GESTION DEL RIESGO
- OBJETO
El dinamismo actual de la Administración de las entidades ha implicado la implementación de un Sistema para la Administración del riesgo con el fin de mitigar las probabilidades de materialización de riesgos que pueden generar impacto directo sobre la operación de la entidad, dicho sistema genera una constante revisión y redimensionamiento; por ello el Departamento de Planeación y Gestión del Riesgo, presenta el documento original denominado Sistema para la Administración del Riesgo, que tiene como fin entregar lineamientos y aclaraciones sobre la aplicación de la metodología planteada en el manual, esto considerando la importancia cada vez mayor, que para las entidades representa su aplicación como elemento básico en su planeación estratégica.
2. ALCANCE
La administración del riesgo ayuda al conocimiento y mejoramiento de la entidad, contribuye a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindándole un manejo sistémico a la entidad.
La consigna es que la administración del riesgo sea incorporada al interior de las entidades como una política de gestión por parte de la alta dirección y cuente con la participación y respaldo de todos los servidores; tarea que se facilitará con la implementación de la metodología aquí presentada, lo cual permite establecer mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente están expuestas y poder de esta manera fortalecer el Sistema de Control Interno permitiendo el cumplimiento de los objetivos misionales.
3. RESPONSABILIDAD Y AUTORIDAD
La administración del riesgo se debe incorporar al interior de la entidad como una política de gestión por parte de la alta dirección, la cual debe estar direccionada por el Departamento de Planeación y Gestión del riesgo, siendo este el regulador de las directrices impartidas hacia las áreas y procesos.
4. DEFINICIONES
¿Qué es el Riesgo?
El concepto de Administración del Riesgo se introduce en las entidades, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente expuestos a diferentes riesgos o eventos que pueden poner en peligro su operación o su existencia.
Desde la perspectiva del Control Interno, la eficiencia del control está en el manejo de los riesgos, es decir: el propósito principal del control es la reducción de los mismos propendiendo porque el proceso y sus controles garanticen, de manera razonable que los riesgos están minimizados o se están reduciendo y por lo tanto, que los objetivos de la entidad van a ser alcanzados y establece que la administración del riesgo es:
“Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación.”
Para los efectos de este documento se aplica la siguiente definición:
Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o el proceso de la entidad. Se expresa en términos de probabilidad y consecuencias.
La tendencia más común es la valoración del riesgo como una amenaza, en este sentido, los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia
Pero existe también la percepción del riesgo como una oportunidad, lo cual implica que su gestión está dirigida a maximizar los resultados que éstos generan.
Clases de Riesgos
El Riesgo está vinculado con todo el que hacer; se podría afirmar que no hay actividad de la vida, los negocios o cualquier asunto que deje de incluir el riesgo como una posibilidad.
Las entidades, durante el proceso de identificación del riesgo, pueden hacer una clasificación de los mismos, con el fin de formular políticas de operación para darles el tratamiento indicado, así mismo este análisis servirá de base para el impacto o consecuencias durante el proceso de análisis del riesgo contemplado dentro de la metodología.
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de la entidad de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
¿Qué significa gestionar el Riesgo?
En términos generales la gestión del riesgo se refiere a los principios y metodología para la gestión eficaz del riesgo, mientras que gestionar el riesgo se refiere a la aplicación de éstos principios y metodología a riesgos particulares.
La administración del Riesgo comprende el conjunto de Elementos de Control y sus interrelaciones, para que la institución evalúe e intervenga aquellos eventos, tanto internos como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos institucionales. La administración del riesgo, contribuye a que la entidad consolide su Sistema de Control Interno y a que se genere una cultura de Autocontrol y autoevaluación al interior de la misma.
Metodología
Las entidades de la administración pública deben darle cumplimiento a su misión constitucional y legal, a través de sus objetivos institucionales, los cuales se desarrollan a partir del diseño y ejecución de los diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos puede verse afectado por factores tanto internos como externos que crean riesgos frente a todas sus actividades, razón por la cual se hace necesario contar con acciones tendientes a administrarlos.
El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos, esto en desarrollo de los siguientes elementos:
· Contexto Estratégico
· Identificación de riesgos
· Análisis de riesgos
· Valoración de riesgos
· Políticas de Administración de Riesgos
5. PROCEDIMIENTO
Al ser un componente del Subsistema de Control Estratégico, para una adecuada administración del Riesgo se debe tener en cuenta:
· La planeación estratégica (misión, visión, establecimiento de objetivos, metas, factores críticos de éxito)
· El campo de aplicación (procesos, proyectos, unidades de negocio, sistemas de información)
· El Componente Ambiente de Control y todos sus elementos (Acuerdos, Compromisos y Protocolos Éticos, las políticas de Desarrollo del Talento Humano y el Estilo de Dirección)
· La identificación de eventos (internos y externos) y de los resultados generados por el Componente Direccionamiento Estratégico y sus Elementos de Control (Planes y Programas, Modelo de Operación y Estructura Organizacional)
· El Elemento “Controles” del Subsistema de Control de Gestión al momento de realizar la valoración de los riesgos (identificación, medición y priorización) y la formulación de la política (para evitar, aceptar, reducir, transferir el riesgo).
