Post on 14-Oct-2018
ADMINISTRACIÓN DEL
RIESGO
“Taller Práctico de Construcción de
un Mapa de Riesgos por Procesos e
Institucional”
OBJETIVO DE LA CONFERENCIA
Capacitar conceptual y
metodológicamente a los
asistentes al IV Congreso de
Control Interno en la Metodología
de Administración del Riesgo,
ajustada a las nuevas directrices
del DAFP (Guía de Septiembre
de 2011, oficializada en Marzo de
2012), de tal forma que mejoren
sus competencias técnicas en la
materia y puedan construir con
éxito los Mapas de Riesgos por
Procesos e Institucional.
¿Qué es el Riesgo?
Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.
1. Riesgo Estratégico
Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.
2. Riesgos de
Imagen
Se Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.
3. Riesgos
Operativos
Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.
4. Riesgos
Financieros
Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
5. Riesgos de
Cumplimiento
Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
6. Riesgos de Tecnología
Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
7. Riesgo de
Corrupción
Se entiende por Riesgo de Corrupción la posibilidad que por
acción u omisión mediante el uso indebido del poder, de los
recursos o de la información, se lesionen los intereses de
una entidad y en consecuencia del Estado, para obtención de
un beneficio particular.
¿Qué Comprende la Administración
del Riesgo?
La administración del Riesgo comprende el conjunto de Elementos de Control y sus interrelaciones, para que la institución evalúe e intervenga aquellos eventos, tanto internos como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos institucionales. La administración del riesgo, contribuye a que la entidad consolide su Sistema de Control Interno y a que se genere una Cultura de Autocontrol y Autoevaluación al interior de la misma.
Contexto Estratégico Organizacional
Identificación del Riesgo ¿Qué puede suceder?
¿Cómo puede suceder?
Análisis del Riesgo
Identificar Controles para el Riesgo Verificar la Efectividad de los Controles
Establecer Tratamiento
Determinar la Probabilidad Determinar las Consecuencias
Valoración del Riesgo
Determinar Nivel de Riesgo
Políticas de Administración del Riesgo
Mo
nit
ore
o y
Rev
isió
n
Co
mu
nic
ació
n y
Co
nsu
lta
Proceso para
la
Administración
del Riesgo
AS/NZS ISO
31000:2011
83
ENTIDAD
INFORME ESTRATÉGICO GRADO DE VULNERABILIDAD DE LA ENTIDAD
IDENTIFICACIÓN
EVENTOS ASOCIADOS
Proceso
Actividad
IDENTIFICACIÓN
EVENTOS ASOCIADOS
Proceso
Actividad
EXPOSICIÓN AL RIESGO
LAS SITUACIONES INTERNAS
Relacionadas con la Estructura, Cultura Organizacional, el Modelo de
Operación, el Cumplimiento de los Planes y Programas, los Sistemas de
Información, los Procesos y los Procedimientos y los Recursos
Humanos y Económicos
SITUACIONES DEL ENTORNO O EXTERNAS
De carácter Social, Cultural, Económico, Tecnológico, Político y Legal, bien sea Internacional,
Nacional o Regional
CONTEXTO
ESTRATÉGICO
OBJETIVOS
ProcedimRientiosesgos Externo- Plasnes y
Factores Internos
- Recursos Humanos
- Recursos Económicos
- Estructura.
- Cultura Organizacional - Modelo de
Operación
Programas - Sistemas de Información
- Procesos y Legal
Político
Social Cultural
Económico
Tecnólógico
Factores Externos
Ambiental
EJEMPLO APLICADO A LA METODOLOGÍA
CONTEXTO ESTRATÉGICO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo
atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las
disposiciones legales vigentes.
FACTORES EXTERNOS CAUSAS FACTORES
INTERNOS CAUSAS
Nueva tecnología
disponible. No se realizan las
actualizaciones de hardware
y software.
Tecnología. No. equipos insuficientes y
algunos obsoletos.
Normatividad. Cambios normativos. Talento humano. - Desconocimiento de la
normatividad aplicada.
- Resistencia al cambio.
- Desmotivación.
Relación con otras
entidades. Demoras en la respuesta de
comunicaciones enviadas a
otras entidades relacionadas.
Sistemas de información. - Proceso manual, que puede
generar registros erróneos o
falta de registros. - Información desactualizada
Necesidades de la
comunidad.
