interacción con otros

procesos.

Catastrófico 5 5 Moderado

Instalar programas que protejan

los equipos de computo de

ataques cibernéticos

Blindar el sistema ERP de la empresa con Antivirus y

protocolos de seguridad informática.

Restringir mediante IP publica el acceso externo a la red

interna de la empresa.

Licencia del Antivirus, Costos

de tecnología para restringir

accesos externos

9

Cumplimiento del

cronograma de


Catastrófico 5 5 Moderado

Contar con una área adecuada

para el almacenamiento de los

documentos

Determinar donde se ubicaran los documentos

archivadosInversión en archivadores

10Indice de cartera > 90

días. Menor 2 4 Moderado

Contar con una programación

adecuada para que ambas áreas

estén informadas

Programar con anticipación los mantenimientos

preventivos o ajustes del sistema (actualizaciones

permanentes) con las respectivas pruebas de

funcionamiento.

Costos de acuerdo al

cronograma de mantenimiento

preventivo del software y

Hardware de la empresa.

11

Cumplimiento del

presupuesto de recaudo

de cartera.

Menor 2 4 Moderado

Evaluar requerimientos de

capacitación de personal de

Cartera

Capacitar al personal para la correcta revisión de

documentos

Costos de plan anual de

capacitación.

12Presupuesto de recaudo

de carteraInsignificante 1 1 Bajo

Realizar la revisión adecuada en

las diferentes centrales de riesgo

Dar a conocer al personal de cartera las centrales de

riesgos requeridas por la empresa para la revisión

Uso de internet y recurso

humano para análisis de

informacióin.

V

61

Anexo 2. Caracterización del proceso de Cartera FAM Agencia Marítima

Fuente: Copia no controlada Sistema de Gestión de Calidad de la empresa

62

Anexo 3. Diagnóstico del grado de cumplimiento de requisitos de la norma NTC ISO 31000:2011.


1 3

2 3

4 2

5 3

6 3

7 2

8 2

9 3

10 3

11 4

12 3

13 2

14 2

15 1

3

Se encuentran definidos y documentados los objetivos del sistema de gestión del riesgo

para cada función y nivel pertinente dentro de la organizaciónPlanificar los objetivos y medir su desempeño en el

tiempo para generar los planes de acción conforme las

oportunidades de mejora detectadas. Los objetivos cuentan con indicadores medibles, de acuerdo a su desempeño

Se comunica a todo el personal los objetivos del proceso en el cual interactuan

Procedimiento definido para la implementación de medidas de control

Existen medidas de control para los riesgos identificados y evaluados

Cuenta con una valoración completa de todos los riesgos significativos

La organización tiene definido los requisitos legislativos y regulatorios que la rigenSe debe aplicar el marco legal según la actividad

económica de la empresaLa organización mantiene actualizada y comunicada los requisitos legales para operar

adecuadamente y cumplimiendo con la normatividad legal

Política de Gestión de riesgo definida, aprobada por la gerenciaSe han establecido politicas de seguridad y gestión del

riesgo, pero se deben establecer unos objetivos que

justifiquen estas politicas plasmadas por la empresa.

Objetivos generales de la gestión del riesgo definidos

Compromiso definido para el mejoramiento continuo del sistema de gestión del riesgo 2

Procedimiento definido para la identificación de Riesgos/Peligros (actividades rutinarias

y no rutinariasSe debe realizar una estructura de los procedimientos

por riesgo, o un protocolo por tarea de trabajo, que

identifiquen los riesgos en los procesos, con el fin de

mejorar estas condiciones con las medidas de control

establecidas.

Los riesgos se encuentran definidos

Procedimiento definido para la evaluación de riesgos

Existen evaluaciones de los riesgos identificados

GRADO DE CUMPLIMIENTO DE LOS REQUISITOS QUE EXIGE

LA NORMA (NTC) ISO 31000:2011

GRADO DE

CUMPLIMIENTO 54%

N° DESCRIPCION

Cu

mp

lim

ien

to

OBSERVACIONES Y ACTIVIDADES A

DESARROLLAR

63


36 5

37 2

38 2

39 3

40 3

41 5

42 3

43 4

47 2

48 3

49 3

TOTAL CALIFICACIÓN 133

GRADO DE CUMPLIMIENTO DE REQUISITOS 54%

44

46

45 Existe un procedimiento para realizar las auditorias periódicas 3 Realizar mas adelante la interacción entre la iso 9001 y

las oshas 18001 para dar con los cumplimientos

establecidos de estos sistemas de gestión.Existe una programacion sobre auditorias a ejecutarce durante el año 2

La alta gerencia revisa periodicamente el sistema de gestión de riesgo para asegurar

su efectividad Garantizar mediante una politica que los proceso y

procedimiento de gestió del riesgo se han revisados

periodicamente por gerencia para dar su cumplimiento.

Se genera un informe sobre la revisión por la dirección del sistema de gestion del

riesgo

Se registran acciones correctivas y preventivas sobre la revision por la dirección

Existe un procedimiento para el manejo de No de conformidades.Se cumple con la norma iso 9001 de 2015, solamente

implementar en los documentos del

sistema de gestión del Riesgo

Se lleva acabo acciones correctivas para mitigar las consecuencias de los riesgos y

No conformidades detectadas.

