mismos, que no son otra cosa que los riesgos que se pueden presentar en el desarrollo de estos y que afectan negativamen-te los resultados de su gestión. (Descripción, causas y conse-cuencias).

A N A L I S I S A N A L I S I S A N A L I S I S A N A L I S I S

D E L O S D E L O S D E L O S D E L O S R I E S G O S R I E S G O S R I E S G O S R I E S G O S

El objetivo del análisis es estable-cer una valoración y priorización de los riesgos con base en la información obtenida en el forma-to de identificación de riesgos elaborados en la etapa de identifi-cación, con el fin de obtener da-tos para establecer el nivel de riesgo y las acciones que se van a implementar.

Consiste en: Evaluar el impacto que pueda provocar en caso de materializar-se.

Determinar la probabilidad de que ocurra el riesgo.

Evaluación del riesgo.

Tomar en cuenta el contexto de los controles existente.

Determinación del nivel del ries-go.

Es el proceso realizado por la dependencia que tiene como propósito :

�Identificar los riesgos a que esta expuesta en el desarrollo de sus actividades.

�Analizar los distintos factores que puedan provocarlos.

�Definir las estrategias que permitan controlarlos.

E T A P A S

I D E N T I F I -I D E N T I F I -I D E N T I F I -I D E N T I F I -C A C I Ó N C A C I Ó N C A C I Ó N C A C I Ó N

D E R I E S G OD E R I E S G OD E R I E S G OD E R I E S G O La etapa principal en la adminis-tración del riesgo es la identifica-ción de los riesgos a los cuales se expone la entidad, los proce-sos, el producto y/o servicios; debe ser el resultado de un ejer-cicio participativo en la entidad.

El conocimiento previo de la dependencia nos acercara más a la situación real de la misma, para conocer sus verdaderas debilidades y fortalezas.

Con tal dominio se determinará como primera medida los proce-sos que debe seguir la depen-dencia para desarrollar todas sus actividades.

Una vez definida la organización lógica de los procedimientos, se procede a determinar las causas o motivos que impiden el buen desarrollo y ejecución de los

A.IDENTIFICACIÓN DE RIESGO

B.ANÁLISIS DE LOS RIESGOS

C.PLANIFICACIÓN DE ACCIONES

D.SEGUIMIENTO

NIVEL DE IMPACTO

IMPACTO VALOR CARÁCTER

Bajo 1-2-3 No afecta la operación del proceso ni su desempeño.

Medio 4-5-6 Permite la operación del proceso, pero bajo condicio- nes de de - sempeño redu cido.

IMPACTO VALOR CARÁCTER

Alto 7-8-9-10 Afecta la

operación segura del proceso y/o involucra el incumplimien- to de regula- ciones exis- tentes. NIVEL DE PROBABILIDAD

FRECUENCIA VALOR CARACTER

Baja 1-2-3 Ha ocurrido una (1) vez en los últimos cinco (5) años.

Media 4-5-6 Ha ocurrido al menos una (1) vez en los ú l t i mos dos (2) años Alta 7-8-9-10| Ha ocurrido al menos una (1) vez en el último

semestre

¿ Q u é E S L A ¿ Q u é E S L A ¿ Q u é E S L A ¿ Q u é E S L A A D M I N I S T R AA D M I N I S T R AA D M I N I S T R AA D M I N I S T R A

C I O N D E L C I O N D E L C I O N D E L C I O N D E L R I E S G O ?R I E S G O ?R I E S G O ?R I E S G O ?

E L R I E S G O

Posibilidad de ocu-rrencia de aquella si-tuación que pueda entorpecer el normal desarrollo de las fun-ciones de la entidad y le impidan el logro de sus objetivos.

C O N T E N I D O :

El Riesgo 1

¿Qué es la administración del 1

Identificación del Riesgo 1

Análisis de loa Riesgos 1

Evaluación del Riesgo 2

Controles existentes 2

Planificación de las acciones para

enfrentar los Riesgos 2-3

Seguimiento 4

Modelo de Plan de Riesgo 4

Determinación del nivel del riesgo 2

Plan de Riesgos 3

Etapas 1

Nivel de impacto 1

Nivel de probabilidad 1

A D M I N I S T R A C I O N D E L R I E S G OA D M I N I S T R A C I O N D E L R I E S G OA D M I N I S T R A C I O N D E L R I E S G OA D M I N I S T R A C I O N D E L R I E S G O