Incremento en el número de
solicitudes por alta demanda
de usuarios, desbordando la
capacidad instalada.
Procedimientos. Fallas en el seguimiento a los
procedimientos del proceso.
¿Cómo se Identifica el
Riesgo?
La identificación del riesgo se realiza a partir de las causas determinadas, con base en los factores internos y/o externos definidos para la entidad, y que pueden afectar el logro de los objetivos.
EJEMPLO APLICADO A LA METODOLOGÍA
IDENTIFICACIÓN DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,
permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de
acuerdo a las disposiciones legales vigentes.
CAUSAS RIESGO DESCRIPCIÓN CONSECUENCIAS
POTENCIALES
No. equipos insuficientes y
algunos obsoletos.
Incumplimiento en la
generación de respuestas
a los usuarios.
No se generan las
respuestas dentro de
los términos legales.
- Sanciones.
- Demandas.
No se realizan las
actualizaciones de hardware y
software.
- Proceso manual, que puede
generar registros erróneos o
falta de registros.
- Información desactualizada.
- Desconocimiento de la
normatividad aplicada.
- Resistencia al cambio.
- Desmotivación.
Generación de
respuestas inadecuadas o
erróneas a los usuarios.
Respuestas sin la
competencia técnica o
no acorde a lo
requerido.
Pérdida de imagen y
alto nivel de quejas por
parte de los usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.
EJEMPLO APLICADO A LA METODOLOGÍA
IDENTIFICACIÓN DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,
permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de
acuerdo a las disposiciones legales vigentes.
CAUSAS RIESGO DESCRIPCIÓN CONSECUENCIAS
POTENCIALES
No. equipos insuficientes y
algunos obsoletos.
Incumplimiento en la
generación de respuestas
a los usuarios.
No se generan las
respuestas dentro de
los términos legales.
- Sanciones.
- Demandas.
No se realizan las
actualizaciones de hardware y
software.
- Proceso manual, que puede
generar registros erróneos o
falta de registros.
- Información desactualizada.
- Desconocimiento de la
normatividad aplicada.
- Resistencia al cambio.
- Desmotivación.
Generación de
respuestas inadecuadas o
erróneas a los usuarios.
Respuestas sin la
competencia técnica o
no acorde a lo
requerido.
Pérdida de imagen y
alto nivel de quejas por
parte de los usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.
EJEMPLO APLICADO A LA METODOLOGÍA
IDENTIFICACIÓN DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,
permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de
acuerdo a las disposiciones legales vigentes.
CAUSAS RIESGO DESCRIPCIÓN CONSECUENCIAS
POTENCIALES
No. equipos insuficientes y
algunos obsoletos.
Incumplimiento en la
generación de respuestas
a los usuarios.
No se generan las
respuestas dentro de
los términos legales.
- Sanciones.
- Demandas.
No se realizan las
actualizaciones de hardware y
software.
- Proceso manual, que puede
generar registros erróneos o
falta de registros.
- Información desactualizada.
- Desconocimiento de la
normatividad aplicada.
- Resistencia al cambio.
- Desmotivación.
Generación de
respuestas inadecuadas o
erróneas a los usuarios.
Respuestas sin la
competencia técnica o
no acorde a lo
requerido.
Pérdida de imagen y
alto nivel de quejas por
parte de los usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.
EJEMPLO APLICADO A LA METODOLOGÍA
IDENTIFICACIÓN DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,
permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de
acuerdo a las disposiciones legales vigentes.
CAUSAS RIESGO DESCRIPCIÓN CONSECUENCIAS
POTENCIALES
No. equipos insuficientes y
algunos obsoletos.
Incumplimiento en la
generación de respuestas
a los usuarios.
No se generan las
respuestas dentro de
los términos legales.
- Sanciones.
- Demandas.
No se realizan las
actualizaciones de hardware y
software.
- Proceso manual, que puede
generar registros erróneos o
falta de registros.
- Información desactualizada.
- Desconocimiento de la
normatividad aplicada.
- Resistencia al cambio.
- Desmotivación.
Generación de
respuestas inadecuadas o
erróneas a los usuarios.
Respuestas sin la
competencia técnica o
no acorde a lo
requerido.
