Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Copy of GESTIÓN DE RIESGOS

Curso 4

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Copy of GESTIÓN DE RIESGOS

GESTIÓN DE RIESGOS
(ISO 31000:2009)
OBJETIVOS
Definir los conceptos básicos de la gestión del riesgo.
Conocer los principios y directrices generales sobre la gestión del riesgo.
Establecer los elementos principales para el diseño del marco de trabajo como fundamento para la implementación de un sistema de gestión del riesgo.
SISTEMA DE GESTIÓN
DE RIESGOS
CONTENIDO
1. TÉRMINOS
Y DEFINICIONES
2. PRINCIPIOS
3. MARCO
DE TRABAJO
1. TÉRMINOS
Y
DEFINICIONES
Riesgo:

Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales, los proceso o los servicios. Se expresa en términos de probabilidad y consecuencias.
Política de gestión del riesgo:

Declaración de las intensiones y orientaciones generales de una organización en relación con la gestión de riesgos.
Criterios de Riesgos:

Términos de referencia sobre los cuales se evalúa la importancia de un riesgo. Estos criterios se definen con base en los objetivos de la organización y en el contexto interno y externo.
Evaluación del Riesgo:

Proceso utilizado para determinar las prioridades de la Administración del Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar establecido.
Identificación del Riesgo:

Elemento de control que posibilita conocer eventos potenciales, estén o no bajo el control de la entidad, que ponen en riesgo el logro de su misión, estableciendo: los agentes generadores, las causas y los efectos de su ocurrencia
Nivel de Riesgos:

Comprende la magnitud de un riesgo o la combinación de riesgos, determinado con base en las consecuencias de su ocurrencia y en la probabilidad.
Riesgo Inherente:
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles
Riesgo Residual:
Nivel de riesgo que permanece luego de tomar medidas de tratamiento o controles del riesgo.
Probabilidad:
Es la medida absoluta o relativa, es decir porcentual o numérica, que estima la posibilidad de que se materialice el riesgo. A partir del estudio histórico de la frecuencia en la que se ha presentado un riesgo puede ser estimada su probabilidad.
Administración de Riesgos:

Conjunto de elementos de control que al interrelacionarse permiten a la Entidad Pública evaluar aquellos eventos que puedan afectar o impedir el logro de sus objetivos institucionales o que permitan identificar oportunidades para un mejor cumplimiento de su función.
Causa:

Medios, circunstancias o agentes que generan los riesgos.
Consecuencia:

Resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso.
Pérdida:

