proyecto de actualizacion de los mapas de riesgos de … · de los mapas de riesgos de la...
Post on 19-Sep-2018
220 Views
Preview:
TRANSCRIPT
PROYECTO DE ACTUALIZACION DE LOS MAPAS DE RIESGOS DE LA UNIVERSIDAD INDUSTRIAL
DE SANTANDER
BIENVENIDOS
13 DE ABRIL DE 2010 DIANA A. SALCEDO RESTREPO
ING. INDUSTRIAL
CONTENIDO1. Documentos de referencia
2. Marco legal
3. Objetivo general y específicos del Proyecto
4. Fases del Proyecto
5. Terminología
6. Objetivos de la Administración del Riesgo
7. Beneficios de la Administración del Riesgo
8. Insumos y productos de la Administración delRiesgo
9. Metodología
10. Preguntas
1. DOCUMENTOS DE REFERENCIA
• Guía de Administración del Riesgo –Departamento Administrativo de laFunción Pública. República De Colombia(DAFP)
• Manual para la Administración del RiesgoMSE.01
Versión 01 – 16/03/2009
• Norma Técnica de Calidad en la GestiónPublica NTC GP 1000:2009
2. MARCO LEGAL..
• Ley 87 de 1993, por la cual se establecennormas para el ejercicio del control internoen las entidades y organismos del Estado yse dictan otras disposiciones.
• Ley 489 de 1998. ESTATUTO BASICO deOrganización y funcionamiento de laadministración pública.
• Decreto 2145 de 1999, por el cual se dictannormas sobre el Sistema Nacional deControl Interno de las Entidades yOrganismos de la Administración Pública delOrden Nacional y Territorial y se dictanotras disposiciones.
• Decreto 1537 de 2001, por el cual se reglamentaparcialmente la Ley 87 de 1993 en cuanto aelementos técnicos y administrativos que fortalezcanel sistema de control interno de las entidades yorganismos del Estado.
• Decreto 1599 de 2005, por el cual se adopta elModelo Estándar de Control Interno para el EstadoColombiano y se presenta el anexo técnico MECI1000:2005.
• Decreto 4485 del 18 de noviembre de 2009, el cualactualizó la Norma Técnica de Calidad en la GestiónPública GP 1000:2004 a la versión 2009.
2. MARCO LEGAL
3. OBJETIVO GENERAL DEL PROYECTO
• Fortalecer la implementación ydesarrollo de la política de laadministración del riesgo a través deladecuado tratamiento de los riesgospara garantizar el cumplimiento de lamisión y los objetivos institucionales.
3. OBJETIVOS ESPECIFICOS DEL PROYECTO..
• Llevar a cabo el proceso de actualizaciónde los Mapas de Riesgos de la Instituciónmediante la aplicación de un métodológico y sistemático para elestablecimiento del contexto,identificación, análisis, evaluación,tratamiento, monitoreo y comunicación delos riesgos.
• Facilitar a la Alta Dirección la toma dedecisiones y la planificación mediante unproceso de mejoramiento continuoenfocado en las buenas prácticas deAdministración del riesgo.
• Analizar los Riesgos, controles ymétodos de seguimiento existentes paradeterminar el estado y efectividad de losmismos.
• Verificar el avance en la implementaciónde los planes diseñados para dartratamiento a los riesgos de laInstitución.
• Contribuir a la planeación, gestión ycontrol de los procesos.
3. OBJETIVOS ESPECIFICOS DEL PROYECTO
4. FASES DEL PROYECTO..
• FASE 1
No. ACTIVIDAD DURACION
1
Taller de Actualización para líderes y facilitadores sobre elproceso de Administración del Riesgo, según lineamientosde la Guía de Administración del Riesgo (DAFP) / NormaTécnica Colombiana NTC 5254:2006
1 hr.
2
Revisión de la Metodología Actual (Documento de Ref.Manual para la Administración del Riesgo MSE.01 Versión 01– 2009)
1 hr.
3
Elaboración del Plan de Trabajo con los líderes del proceso(El cual contempla el desarrollo de las fases 2, 3 y 4,descritas a continuación)
30 min
No. ACTIVIDAD DURACION
1Evaluación de los controles establecidos y Seguimiento a losPlanes de Acción.
1 hr.