Para determinar el contexto estratégico de la institución es posible utilizar herramientas y técnicas como las que se relacionan a continuación:
1. Inventario de Eventos
· Son listas de eventos posibles utilizadas con relación a un Proyecto, proceso o actividad determinada.
· Son útiles para asegurar una visión coherente con otras actividades similares dentro de la entidad.
EJEMPLO:
Antes de emprender un proyecto de desarrollo de software, la entidad realiza un inventario de Riesgos genéricos inherentes a los proyectos de este tipo. Dicho inventario constituye una manera útil de aprovechar el conocimiento acumulado por otras personas sobre el riesgo experimentado en esa área.
2. Talleres de Trabajo
· Habitualmente reúnen a funcionarios de diversas funciones o niveles.
· El propósito es aprovechar el conocimiento colectivo del grupo y desarrollar una lista de acontecimientos que están relacionados con un proceso, proyecto o programa.
EJEMPLO:
Paralelamente con el establecimiento de objetivos de un proyecto, el líder de proceso y su equipo irán identificando eventos que podrían afectar el logro de los objetivos del mismo.
¿Cómo se identifica el Riesgo?
La identificación del riesgo se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos, es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia las causas con base en los factores de riesgo internos y externos (contexto estratégico), presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos (consecuencias).
Es importante centrarse en los riesgos más significativos para la entidad relacionados con los objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual que todos los servidores, la gerencia pública adopta un papel proactivo en el sentido de visualizar en sus contextos estratégicos y misionales los factores o causas que pueden afectar el curso institucional, dada la especialidad temática que manejan en cada sector o contexto socioeconómico.
Entender la importancia del manejo del riesgo implica conocer con más detalle los siguientes conceptos:
· Proceso: Nombre del proceso.
· Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para el proceso al cual se le están identificando los riesgos.
· Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.
· Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.
· Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
· Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
¿Cómo se analiza el Riesgo?
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
El análisis del riesgo depende de la información obtenida en la fase de identificación de riesgos.
· Pasos claves en el análisis de riesgos
· Determinar probabilidad
· Determinar consecuencias
· Clasificación del Riesgo
· Estimar el nivel del riesgo
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad e Impacto.
· Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
· Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos: Calificación del riesgo y Evaluación del riesgo.
Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo.
Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones:
Tabla de Probabilidad:
|
NIVEL |
DESCRIPTOR |
DESCRIPCIÓN |
FRECUENCIA |
|
1 |
Improbable |
El evento puede ocurrir solo en circunstancias excepcionales. |
No se ha presentado en los últimos 5 años. |
|
2 |
Raro |
El evento puede ocurrir en algún momento |
Al menos de 1 vez en los últimos 5 años. |
|
3 |
Esporádico |
El evento podría ocurrir en algún momento |
Al menos de 1 vez en los últimos 2 años. |
|
4 |
Probable |
El evento probablemente ocurrirá en la mayoría de las circunstancias |
Al menos de 1 vez en el último año. |
|
5 |
Casi Cierto |
Se espera que el evento ocurra en la mayoría de las circunstancias |
Más de 1 vez al año. |
Bajo el criterio de Impacto, el riesgo se debe medir a partir de las siguientes especificaciones:
|
NIVEL |
DESCRIPTOR |
DESCRIPCIÓN |
|
1 |
Insignificante |
Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad. |
|
2 |
Menor |
Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad. |
|
3 |
Moderado |
Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad. |
|
4 |
Mayor |
Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad |
|
5 |
Catastrófico |
Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad. |
Tabla de Impacto:
Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad al mismo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.
Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).
Las categorías relacionadas con el Impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías relacionadas con la Probabilidad son: Improbable, Raro, Esporádico, Probable y Casi Cierto.
Matriz de Calificación, Evaluación y Respuesta a los Riesgos
¿Cómo se valora el riesgo?
Acciones fundamentales para valorar el riesgo.
- Identificar controles existentes
- Verificar efectividad de los controles
- Establecer prioridades de tratamiento
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.
Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en:
· Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.
· Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.
El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica:
· Describirlos (estableciendo si son preventivos o correctivos).
· Revisarlos para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo.
· Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la matriz de Calificación, Evaluación y Respuesta a los riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado.
El resultado obtenido a través de la valoración del riesgo, es denominado también tratamiento del riesgo, ya que se “involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales acciones” así el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la selección de la opciones de tratamiento del riesgo, así:
“Evitar el riesgo”, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas.
Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
“Reducir el riesgo”, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles.
Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.
“Compartir o Transferir el riesgo”, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.
Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.
“Asumir un riesgo”, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo
Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina riesgo residual, éste se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos.
6. DOCUMENTOS ASOCIADOS
Matriz de Gestión de Riesgos
7. CONTROL DE CAMBIOS
Se identifican los cambios que ha tenido el documento
|
Fecha |
Versión |
Descripción del cambio |
Pagina |
Autor |
Aprobado |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
¿Encontraste fácilmente lo que estabas buscando?
|
