Guia de Administracion de Riesgos PDF

Gua Administracin del Riesgo
Departamento Administrativo de la Funcin Pblica

Repblica de Colombia
1
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA
Fernando Grillo Rubiano DIRECTOR Carla Liliana Henao Carmona SUBDIRECTORA
Carlos Humberto Moreno Bermdez DIRECTOR DE EMPLEO PBLICO
Elber Elicer Rojas Mndez DIRECTOR DE DESARROLLO ORGANIZACIONAL
Martha Cecilia Martelo de Castro DIRECTORA DE CONTROL INTERNO Y RACIONALIZACIN DE TRMITES
Claudia Patricia Hernndez Len JEFE OFICINA ASESORA JURDICA
Alejandro Enrique Lobo Sagre JEFE OFICINA ASESORA DE PLANEACIN
Juan Manuel Corts Gaona JEFE OFICINA DE CONTROL INTERNO
Celmira Frasser Acevedo JEFE OFICINA DE SISTEMAS (E)
Bogot, D.C., junio de 2004 Segunda Edicin
ELABORACIN DE TEXTOS: Sol Beatriz Arango Ramrez Mara Andrea Palacio Palacio Gustavo Olaya Ferreira Luis Rogelio Bautista Cotrino Mara del Consuelo Arias Prieto ======== DISEO Y DIAGRAMACIN Gabriela Osorio Valderrama rea de Comunicaciones DAFP.
IMPRESIN: Imprenta Nacional de Colombia Junio de 2004
resentacin
Despus de dos aos de la publicacin de la Cartilla de Administracin del Riesgo y teniendo en cuenta las experiencias recogidas durante este tiempo, fruto de los espacios generados para debatir tan importante tema con entidades tanto del sector pblico como privado, es para el Departamento Administrativo de la Funcin Pblica muy grato presentar la actualizacin de la metodologa, acorde con el accionar de la administracin pblica y teniendo en cuenta los lineamientos internacionales que sobre el tema se aplican en la actualidad. Se espera que dicha gua sirva como complemento a la consolidacin de los Sistemas de Control Interno de las entidades y contribuya a la implementacin e interiorizacin de una cultura de Autocontrol y autoevaluacin que parta del proceso de planeacin y del cumplimiento de los objetivos estratgicos institucionales, de tal manera que los fines del Estado y los principios establecidos en la Constitucin Poltica de Colombia se cumplan a cabalidad.
El direccionamiento en la administracin del riesgo ayuda al conocimiento y mejoramiento de la entidad, contribuye a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindndole un manejo sistmico a la entidad. La consigna es que la administracin del riesgo sea incorporada al interior de las entidades como una poltica de gestin por parte de la alta direccin y cuente con la participacin y respaldo de todos los servidores pblicos; tarea que se facilitar con la implementacin de la metodologa aqu presentada lo cual permite establecer mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente estn expuestas y poder de esta manera fortalecer el sistema de control interno para lograr el ms alto grado de eficacia y eficiencia.
FERNANDO GRILLO RUBIANO Director
4
T
1 1.1 1.2 2. 3. 4. 4.1 4.2 4.2.1 4.2.2 4.2.3 4.3 4.3.1 4.3.2 4.3.3 4.4 5.
abla de contenido
OBJETIVOS DE LA ADMINISTRACIN DEL RIESGO ................. 9 GENERALES .............................................................................. 11 ESPECFICOS ............................................................................ 11 MARCO LEGAL ....................................................................... 13 MARCO CONCEPTUAL ........................................................... 17 METODOLOGA ....................................................................... 21 PLANEACIN DE LA ADMINISTRACIN DEL RIESGO .......... 24 VALORACIN DEL RIESGO .................................................... 24 Identificacin del riesgo ........................................................ 24 Anlisis del riesgo .................................................................... 27 Determinacin del nivel del riesgo ...................................... 29 MANEJO DEL RIESGO ............................................................. 30 Consideracin de Acciones ................................................. 30 Elaboracin del Mapa de Riesgos ....................................... 31 Implementacin de Acciones .............................................. 33 MONITOREO ............................................................................ 33 DEFINICIN DE TRMINOS ...................................................... 37 ANEXO I ................................................................................... 43 ANEXO II ................................................................................... 51 BIBLIOGRAFA .......................................................................... 63
6
ntroduccin
El estudio y manejo de los riesgos no es un tema nuevo, de alguna u otra forma, las entidades, negocios y grandes empresas han venido desarrollando planes, programas y proyectos tendientes a darle un manejo adecuado a los riesgos, con el fin de lograr de la manera mas eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar. Es as como se encuentra que existen diferentes formas de abordar el tema de los riesgos dependiendo del tamao de la entidad, los objetivos que persigue, la cultura administrativa, la complejidad de sus operaciones y la disponibilidad de recursos, entre otros. El riesgo es un concepto que se puede considerar fundamental, por su vnculo con todo el quehacer, casi se podra afirmar que no hay actividad de la vida, los negocios o de cualquier asunto que no incluya la palabra riesgo, es por ello que la humanidad desde sus inicios busc maneras de protegerse contra las contingencias y desarroll - al igual que la mayora de las especies animales - maneras de evitar, minimizar o asumir riesgos a travs de acciones preventivas1 .