Consecuencia negativa que trae consigo un evento.
2. PRINCIPIOS
Es parte integral de todos los procesos
Trata explícitamente la incertidumbre
Es sistémica, estructurada y oportuna
LA GESTIÓN DEL RIESGO…
Crea y protege
el valor
Contribuye al logro de los objetivos y a la mejora del desempeño, dando cumplimiento a los requisitos legales y reglamentarios, mejorando la calidad del servicio y la eficacia en las operaciones.
Es parte de las responsabilidades de gestión, incluyendo la planeación estratégica y todos los procesos de la gestión de proyectos y de cambios.
Es parte de la toma de decisiones
Ayuda a las personas a realizar elecciones informadas, a definir prioridades y a distinguir entre planes de acción diferentes.
Analiza la incertidumbre, su naturaleza y la manera en la que puede tratarse.
Contribuyendo a la eficacia y a los resultados coherentes, comparables y fiables.
Se basa en la mejor
información
Los elementos de entrada se basan en fuentes de información tales como: datos históricos, experiencias, retroalimentación, observación, previsiones y juicios de expertos.
Se adapta
Se alinea con el contexto externo e interno de la organización y con el perfil del riesgo.
Integra factores
humanos y culturales
Permite identificar las aptitudes, las percepciones y las intenciones de las personas que pueden facilitar u obstruir el logro de los objetivos de la organización.
Es transparente y participativa
Involucra a todos los niveles de la organización y en particular a las personas que toman decisiones, asegurando que la gestión del riesgo se mantenga pertinente y actualizada.
Es dinámica, iterativa
y cambiante
Responde de manera sensible a los cambios. A través del seguimiento y la revisión de riesgos, surgen nuevos riesgos, algunos cambian y otros desaparecen.
Facilita la mejora continua
Mediante el establecimiento de metas de desempeño organizacional, medición, revisión y modificación de los procesos, los sistemas, los recursos, la capacidad y las habilidades.
El marco de trabajo se constituye en el elemento fundamental para integrar el proceso de gestión del riesgo a todos los niveles de la entidad y en procesos específicos. Así mismo, garantiza que la información sobre riesgo sea difundida y utilizada en la toma de decisiones, asegurando también el cumplimiento de la obligación de rendir cuentas de parte de todos los niveles.
La implementación de la gestión de riesgos requiere del compromiso permanente de la dirección de la entidad y de todos sus niveles.
3.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO
El marco de trabajo permite el cumplimiento
de los siguientes objetivos:
MARCO DE TRABAJO
Definir y aprobar la política de gestión del riesgo.
Permitir que tanto la política de gestión del riesgo como la cultura organizacional se encuentren alineadas.
Determinar los indicadores de desempeño de la organización que son coherentes con los indicadores de desempeño de la gestión del riesgo.
Alinear tanto los objetivos y estrategias de la organización con los objetivos de la gestión del riesgo.
Asignar responsabilidades y obligaciones de rendir cuentas a todos los niveles de la entidad.
Asegurar los recursos necesarios para adelantar la gestión del riesgo.
Comunicar los beneficios de la implementación de la gestión de riesgos a todos los niveles e interesados.
3.2 ESTABLECIMIENTO DE LA POLÍTICA DE GESTIÓN DEL RIESGO
3.3 OBLIGACIÓN DE RENDIR CUENTAS
3.4 INTEGRACIÓN EN LOS PROCESOS DE LA ORGANIZACIÓN
3.5 RECURSOS
3.6 MECANISMOS DE COMUNICACIÓN E INFORMACIÓN (INTERNOS Y EXTERNOS)
3.7 IMPLEMENTACIÓN DEL MARCO DE TRABAJO DE LA GESTIÓN DEL RIESGO
3.8 SEGUIMIENTO Y REVISIÓN DEL MARCO DE TRABAJO
3.9 MEJORA CONTINUA DEL MARCO DE TRABAJO
3.1 Comprensión de la Organización y de su Contexto
CONTEXTO EXTERNO

CONTEXTO INTERNO

COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO

Entorno:
Social y Cultural, Político, Legal, Reglamentario, Financiero, Tecnológico, Económico, Natural y Competitivo; a nivel nacional, internacional, regional y/o local.
Tendencias
Relaciones
Políticas, normas, objetivos, modelos y estrategias
Recursos (Capital, tiempo, personas) Sistemas de Información y toma de decisiones Cultura organizacional Relaciones contractuales

A. Razones para la implementación de la gestión del riesgo.

B. Relación entre objetivos y políticas de la entidad y la política de gestión del riesgo.

D. Manejo de los intereses que entran en conflicto.

E. Disponibilidad de recursos para la rendición de cuentas.

C. Obligación de rendir cuentas y las responsabilidades en materia de gestión del riesgo.

F. Cómo se mide e informa sobre el desempeño de la gestión del riesgo.

G. Revisión y mejora de la política de gestión del riesgo como respuesta a los cambios.

3.2 Establecimiento de la Política de Gestión del Riesgo
LA POLÍTICA DE GESTIÓN DEL RIESGO INCLUYE:

Para que la gestión de riesgos sea funcional, deben quedar claramente establecidas las obligaciones, la autoridad y la competencia en todos los niveles de la entidad, siguiendo con estos parámetros:

3.3 Obligación de Rendir Cuentas
Aquellas personas dueñas del riesgo y con la responsabilidad para gestionarlos.

Aquellas personas que deben rendir cuentas del desempeño y mantenimiento del marco de trabajo.

El establecimiento de los procesos de medición del desempeño.

La identificación de otras responsabilidades asignadas a personas de todos los niveles de la entidad.

COMUNICACIÓN E INFORMACIÓN

Comunicación de los elementos claves del marco de trabajo de la gestión del riesgo y de las personas externas interesadas

La información sobre la aplicación de la gestión del riesgo debe estar disponible, así como la comunicación con las partes interesadas en caso de crisis.

Generación de informes internos y externos sobre la aplicación de la gestión a fin de evaluar su eficacia y resultados.

