riesgo es la posibilidad de que suceda algún evento que ... · pdf fileefectos queque...
TRANSCRIPT
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
EL RIESGO
Riesgo es la posibilidad de que suceda algún eventoque tendrá un impacto sobre los objetivos
1
que tendrá un impacto sobre los objetivosinstitucionales o del proceso. Se expresa en términosde probabilidad y consecuencias.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
QUIEN ESTA EXPUESTO A RIESGOS ?
2
TODAS LAS TODAS LAS ORGANIZACIONES ORGANIZACIONES
INDEPENDIENTEMENTE DE INDEPENDIENTEMENTE DE SU NATURALEZASU NATURALEZA
TAMAÑO Y RAZÓNTAMAÑO Y RAZÓNDE SERDE SER
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
¿QUE ES LA GESTION DEL RIESGO?
“Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la
administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos
no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los
riesgos se convierta en una parte natural del proceso de planeación”
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
CLASES DE RIESGOS:
El Riesgo está vinculado con todo el quehacer; se podría afirmar que no hay actividad de la vida, los negocios o cualquier asunto que deje de incluir el riesgo como una posibilidad.Las entidades, durante el proceso de identificación del riesgo, pueden hacer Las entidades, durante el proceso de identificación del riesgo, pueden hacer una clasificación de los mismos, con el fin de formular políticas de operación para darles el tratamiento indicado, así mismo este análisis servirá de base para el impacto o consecuencias durante el proceso de análisis del riesgo contemplado dentro de la metodología.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
LOS RIESGOS SE PUEDEN CLASIFICAR EN:
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
QUÉ SIGNIFICA GESTIONAR EL RIESGO?
En términos generales la gestión del riesgo se refiere a los principios ymetodología para la gestión eficaz del riesgo, mientras que gestionarel riesgo se refiere a la aplicación de éstos principios y metodología ariesgos particulares.
La administración del Riesgo comprende el conjunto de Elementos deControl y sus interrelaciones, para que la institución evalúe eControl y sus interrelaciones, para que la institución evalúe eintervenga aquellos eventos, tanto internos como externos, quepuedan afectar de manera positiva o negativa el logro de sus objetivosinstitucionales. La administración del riesgo, contribuye a que laentidad consolide su Sistema de Control Interno y a que se genereuna cultura de Autocontrol y autoevaluación al interior de la misma.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Facilitar elcumplimiento de lamisión y objetivos
GENERAL
�Involucrar y comprometer a los servidores en la búsqueda de acciones encaminadas a prevenir y administrar el riesgo.
ESPECÍFICOS
OBJETIVOS
7
misión y objetivosinstitucionales riesgo.
�Introducir la A.R. en los procesos y procedimientos.�Proteger los recursos del Estado.�Generar una visión sistémica acerca de la administración y la evaluación de riesgos. �Asegurar el cumplimiento de las normas, leyes y regulaciones.
La prevención yadministraciónde los riesgos .
A través de
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Contexto Estratégico
Identificación de Riesgos
Identificación riesgos, agentes generadores, causas y efectos
Análisis aspectos internos y externos
ADMINISTRACIÓN DEL RIESGO
8
Análisis de Riesgos
Valoración de Riesgos
Política de Administración de Riesgos
Probabilidad de ocurrencia e impacto
Nivel de exposición al impacto del riesgo
Criterios orientadores para manejo de riesgos
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
RESPONSABILIDADES DE LA ALTA DIRECCI ÓN EN LA ADMINISTRACIÓN DEL RIESGO
• Estimular la cultura de identificaci ón yprevenci ón.
• Definir pol íticas de Administraci ón del Riesgo .
9
• Definir pol íticas de Administraci ón del Riesgo .
• Definir canales directos de comunicaci ón.
• Propiciar espacios de retroalimentaci ón.
• Asignar recursos necesarios.
• Designar un directivo de primer nivel queapoye el proceso de dise ño e implementaci ón.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
DIRECTRICES GENERALES
COMPROMISO PERSONAL DIRECTIVO
11
EQUIPO MECI CAPACITACION EN LA METODOLOGIA
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
¿QUÉ ES EL CONTEXTO ESTRATÉGICO?