ESTUPIN GAITN, Rodrigo, La gerencia de riesgo y el nuevo enfoque de control interno planteado por el COSO
Actualmente la direccin moderna concibi una disciplina denominada Administracin de riesgos o Gerencia de riesgos que es una funcin de muy alto nivel dentro de la organizacin para definir un conjunto de estrategias que a partir de los recursos (fsicos, humanos y financieros) busca, en el corto plazo mantener la estabilidad financiera de la empresa, protegiendo los activos e ingresos y, en el largo plazo, minimizar las prdidas ocasionadas por la ocurrencia de dichos riesgos. En este contexto, las entidades de la administracin pblica no pueden ser ajenas al tema de los riesgos y deben buscar como manejarlos partiendo de la base de su razn de ser y su compromiso con la sociedad; por esto se debe tener en cuenta que los riesgos no slo son de carcter econmico y estn directamente relacionados con entidades financieras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de cualquier gestin que se realice. Para efectos de esta gua, se va a considerar el riesgo como toda posibilidad de ocurrencia de aquella situacin que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos, por lo que se entrega a la administracin pblica como una herramienta que le permita a las instituciones hacer un manejo adecuado de los riesgos desde la planeacin y contribuir as al logro de los objetivos. La actualizacin de la Cartilla Gua Administracin del riesgo, es el resultado de la labor realizada por un grupo de trabajo de la Direccin de Control Interno y Racionalizacin de Tramites del Departamento Administrativo de la Funcin Pblica. Tiene por objeto fortalecer aspectos relevantes de la Funcin de la Administracin Pblica, enunciados en el artculo 209 de la Constitucin Poltica de Colombia, el artculo 3 de la Ley 489 de 1998 y el Decreto 1537 de 2001; adems de dar cumplimiento a los principios constitucionales de igualdad, moralidad, eficacia, economa, celeridad, imparcialidad y publicidad, mediante la descentralizacin, la delegacin y la desconcentracin de funciones, recordando que una de la finalidades sociales del Estado es el bienestar general y el mejoramiento de la calidad de vida de la poblacin, acorde con los enunciados contenidos en el artculo 366 de la Carta Magna y el artculo 4 de la Ley 489 de 1998. Pretende que el usuario de la gua pueda identificar, analizar y manejar permanentemente el riesgo, garantizando el cumplimiento de los objetivos institucionales, la supervivencia de la entidad y fortaleciendo continuamente la credibilidad de la misma ante el ciudadano.
1. OBJETIVOS DE LA ADMINISTRACIN DEL RIESGO
10
11
1.1 GENERALES
Facilitar el cumplimiento de la misin y objetivos institucionales de las entidades de la administracin pblica a travs de la prevencin y administracin de los riesgos.
1.2 ESPECFICOS
Generar una visin sistmica acerca de la administracin y evaluacin de riesgos, as como del papel de la alta y media gerencia en coordinacin con la Oficina de Control Interno, con relacin a los mismos. Proteger los recursos del Estado. Introducir dentro de los procesos y procedimientos la administracin del riesgo. Involucrar y comprometer a todos los servidores de cualquier entidad de la administracin pblica, en la bsqueda de acciones encaminadas a prevenir y administrar los riesgos. Propender porque cada entidad interacte con otras, para fortalecer su desarrollo. Asegurar el cumplimiento de normas, leyes y regulaciones.