Auditoría Interna del IPSFA Página 1

Los propósitos de la admi-nistración de riesgos contri-buyen al logro de las metas y objetivos de la entidad de una forma razonable

Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA

ACTIVIDAD

RIESGO

DESCRIPCION

CAUSA

CONSECUENCIA

EVALUACION DEL RIESGO Es el resultado automático, realizado mediante una formula matemática que resulta de la relación entre el impacto y la probabilidad, el cual puede ser alto o bajo. Multiplicadas estas dos calificaciones, grado de ocurrencia o frecuencia por la relevancia del riesgo, nos arro-ja una calificación o pondera-ción final por riesgo sobre una escala de 100 puntos donde se establece que a una mayor calificación mayor es el riesgo.

CONTROLES EXISTENTES

Son los mecanismos im-

plementados que permi-

ten mitigar la presencia

del riesgo

RIESGOS DE ATEN-

CION INMEDIATA Los riesgos de este cuadrante son clasificados como relevan-tes y de alta prioridad. Son riesgos críticos que amenazan el logro de las metas y objeti-vos Institucionales y por lo tanto pueden ser significativos por su grado de impacto y alta probabilidad de ocurrencia.

Cuando la evaluación de los controles

existentes es media:

- Si la evaluación del riesgo es baja, el nivel del riesgo es medio

- Si la evaluación del riesgo es media, el nivel del riesgo pudiera mantenerse en medio si su referencia marcadora es la probabilidad (Probabilidad alta - impacto bajo); si su referencia marcadora es el impacto (impacto alto – probabilidad baja) el nivel del riesgo pudiera ser alto.

- Si la evaluación del riesgo es alta, el nivel del riesgo es alto. Cuando la evaluación de los controles existentes es baja: Disminuye el nivel del riesgo

DETERMINACION DEL NIVEL

DEL RIESGO

Efectividad de los controles Cuando no existen controles:

La probabilidad de la ocurrencia es alta

Cuando los controles existentes no son

efectivos:

La probabilidad de la ocurrencia es alta

Cuando los controles existentes son efectivos, pero no están documenta-

dos:

La probabilidad de ocurrencia es media.

Cuando los controles son efectivos y

están documentados:

La probabilidad de ocurrencia es baja.

Nivel del Riesgo Cuando la evaluación de los controles

es alta.

Aumenta el nivel del riesgo.

F O R M A T O D E L A E V A L U A C I O N R I E S G O

P L A N I F I C A C I O N D E L A S A C C I O N E S P A R A E N F R E N T A R L O S

R I E S G O S

P á g i n a 2

L A C E R T E Z A D E L C O N O C I M I E N T O D E L O S L A C E R T E Z A D E L C O N O C I M I E N T O D E L O S L A C E R T E Z A D E L C O N O C I M I E N T O D E L O S L A C E R T E Z A D E L C O N O C I M I E N T O D E L O S

C O N T R O L E S E N L O S D I F E R E N T E S P R O C E S O S C O N T R O L E S E N L O S D I F E R E N T E S P R O C E S O S C O N T R O L E S E N L O S D I F E R E N T E S P R O C E S O S C O N T R O L E S E N L O S D I F E R E N T E S P R O C E S O S

O P T I M I Z A N L A T O M A D E D E C I S I O N O P T I M I Z A N L A T O M A D E D E C I S I O N O P T I M I Z A N L A T O M A D E D E C I S I O N O P T I M I Z A N L A T O M A D E D E C I S I O N

A u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F A

Es necesario tener certeza sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones. Los controles pueden ser: Preventivos: Actúan para eliminar las causas del riesgo y prevenir su ocurrencia. Reducen la probabilidad o el impacto. De detección: Actúan para descubrir riesgos que no fueron previstos y están afec-tando seriamente el proceso. Correctivos: Permiten el restablecimiento de la activi-dad después de detectar un evento no deseable, o tam-bién la modificación de las acciones causantes. Reducen el impacto.

Éstos deben ser reducidos o eliminados con un adecuado balanceo de controles preventi-vos y de detección, enfatizando los primeros. Por lo anterior, es necesaria la evaluación de los sistemas o procesos de control interno establecidos para el manejo de tales riesgos. Asimismo, éstos tendrán priori-

dad en la integración del Pro-grama Anual de Trabajo.