Se confirma la efectividad de las acciones correctivas y preventivas emprendidas.

La organización establece y mantiene procedimientos para la identificacion,

mantenimiento y disposicion de los registros del sistema de gestión del riesgo4

Mantener el control de documento y registros de los

procesos.

Existe un control definido para el mantenimiento de equipos.

Implementar los grupos de trabajo interdisciplinario para

optimizar la gestión del riesgo

Se verifica la conformidad de las actividades enfocadas al sistema de gestión del

Riesgo

Se investigan, analizan y registran las fallas en el sistema de gestión.

Se lleva a cabo inspecciones sistemáticas en las areas de trabajo, (listas de

Se lleva a cabo informes de las inspecciones realizadas.

17 2

18 4

19 3

20 3

21 3

22 1

23 2

24 2

25 3

26 1

27 1

28 1

29

30

31 5

32 1

33 3

34 4

35 3

16

Está establecido un procedimiento para el control de documentos de la organización. 5 Se cumple con la norma iso 9001 de 2015, solamente

implementar en los documentos del

sistema de gestión del RiesgoEstá establecido un procedimiento para el control de los registros de la organización y

su ubicación.

Están establecidos y mantenidos procedimientos relacionados con los riesgos

identificados Realizar un programa de almacenamiento adecuado

documentado y justificado, para asi realizar seguimiento

a este.

Los sitios de almacenamiento de información están definidos e inventariados.

Está definido un control de acceso al área de almacenamiento.

existen procedimientos documentados para el mantenimiento de equipos.

Existe procedimiento documentado sobre la consulta y comunicación de la información

del sistema de gestión del riesgo a los empleados.Crear sistemas de divulgacion informativa.

Los empleados son parte activa en la identificación, evaluación y control de riesgos.

Existen publicaciones (carteleras), sobre el desempeño de la gestión del riesgo

La documentación del sistema de gestión del riesgo esta identificada de manera que

opere efectiva y eficientemente. Modificar las responsabilidades.Está definida la responsabilidad y autoridad de los responsables del sistema de gestión

del riesgo

Las funciones, responsabilidades y autoridad del personal que administra, desempeña y

verifica actividades que tengan efecto sobre los riesgos están definidas.conformar equipo de trabajo para asi definir

responsabilidades en materia de gestión del riesgoEsta definido en cada cargo: la competencia, educación, habilidad, experiencia,

entrenamiento, con el cual debe contar el aspirante.

Cada cargo tiene definido el nivel de riesgo al cual puede estar expuesto.

Dentro del proceso de inducción se incluyen todos los temas relacionados con la

gestión del riesgo

Establecer un procedimiento de formación y

capacitación en materia de gestión de riesgo

Existen programas de entrenamiento, de acuerdo al nivel de riesgo que están expuestos

los empleados.

Se lleva acabo evaluaciones de entrenamiento y el nivel de competencias resultante.

Existen planes individuales de capacitación para empleados.

Se encuentran definidas las actividades para el cumplimiento de cada objetivo y el

responsable4

De acuerdo a la implementación del sistema de gestión

de la calidad, la empresa cuenta con caracterización de

cada uno de los procesos.

64

Anexo 4. Identificación de riesgos

Fuente: Copia no controlada Sistema de Gestión de Calidad de la empresa

65

Anexo 5. Tabla 20. Formato Análisis Cualitativo


N° Riesgo ProbabilidadEstimación de

probabilidadImpacto

Estimación

del Impacto

Valor

esperadoTipo de riesgo

12Lavado de activos y financiación del

terrorismo por parte del clienteAlta 4 Catastrófico 5 20 Muy Alto


desconocimiento del clienteAlta 4 Mayor 4 16 Muy Alto

8 Ataque cibernético Baja 2 Catastrófico 5 10 Alto

2Incremento nivel de endeudamiento

con entidades financieras para soportar Moderada 3 Moderado 3 9 Alto

5Gestionar el cobro de facturas sin el

envío de las mismasModerada 3 Moderado 3 9 Alto

10Generar estados de cartera errados

por fallas en el sistemaModerada 3 Moderado 3 9 Alto

6Reclamación por facturas expedidas

con errores en la tarifaModerada 3 Menor 2 6 Moderado

1 Carencia de flujo de caja para Muy Baja 1 Catastrófico 5 5 Bajo

9Deterioro y perdida de los soportes

físicosMuy Baja 1 Catastrófico 5 5 Bajo


ingreso del dinero en bancoBaja 2 Menor 2 4 Bajo


información errada del clienteBaja 2 Menor 2 4 Bajo

7 Perdida o hurto de información Muy Baja 1 Insignificante 1 1 Muy Bajo

FORMATO DE ANALISIS CUALITATIVO

Propuesta Metodológica para la Gestión de Riesgos ...

Documents

Transcript of Propuesta Metodológica para la Gestión de Riesgos ...