administracion de riesgos. obligatoriedad de aplicaciÓn de la norma
TRANSCRIPT
ADMINISTRACION DE RIESGOS
OBLIGATORIEDAD DE APLICACIÓN DE LA NORMA
NORMA DEBES DE LA NORMA
(NTC GP 1000:2009) Numeral 4 Sistema de Gestión de laCalidad 4.1 RequisitosGenerales Literal g)
La entidad DEBE establecercontroles sobre los riesgosidentificados y valorados quepuedan afectar la satisfaccióndel cliente y el logro de losobjetivos de la entidad.
(NTC GP 1000:2009) Numeral5. Revisión por la Dirección.5.6.2 Información de entradapara la revisión. Literal h)
La información de entrada parala revisión por la dirección DEBEincluir: h)los resultados de lagestión realizada sobre losriesgos identificados para laentidad, los cuales deben estaractualizados
(NTC GP 1000:2009) 8.2.3Seguimiento y medición de losprocesos
Como resultado del seguimientode la medición y seguimiento delos procesos, DEBEN llevarse acabo correcciones, accionespreventivas y/o correctivas,según sea conveniente.
RIESGO
Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.
Autogestión
AutocontrolAutorregulación
PRINCIPIOS MECI
Capacidad de cada una de las organizacionespara desarrollar y aplicar en su interiormétodos, normas y procedimientos quepermitan el desarrollo, implementación yfortalecimiento continuo del Sistema deControl Interno, en concordancia con lanormatividad vigente.
Capacidad de toda organización pública parainterpretar, coordinar, aplicar y evaluar demanera efectiva, eficiente y eficaz la funciónadministrativa que le ha sido asignada por laConstitución, la ley y sus reglamentos.
Capacidad que deben desarrollar todos ycada uno de los servidores públicos de laorganización, independientemente de su niveljerárquico, para evaluar y controlar sutrabajo, detectar desviaciones y efectuarcorrectivos de manera oportuna para eladecuado cumplimiento de los resultados quese esperan en el ejercicio de su función
ADMINISTRACIÓN DEL RIESGO
Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.
OBJETIVOS ESPECIFICOS DE LA ADMINISTRACIÓNDEL RIESGO
Contribuir a través de la administración de riesgos a mantener la estabilidad de la Gobernación de Boyacá no solo en el ámbito Regional si no Nacional.
Generar una visión sistémica acerca de la administración, manejo y evaluación del riesgo mediante el desarrollo de procesos de formación y capacitación que posibiliten el conocimiento suficiente a los servidores para la ejecución eficiente de sus tareas.
Identificar en los procesos los eventos que afecten el logro de los objetivos.
Proteger los recursos del estado, asignados a la Gobernación de Boyacá, resguardándolos contra la materialización de los riesgos.
Involucrar y comprometer a todos los servidores de la institución en la búsqueda de acciones efectivas encaminadas a prevenir y administrar los riesgos.
Asegurar el cumplimiento de la Constitución Política, las leyes y demás regulaciones dentro de la Gobernación
ESTRUCTURA DEL COMPONENTE ADMINISTRACION DE RIESGOS
Contexto estratégico
Identificación de Riesgos
Análisis de Riesgos
Valoración de Riesgos
1. POLITICAS DE ADMINISTRACION
DEL RIESGO
Análisis de los aspectos externos o
internos que implican exposición al riesgo.
Medidas de respuesta ante el riesgo identificado.
Incluye objetivos, estratégias y acciones a seguir para una buena
administración de riesgo .
Estimación del grado de exposición de la
entidad ante los riesgos.
Reconocimiento de situaciones de riesgo, o
los riesgos que afectan el cumplimiento de los
objetivos de la entidad.
2.IDENTIFICACION DEL RIESGO.