2Actualización del Contexto Estratégico, Organizacional y deAdministración del Riesgo.
2 hr.
FASE 2
FASE 3
No. ACTIVIDAD DURACION
1Identificación de los Riesgos de cada uno de los procesosde la Institución (Seguimiento y Actualización).
1 hr.
2Análisis de los Riesgos, determinación de los controles ycálculo del nivel del riesgo (Seguimiento y Actualización).
1.5 hr.
3Evaluación de los Riesgos y Establecimiento de los Planesde Acción para dar tratamiento a los riesgos prioritarios(Seguimiento y Actualización).
1.5 hr.
4. FASES DEL PROYECTO..
FASE 4
No. ACTIVIDAD DURACION
1 Monitoreo y Revisión (Revisión de Indicadores del Riesgo). 2 hr.
2Elaboración del Plan de Comunicaciones.
1 hr.
4. FASES DEL PROYECTO
FASE 1 TALLER DE ACTUALIZACION SOBRE EL
PROCESO DE ADMINISTRACIÓN DEL RIESGO
5.TERMINOLOGIA
ADMINISTRACION DE RIESGOS• Conjunto de elementos de control que al
interrelacionarse, permiten a la entidad públicaevaluar aquellos eventos negativos, tanto internoscomo externos, que pueden afectar o impedir ellogro de los objetivos institucionales o los eventospositivos, que permitan identificar oportunidadespara un mejor cumplimiento de su función.
Decreto 1599 del 20 de Mayo de 2005,artículo 5to de la Ley 87 de 1993 Modelo Estándar de Control interno
5.TERMINOLOGIA
ADMINISTRACION DE RIESGOS
• Conjunto de estrategias que a partir de los recursos(físicos, humanos y financieros), busca, en el cortoplazo mantener la estabilidad financiera de la empresaprotegiendo los activos e ingresos, y el largo plazo,minimizar las pérdidas ocasionadas por la ocurrenciade dichos riesgos.
• Ha sido contemplada como uno de los componentesdel Subsistema de Control Estratégico del MECI.
5. TERMINOLOGIA
ANALISIS DE BENEFICIO-COSTO
Herramienta de la Administración del Riesgo que lepermite al grupo evaluador, valorar y comparar loscostos financieros y económicos, de implementar lamedida, contra los beneficios generados por lamisma. Una medida de la Administración del Riesgoserá aceptada siempre que el beneficio valoradosupere al costo.
5. TERMINOLOGIACAUSA
Son los medios, circunstancias y agentes quegeneran los riesgos.
CONTROL
Es toda acción que tiende a minimizar los riesgos,significa analizar el desempeño de las operaciones,evidenciando posibles desviaciones frente alresultado esperado para la adopción de medidaspreventivas. Los controles proporcionan un modelooperacional de seguridad razonable en el logro delos objetivos.
5. TERMINOLOGIA
COSTO:
Se entiende por costo las erogaciones, directas eindirectas en que incurre la entidad en laproducción, prestación de un servicio o manejo deun riesgo.
FACTORES DE RIESGO:
Manifestaciones o características medibles uobservables de un proceso que indican la presenciade Riesgo o tienden a aumentar la exposición,pueden ser internos o externos a la entidad.
5. TERMINOLOGIA
IDENTIFICACION DEL RIESGO:
Establecer la estructura del riesgo; fuentes o factores,internos o externos, generadores de riesgos; puedehacerse a cualquier nivel: total de entidad por áreas,por procesos, incluso, bajo el viejo paradigma, porfunciones; desde el nivel estratégico hasta el máshumilde operativo.
IMPACTO:
Consecuencias que puede ocasionar a laOrganización materialización del riesgo.
5. TERMINOLOGIA
INDICADOR:
Es la valoración de una o más variables que informasobre una situación y soporta la toma de decisiones,es un criterio de medición y de evaluacióncuantitativa o cualitativa.
MAPAS DE RIESGOS:
Herramienta metodológica que permite hacer uninventario de los riesgos ordenada ysistemáticamente, definiéndolos, haciendodescripción de cada uno de estos y las posiblesconsecuencias.
5. TERMINOLOGIA
PLAN DE CONTINGENCIAParte del plan de manejo de riesgos que contiene lasacciones a ejecutar en caso de la materialización delriesgo, con el fin de dar continuidad a los objetivosde la entidad.