3.6 Mecanismos de Comunicación e Información (Interna y Externa)
1
Definir calendario y la estrategia de implementación.

2
Aplicar la política y el proceso de gestión de riesgos a los procesos de la entidad.

6
Retroalimentar el marco de trabajo para la gestión del riesgo.
5
Organizar sesiones de información y formación.

3
Cumplir los requisitos legales y reglamentarios.

Garantizar que la toma de decisiones este acorde con los resultados de la gestión del riesgo
4
3.7 Implementación del Marco de Trabajo de la Gestión del Riesgo
Medición del desempeño frente a los indicadores
Desviaciones respecto a los planes de acción
EFICACIA DE LA GESTIÓN
DEL RIESGO
Revisión periódica del marco, la política y el plan de gestión a fin determinar su idoneidad
Informes sobre riesgos, progreso de los planes y aplicación de la política.
Seguimiento y Revisión del Marco de Trabajo
3.9 Mejora Continua del Marco de Trabajo

SISTEMA DE GESTIÓN
DE RIESGOS

El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, de sus procesos y sus servicios y el análisis de su situación actual.

Este análisis permite coordinar los objetivos de la entidad con su sistema de gestión de riesgos, define los parámetros y establece el alcance del sistema.

El contexto tanto externo como interno incluye los mismos elementos que se definieron en el marco de trabajo, aunque se deben considerar con mayor detalle. No obstante, recordémoslos:

CONTEXTO INTERNO

Políticas, normas, objetivos, modelos y estrategias
Recursos (Capital, tiempo, personas)
Sistemas de Información y toma de decisiones
Cultura organizacional
Relaciones contractuales

CONTEXTO EXTERNO

Entorno:
Social y Cultural, Político, Legal,
Reglamentario, Financiero, Tecnológico, Económico, Natural y Competitivo; a nivel nacional, internacional, regional y/o local.
Tendencias
Relaciones

1.ESTABLECIMIENTO DEL CONTEXTO
A partir de esta etapa se buscan los siguientes resultados:

Identificar aquellos elementos que del contexto interno y externo generan riesgo para el desarrollo del objeto social de la entidad con base en los planes y programas de la misma y en el análisis de componentes como el clima y la cultura organizacional.
Aportar la información necesaria para llevar a cabo las demás etapas del proceso de gestión de riesgos.

La guía 7 de Administración del Riesgo del Departamento Administrativo de la Función Pública nos suministra un ejemplo de factores internos y externos de riesgo:
Así mismo, se recomienda la aplicación de varias herramientas y técnicas para la recopilación y análisis de los factores; por ejemplo:


A

Este tipo de herramienta se aplica a partir de la estructuración de una serie de preguntas fijas en su contenido y orden, con categorías o alternativas de respuestas para facilitar su análisis. Una desventaja de la aplicación de este tipo de herramienta es que no se estimula el pensamiento creativo. De otra parte, es de suma importancia definir las personas (tanto externas como internas) a entrevistar, pues del profundo conocimiento que éstas posean de la entidad dependerá el resultado de su aplicación.

Entrevistas estructuradas
internas y externas
B

Un diagrama de flujo es una representación gráfica de las etapas de un proceso, útil para la comprensión detallada de cómo se desarrolla actualmente un proceso. Permite examinar cómo se interrelacionan las diversas etapas de un proceso, así como los agentes externos e internos que en él intervienen, descubriendo fuentes potenciales de riesgos.

Diagramas de flujo
C
Esta herramienta trabaja con tendencias ya identificadas a través del análisis continuo del entorno. Se elige una tendencia y se describen posibles escenarios, particularmente los dos extremos. Estos dos escenarios, pueden combinarse con otros dos extremos de una tendencia actual, para construir un “escenario X”, una matriz de cuatro campos y con cuatro posibles ejes de desarrollo y las consecuencias de los mismos. Este método es útil para identificar riesgos que puedan presentarse en el futuro.

Análisis de escenarios
D
La matriz DOFA (también conocida como matriz FODA), es una herramienta que nos permite identificar y analizar las Debilidades, Oportunidades, Fortalezas y Amenazas. 
Fortalezas y debilidades son factores internos a la empresa, que crean o destruyen valor. Incluyen los recursos, activos, habilidades, cultura organizacional, planes y programas, políticas, etc.
Oportunidades y amenazas son factores externos, y como tales están fuera del control de la empresa. Se incluyen en estos la competencia, la demografía, economía, política, factores sociales, legales o culturales.