Son las condiciones internas y del entorno, que pueden generareventos que originan oportunidades o afectan negativamente elcumplimiento de la misión y objetivos de una institución.cumplimiento de la misión y objetivos de una institución.Las situaciones del entorno o externas pueden ser de caráctersocial, cultural, económico, tecnológico, político y legal, bien seinternacional, nacional o regional según sea el caso de análisis.Las situaciones internas están relacionadas con la estructura,cultura organizacional, el modelo de operación, el cumplimientode los planes y programas, los sistemas de información, losprocesos y procedimientos y los recursos humanos y económicoscon los que cuenta una entidad.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Se recomienda establecer los objetivos, las estrategias, el alcance y losparámetros de las actividades de la entidad o de aquellos procesos donde se aplicará la metodología para poder iniciar el análisis de contexto estratégico.Para determinar el contexto estratégico de la institución es posible utilizar herramientas y técnicas como las que se relacionan a continuación:1. Inventario de Eventos
• Son listas de eventos posibles utilizadas con relación a un proyecto, proceso o actividad determinada.• Son útiles para asegurar una visión coherente con otras actividades similares dentro de la entidad.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
2. Talleres de Trabajo
• Habitualmente reúnen a funcionarios de diversas funciones o niveles.• El propósito es aprovechar el conocimiento colectivo del grupo y desarrollar una lista de acontecimientos que están relacionados con un proceso, proyecto o programa.
3. Análisis de Flujo de Procesos:
• Representación esquemática de interrelaciones de ENTRADAS, TAREAS,
SALIDAS Y RESPONSABILIDADES.
• Una vez realizado el esquema los eventos son analizados frente a los
objetivos del proceso.
• Esta técnica puede utilizarse para tener una visión a cierto nivel de detalle
del proceso analizado.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
FACTORES INTERNOSFACTORES INTERNOS
Ambiente de ControlEstructura Organizacional
Modelo de OperaciónCumplimiento Planes y
ProgramasNorma que regula la
FACTORES EXTERNOSFACTORES EXTERNOS
Entorno;
Político - EconómicoLegal – Cultural
Tecnológico – Ambiental –PQR Grupos de Interés –
CONTEXTO ESTRATÉGICO
18
ENTIDAD
INFORME ESTRATEGICO GRADO DE VULNERABILIDAD DE LA E NTIDADINFORME ESTRATEGICO GRADO DE VULNERABILIDAD DE LA E NTIDAD
IDENTIFICACIÓN EVENTOS ASOCIADOS
ProcesoActividad
IDENTIFICACIÓN EVENTOS ASOCIADOS
ProcesoActividad
EXPOSICIÓN AL RIESGOEXPOSICIÓN AL RIESGO
Proyectos
Norma que regula la Entidad
Proyectoscatástrofes
PQR Grupos de Interés –Competencia - catástrofes
OBJETIVOS
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
PagosExcedentes de tesoreria
Sistemas de informaciónTecnología disponible
Aplicación normatividad
Factores Factores FinancierosFinancieros
PolíticaseconómicasPresupuesto
Factores Factores TecnológicosTecnológicos
Cambios enla tecnología
Factores Factores NormativosNormativos
Nuevas leyes
Factores Factores Factores Factores
EE
XXTT
EE
19
Riesgos ExternosRiesgos ExternosFactores internosFactores internos
Excedentes de tesoreria disponible normatividad
ProcesosMemoria institucionalAdmón R.H.
Planes indicativos y operativos
Reformas
Factores Factores EstratégicosEstratégicos
Competencia
Factores Factores OperativosOperativos
Factores Factores SocialesSociales
Factores Factores PolíticosPolíticos
Factores Factores de orden de orden PúblicoPúblico
RR
NNOO
SS
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Ejemplo aplicado a la metodología:
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
La identificación del riesgo se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos, es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia las
¿CÓMO SE IDENTIFICA EL
RIESGO?
permite hacer un inventario de los mismos, definiendo en primera instancia las causas con base en los factores de riesgo internos y externos (contexto estratégico), presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos (consecuencias).