PLAN DE MANEJO DEL RIESGOPlan de acción propuesto por el grupo de trabajocuya evaluación de beneficio costo resulta positiva yes aprobado por la gerencia.
5. TERMINOLOGIA
PLAN DE MEJORAMIENTO
Parte del plan de manejo que contiene las técnicasde la administración del riesgo orientadas aprevenir, evitar, reducir, dispersar, transferir oasumir riesgos.
PROBABILIDAD
Una medida (expresada como porcentaje o razón)para estimar la posibilidad de que ocurra un incidenteo evento. Contando con registros, puede estimarse apartir de su frecuencia histórica mediante modelosestadísticos de mayor o menor complejidad.
5. TERMINOLOGIA
RETROALIMENTACION
Información sistemática sobre los resultadosalcanzados en la ejecución del plan, que sirven paraactualizar y mejorar la planeación futura.
RIESGO
Posibilidad de ocurrencia de toda aquella situaciónque pueda entorpecer el normal desarrollo de lasfunciones de la entidad y le impidan el logro de susobjetivos.
5. TERMINOLOGIA
RIESGO ABSOLUTO
El máximo riesgo sin los efectos mitigantes de laadministración del riesgo.
RIESGO RESIDUAL
Es el riesgo que queda cuando las técnicas de laadministración del riesgo han sido aplicadas.
SEGUIMIENTO
Recolección regular y sistemática sobre la ejecucióndel plan, que sirven para actualizar y mejorar laplaneación futura.
5. TERMINOLOGIA
SISTEMA
Conjunto de cosas o partes coordinadas,ordenadamente relacionadas entre sí, quecontribuyen a un determinado objetivo.
TECNICAS PARA MANEJAR EL RIESGO
Evitar o prevenir, reducir, dispersar, transferir yasumir riesgos.
VALORACION DEL RIESGO
Es el resultado de confrontar la evaluación delriesgo con los controles existentes.
6. OBJETIVOS DE LA ADMINISTRACION DEL RIESGO..
GENERAL
Fortalecer la implementación ydesarrollo de la política de laadministración del riesgo a través deladecuado tratamiento de los riesgos paragarantizar el cumplimiento de la misión yobjetivos institucionales de las entidadesde la Administración Pública.
ESPECIFICOS• Generar una visión sistémica acerca de la
administración y evaluación de riesgos,consolidado en un Ambiente de Controladecuado a la entidad y un DireccionamientoEstratégico que fije la orientación clara yplaneada de la gestión dando las bases para eladecuado desarrollo de las Actividades deControl.
• Proteger los recursos del Estado,resguardándolos contra la materialización de losriesgos.
6. OBJETIVOS DE LA ADMINISTRACION DEL RIESGO..
• Introducir dentro de los procesos y procedimientoslas acciones de mitigación resultado de laadministración del riesgo.
• Involucrar y comprometer a todos los servidores decualquier entidad de la Administración pública, en labúsqueda de acciones encaminadas a prevenir yadministrar los riesgos.
• Propender porque cada entidad interactúe con otras,para fortalecer su desarrollo y mantener la buenaimagen y las buenas relaciones.
• Asegurar el cumplimiento de normas, leyes yregulaciones.
6. OBJETIVOS DE LA ADMINISTRACION DEL RIESGO
7.BENEFICIOS DE LA ADMINISTRACION DEL RIESGO
• Menos sorpresas.• Aprovechamiento de Oportunidades.• Mejora de la planificación, el desempeño y la
eficacia• Economía y eficiencia.• Mejores relaciones con las partes involucradas.• Mejor información para toma de decisiones.• Mejor reputación.• Protección de la alta dirección.• Responsabilidad, aseguramiento y gobierno.• Bienestar social.