Pérdida de imagen y
alto nivel de quejas por
parte de los usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.
EJEMPLO APLICADO A LA METODOLOGÍA
IDENTIFICACIÓN DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,
permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de
acuerdo a las disposiciones legales vigentes.
CAUSAS RIESGO DESCRIPCIÓN CONSECUENCIAS
POTENCIALES
No. equipos insuficientes y
algunos obsoletos.
Incumplimiento en la
generación de respuestas
a los usuarios.
No se generan las
respuestas dentro de
los términos legales.
- Sanciones.
- Demandas.
No se realizan las
actualizaciones de hardware y
software.
- Proceso manual, que puede
generar registros erróneos o
falta de registros.
- Información desactualizada.
- Desconocimiento de la
normatividad aplicada.
- Resistencia al cambio.
- Desmotivación.
Generación de
respuestas inadecuadas o
erróneas a los usuarios.
Respuestas sin la
competencia técnica o
no acorde a lo
requerido.
Pérdida de imagen y
alto nivel de quejas por
parte de los usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.
EJEMPLO APLICADO A LA METODOLOGÍA
IDENTIFICACIÓN DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,
permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de
acuerdo a las disposiciones legales vigentes.
CAUSAS RIESGO DESCRIPCIÓN CONSECUENCIAS
POTENCIALES
No. equipos insuficientes y
algunos obsoletos.
Incumplimiento en la
generación de respuestas
a los usuarios.
No se generan las
respuestas dentro de
los términos legales.
- Sanciones.
- Demandas.
No se realizan las
actualizaciones de hardware y
software.
- Proceso manual, que puede
generar registros erróneos o
falta de registros.
- Información desactualizada.
- Desconocimiento de la
normatividad aplicada.
- Resistencia al cambio.
- Desmotivación.
Generación de
respuestas inadecuadas o
erróneas a los usuarios.
Respuestas sin la
competencia técnica o
no acorde a lo
requerido.
Pérdida de imagen y
alto nivel de quejas por
parte de los usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
identificación de riesgos.
¿Cómo se Analiza el
Riesgo?
El análisis del riesgo depende de la
información obtenida en la fase de
Bajo el Criterio de Probabilidad, el Riesgo se
debe
medir a partir de las siguientes especificaciones:
ICONTEC HB141 Guía para la Financiación del Riesgo. Apéndice A. 2008
TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
1. Raro. El evento puede ocurrir solo en
circunstancias excepcionales.
No se ha presentado en los últimos 5
años.
2. Improbable. El evento puede ocurrir en algún
momento.
Al menos 1 vez en los últimos 5 años.
3. Posible. El evento podría ocurrir en algún
momento.
Al menos 1 vez en los últimos 2 años.
4. Probable. El evento probablemente ocurrirá en la
mayoría de las circunstancias.
Al menos 1 vez en el último año.
5. Casi seguro. Se espera que el evento ocurra en la
mayoría de las circunstancias.
Más de 1 vez al año.
Bajo el Criterio de Impacto, el Riesgo se
debe medir a partir de las siguientes
especificaciones:
TABLA DE IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
1. Insignificante. Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre
la entidad.
2. Menor. Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.
3. Moderado. Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre
la entidad.
4. Mayor. Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la
entidad.
5. Catastrófico. Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos
sobre la entidad.
Para determinar el Impacto se pueden utilizar las
siguientes tablas que representan los temas en
que suelen impactar la ocurrencia de los riesgos y
se asocian con la clasificación del
riesgo previamente realizada, y se relaciona
con las consecuencias potenciales del riesgo
identificado.
Las tablas propuestas representan los impactos de mayor ocurrencia en las entidades del Estado, no obstante cada entidad puede incluir otros tipos de impacto según su particularidad.
IMPACTO DE CONFIDENCIALIDAD
DE LA INFORMACIÓN
El impacto de confidencialidad de la información se refiere a la pérdida o revelación de la misma. Cuando se habla de información reservada institucional se hace alusión a aquella que por la razón de ser de la entidad sólo puede ser conocida y difundida al interior de la misma; así mismo, la sensibilidad de la información depende de la importancia que esta tenga para el desarrollo de la misión de la entidad.