DOFA
La autoevaluación es una revisión exhaustiva y sistemática de las actividades y de los resultados de una organización con respecto a un nivel seleccionado. Esta herramienta se aplica para el establecimiento del contexto interno, debido a que proporciona una visión global del desempeño de una organización y sus puntos críticos. Para la utilización de esta herramienta es necesario definir niveles de madurez. De acuerdo con el modelo presentado en la Norma ISO 9004 se establecen cinco niveles y evalúa elementos clave como: Gestión para el éxito sostenido de la organización, Estrategia política, Gestión de recursos, Gestión de procesos, Seguimiento y revisión y Mejora, innovación y aprendizaje.

Autoevaluación (ISO 9004:2010)

Un ejemplo para de definición de niveles de madurez, se presenta a continuación:

Dentro del establecimiento del contexto es importante que la entidad defina las metas, objetivos, estrategias, alcance y parámetros para el desarrollo del proceso de gestión o administración de riesgos.

Definición de los Criterios de Riesgo

Los criterios son las pautas que definen cómo se llevará a cabo el proceso de identificación, análisis y evaluación de los riesgos. Así mismo, los criterios deben reflejar los valores, objetivos y recursos de la entidad. Algunos criterios pueden ser el resultado de requisitos legales o reglamentarios.


ESTABLECIMIENTO DEL CONTEXTO
Entre otros, algunos factores a considerar para la definición de los criterios son los siguientes:

El Decreto 1599 de 2005 lo define como Elemento de Control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.

2. IDENTIFICACIÓN DEL RIESGO

Preguntas para la Identificación de Riesgos
Algunas de las técnicas que se proponen para la identificación de riesgos son:
Lluvia de ideas.
Cuestionarios.
Estudios empresariales que se centren en cada proceso de negocio y describan tanto los procesos internos como los factores externos que puedan influir en estos procesos.
Análisis de distintos escenarios
Talleres de valoración de riesgos.
Investigación de incidentes.
Auditoría e inspección.
Método HAZOP (Estudios de Azar y operatividad).
Método AMEF (Análisis de Modo y Efecto de la Falla).

El AMEF es un método analítico para identificar fallas potenciales en el diseño de un producto, proceso o servicio antes de que éstas ocurran, con el propósito de eliminarlas o de minimizar el riesgo asociado a las mismas. Los objetivos perseguidos con la aplicación del método AMEF son:

Identificar las fallas potenciales y evaluar la severidad de su efecto.
Evaluar objetivamente la ocurrencia de las causas.
Clasificar en orden potencial las deficiencias del producto, proceso o servicio.
Se enfoca hacia la prevención y eliminación de problemas del producto, proceso o servicio.



IDENTIFICACIÓN DEL RIESGO
Método AMEF (Análisis de Modo y Efecto de la Falla)

SISTEMA DE
GESTIÓN DE RIESGOS
Mediante el seguimiento y revisión se llega a la mejora continua de la gestión del riesgo. En este sentido, una gestión del riesgo optimizada incluye la responsabilidad totalmente definida y aceptada de los riesgos, de los controles y de las tareas de tratamiento de riesgo, así como del seguimiento y de la comunicación eficaz a las partes interesadas externas e internas en torno a los riesgos y su gestión a través de la generación de informes.

Una gestión optimizada incluye también que todas las decisiones, sin importar su nivel de importancia y relevancia, impliquen la consideración explícita de los riesgos y su gestión eficaz para la consecución de los objetivos, en cumplimiento de los principios expuestos durante la primera semana.

OPTIMIZACIÓN DE LA GESTIÓN DEL RIESGO

6

Finalmente, una vez diseñados y validados los mapas de riesgos, cada área líder del proceso debe realizar seguimiento y revisión para:

Verificar el cumplimiento de las acciones de mejoramiento planteadas.
Determinar si hay cambios en los riesgos identificados.
Analizar si algún riesgo se ha materializado e implantar acciones para corregirlo.
Analizar la efectividad de las acciones planteadas.
Definir si se deben hacer ajustes a las acciones de mejoramiento.
Identificar si ha aparecido un nuevo riesgo en el proceso.

SEGUIMIENTO Y REVISIÓN

SISTEMA DE GESTIÓN
DE RIESGOS
El método de identificación del riesgo seleccionado dependerá del tipo de organización, del proceso o servicio a analizar y del alcance de la política de gestión del riesgo establecida, así como de los criterios definidos.
Una vez identificados los riesgos a partir de este u otro método, se puede elaborar un inventario de riesgos en donde se defina una codificación del riesgo, su denominación, sus causas (Internas y/o externas) y sus consecuencias.