Es importante centrarse en los riesgos más significativos para la entidad relacionados con los objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual que todos los servidores, la gerencia pública adopta un papel proactivo en el sentido de visualizar en sus contextos estratégicos y misionales los factores o causas que pueden afectar el curso institucional, dada la especialidad temática que manejan en cada sector o contexto socioeconómico.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IDENTIFICACION DEL RIESGOIDENTIFICACION DEL RIESGO
PosibilitaPosibilita conocerconocer loslos eventoseventos particularesparticulares quequepresentanpresentan algúnalgún gradogrado dede amenazaamenaza alal logrologro dede lalamisiónmisión oo mandatomandato legallegal dede lala entidadentidad pública,pública, concon
22
misiónmisión oo mandatomandato legallegal dede lala entidadentidad pública,pública, conconefectosefectos desfavorablesdesfavorables parapara sussus partespartes interesadasinteresadas aapartirpartir dede loslos cualescuales sese analizananalizan laslas causascausas yy loslosefectosefectos queque sese puedenpueden presentarpresentar concon susu ocurrenciaocurrencia..
Los agentes generadores se incluyen dentro de lascausas del riesgo .
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
FUENTES DE INFORMACIÓN, TALES COMO:�Registros históricos.�Experiencias significativas registradas.�Literatura publicada sobre el tema.�Opiniones de especialistas y expertos.
CÓMO IDENTIFICAR LOS RIESGOS
23
�Opiniones de especialistas y expertos.�Entrevistas estructuradas con expertos en el área de
interés o con personas ajenas a la entidad�Reuniones con directivos y con personas de todos los
niveles en la entidad,�Evaluaciones individuales usando cuestionarios,�Lluvias de ideas con los servidores de la entidad,�Usar diagramas de análisis y/o diagramas de flujo,
entre otros.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IDENTIFICACIÓN DE RIESGOS
CAUSAS EFECTOS
Busca establecer
24
CAUSAS
Medios, circunstancias ysujetos u objetos quetienen la capacidad degenerar un riesgo.
Están determinados porfactores externos yfactores internos
EFECTOSConsecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad.
Daños físicos
Sanciones
Pérdidas de:• Información• Bienes• Económicas• Imagen• Humanas• Mercado
Interrupción del servicio
Daño ambiental
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
RIESGOSRIESGOS
• Experiencias obtenidas por otras entidadessimilares
• Informe Estratégico – Grado de vulnerabilidadde la Entidad
• Publicaciones sobre Riesgos presentados en entidades similares.
• Casos o estadísticas de Riesgos ocurridos en la entidad
FUENTES DE INFORMACIONFUENTES DE INFORMACION
IDENTIFICACION DE RIESGOS
25¿Qué puede suceder?¿Qué puede suceder?
¿Por qué puede suceder?¿Por qué puede suceder?