IMPACTO DE CONFIDENCIALIDAD DE LA INFORMACIÓN
NIVEL CONCEPTO
1. Personal
2. Grupo de Trabajo
3. Relativa al Proceso
4. Institucional
5. Estratégica
IMPACTO DE CREDIBILIDAD O IMAGEN
El impacto de credibilidad se refiere a la pérdida de la misma frente a diferentes actores sociales o dentro del a entidad.
IMPACTO DE CREDIBILIDAD O IMAGEN
NIVEL CONCEPTO
1. Grupo de Funcionarios
2. Todos los Funcionarios
3. Usuarios Ciudad
4. Usuarios Región
5. Usuarios País
IMPACTO LEGAL
El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su función administrativa, ejecución presupuestal y normatividad aplicable.
IMPACTO LEGAL
NIVEL CONCEPTO
1. Multas
2. Demandas
3. Investigación Disciplinaria
4. Investigación Fiscal
5. Intervención - Sanción
IMPACTO OPERATIVO
El impacto operativo aplica en la mayoría de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos dentro de la misma.
IMPACTO OPERATIVO
NIVEL CONCEPTO
1. Ajustes a una Actividad Concreta
2. Cambios en Procedimientos
3. Cambios en la Interacción de los Procesos
4. Intermitencia en el Servicio
5. Paro Total del Proceso
Matriz de Calificación, Evaluación y Respuesta a los Riesgos
PROBABILIDAD IMPACTO
Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófic
o
(5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de Riesgo Baja: Asumir el Riesgo.
M: Zona de Riesgo Moderada: Asumir el Riesgo, Reducir el riesgo.
A: Zona de Riesgo Alta: Reducir el Riesgo, Evitar, Compartir o
Transferir.
E: Zona de Riesgo Extrema: Reducir el Riesgo, Evitar, Compartir o
Transferir.
EJEMPLO APLICADO A LA METODOLOGÍA
ANÁLISIS DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,
permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio
y de acuerdo a las disposiciones legales vigentes.
RIESGO CALIFICACIÓN Tipo
Impacto
Evaluación
Zona de Riesgo
Medidas de
Respuesta Probabilidad Impacto
Incumplimiento en la
generación de
respuestas a los
usuarios (Términos
establecidos por la
Ley).
4 3 Legal Zona Riesgo
Alta
Evitar, Reducir,
Compartir o
Transferir el
Riesgo
Matriz de Calificación, Evaluación y Respuesta a los Riesgos
IMPACTO
PROBABILIDAD Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófico
(5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A AA E E
Casi Seguro (5) A A E E E
Este primer análisis del riesgo se denomina RIESGO
INHERENTE y se define como aquél al que se enfrenta una
Entidad en ausencia de acciones por parte de la Dirección
para modificar su Probabilidad o Impacto.
Acciones riesgo:
¿Cómo se Valora el
Riesgo?
fundamentales para valorar el
- Identificar controles existentes.
- Verificar efectividad de los controles.
- Establecer prioridades de tratamiento.
¿Qué es la Valoración del Riesgo?
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas.
Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.
Tabla de Valoración de los Controles Existentes
Criterios Valoración del Riesgo Calificación
No existen controles o
existen pero no son
efectivos.
Se mantiene el resultado de
la evaluación antes de
controles
3.
Los controles
existentes son
efectivos, pero no
están documentados.
Cambia el resultado inferior
de la evaluación antes de
controles (el desplazamiento
queda a criterio de los
responsables).
2.
Los controles son
efectivos y están
documentados.
Pasa a escala inferior, según criterio de los responsables.
1.
Matriz de Calificación, Evaluación y Respuesta a los Riesgos
PROBABILIDAD IMPACTO
Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófic
o
(5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de Riesgo Baja: Asumir el Riesgo.
M: Zona de Riesgo Moderada: Asumir el Riesgo, Reducir el riesgo.
A: Zona de Riesgo Alta: Reducir el Riesgo, Evitar, Compartir o
Transferir.
E: Zona de Riesgo Extrema: Reducir el Riesgo, Evitar, Compartir o
Transferir.
El resultado obtenido a través de la valoración del riesgo, es denominado también TRATAMIENTO DEL RIESGO, ya que se “involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales acciones”, así el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la selección de la opciones de tratamiento del riesgo, así:
NORMA TÉCNICA COLOMBIANA NTC – ISO 31000. Pág. 39 y 40.