Para aplicar el método AMEF se requiere:
Un equipo interdisciplinario de expertos para su aplicación.
Diagramas esquemáticos del proceso o servicio.
Especificaciones funcionales de módulos o secciones.
Especificaciones de los componentes del producto, proceso o servicio.
Así mismo, puede hacerse uso del siguiente formato:


A continuación se describen las columnas del formato:
IDENTIFICACIÓN DEL RIESGO
Método AMEF (Análisis de Modo y Efecto de la Falla)

6

El seguimiento es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación, así como para determinar si existen cambios en el contexto interno y/o externo, incluyendo los cambios en los criterios de riesgo y en el propio riesgo.

Se debe hacer revisiones sobre la marcha para evidenciar situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

El seguimiento debe estar a cargo de los responsables de los procesos. No obstante, todos en la entidad juegan un rol importante en la evaluación y revisión de la gestión del riesgo, aunque la responsabilidad del fortalecimiento de la política recae sobre la alta dirección.



SEGUIMIENTO Y REVISIÓN

Contiene a nivel estratégico o por proceso los mayores riesgos a los cuales está expuesta la entidad, producto o servicio.

Es importante elaborar un mapa de riesgos por cada proceso para facilitar la administración del riesgo, el cual deberá realizarse al finalizar la etapa de Valoración del Riesgo.

Si bien los mapas de riesgos se presentan por lo general en forma de tabla indicando los siguientes aspectos: Riesgo, Impacto, Probabilidad, Evaluación del riesgo, Controles existentes, Valoración del Riesgo, Acciones, Responsables, Cronograma e Indicadores como lo veremos en nuestro siguiente ejemplo, ésta, no es la única forma en la que pueden presentarse sin perder su funcionalidad como guía para la revisión y evaluación periódica (Ejemplo 2).

La selección de las acciones más convenientes para el manejo del riesgo, se encuentra vinculada con los recursos económicos disponibles y su viabilidad jurídica, institucional y técnica.
Será necesario entonces realizar una evaluación Costo-Beneficio para determinar las medidas a implementar.
Algunos criterios de valoración, sugeridos en la Guía de Administración del Riesgo del Departamento Administrativo de la Función Pública, que pueden ser utilizados una vez se hayan identificado los controles son:
Pasos para valorar el riesgo
A continuación se presenta un ejemplo de riesgos según su clasificación:
Clasificación del Riesgo
¿Cómo identificar los tipos de controles?
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, a fin de establecer prioridades para su manejo y fijación de políticas.

4. EVALUACIÓN Y
VALORACIÓN DEL RIESGO
Esta etapa permite comparar los resultados del análisis del riesgo (Probabilidad vs. Impacto) para determinar el grado de exposición de la entidad al riesgo, con el objeto de establecer si los riesgos identificados son aceptables, tolerables, moderados, importantes o inaceptables y fijar las acciones requeridas para su tratamiento.

Existen varias escalas (cuantitativas y cualitativas) que pueden ser empleadas para llevar a cabo el análisis de riesgos, todo dependerá de los criterios que hayan sido definidos previamente para calificarlos.

Por su parte, el Departamento Administrativo de la Función Pública establece los siguientes niveles para determinar la probabilidad:

Otros ejemplos
Este método busca representar la realidad a través de un modelo matemático, en el cual se le asignan varios valores aleatoriamente a las variables a estudiar, representando los rasgos, características y relaciones de situaciones reales, generando una amplia muestra de resultados, que al momento de combinar genera diversos escenarios que pueden ser analizados a partir de estudios estadísticos que determinen valores medios, máximos y mínimos, varianzas y probabilidades.

El método fue llamado así por el principado de Mónaco por ser ``la capital del juego de azar’‘, al tomar una ruleta como una fuente de números aleatorios. 

Método Montecarlo
Consiste en asignar un valor de ocurrencia a los diferentes riesgos identificados, estableciendo un nivel de riesgo. La probabilidad y el impacto pueden ser establecidos realizando análisis de cálculos estadísticos existentes, datos históricos como registros, informes, conceptos de expertos, investigación de mercados, entre otros, que permitan determinar su comportamiento y evolución.