ELEMENTO ELEMENTO DE CONTROLDE CONTROL
FUNCION CONSTITUCIONAL Y
LEGAL
CUMPLIMIENTO MISION Y OBJETIVOS
CAUSAS
EFECTOS
ENTIDADENTIDAD
la entidad• Glosario de Riesgos
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Términos y Conceptos Importantes:
- Proceso: Nombre del Proceso, Subproceso, etc.- Objetivo del Proceso, Subproceso, etc, al cual se le están identificando los riesgos.- Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.- Causas (factores internos o externos): Son los medios, las circunstancias y agentes - Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.- Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.-Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Clasificación del Riesgo
Operativos
Estratégicos
27
Tecnológicos
Financieros
De cumplimiento
Riesgos
De imagen
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IDENTIFICACION DEL RIESGO
PROCESO:
OBJETIVO DEL CAUSAS RIESGO DESCRIPCION EFECTOS
Nombre del proceso al que se le están levantando los riesgos
28
OBJETIVO DEL
PROCESO
CAUSAS
(Factores
Internos y
Externos, Agente
Generador)
RIESGO DESCRIPCION EFECTOS(Consecuencias)
Objetivo del proceso al cual se le están levantando los riesgos
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IDENTIFICACION DEL RIESGO
PROCESO:
OBJETIVO DEL CAUSAS RIESGO DESCRIPCION EFECTOS
29
OBJETIVO DEL
PROCESO
CAUSAS
(Factores
Internos y
Externos, Agente
Generador)
RIESGO DESCRIPCION EFECTOS(Consecuencias)
Medios, circunstancia y agentes generadores del riesgo
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IDENTIFICACION DEL RIESGO
PROCESO:
OBJETIVO DEL CAUSAS RIESGO DESCRIPCION EFECTOS
30
OBJETIVO DEL
PROCESO
CAUSAS
(Factores
Internos y
Externos, Agente
Generador)
RIESGO DESCRIPCION EFECTOS(Consecuencias)
Representan la posibilidad de ocurrencia de un suceso que pueda afectar el cumplimiento de los objetivos de la entidad.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IDENTIFICACION DEL RIESGO
PROCESO:
OBJETIVO DEL CAUSAS RIESGO DESCRIPCION EFECTOS
31
OBJETIVO DEL
PROCESO
CAUSAS
(Factores
Internos y
Externos, Agente
Generador)
RIESGO DESCRIPCION EFECTOS(Consecuencias)
Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IDENTIFICACION DEL RIESGO
PROCESO:
OBJETIVO DEL CAUSAS RIESGO DESCRIPCION EFECTOS
32
OBJETIVO DEL
PROCESO
CAUSAS
(Factores
Internos y
Externos, Agente
Generador)
RIESGO DESCRIPCION EFECTOS(Consecuencias)
Constituyen las consecuencias de la ocurrencia del riesgo, sobre los objetivos de la entidad; se dan sobre las personas o bienes materiales
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
¿CÓMO SE ANALIZA EL RIESGO?
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.establecer el nivel de riesgo y las acciones que se van a implementar.
El análisis del riesgo depende de la información obtenida en la fase de identificación de riesgos.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
ANÁLISIS DEL RIESGO
PROBABILIDAD
Busca establecer
35
PROBABILIDADLa posibilidad de ocurrencia del riesgo; puede ser de Frecuencia o Factibilidad
IMPACTOConsecuencias que puede ocasionar la materialización del riesgo, estimación del significado del mismo
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad e Impacto.Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.materializado.Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos: Calificación del riesgo y Evaluación del riesgo.
Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo.Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de lassiguientes especificaciones:
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Para determinar el impacto se pueden utilizarlas siguientes tablas querepresentan los temas en que suelen impactarla ocurrencia de los riesgos y se asocian conla clasificación del riesgo previamenterealizada, y se relaciona con lasconsecuencias potenciales del riesgo
IMPACTO DE CONFIDENCIALIDAD DE LA INFORMACIÓN
consecuencias potenciales del riesgoidentificado:
IMPACTO DE CREDIBILIDAD O IMAGEN
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
IMPACTO LEGAL
IMPACTO OPERATIVO
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Ahora bien, considerando que para un proceso es posible analizar más de unimpacto, se pueden ir agrupando en el siguiente cuadro, donde se vanestableciendo más concretamente cada impacto:
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
ANÁLISIS DEL RIESGO
CALIFICACIÓN DEL RIESGO
41
Estimación de la probabilidadde su ocurrencia y el impactoque puede causar lamaterialización del riesgo.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
EVALUACIÓN DEL RIESGO:
Permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad al mismo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las accionesrequeridas para su tratamiento.
Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).
Las categorías relacionadas con el Impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías relacionadas con la Probabilidad son: raro, improbable, posible, probable y casi seguro.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
EJEMPLO APLICADO A LA METODOLOGÍA:
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Este primer análisis del riesgo se denomina Riesgo Inherente y se define como aquél al
que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para
modificar su probabilidad o impacto.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
¿CÓMO SE VALORA EL RIESGO?