8. INSUMOS Y PRODUCTOS DE LA ADMINISTRACION DEL RIESGO
Componente: ADMINISTRACION DE RIESGOS
Elementos:
Contexto estratégicoIdentificación de riesgosAnálisis de riesgosValoración de riesgosPolíticas de administración de riesgos
SUBSISTEMA DE CONTROL ESTRATEGICO
Estructura organizacional flexible y efectiva
Modelo de Operación que garantice una gestión
efectiva
Planes y programas que regulen y orientan el
desarrollo de la función Institucional
Diagnóstico estratégico para la gestión de la
Entidad
Análisis de los aspectos externos e internos que
implican exposición al riesgo
Reconocimiento de situaciones de riesgo o los
riesgos que afectan el cumplimiento de los
objetivos de la Institución
Medida de respuesta ante los riesgos identificados
Políticas de administración de riesgos identificados
INSUMOS
PRODUCTOS
9. METODOLOGÍA
1. Nuestro Equipo de Trabajo
COMITÉ DE CALIDAD
COMITÉ PRIMARIO
RECTOR
Gerente del Proyecto
VICERRECTOR
ADMINISTRATIVO
Rpte. De la Dirección
DIRECTOR UA
Líderes de Procesos
FACILITADORES
PROFESIONAL DE
CALIDAD
CONSULTOR LIDER
PROFESIONAL DE
CALIDAD
No. ACTIVIDAD DURACION
1Evaluación de los controles establecidos y Seguimiento a losPlanes de Acción.
1 hr.
2Actualización del Contexto Estratégico, Organizacional y deAdministración del Riesgo.
2 hr.
FASE 2
9. METODOLOGÍA
2.1 CONTEXTO ESTRATÉGICO
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
9. METODOLOGÍA
2.1 Contexto EstratégicoA. ANALISIS DEL
ENTORNO (EXT)
* Social, económico,cultural, de ordenpúblico, político, legaly/o cambiostecnológicos, entreotros.
B. SITUACIONACTUAL DE LAENTIDAD (INT)Componentes de Ambientede Control, EstructuraOrganizacional, Modelo deOperación, *Cumplimientode los Planes y Programas,Sistemas de Información,Procedimientos y los
Recursos Económicos, entreotros.
1. Identificar los factoresexternos que puedanocasionar riesgos
2. Identificar los factoresinternos que puedenocasionar riesgos
3. Aportar informaciónque facilite y enriquezcalas demás etapas de laAdmon. Del Riesgo
TECNICA LLUVIA DE IDEAS
9. METODOLOGÍA
CONTEXTO ESTRATÉGICO
EC que permite establecer el lineamiento estratégico que orienta las decisiones de la Entidad Pública, frente a los
riesgos que generan eventos que originen oportunidades o
afecten el cumplimiento de su función, misión y objetivos
institucionales.
FASE 3
No. ACTIVIDAD DURACION
1Identificación de los Riesgos de cada uno de los procesosde la Institución (Seguimiento y Actualización).
1 hr.
2Análisis de los Riesgos, determinación de los controles ycálculo del nivel del riesgo (Seguimiento y Actualización).
1.5 hr.
3Evaluación de los Riesgos y Establecimiento de los Planesde Acción para dar tratamiento a los riesgos prioritarios(Seguimiento y Actualización).
1.5 hr.
9. METODOLOGÍA
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
2.1 CONTEXTOESTRATEGICO
9. METODOLOGÍA
2.2 Identificación de Riesgos..
IDENTIFICACION DE RIESGOS
EC que posibilita conocer los eventos potenciales, estén o no bajo control de la Institución,
que ponen en riesgo el logro de su Misión, estableciendo agentes
generadores, las causas y los efectos de su ocurrencia
ENTRADAS
A. Resultado del Análisis del Contexto Estratégico
B. Proceso de Planeación
C. Claridad de los Objetivos Estratégicos de la Entidad para la obtención de resultados
2. Describir los riesgos identificados con sus características
TECNICA
LLUVIA DE IDEAS
1. Determinar las causas (factores internos o externos) de las situaciones identificadas
3. Precisar los efectos que los riesgos puedan ocasionar a la entidad
FORMATO MAPA DE RIESGOS CI-FSE-18
SALIDAS9. METODOLOGÍA
CONTEXTO
ESTRATEGICO
2.2.1 Formato Mapa de Riesgos..
MAPA DE RIESGOS
PROCESO: OBJETIVO DEL PROCESO:
RiesgoQué puede
ocurrir?
Riesgo (Evento que puede afectar el logro del
objetivo)
DescripciónEn qué
consiste o cuáles son sus características
?
Agente generador(Sujeto u objeto con
capacidad para generar el riesgo)
Por qué se puede
presentar?Por qué ? Por qué?