De otra parte, como herramienta de importante aplicación en el análisis cuantitativo se utilizan la construcción de modelos y la simulación. Los modelos son abstracciones de la vida real , los cuales pueden reducir los problemas complejos a otros más sencillos y fáciles de manejar; además proporcionan medios para predecir los resultados de una decisión. La simulación es una técnica numérica que facilita la manipulación de una o más variables asociadas a un problema de un producto o servicio.

Los métodos cuantitativos incluyen: Análisis de probabilidad, Análisis de consecuencia y Simulación computacional.

Dichas medidas pueden calcularse a través de diferentes mecanismos, entre los que se destaca el Método Montecarlo, caracterizado por mostrar varios posibles escenarios, sencillez y ser un método computarizable para el desarrollo de simulaciones.

Este método es el más utilizado y por lo general se usa cuando los niveles de riesgo son bajos y no se justifica un análisis más detallado.
Siguiendo con las anteriores descripciones cualitativas a continuación se presenta un ejemplo de Matriz de análisis cualitativo de riesgos:
Involucra dos importantes conceptos:

Probabilidad:
Posibilidad de ocurrencia del riesgo. Puede ser medida con criterios de Frecuencia si se ha materializado o de Factibilidad a través de métodos estadísticos, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado.

Impacto:
Las consecuencias que de tipo económico, humano, físico, estratégico y tecnológico puede ocasionar a la organización la materialización del riesgo.

En este apartado es importante recordar el concepto de RIESGO INHERENTE Y RIESGO RESIDUAL:








A pesar de los controles incorporados para manejar el riesgo, siempre existirá un riesgo residual o restante, debido a dos circunstancias: La primera relacionada con el impacto con el cual puede manifestarse el riesgo en un momento determinado, es decir, no es lo mismo enfrentarse a un temblor de menor escala que a un terremoto, y la segunda, cuando se decide (a pesar de conocer la probabilidad y el impacto de un riesgo) convivir con el mismo, debido a que no se tiene la posibilidad o voluntad económica para manejarlo.

Ejemplo. Matriz de Calificación, Evaluación y Respuesta a los Riesgos

Para esta etapa se deben tener en cuenta los siguientes conceptos:
Así mismo, el Departamento Administrativo de la Función Pública establece diferentes niveles para determinar el impacto, dependiendo del tipo de proceso a analizar. Por ejemplo, el impacto en la credibilidad es medida con base en los siguientes parámetros:

De otra parte, algunas descripciones cualitativas del impacto son:
A continuación se presenta un ejemplo de una Matriz semicuantitativa de riesgos:
Con base en la anterior definición algunas descripciones cualitativas de la probabilidad son:

Análisis cualitativo
de riesgos
El análisis de riesgos, es el proceso que busca establecer el nivel de riesgo de una entidad, proceso o servicio, a partir de la calificación del impacto de sus consecuencias y la probabilidad de ocurrencia.

El Decreto 1599 de 2005, por el cual se adopta el Modelo Estándar de Control Interno (MECI), lo define como: Elemento de control que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo.

Dicho análisis puede llevarse a cabo a partir de escalas cualitativas, cuantitativas o semi-cuantitativas.

3. ANÁLISIS DEL
RIESGO


Riesgo

Financiero


Riesgo de

Cumplimiento


Riesgo de

Tecnología



Riesgo

Operativo


Riesgo

Estratégico

Clasificación del Riesgo
1
SISTEMA DE GESTIÓN DE RIESGOS
Método HAZOP
Esta técnica de identificación de riesgos se basa en la premisa de que los riesgos son desviaciones que sufre un proceso o servicio con base a unos parámetros previamente establecidos. Este método consiste en analizar las causas y las consecuencias de dichas desviaciones a través de unas palabras guía. Algunos ejemplos de palabras guía son: No, Ninguno, Más, Menos, Además de; que se aplican a los procesos.
Para su aplicación se requiere de un equipo interdisciplinario de expertos que analiza sistemáticamente cada parte del proceso o servicio a través de estadísticas para descubrir las desviaciones y definir si pueden generar riesgos. El registro de los riesgos a partir de este método puede realizarse en el siguiente formato:

Método AMEF
(Análisis de Modo y Efecto de la Falla)
Análisis cuantitativo de riesgos
Los valores otorgados a la Probabilidad y el Impacto, son multiplicados y el resultado ubicado dentro de la matriz.