La valoración del riesgo es el producto de confrontar los resultados de la
evaluación del riesgo con los controles identificados, esto se hace con el
objetivo de establecer prioridades para su manejo y para la fijación de
políticas. Para adelantar esta etapa se hace necesario tener claridad
sobre los puntos de control existentes en los diferentes procesos, los
cuales permiten obtener información para efectos de tomar decisiones.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
VALORACION DEL RIESGO
IMPACTO
CONTROLES
47
Escala Valoración del riesgo
PROBABILIDAD
CONTROLES
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Acciones omecanismosdefinidos paraprevenir o reducir elimpacto de los
48
impacto de loseventos que ponenen riesgo la adecuadaejecución de lasactividades y tareasrequeridas para ellogro de objetivos delos procesos de unaentidad.
FUNCION CONSTITUCIONAL Y
LEGAL
CUMPLIMIENTO MISION Y OBJETIVOS
ENTIDADENTIDAD
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
ALGUNOS EJEMPLOS DE TIPOS DE CONTROL
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica: a. Describirlos (estableciendo si son preventivos o correctivos).b. Revisarlos para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo.c. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
¿CÓMO SE VALORAN LOS CONTROLES?A continuación se muestran dos cuadros orientadores para ponderar demanera objetiva los controles y poder determinar el desplazamiento dentrode la Matriz de Calificación, Evaluación y Respuesta a los Riesgos.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
El resultado obtenido a través de la valoración del riesgo, es denominado
también tratamiento del riesgo, ya que se “involucra la selección de una o también tratamiento del riesgo, ya que se “involucra la selección de una o
más opciones para modificar los riesgos y la implementación de tales
acciones” así el desplazamiento dentro de la Matriz de Evaluación y
Calificación determinará finalmente la selección de la opciones de
tratamiento del riesgo, así:
Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización.
Es siempre la primera alternativa a considerar, se logra cuando al interior de
los procesos se generan cambios sustanciales por mejoramiento, rediseño o
eliminación, resultado de unos adecuados controles y acciones emprendidas.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.
Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, lainformación de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.
Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto se deberá considerar aspectos como:
- Viabilidad Jurídica.- Viabilidad Técnica.- Viabilidad Técnica.- Viabilidad Institucional.- Viabilidad Financiera o económica.- Análisis de costo-beneficio.
Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina riesgo residual, éste se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
EJEMPLO APLICADO A LA METODOLOGÍA
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
NUEVA VALORACIÓN DE ACUERDO A LOS CONTROLES IDENTIFICADOS:
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Expresa las decisiones adoptadas, el mapa es la
59
Expresa las decisiones adoptadas, el mapa es larespuesta a los riesgos y contempla los aspectosdetallados de evitar, reducir, compartir, transferir oasumir el riesgo. Este mapa responde a las preguntasquien?, qué?,cuándo?, dónde?, por qué? y cómo?