Causas(Factores internos o
externos) Efecto /Consecuencias
(Cómo se reflejaen la entidad?)
consecuencias de la ocurrencia del riesgo sobre los objetivos de la
entidad
MAPA DE RIESGOS CI-FSE.18
9. METODOLOGÍA
Son los medios, las circunstancias y agentes generadores de riesgo
se pueden clasificar en cinco categorías:
personas, materiales, Comités, instalaciones y
entorno.
2.2.2 Clasificación de Riesgos..
RIESGOS ESTRATEGICOS
• Se asocia con la forma en que seadministra la Entidad
• Se enfoca en asuntos globalesrelacionados con la misión y el cumplimientode los objetivos estratégicos, y
• La clara definición de políticas, diseño yconceptualización de la entidad por parte dela alta gerencia.
9. METODOLOGÍA
RIESGOS OPERATIVOS
• Comprende los Riesgos relacionados tanto conla parte operativa como técnica de la Institución.
• Incluye Riesgos provenientes de:-Deficiencias en los sistemas de información,- En la definición de los procesos,- En la estructura de la entidad,- La desarticulación entre dependencias,
“Lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales”.
2.2.2 Clasificación de Riesgos..
9. METODOLOGÍA
RIESGOS FINANCIEROS
• Se relacionan con el manejo de los recursos de laentidad que incluye:
– La ejecución presupuestal
– La elaboración de los estados financieros
– Los pagos
– Manejos de excedentes de Tesorería
– Manejo sobre los bienes de cada entidad“De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda la
Universidad.
2.2.2 Clasificación de Riesgos..
9. METODOLOGÍA
RIESGOS DE CUMPLIMIENTO• Se asocian con la capacidad de la entidad para
cumplir con los requisitos legales,contractuales, de ética pública y en general consu compromiso ante la comunidad.
RIESGOS DE TECNOLOGIA• Se asocian con la capacidad de la Entidad para
que la tecnología disponible satisfaga lasnecesidades actuales y futuras de la entidad ysoporte el cumplimiento de la misión.
2.2.2 Clasificación de Riesgos..
9. METODOLOGÍA
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
2.1 CONTEXTOESTRATEGICO
9. METODOLOGÍA
2.3 Análisis del Riesgo..
ANALISIS DEL RIESGO
EC que permite establecer la probabilidad de ocurrencia de los
eventos (riesgos) positivos y/o negativos y el impacto de sus consecuencias
(efectos), calificándolos y evaluándolos a fin de determinar la capacidad de la
Institución para su aceptación y manejo
ENTRADAS
2. Describir los riesgos identificados con sus características
TECNICALLUVIA DE IDEAS
3. Precisar los efectos que los riesgos puedan ocasionar a la entidad
1. Determinar las causas (factores internos o externos) de las situaciones identificados
1. Establecer la probabilidad de ocurrencia de los riesgos, que puedan disminuir la capacidad inst. para cumplir su propósito
2. Medir el impacto, las consec. Del riesgo sobre las personas, los recursos o la coordinación de acciones necesarias para llevar el logro de los obj. Inst o el desarrollo de los procesos
3. Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes para su tratamiento
FORMATO MAPA DE RIESGOS CI-FSE-18
SALIDAS9. METODOLOGÍA
IDENTIFICACION DEL
RIESGO
2.3.1 Formato Mapa de Riesgos..
Impacto ProbabilidadEvaluación del
Riesgo
Probabilidad: Posibilidad de ocurrencia delriesgo y puede ser medida con criterios defrecuencia (si el riesgo se ha materializado)o factibilidad (teniendo en cuenta lapresencia de factores internos y externosque puedan propiciar el riesgo).
Impacto: Consecuencias que puedeocasionar a la Organización lamaterialización del riesgo.
Calificación del Riesgo: Se logra a travésde la estimación de la probabilidad deocurrencia y el impacto que puedecausar la materialización del riesgo.