12
13
2. MARCO LEGAL
14
1. 2. 3. 4.
Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones, artculo 2 literal a). Proteger los recursos de la organizacin, buscando su adecuada administracin ante posibles riesgos que los afectan. Artculo 2 literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organizacin y que puedan afectar el logro de los objetivos.
15
Ley 489 de 1998. ESTATUTO BSICO de Organizacin y funcionamiento de la administracin pblica.
Decreto 2145 de 1999, por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administracin pblica del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 del 2000.
Directiva presidencial 09 de 1999, lineamientos para la implementacin de la poltica de lucha contra la corrupcin.
5.
Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos tcnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado. Cuarto pargrafo. Son objetivos del sistema de control interno () definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones Artculo 3. El rol que deben desempear las oficinas de control interno () se enmarca en cinco tpicos () valoracin de riesgos. Artculo 4. Administracin de riesgos. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades publicas ().
6.
Decreto 188 de 2004, por el cual se modifica la estructura del Departamento Administrativo de la Funcin Pblica y se dictan otras disposiciones.
16
17
3. MARCO CONCEPTUAL
18
19
a administracin pblica al ocuparse de los fenmenos de organizacin y gestin, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administracin, para lo cual requiere estar en constante actualizacin y estar abierta al cambio y a la aplicacin de diferentes instrumentos que le permitan a las entidades ser cada vez ms eficientes, por lo que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en un momento determinado el cumplimiento de los objetivos institucionales. Por lo anterior, se hace necesario introducir el concepto de administracin del riesgo en las entidades, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamao y razn de ser estn permanentemente expuestas a diferentes riesgos que pueden poner en peligro su existencia. Desde la perspectiva del control, el modelo COSO interpreta que la eficiencia del control es la reduccin de los riesgos, es decir: el propsito principal del control es la eliminacin o reduccin de los riesgos, es lograr que el proceso y sus controles garanticen, de manera razonable que los riesgos estn minimizados o se estn reduciendo y por lo tanto, que los objetivos de la organizacin van a ser alcanzados2 . Para el caso de las organizaciones pblicas, dada la diversidad y particularidad de las entidades en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadana y compromiso social entre otros, es preciso identificar o precisar las reas, los procesos, los procedimientos, las instancias y controles dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la buena gestin y la ob tencin de resultados para tener un adecuado manejo del riesgo. Igualmente, es importante tener en cuenta que los riesgos estn determinados por factores de carcter externo, tambin denominados del entorno y factores de carcter interno. Entre los factores externos se destacan: la normatividad en la medida que se hace parte de un Estado social de derecho; a va de ejemplo se pueden mencionar cambios constitucionales como el de 1991; jurisprudenciales como los que se expresan en sentencias que declaran sin efecto normas que venan aplicndose y que en un momento determinado pueden afectar las funciones especficas de una entidad p2
PORTAL, Juan Manuel, Autoevaluacin del control, III Encuentro nacional de control interno, noviembre de 1997.