Resultado de la Valoración del
Riesgo
Evitar el Riesgo
considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
Tomar las medidas encaminadas a prevenir su
materialización. Es siempre la primera alternativa a
Reducir el Riesgo
Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.
Compartir o Transferir el Riesgo
Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.
Asumir un Riesgo
Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.
Relación Costo-Beneficio
Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto se deberá considerar aspectos como:
• Viabilidad Jurídica. • Viabilidad Técnica. • Viabilidad Institucional. • Viabilidad Financiera o económica. • Análisis de costo-beneficio.
Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina RIESGO RESIDUAL, éste se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos.
Riesgo Residual
Administración de Riesgos Corporativos. Técnicas de Aplicación Pricewaterhouse Coopers, Colombia 2005. Pág. 40.
Matriz de Calificación, Evaluación y Respuesta a los Riesgos
IMPACTO
PROBABILIDAD Insignificante
(1)
Menor
(2)
Moderado
(3)
Mayor
(4)
Catastrófic
o
(5)
Raro (1) B B M A A
Improbable (2) B B A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de Riesgo Baja: Asumir el Riesgo.
M: Zona de Riesgo Moderada: Asumir el Riesgo, Reducir el riesgo.
A: Zona de Riesgo Alta: Reducir el Riesgo, Evitar, Compartir o
Transferir.
E: Zona de Riesgo Extrema: Reducir el Riesgo, Evitar, Compartir o
Transferir.
M
Para el ejemplo aplicado, el riesgo identificado pasó de la Zona
de Riesgo Alta a la Zona de Riesgo Moderado
EJEMPLO APLICADO A LA METODOLOGÍA
NUEVA VALORACIÓN DEL RIESGO
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes
interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro
de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
RIESGO CALIFICACIÓN Tipo
Impacto
Evaluación
Zona de
Riesgo
Medidas de
Respuesta Probabilidad Impacto
Incumplimiento
en la
generación de
respuestas a los
usuarios
(Términos
establecidos por
la Ley).
2 3 Legal ZONA
RIESGO
MODERADO
Evitar,
Reducir,
Compartir o
Transferir el
Riesgo
El mapa de riesgos es una representación final de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa.
Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento, como se sugiere a continuación:
Administración de Riesgos Corporativos. Técnicas de Aplicación Pricewaterhouse Coopers, Colombia. 2005. Pág. 53
Elaboración del Mapa de Riesgos
Nombre del
proceso al que se
le están levantando
los riesgos
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Objetivo del
proceso al cual se
le están levantando
los riesgos
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Representan la
posibilidad de
ocurrencia de un
suceso que pueda
afectar el
cumplimiento de
los objetivos de la
entidad
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Posibilidad de
ocurrencia del
riesgo.
Se mide con
criterios de
FRECUENCIA y de
FACTIBILIDAD
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Consecuencias
que puede
ocasionar la
materialización del
riesgo
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO CALIFICACIÓN EVALUACIÓN
RIESGO
CONTROLES NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO
ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Resultado
obtenido en la
matriz de
calificación,
evaluación y
respuesta a los
riesgos
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO CALIFICACIÓN EVALUACIÓN
RIESGO
CONTROLES NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO
ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Especificar cuál es
el control que la
entidad tiene
implementado para
combatir,
minimizar o
prevenir el riesgo
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Posibilidad de
ocurrencia del
riesgo.
Se mide con
criterios de
FRECUENCIA y de
FACTIBILIDAD
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Consecuencias
que puede
ocasionar la
materialización del
riesgo
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Resultado de
determinar la
vulnerabilidad de la
entidad al riesgo,
luego de confrontar
la evaluación del
riesgo con los
controles
existentes
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Opciones de
respuesta ante los
riesgos, tendientes
a EVITAR el
Riesgo, REDUCIR
el Riesgo,
COMPARTIR O
TRANSFERIR el
Riego o ASUMIR
un Riesgo Residual
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Aplicación
concreta de las
opciones de
manejo del riesgo
que entrarán a
PREVENIR o a
REDUCIR el riesgo
y harán parte del
Plan de Manejo del
Riesgo
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO CALIFICACIÓN EVALUACIÓN
RIESGO
CONTROLES NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO
ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Fechas
establecidas para
implementar las
acciones por parte
del grupo de
trabajo
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO CALIFICACIÓN EVALUACIÓN
RIESGO
CONTROLES NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO
ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Dueño del proceso
donde se van a
desarrollar las
acciones
propuestas
MAPA DE RIESGOS
PROCESO:
OBJETIVO:
RIESGO
CALIFICACIÓN
EVALUACIÓN
RIESGO CONTROLES
NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Se consignan los
indicadores
diseñados para
evaluar el
desarrollo de las
acciones
implementadas
Todas las acciones contempladas dentro del mapa, unido a la información reportada por los indicadores, suministrará la información requerida para el seguimiento respectivo a los mapas.