Evaluación del Riesgo: Permitecomparar los resultados de sucalificación, con los criterios definidospara establecer el grado de exposiciónde la Institución al riesgo (Riesgosaceptables, tolerables, moderados,importantes o inaceptables) y fijar lasprioridades para su tratamiento
MAPA DE RIESGOS CI-FSE.18
9. METODOLOGÍA
2.3.2 Tabla de calificación de impacto..
Valor impacto Descripción
5 LevePérdidas de imagen y pérdidas económicas mínimas, sin lesiones
10 Moderado
Pérdidas de imagen y pérdidas económicas medias,
lesiones leves sin y con incapacidad
20 GravePérdidas de imagen, pérdidas económicas graves, victima
grave o muerte
9. METODOLOGÍA
2.3.3 Tabla de calificación de probabilidad..
Valor probabilidad Descripción
1 Baja
Puede ocurrir algunas veces o bajo
circunstancias excepcionales(P<=30%)
2 MediaPuede ocurrir
(P>30% y <=70%)
3 Alta
Probabilidad de ocurrencia en la
mayoría de circunstancias
(P>70%)
9. METODOLOGÍA
Probabilidad Valor
ALTA 3
15Zona de riesgoModeradoEvitar el riesgo
30Zona de riesgoImportanteReducir el riesgoEvitar el riesgoCompartir otransferir
60Zona de riesgoInaceptableEvitar el riesgoReducirCompartir o transferir
MEDIA 2
10Zona de riesgoTolerableAsumir el riesgoReducir el riesgo
20Zona de riesgoModeradoReducir el riesgoEvitar el riesgoCompartir otransferir
40Zona de riesgoImportanteReducir el riesgoEvitar el riesgoCompartir o transferir
BAJA 1
5Zona de riesgoAceptableAsumir el riesgo
10Zona de riesgoTolerableReducir el riesgoCompartir otransferir
20Zona de riesgoModeradoReducir el riesgoCompartir o transferir
IMPACTO LEVE MODERADO CATASTRÓFICA
VALOR 5 10 20
2.3.4 Matriz de Calificación, evaluación y respuesta a los riesgos..
9. METODOLOGÍA
2.6 Opciones de Manejo• Evitar el Riesgo: Tomar las medidas encaminadas a
prevenir su materialización.• Reducir el Riesgo: Implica tomar medidas
encaminadas a disminuir tanto la probabilidad(medidas de prevención), como el impacto(medidas de protección)
• Compartir o Transferir el Riesgo: Reduce suefecto a través del traspaso de las pérdidas a otrasOrganizaciones.
• Asumir un riesgo: Luego de que el riesgo ha sidoreducido o transferido puede quedar un riesgoresidual que se mantiene, en este caso el gerentedel proceso simplemente acepta la pérdidaresidual probable y elabora planes decontingencia.
9. METODOLOGÍA
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
2.1 CONTEXTOESTRATEGICO
9. METODOLOGÍA
2.4 Valoración del Riesgo..
VALORACIONDEL RIESGO
EC que determina el nivel o grado de exposición de la
institución al impacto del riesgo, permitiendo estimar las
prioridades para su tratamiento.
Es el producto de confrontar los resultados de la evaluación del
riesgo con los controles identificados
ENTRADAS
TECNICALLUVIA DE IDEAS
1. Identificación de los controles existentes para los riesgos identificados y analizados.
2. Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del riesgo con los controles existentes, a fin de establecer aquellos que puedan causar mayor impacto a la Ins. En caso de materializarse.
3.Mapa de Riesgos por proceso
FORMATO MAPA DE RIESGOS CI-FSE-18
FORMATO CONTROLES EXISTENTES CI-FSE-19
SALIDAS
1. Establecer la probabilidad de ocurrencia de los riesgos, que puedan disminuir la capacidad inst. para cumplir su propósito
2. Medir el impacto, las consec. Del riesgo sobre las personas, los recursos o la coordinación de acciones necesarias para llevar el logro de los obj. Inst o el desarrollo de los procesos
3. Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes para su tratamiento
9. METODOLOGÍA
ANALISIS DEL RIESGO
2.4.1 Tipos de Controles/Evaluación..
• Tipos de controles
– Correctivos
– Preventivos
• Evaluación de los controles
– ¿Los controles están documentados?
– ¿Se están aplicando en la actualidad?
– ¿Es efectivo para minimizar el riesgo?
9. METODOLOGÍA
• La información relacionada con los controles será registrada en el Formato Controles Existentes, FSE.19., el cual incluye los siguientes campos:
• Riesgo
• Control (Descripción)
• Tipo (Preventivo o Correctivo)
• Documentado (Si o No)
• Se está aplicando en la actualidad?