ZONAS DE RIESGO
ZONA DE RIESGO BAJA, ACEPTABLE, TOLERABLE: Significa que la probabilidad de ocurrencia es rara, improbable o moderada y su impacto es insignificante o menor lo cual permite a la entidad asumirlo.
ZONA DE RIESGO MODERADO: Significa que la probabilidad de ocurrencia es posible y su impacto es moderado para lo cual la entidad debe reducir el riesgo a fin de llevarlo a la zona baja.
ZONA DE RIESGO ALTA, IMPORTANTE, EXTREMA: Significa que la probabilidad de ocurrencia es probable o casi cierta, y su impacto es mayor o catastrófico, por tanto es aconsejable implementar controles para evitar la probabilidad o eliminar la actividad que genera el riesgo.

P
R
O
B
A
B
I
L
I
D
A
D
IMPACTO
De otra parte, para establecer la efectividad de los controles se puede hacer uso de matrices como:
Evaluación de la efectividad de los controles
SISTEMA DE
GESTIÓN DE RIESGOS
5. TRATAMIENTO DEL RIESGO
Mapa de Riesgos
Políticas de Administración de Riesgos
Las políticas identifican opciones para tratar y manejar los riesgos.
Permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo.
Además, transmiten la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la entidad.
Ejemplo de tratamiento del riesgo de los recursos de la VUCE
Beneficios de los
Mapas de Riesgos
Permite un mejor entendimiento, tanto de forma global como específica (estratégica y por proceso), de los riesgos y las acciones en torno al manejo de los mismos.
En aquellos casos en los que los niveles directivos no tienen conciencia de la necesidad de invertir en medidas de control, se convierte en una motivación para emprender programas de administración del riesgo, definir prioridades para su manejo y proponer medidas de tratamiento.

Permite monitorear el desempeño de la entidad frente a la efectividad de las acciones definidas para manejar el riesgo y el cumplimiento de los indicadores.
Ejemplo 1. Formato mapa de riesgos

Ejemplo 2. Mapa General de Riesgos de una entidad de la VUCE

R1
R2
R3
R4
R5
R6
R7
R14
R1
R2
R3
R4
R5
R6
R7
R14
El anterior esquema permite que con base en el proceso de seguimiento y revisión periódica, los riesgos identificados, analizados y evaluados, cambien su posición dentro de la matriz gracias a las políticas de tratamiento aplicadas.

SISTEMA DE GESTIÓN DE RIESGOS
6. SEGUIMIENTO Y REVISIÓN
El seguimiento es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación, así como para determinar si existen cambios en el contexto interno y/o externo, incluyendo los cambios en los criterios de riesgo y en el propio riesgo.

Se debe hacer revisiones sobre la marcha para evidenciar situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

El seguimiento debe estar a cargo de los responsables de los procesos. No obstante, todos en la entidad juegan un rol importante en la evaluación y revisión de la gestión del riesgo, aunque la responsabilidad del fortalecimiento de la política recae sobre la alta dirección.
Finalmente, una vez diseñados y validados los mapas de riesgos, cada área líder del proceso debe realizar seguimiento y revisión para:
Verificar el cumplimiento de las acciones de mejoramiento planteadas.

Determinar si hay cambios en los riesgos identificados.

Analizar si algún riesgo se ha materializado e implantar acciones para corregirlo.

Analizar la efectividad de las acciones planteadas.

Definir si se deben hacer ajustes a las acciones de mejoramiento.

Identificar si ha aparecido un nuevo riesgo en el proceso.

OPTIMIZACIÓN DE LA GESTIÓN DEL RIESGO
Mediante el seguimiento y revisión se llega a la mejora continua de la gestión del riesgo. En este sentido, una gestión del riesgo optimizada incluye la responsabilidad totalmente definida y aceptada de los riesgos, de los controles y de las tareas de tratamiento de riesgo, así como del seguimiento y de la comunicación eficaz a las partes interesadas externas e internas en torno a los riesgos y su gestión a través de la generación de informes.

Una gestión optimizada incluye también que todas las decisiones, sin importar su nivel de importancia y relevancia, impliquen la consideración explícita de los riesgos y su gestión eficaz para la consecución de los objetivos, en cumplimiento de los principios expuestos durante la primera semana.
Full transcript