EJEMPLO APLICADO A LA METODOLOGÍA
MAPA DE RIESGOS
PROCESO: ATENCIÓN AL USUARIO.
OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo
dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. RIESGO CALIFICACIÓN EVALUACIÓN
RIESGO
CONTROLES NUEVA
CALIFICACIÓN
NUEVA
EVALUACIÓN
OPCIONES
MANEJO
ACCIONES
Y CRONOGRAMA
RESPONSABLES INDICADOR
Prob
ab
ilid
ad
Imp
acto
Prob
ab
ilid
ad
Imp
acto
Incumplimiento en la
generación de
respuestas a los
usuarios (Términos
establecidos por la
Ley).
4 3 ZONA RIESGO
ALTA
Aplicativo que
permite mediante
alarmas controlar las
fechas límite para las
respuestas a los
usuarios sobre las
comunicaciones
escritas recibidas.
2 3 ZONA RIESGO
MODERADA
ASUMIR O
REDUCIR
EL RIESGO
Asignación de
identificaciones para
uso del software por
parte de los
servidores del área.
Establecimiento de
fechas para entrega
de informes
mensuales del
cumplimiento.
Líder Proceso
Tecnología.
Líder Proceso
Atención al
usuario.
No. solicitudes
contestadas en
términos /
Total de
Solicitudes
Reporte por
funcionario
entregado.
Plan de
capacitaciones a los
servidores, sobre la
normatividad vigente
y el manejo adecuado
del Sistema de
información
implementado.
Elaboración de
Cronograma de
capacitación por
grupos.
Ejecutar Evaluaciones
finales programadas
sobre
temas normativos.
Establecer
Resultados de las
evaluaciones por
funcionario.
Líder Proceso
Gestión Humana.
Reporte quejas
antes de la
capacitación
con evaluación
posterior a 6
Meses.
Para la consolidación de las Políticas de en Administración de Riesgos se deben tener
cuenta TODAS LAS ETAPAS desarrolladas.
anteriormente
Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la entidad.
Políticas de Administración del
Riesgo
FORMULACIÓN DE LAS POLÍTICAS
Está a cargo del Representante Legal de la
entidad Control riesgos política efectuar
y el Comité Interno y se
de Coordinación de basa de
la en el mapa el construido durante
señala qué debe proceso;
hacerse para el control y su en los planes estratégicos
seguimiento, basándose y los objetivos institucionales o por procesos.
• Los objetivos que se esperan lograr.
• Las estrategias para establecer cómo se va a desarrollar las políticas, a largo, mediano y corto plazo.
• Los riesgos que se van a controlar.
• Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido.
• El seguimiento y evaluación a la implementación y efectividad de las políticas.
¿Qué aspectos debe contener la Política
de Administración de Riesgos?
tener lugar durante todas las etapas (pasos dentro de la metodología) del proceso para la gestión del riesgo.
Esta comunicación es importante para garantizar que aquellos responsables de la implementación de las acciones dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones.
Comunicación y Consulta
La comunicación y consulta con las partes
involucradas tanto internas como externas debería
• Los Responsables de los Procesos y • La Oficina de Control Interno.
Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.
La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del seguimiento y evaluación sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.
El Monitoreo debe estar a
cargo de:
Una vez diseñado y validado el Plan para Administrar los Riesgos, en el Mapa de Riesgos, es necesario MONITOREARLO teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.
El MONITOREO es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia revisiones
en su implementación sobre la marcha para
adelantando evidenciar todas
estar aquellas situaciones o factores aplicación
que de las
pueden influyendo preventivas.
en la acciones
Monitoreo y Revisión