ACTIVIDAD

RIESGO

DESCRIPCION

CAUSAS

CONSECUENCIAS

IMPACTO

PROBABILIDAD

EVALUACION DEL

RIESGO

CONTROL EXISTENTE

VALORA-

CION DEL

RIESGO

EXISTE

DOCUMENTADO

APLICA

EFECTIVO

EVALAUCION DEL

CONTROL

NIVEL DEL RIESGO

Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA

ACCIONES DE CON-

TROL

Aplicaciones del manejo del Riesgo que permite reducir o prevenir Mecanismos Futuros que generan cambio por mejora-miento, rediseño o eliminación y optimización de los procedimien-tos.

El mapa de riesgos es una herra-mienta sistemática gerencial cuya entrada resultan ser los mayores riesgos a los cuales está expuesto un determinado proceso o la entidad propiamente dicha y que propone desarrollar las respuestas ante ellos, ten-dientes a evitar, reducir, transfe-rir o asumir el riesgo, mediante la aplicación de acciones, el moni-toreo de las mismas, además del cronograma y los indicadores

RESPONSABLES

CRONOGRAMAS

le otorgue al sistema de control del proceso de que se trate). El conocimiento y experiencia lo-grados de las auditorías y revi-siones de control realizadas en el transcurso del tiempo, propor-cionarán una base adecuada para la asignación de recursos en este tema. Los controles deben ser evalua-dos y mejorados para asegurar que este tipo de riesgos de alta probabilidad de ocurrencia sean detectados antes de que se materialicen. Estos riesgos, con-juntamente con los de atención inmediata son relevantes para el logro de las metas y objetivos

Institucionales y representan áreas de oportunidad para los responsables y la coordinación de control interno de la gerencia , en el sentido de que agrega valor a la gestión pública si son debidamente comunicados al mando directivo. Los riesgos ubicados en los cuadrantes I y II deben recibir prioridad alta en los Programas Anuales de Tra-bajo, para su oportuna atención.

RIESGOS DE ATENCION PERIODICA

Los riesgos que se ubican dentro de este cuadrante son significati-vos, pero su grado de impacto es menor que los correspondien-tes al cuadrante anterior. Para asegurar que estos riesgos man-tengan una probabilidad baja y sean administrados por la enti-dad o dependencia adecuada-mente, los sistemas de control correspondientes deberán ser evaluados sobre la base de in-tervalos regulares de tiempo (v.gr. una o dos veces al año, dependiendo de la “confianza o grado de razonabilidad” que se

P L A N I F I C A C I O N D E L A S A C C I O N E S P A R A E N F R E N T A R L O S R I E S G O S ( C o n t . . . )

P á g i n a 3

ES NECESARIO ES NECESARIO ES NECESARIO ES NECESARIO

INTRODUCIR LA INTRODUCIR LA INTRODUCIR LA INTRODUCIR LA

ADMINISTRACION ADMINISTRACION ADMINISTRACION ADMINISTRACION

DEL RIESGO DEL RIESGO DEL RIESGO DEL RIESGO

EN EL INSTITUTO EN EL INSTITUTO EN EL INSTITUTO EN EL INSTITUTO

COMO COMO COMO COMO

HERRAMIENTA HERRAMIENTA HERRAMIENTA HERRAMIENTA

DE TRABAJO DE TRABAJO DE TRABAJO DE TRABAJO

GERENCIALGERENCIALGERENCIALGERENCIAL

INDICADORES

Son una variable que permiten medir el funcionamiento, grado de ejecución y la evolución de las acciones de control imple-mentadas por los responsables de las dependencias para reducir el riesgo.

Señalan la situación real de cum-plimiento de las ACCIONES DE CONTROL QUE SE PROPUSIE-RON IMPLEMENTAR para evitar o disminuir el riesgo.

A u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F A

RIESGOS CONTROLADOS

Estos riesgos son al mismo tiempo poco pro-Estos riesgos son al mismo tiempo poco pro-bables y de bajo impacto.bables y de bajo impacto.

Ellos requieren de un seguimiento y control Ellos requieren de un seguimiento y control mínimo, a menos que una evaluación de ries-mínimo, a menos que una evaluación de ries-gos posterior muestre un cambio sustancial, y gos posterior muestre un cambio sustancial, y éstos se trasladen hacia un cuadrante de éstos se trasladen hacia un cuadrante de mayor impacto y probabilidad de ocurrencia. mayor impacto y probabilidad de ocurrencia.

RIESGOS DE SEGUIMIENTO Los riesgos de este cuadrante son me-nos significativos pero tienen un alto grado de impacto. Los sistemas de con-trol que enfrentan este tipo de riesgos deben ser revisados una o dos veces al año, para asegurarse que están siendo administrados correctamente y que su importancia no ha cambiado debido a modificaciones en las condiciones inter-nas o externas de la dependencia o entidad.