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
ELABORACIÓN DEL MAPA DE RIESGOSEl mapa de riesgos es una representación final de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa.Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento, como se sugiere a continuación:
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
61
Consecuencias que puede ocasionar la materialización del riesgo
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
62
Posibilidad de ocurrencia del riesgo.Se mide con criterios de FRECUENCIA y de FACTIBILIDAD
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
63
Resultado obtenido en la matriz de calificación, evaluación y respuesta a los riesgos
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
64
Especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
65
Resultado de determinar la vulnerabilidad de la entidad al riesgo, luego de confrontar la evaluación del riesgo con los controles existentes
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
66
Opciones de respuesta ante los riesgos, tendientes a EVITAR, REDUCIR, DISPERSAR O TRANSFERIR el riego. O asumir el riesgo residual
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
67
Aplicación concreta de las opciones de manejo del riesgo que entrarán a PREVENIR o a REDUCIR el riesgo y harán parte del plan de manejo del riesgo
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
68
Dueño del proceso donde se van a desarrollar acciones propuestas
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
69
Fechas establecidas para implementar las acciones por parte del grupo de trabajo
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MAPA DE RIESGOS
Riesgo
Impacto Probabilidad
Evaluación Riesgo
Controles existente
s
Valoración del riesgo
Opciones de
manejo
Acciones
Responsables
Cronograma
Indicadores
70
Se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
La evaluación del plan de manejo de los
AUTOEVALUACION
72
La evaluación del plan de manejo de losriesgos se debe realizar con base en losindicadores de gestión diseñados para tal finy los resultados de los monitoreos.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
POLITICAS DE ADMINISTRACIÓN DEL RIESGO
Permite estructurar criterios orientadores en latoma de decisiones, respecto al tratamiento de los
73
toma de decisiones, respecto al tratamiento de losriesgos y sus efectos al interior de la entidadpública.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
POLITICAS DE ADMINISTRACIÓN DEL RIESGO
Transmite la posición de la Dirección
74
Transmite la posición de la Direcciónrespecto al manejo de los riesgos y fijalineamientos sobre los conceptos decalificación de riesgos, las prioridadesde respuesta, las forma deadministrarlos y proteger los recursos.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
POLITICAS DE ADMINISTRACIÓN DEL RIESGO
� Las políticas identifican las opciones para tratar ymanejar los riesgos basadas en la valoración deriesgos,
75
riesgos,
� Permiten tomar decisiones adecuadas
� Fijan los lineamientos de la administración delriesgo,
� Transmiten la posición de la dirección� Establecen las guías de acción necesarias a todoslos servidores de la entidad.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
¿POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO?Para la consolidación de las Políticas de Administración de Riesgos se deben tener en cuenta todas las etapas anteriormente desarrolladas.Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la entidad.
FORMULACIÓN DE LAS POLÍTICASFORMULACIÓN DE LAS POLÍTICASEstá a cargo del Representante Legal de la entidad y el Comité de Coordinación de Control Interno y se basa en el mapa de riesgos construido durante el proceso; la política señala qué debe hacerse para efectuar el control y su seguimiento, basándose en los planes estratégicos y los objetivos institucionales o por procesos.
Debe contener los siguientes aspectos:
- Los objetivos que se esperan lograr.- Las estrategias para establecer cómo se va a desarrollar las políticas, a largo, mediano y corto plazo.- Los riesgos que se van a controlar.- Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido.- El seguimiento y evaluación a la implementación y efectividad de las políticas.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
COMUNICACIÓN Y CONSULTALa comunicación y consulta con las partes involucradas tanto internas como externas debería tener lugar durante todas las etapas (pasos dentro de la metodología) del proceso para la gestión del riesgo.
Esta comunicación es importante para garantizar que aquellos responsables de la implementación de las acciones dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones.las decisiones y las razones por las cuales se requieren dichas acciones.
Un enfoque de equipos de trabajo puede:
- Ayudar a establecer correctamente el contexto estratégico.- Garantizar que se toman en consideración las necesidades de las partes involucradas.- Ayudar a garantizar que los riesgos estén correctamente identificados.- Reunir diferentes áreas de experticia para el análisis de los riesgos.- Garantizar que los diferentes puntos de vista se toman en consideración adecuadamente durante todo el proceso.- Fomentar la administración del riesgo como una actividad inherente al proceso de planeación estratégica.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MONITOREOMONITOREO
78
Ejecución del
Seguimiento
Presentación de Resultados y Propuestas
de Mejoramiento
Elaboración del Plan de
Seguimiento
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
MONITOREO Y REVISIÓNUna vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.preventivas.El monitoreo debe estar a cargo de:
-Los responsables de los procesos y - La Oficina de Control Interno
Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del seguimiento y evaluación sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
Departamento Administrativo
de la Función PúblicaRepública de Colombia
El monitoreo debe estar a cargo de:
• Los responsables de los procesos queaplican y sugieren los correctivos y ajustesnecesarios para asegurar un efectivomanejo del riesgo
80
• La Oficina de Control Interno , comunica ypresenta luego del seguimiento yevaluación sus resultados y propuestas demejoramiento y tratamiento a lassituaciones detectadas.