3. ANALISIS Y VALORACION DEL RIESGO
Primer Elemento
Políticas de Administración de Riesgo
Objetivos que se esperan lograr
Estrategias como se van a desarrollar a largo, mediano y corto plazo
Los Riesgos que se van a controlar
Acciones a desarrollar (tiempo, recursos, responsables y talento humano requerido)
El seguimiento y evaluación a su implementación y efectividad
ENTIDAD
IDENTIFICACIÓN EVENTOS ASOCIADOS
ProcesoActividad
IDENTIFICACIÓN EVENTOS ASOCIADOS
ProcesoActividad
EXPOSICIÓN AL RIESGO
FACTORES INTERNOSAmbiente de Control
Estructura OrganizacionalModelo de Operación
Cumplimiento Planes y Programas
Norma que regula la Entidad Proyectos
Recursos Humanos y Económicos
FACTORES INTERNOSAmbiente de Control
Estructura OrganizacionalModelo de Operación
Cumplimiento Planes y Programas
Norma que regula la Entidad Proyectos
Recursos Humanos y Económicos
FACTORES EXTERNOSEntorno;
Político - EconómicoLegal – Cultural
Tecnológico – Ambiental – PQR Grupos de Interés –
Competencia - catástrofes
FACTORES EXTERNOSEntorno;
Político - EconómicoLegal – Cultural
Tecnológico – Ambiental – PQR Grupos de Interés –
Competencia - catástrofes
CONTEXTO ESTRATÉGICO
OBJETIVOS
2. ELEMENTO: IDENTIFICACION DEL RIESGO
VERSIÓN: 1
CÓDIGO: DM-P14-F02
FECHA: 30/Oct/2014
dificultades para tramitar el combustible para los desplazamiento requeridos.
Bloqueo de Vias
Dificultades en la gestión de documentosespecialmente en las dinámicas de contrataciónasociadas a la unidad de criterio Falta de celeridad en la gestión de los recursos paracumplir con las actividades del proceso
Problemas orden público Tecnología :
Dificultad en el acceso de las comunicaciones
Falta de recursos de ultima tecnologia para elmanejo de la emisora institucional
Procesos :
Sociales :
FA
CT
OR
ES
EX
TE
RN
OS
Económicos :
FA
CT
OR
ES
IN
TE
RN
OS
Infraestructura :
Medioambientales:
FIRMA RESPONSABLE DE PROCESO: _______________________________________________________
RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO FECHA DE REGISTRO 24 DE JUNIO DE 2015
OBJETIVO: Generar estrategias eficaces de comunicación interna y externa, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental; a partir de la producción de mensajes institucionales emitidos a través de medios de
PROCESO: COMUNICACIÓN PUBLICA
Tecnológicos :
FORMATO
CONTEXTO ESTRATÉGICO
Personal :
Políticos:
¿Que puede suceder?¿Debido a?
FUNCION CONSTITUCIONAL Y
LEGALCUMPLIMIENTO MISION Y
OBJETIVOSDEFINIR PROCESOS
CONOCER OBJETIVO DEL PROCESO
CAUSAS EFECTOS
ENTIDAD
RIESGOS
IDENTIFICACION DE RIESGOS
DESCRIBIRLOS
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
•Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
Riesgos de Corrupción: Posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano, intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.
CLASES DE RIESGOS
VERSIÓN: 1
CÓDIGO: DM-P14-F03
FECHA: 30/Oct/2014
Falta de comunicación oportuna de la agenda del Gobernador
Inoportunidad en a atención del cubrimiento de los eventos a los que el Gobernados asiste
No tener en en cuenta ala oficina de prensa informada a tiempo para el correspondiente trámite de desplazamiento y puntualidad
No informar oportunamente a losmedios y comunidad en general.
Falta de cumplimiento de los medios de comunicación para allegar documentos en las fechas asignadas
Medios de comunicación sin pauta publicitaria
El no cumplimiento de las fechas establecidas para radicacion de los documentos, no permite la inscripción de medios
No dar a conocer la gestión delseñor Gobernador en la zona deimpacto de determinado medo.
FORMATO
IDENTIFICACIÓN DE RIESGOS
PROCESO: COMUNICACIÓN PUBLICA
OBJETIVO: Generar estrategias eficaces de comunicación interna y externa, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental; a partir de la producción de mensajes institucionales emitidos a través de medios de información institucional, comercial y alternativos de impacto regional y nacional.