• Eficiencia (Según la cantidad de recursos utilizados)
• Eficacia (Permite cumplir con el objetivo para el cual fue diseñado?)
• Efectividad (Eficacia + Efectividad)
9. METODOLOGÍA
2.4.2 Valoración del Riesgo..
Controles Existentes Valoración
CONTROLES EXISTENTES CI-FSE.19
PROCESO:
RIESGO Tipo Documentado
MAPA DE RIESGOS CI-FSE.18
Control(Descripción)
Se está aplicando
en la actualidad?
EficienciaSegún la
cantidad de recursos utilizados
EficaciaPermite
cumplir con el objetivo para el
cual fue diseñado?
Efectividad
Eficacia + eficiencia)
2.4.3 Formato Mapa de Riesgos / Controles existentes..
Evaluación vs Controles = Nivel
9. METODOLOGÍA
La Calificación de la Eficiencia, Eficacia y Efectividad para los Controles
Existentes se debe hacer de acuerdo a la siguiente tabla, la cual estácontenida en el Formato FSE.19:
EFICIENCIA EFICACIA EFECTIVIDAD
ALTA (3): Los recursos utilizados son
mínimos
ALTA (3): Ha permitido el total cumplimiento del objetivo para
el cual fue diseñadoALTA (6)
MEDIA (2) MEDIA (2) MEDIA (4,5)
BAJA(1): Se utiliza una gran cantidad de
recursos
BAJA(1): No ha sido útil para dar cumplimiento al objetivo o
tan solo ha contribuido parcialmente .
BAJA (2,3)
9. METODOLOGÍA
2.4.4 Tabla de Efectividad..
2.4.5 Criterios para la Valoración de los riesgos..
Criterios Valoración
No existen controles Se mantiene el resultado de la evaluaciónantes de controles
Los controles existen pero no sonefectivos
Se mantiene el resultado de la evaluaciónantes de controles
Los controles existentes sonefectivos pero no estándocumentados
Cambia el resultado a una casilla inferiorde la matriz de evaluación antes decontroles (el desplazamiento depende desí el control afecta el impacto o laprobabilidad)
Los controles son efectivos y estándocumentados
Pasa a escala inferior (el desplazamientodepende de sí el control afecta el impactoo la probabilidad)
9. METODOLOGÍA
2.4.6 Ejemplo..
• Riesgo: pérdida de información.
• Causa: entrada de un virus en la red de la unidad.
• Probabilidad: Alta-3, todos los computadores estánconectados a la red de internet e intranet.
• Impacto: Grave-20, la pérdida de la información traeríaconsecuencias graves para los procesos.
• Evaluación de riesgo: de acuerdo a la matriz de calificación yevaluación sería de 60 y se encontraría en la zona de riesgoinaceptable.
9. METODOLOGÍA
2.4.6 Ejemplo..• Descripción de los controles
– Backup o copias de seguridad, semanales. Controlpreventivo (afecta la frecuencia)
– Vacunan todos los programas y equipos, diariamente.Control preventivo (afecta la frecuencia)
– Se guarda la información más relevante fuera de la red enun centro de información. Control preventivo (afecta elimpacto).
• Evaluación de los controles
– ¿Los controles están documentados? Si
– ¿Se están aplicando en la actualidad? Si
– ¿Es efectivo para minimizar el riesgo? Si
9. METODOLOGÍA
Probabilidad Valor
Alta 315
Moderado30
Grave60
Inaceptable
Media 210
Tolerable20
Moderado40
Grave
Baja 15
Aceptable10
Tolerable20
Moderado
Impacto Leve Moderado Catastrófica
Valor 5 10 20
2.4.6 Ejemplo
9. METODOLOGÍA
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
2.1 CONTEXTOESTRATEGICO
9. METODOLOGÍA
2.5 Políticas de Administración de Riesgos..
POLITICAS DE LA ADMINISTRACION DEL
RIESGO
EC que permite estructurar criterios orientadores en la toma
de decisiones, respecto al tratamiento de los riesgos y sus
efectos al interior de la Institución
ENTRADAS
TECNICALLUVIA DE IDEAS
1. Identifican las opciones para tratar y manejar los riesgos basadas en la valoración de riesgos.
2. Permiten tomar decisiones adecuadas y fijar lineamientos de la Admon. Del Riesgo
3.Trasmiten la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la institución
MANUAL DEL RIESGO MSE-01
SALIDAS
9. METODOLOGÍA
• Esta a cargo del Representante Legal y el Comitéde Coordinación de Control Interno (Comité deCalidad)
• Se basa en el Mapa de Riesgos Resultado delProceso de la Administración del Riesgo.