PLAN DE RIESGOSPLAN DE RIESGOS

LA FORMULACION DE LOS INDICADORES PUEDE REALIZARSE EN FORMA CUALITATIVA O CUANTITATIVA, LA FORMULACION DE LOS INDICADORES PUEDE REALIZARSE EN FORMA CUALITATIVA O CUANTITATIVA, LA FORMULACION DE LOS INDICADORES PUEDE REALIZARSE EN FORMA CUALITATIVA O CUANTITATIVA, LA FORMULACION DE LOS INDICADORES PUEDE REALIZARSE EN FORMA CUALITATIVA O CUANTITATIVA,

PORCENTUAL O POR UNIDADES DE CUMPLIMIENTOPORCENTUAL O POR UNIDADES DE CUMPLIMIENTOPORCENTUAL O POR UNIDADES DE CUMPLIMIENTOPORCENTUAL O POR UNIDADES DE CUMPLIMIENTO

Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA

MODELO DE PLAN DE RIESGOSMODELO DE PLAN DE RIESGOSMODELO DE PLAN DE RIESGOSMODELO DE PLAN DE RIESGOS

P á g i n a 4 A u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F AA u d i t o r í a I n t e r n a d e l I P S F A

Descripción del Mapa de riesgos Actividad: Paso del proceso al cual se le esta aplicando las técnicas de Administración del Riesgo Riesgo: Posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de la realización de la actividad. Causas: Identificar el agente generador del riesgo Consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social administrati-vo, etc. Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo. Probabilidad: Entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de Frecuencia, si se ha materiali-zado (por ejemplo: Número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Evaluación del Riesgo: Resultado obtenido en la matriz de calificación y evaluación de riesgos. Controles existentes: Especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo. Valoración del Riesgo: Es el resultado de determinar la vulnerabilidad de la entidad al riesgo, luego de confrontar la evaluación del riesgo con los controles existentes. Acciones: Es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo. Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas. Cronograma: Son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. Indicadores: Se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas

Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA

s e g u i m i e n t o

Integrado por dos componentes. El monitoreo, que busca revisar en la organización como se esta realizando el manejo de los riesgos y la auto evaluación que lo realiza cada res-ponsable de las acciones en procura de determinar cuán efectivas son las acciones que esta implementando con el fin de contrarrestar el riesgo. 1. Monitoreo Luego de definido el plan de manejo de riesgos, se realizará monitoreo ya que estos representan amenaza permanente para la organización. Para evaluar la eficiencia en la implementación y desarrollo de las acciones de control, se hacen revisiones del plan de manejo de riesgos para establecer factores que influyan en la aplicación de las acciones preventivas. Responsables del monitoreo: Cada responsable del área articulado con la Coordinación de Control Interno de la Gerencia. Finalidad: Aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. Resultado: Los responsables del proceso con asistencia de la Coordinación de Control Interno de la gerencia, comunicarán a los jefes o jefas de las respectivas áreas los hallazgos y sugerencias para el mejoramiento y tratamiento de los riesgos detectados. 2. Auto evaluación El plan de manejo de riesgos debe evaluarse con base en los indicadores de gestión diseñados para este fin y en los resultados del monitoreo apli-cados. La evaluación no es la última etapa del proceso, sino que a través de ella se obtiene información valiosa para: - Reformular el plan de manejo de riesgos. - Agregar las acciones para combatir los nuevos riesgos detectados. - Generar dentro de las áreas un ambiente de compromiso, pertenencia y autocontrol. - Posibilitar a través de la retroalimentación el mejoramiento en el logro de los objetivos institucionales.

VALORNIVEL DE

IMPACTOVALOR

NIVEL DE

PROBABILI

DAD

VALORNIVEL DE

EVALUACION

RIESGO

CAUSAS

IMPACTO PROBABILIDAD EVALUACION DEL

RIESGO

CRONOGRAMA

Fecha de

Implementación

CONTROLES

EXISTENTES

ACCIONES

VALORACION

DEL RIESGO

RESPONSABLE

ACTIVIDAD

CONSECUENCIAS

DESCRIPCION

PAGINA:

MAPA DE RIESGOS

FECHA DE ACTUALIZACION:

PROCESO:

OBJETIVO DEL PROCESO:

CONTROL INTERNO

L