FECHA DE REGISTRO: 24 DE JUNIO DE 2015
CAUSA(Debido a)
RIESGO(Puede Suceder)
DESCRIPCION DEL RIESGOCONSECUENCIAS POTENCIALES
(Lo que podría ocasionar)
FIRMA RESPONSABLE DE PROCESO ________________________________________________
RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO
Tercer Elemento Análisis y Valoración del Riesgos
Pasos claves en el análisis de riesgos:
- Determinar probabilidad - Determinar consecuencias - Calificación del Riesgo - Estimar el nivel del riesgo
Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.
La Calificación del Riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. La primera representa el número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la magnitud de sus efectos.
La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios definidos para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, o intolerables y fijar las prioridades de las acciones requeridas para su tratamiento.
CLASIFICACION DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCION FRECUENCIA
1 RaroEl evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 5 años.
2 ImprobableEl evento puede ocurrir en algún momento
Al menos de 1 vez en los últimos 5 años.
3 PosibleEl evento podría ocurrir en algún momento
Al menos de 1 vez en los últimos 2 años.
4 ProbableEl evento probablemente ocurrirá en la mayoría de las circunstancias
Al menos de 1 vez en el último año.
5 Casi SeguroSe espera que el evento ocurra en la mayoría de las circunstancias
Más de 1 vez al año
CLASIFICACION DEL IMPACTO
NIVEL DESCRIPTOR DESCRIPCION
1 InsignificanteSi el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.
2 MenorSi el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.
3 ModeradoSi el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.
4 MayorSi el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad
5 CatastróficoSi el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.
Nivel Impacto de confidencialidad
en la In
formación (1)
Impacto de Credibilidad o
Imagen (2)
Impacto Legal (3)
Impacto Operativo (4)
1 Personal Grupo de Funcionarios
Multas Ajustes a una actividad concreta
2 Grupo de Trabajo Todos los funcionarios
Demandas Cambios en Procedimientos
3 Relativa al Proceso
Usuarios de una ciudad
Investigaciones Disciplinarias
Cambios en Interacción de los Procesos
4 Institucional Usuarios de una región
Investigación Fiscal
Intermitencia en el servicio
5 Estratégica Usuarios del País Intervención - Sanción
Paro total del Proceso
Para determinar el impacto, se pueden utilizar las siguientes tablas que representanlos temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado.
PROBABILIDAD
VALOR
IMPACTO
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
Raro 1 Aceptable Aceptable Tolerable Moderado Moderado
Improbable 2 Aceptable Aceptable Tolerable Moderado Intolerable
Posible 3 Aceptable Tolerable Moderado Intolerable Intolerable
Probable 4 Tolerable Moderado Moderado Intolerable Intolerable
Casi Seguro 5 Moderado Moderado Intolerable Intolerable Intolerable
Matriz de Calificación, Evaluación y Respuesta a los Riesgos
VERSIÓN: 1
CÓDIGO: DM-P14-F04
FECHA: 30/Oct/2014
Probabilidad Impacto
551 Operativo Inoportunidad en a atención delcubrimiento de los eventos a los queel Gobernados asiste
Casi Seguro (5) Menor (2)
Confidencialidad en la Información (4)
Credibilidad o Imagen (4)
Zona de Riesgo Alta (Impacto Moderado
Asumir el riesgo, reducir el riesgo, evitar el riesgo, compartir el
riesgo, transferir el riesgo
553 Operativo Medios de comunicación sin pauta publicitaria
Casi Seguro (5) Insignificante (1)Confidencialidad en
la Información (2)Zona de Riesgo Alta (Impacto Moderado
Asumir el riesgo, reducir el riesgo, evitar el riesgo, compartir el
riesgo, transferir el riesgo
FORMATO
ANÁLISIS DE RIESGOS
PROCESO: COMUNICACIÓN PUBLICA
OBJETIVO: Generar estrategias eficaces de comunicación interna y externa, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental; a partir de la producción de mensajes institucionales emitidos a través de medios de información institucional, comercial y alternativos de impacto regional y nacional.
RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO FECHA DE REGISTRO: 24 de Junio de 2015
Medidas de Respuesta
FIRMA RESPONSABLE DE PROCESO ________________________________________________________
No de Riesgo
Tipo de Riesgo Riesgo
Calificación
Tipo ImpactoEvaluacuión Zona de
Riesgo
Este primer análisis del riesgo se denomina Riesgo Inherente y se define como aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto.
VALORACION DEL RIESGO
Acciones fundamentales para valorar el riesgo: Identificar controles existentes Verificar efectividad de los controles Establecer prioridades de tratamiento. Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en: Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable;
también permiten la modificación de las acciones que propiciaron su ocurrencia. El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica: Describirlos (estableciendo si son preventivos o correctivos). Revisarlos: para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido
efectivos para minimizar el riesgo. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado.
Algunos ejemplos de tipos de control
Controles de Gestión
Políticas claras aplicadas
Seguimiento al plan estratégico y operativo
Indicadores de gestión
Tableros de control
Seguimiento a cronograma
Evaluación del desempeño
Informes de gestión
Monitoreo de riesgos
Controles Operativos
Conciliaciones
Verificación de firmas
Consecutivos
Listas de chequeo
Registro controlado
Segregación de funciones
Niveles de autorización
Custodia apropiada
Procedimientos formales aplicados
Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Aseguramiento y Calidad
Controles Legales Normas claras y aplicadas
Control de términos
PARAMETROS CRITERIOSTIPO DE CONTROL
PUNTAJESPROBABILIDAD IMPACTO
Herramientas para ejercer el control
Posee una herramienta para ejercer el control. 15Existen manuales, instructivos o procedimientos para el manejo de la herramienta 15En el tiempo que lleva la herramienta ha demostrado ser efectiva. 30
Seguimiento al control
Están definidos los responsables de la ejecución del control y del seguimiento. 15La frecuencia de ejecución del control y seguimiento es adecuada. 25
100
RANGOS DE CALIFICACIÓN DE LOS
CONTROLES
DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA EN LA
MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS
CUADRANTES A DISMINUIR EN LA PROBABILIDAD
CUADRANTES A DISMINUIR EN EL IMPACTO
Entre 0-50 0 0
Entre 51-75 1 1Entre 76-100 2 2
Cómo se valoran los Controles?
PROBABILIDAD
VALOR
IMPACTO
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
Raro 1 Aceptable Aceptable Tolerable Moderado Moderado
Improbable 2 Aceptable Aceptable Tolerable Moderado Intolerable
Posible 3 Aceptable Tolerable Moderado Intolerable Intolerable
Probable 4 Tolerable Moderado Moderado Intolerable Intolerable
Casi Seguro 5 Moderado Moderado Intolerable Intolerable Intolerable
Zona de Riesgo Grado de Aceptación del
Riesgo
Color que identifica el Riesgo
Zona de Riesgo Baja
Riesgo Aceptable Color Azul
Zona de Riesgo Moderada
Riesgo Tolerable Color Amarillo
Zona de Riesgo Alta
Riesgo Moderado Color Naranja
Zona de Riesgo Extrema
Riesgo Intolerable Color Rojo
Matriz de Calificación, Evaluación y Respuesta a los Riesgos
Como se Interpreta
El resultado obtenido a través de la valoración del riesgo, es denominado también tratamiento del riesgo, toda vez que el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la selección de las opciones de tratamiento del riesgo, así:
OPCIONES DE TRATAMIENTO DE RIESGOS
PARA LA GOBERNACION DE BOYACA
Cuando Evitar el riesgo,
Si el riesgo se ubica en la Zona de Riesgo Moderada o Intolerable, debe evitarse la actividad que genera el riesgo, de lo contrario debe implementarse controles de prevención, para reducir la probabilidad del riesgo, o controles de protección para disminuir la gravedad, o Transferir el riesgo a través de pólizas de seguros u otras opciones que estén disponibles.