• La Política señala que debe hacerse para efectuarel control y la implementación de la misma,basándose en los planes estratégicos y losobjetivos institucionales por procesos.
2.5 Políticas de Administración de Riesgos
9. METODOLOGÍA
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
2.1 CONTEXTOESTRATEGICO
9. METODOLOGÍA
2.6 Opciones de Manejo• Evitar el Riesgo: Tomar las medidas encaminadas a
prevenir su materialización.• Reducir el Riesgo: Implica tomar medidas
encaminadas a disminuir tanto la probabilidad(medidas de prevención), como el impacto(medidas de protección)
• Compartir o Transferir el Riesgo: Reduce suefecto a través del traspaso de las pérdidas a otrasOrganizaciones.
• Asumir un riesgo: Luego de que el riesgo ha sidoreducido o transferido puede quedar un riesgoresidual que se mantiene, en este caso el gerentedel proceso simplemente acepta la pérdidaresidual probable y elabora planes decontingencia.
9. METODOLOGÍA
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
2.1 CONTEXTOESTRATEGICO
9. METODOLOGÍA
2.7 Elaboración del Mapa de Riesgos por proceso
EJERCICIO
9. METODOLOGÍA
2.2 IDENTIFICACIÓN
2.3 ANÁLISIS
2.4 VALORACIÓN
2.5 POLÍTICAS
2.6 OPCIONES Y PLAN DE MANEJO
2.7 MAPA DE RIESGOS
2.8 MONITOREO
ADMINISTRACIONDE RIESGO
2. Proceso de Actualización de los Mapas de Riesgos
2.1 CONTEXTOESTRATEGICO
9. METODOLOGÍA
No. ACTIVIDAD DURACION
1 Monitoreo y Revisión (Revisión de Indicadores del Riesgo). 2 hr.
2Elaboración del Plan de Comunicaciones.
1 hr.
FASE 4
9. METODOLOGÍA
2.8 Monitoreo..• Es esencial para asegurar que las acciones se
están llevando a cabo y evaluar la eficiencia de suimplementación adelantando revisiones sobre lamarcha para evidenciar todas aquellassituaciones o factores que puedan estarinfluyendo en la aplicación de las accionespreventivas.
• El monitoreo debe estar a cargo de losresponsables de los procesos y de la oficina deControl Interno.
9. METODOLOGÍA
2.8 Monitoreo..
• Su finalidad principal es la de aplicar y sugerir loscorrectivos y ajustes necesarios para asegurar unefectivo manejo del riesgo.
• La Oficina de Control Interno dentro de sufunción asesora comunicará y presentará luegodel seguimiento y evaluación sus resultados ypropuestas de mejoramiento y tratamiento a lassituaciones detectadas.
9. METODOLOGÍA
2.8 Monitoreo (Ejemplo)..
9. METODOLOGÍA
Probabilidad
de ocurrencia
1. Riesgo de industria2. Relaciones accionistas3. Cambios legales/regulatorios4. Desastre natural5. Delincuencia/terrorismo6. Manejo de comunidades7. Desarrollo de productos8. Riesgo de capacidad9. Fallas en el servicio10. Canales de comunicación11. Gobierno corporativo12. Dependencia de personal13. Relaciones laborales14. Disponibilidad de sistemas15. Seguridad de acceso16. Confiabilidad información Financiera17. Confiabilidad información de gestión18. Desastre natural - energía19. Desastre natural - otros20. Liderazgo21. Desempeño de personal22. Fraude – Robo de activos23. Manejo de tesorería24. Fraude Robo infraestructura
Impacto
1
2
3
Mu
y b
ajo
Med
io
9
4
24
7
8
10
13
11 12
14
15
18
20
19
22
23
Mu
y a
lto
Remoto Moderado Cierto
21
5
17
16
6
ProbablePoco probable
Bajo
Alt
o
123
Priorización de riesgos (Ejemplo) 2.8 Monitoreo
9. METODOLOGÍA
10. PREGUNTAS
GRACIAS
top related