Cuando Reducir el riesgo,
Si el riesgo se encuentra en la Zona de Riesgo tolerable, necesitará Medidas de Control para llevarlos a la Zona de Riesgo Aceptable, aplicando Acciones Preventivas y/o Correctivas, tal como corresponda de acuerdo al plan de manejo para el tratamiento del riesgo incluido en el Mapa de por procesos.
Compartir o Transferir el riesgo,
Cuando el riesgo se encuentre en la Zona de Riesgo Intolerable, se debe tratar de transferir el riesgo y proteger a la entidad en caso de que éste se presente. Se trata entonces de un riesgo que necesitará Medidas de Control tal como corresponda de acuerdo al Plan de Manejo para el tratamiento del riesgo incluido en el Mapa de Riesgos Institucional y Mapa de Riesgos de corrupción.
Cuando Aceptar el Riesgo
Si el riesgo se ubica en la Zona de Riesgo Aceptable, permite a la entidad asumirlo, el riesgo se encuentra en un nivel que puede reducirse sin necesidad de tomarse otras Medidas de Control diferentes a las que posee, ya que la materialización de este tipo de riesgos, no representa un peligro elevado para la entidad, o partes interesadas.
Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina riesgo residual, éste se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos.
Probabilidad ImpactoPROBABILIDA
DIMPACTO
551Inoportunidad en a atención delcubrimiento de los eventos a los queel Gobernados asiste
Casi Seguro (5) Menor (2)
Zona de Riesgo Alta
(Impacto Moderado
Pagina WebEmisora de la Gobernación
Boletines Diarios Procedimiento CP-P-14
"Gestión, producción y difusion de piezas de comunicación
Gobernación de BoyacáFormatos CP-P14-F01, CP-P14-
F02, CP-P14-F03
Posible (3) Menor (2)Zona de Riesgo
Moderada Riesgo Tolerable Reducir el Riesgo
Se realizarán consejos de redacción semanalmente
donde se fijen los compromisos según
agenda del gobernador y fuentes a cubrir
02/Jul/2015-31/Dic/2015
Responsable de proceso y
profesionales (Comunicadores) del
proceso
Publicación en página web de la
gobernación y boletines diarios
correspondientes a las fechas
establecidas en el acta
553 Medios de comunicación sin pauta publicitaria
Casi Seguro (5) Insignificante (1)
Zona de Riesgo Alta
(Impacto Moderado
Procedimiento CP-P-07 "Registro Medios de
Comunicación"Formatos CP-P07-F01, CP-P07-
F02
Posible (3) Insignificante (1)Zona de Riesgo
Baja Riesgo Aceptable Aceptar el Riesgo
Envío correos a los medios recordando último plazo para inscripciones a
través del correo institucional
02/Jul/2015-31/Dic/2015 Responsable de Proceso
Correos enviados
Elaboró: Revisó: Aprobó:JUAN FERNANDO ROMERO ESPAÑOL GERMAN RICARDO GARCIA BARRERA JUAN CARLOS GRANADOS BECERRA
FICHA TECNICA
VERSIÓN: 0
CÓDIGO: CP-T-03
ACCIONES FECHAS EXTREMAS RESPONSABLENUEVA CALIFICACION
NUEVA EVALUACION
No. De RIESGO
RIESGO CONTROLESCALIFICACION
EVALUACION RIESGO
INDICADOR
RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO
MAPA DE RIESGOS POR PROCESO FECHA: 01/Jul/2015
PROCESO: COMUNICACIÓN PUBLICA
OBJETIVO: Generar estrategias eficaces de comunicación interna y externa, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental; a partir de la producción de mensajes institucionales emitidos a través de mediosde información institucional, comercial y alternativos de impacto regional y nacional.
FECHA DE REGISTRO: 24/Jun/2015
RIESGO SEGÚN
IMPACTO
OPCIONES DE MANEJO