blica y por lo tanto sus objetivos. Tambin pueden mencionarse las reformas a la administracin y los constantes recortes presupuestales que afectan la capacidad de gestin de las entidades pblicas, lo cual sumado a la reduccin o eliminacin total del presupuesto de inversin, obliga a considerar en todo momento el riesgo en que incurre la entidad de no poder cumplir con su objeto social. Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como se vinculan las personas a la entidad, los intereses de los directivos, el nivel del talento humano, la motivacin y los niveles salariales, entre otros. Es as como se hace necesario adems de la identificacin de factores y riesgos en las entidades, su anlisis, valoracin e implementacin de un plan de manejo el cual se materialice en un mapa de Riesgos, al cual se le haga una evaluacin y monitoreo permanentes. Para llevar a cabo dicho proceso se considera importante sealar el papel de la Oficina de Control Interno, el cual es de dos clases, directo e indirecto: Rol directo: Liderar y coordinar el proceso de levantamiento de los Mapas de Riesgos institucionales y con base en ellos, realizar recomendaciones preventivas y/o correctivas con los responsables de los procesos. Igualmente, la Oficina de Control Interno debe hacer un monitoreo peridico y realizar seguimiento a la evolucin de los riesgos y al cumplimiento de las acciones propuestas, con el fin de verificar el cumplimiento de las mismas y proponer mejoras. Rol indirecto: Velar porque al interior de la entidad se implementen polticas de administracin del riesgo y se conformen equipos de trabajo que apoyen dicho proceso y propendan por que se implementen mecanismos reales para la administracin del riesgo. Igualmente el Decreto 1537 de 2001 en su artculo 4: Administracin de riesgos especifica que la identificacin y el anlisis del riesgo debe ser un proceso permanente e interactivo entre la administracin y las oficinas de control interno o quien haga sus veces con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las reas o procesos y dichas oficinas.3
20
DECRETO 1537 DE 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993
21
4. METODOLOGA
22
23
a metodologa presentada, contiene algunos pequeos ajustes que ms que cambios pueden considerarse complemento a la Gua entregada hace dos aos. Dichos ajustes, responden a la experiencia recogida durante la divulgacin de la cartilla anterior, a travs de talleres, asesoras directas a las entidades y la participacin en diferentes foros tanto con entidades del sector pblico, como empresas del sector privado que trabajan el tema desde hace varios aos. Las entidades de la administracin pblica tienen unos objetivos institucionales definidos por su norma de constitucin, los cuales deben desarrollar a travs de diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos se puede ver afectado por la presencia de riesgos, razn por la cual se hace necesario contar con una metodologa para administrar los mismos dentro de la organizacin. En este sentido y partiendo de la razn de ser de las entidades, la administracin del riesgo debe ser una poltica institucional definida y respaldada por la alta direccin que se comprometa a manejar el tema dentro de la organizacin. En el anexo II se adjunta un cuestionario que le va a facilitar a las entidades establecer cmo se encuentran respecto a la administracin del riesgo.
DIRECTRICES GENERALES
Las etapas sugeridas para una adecuada Administracin del Riesgo son las siguientes: Compromiso de la alta y media direccin: Para el xito en la Implementacin de una adecuada administracin del riesgo, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de definir las polticas y en segunda instancia de estimular la cultura de la identificacin y prevencin del riesgo. Para lograrlo es importante la definicin de canales directos de comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. Conformacin de un equipo de trabajo: Es importante conformar un equipo de trabajo que junto con la Oficina de Control Interno se encargue de liderar el proceso de admi-
nistracin del riesgo dentro de la entidad y cuente con un canal directo de comunicacin con la alta direccin. Dicho equipo lo deben integrar personas de diferentes reas que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos para que se facilite la administracin del riesgo y la construccin de los mapas de riesgos institucionales. Capacitacin en la metodologa: Definido el equipo o equipos de trabajo, debe capacitarse a sus integrantes en la metodologa de la administracin del riesgo, para lo cual se podr contar con el apoyo del Departamento Administrativo de la Funcin Pblica.
4.1
PLANEACIN DE LA ADMINISTRACIN DEL RIESGO
Como cualquier otro proceso institucional, la administracin del riesgo debe planearse y programarse de manera que haga parte de todo el quehacer de la entidad. Para el diseo de esta planeacin es fundamental tener claridad en la misin institucional, en sus objetivos y tener una visin sistmica de manera que no se perciba la administracin del riesgo como algo aislado. Igualmente es necesario conocer sobre el tema de riesgos y la metodologa propuesta. Dicha planeacin debe contener: Cundo va a empezar a manejarse el tema dentro de la entidad?, Quines van a participar directamente en el proceso? , Cundo van a realizarse las capacitaciones y a quin van a ir dirigidas? y Cmo se va a articular el tema dentro de la planeacin y con los procesos?, entre otros.
4.2
VALORACIN DEL RIESGO
La valoracin del riesgo consta de tres etapas: la identificacin, el anlisis y la determinacin del nivel del riesgo. Estas etapas son de singular inters para desarrollar con xito la administracin del riesgo e implementar una poltica al respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participacin de las personas que ejecutan los procesos para lograr que las acciones determinadas alcancen los niveles de efectividad esperados. 4.2.1 Identificacin del riesgo
24
El proceso de la identificacin del riesgo debe ser permanente e interactivo integrado al proceso de planeacin y debe partir de la
claridad de los objetivos estratgicos de la entidad para la obtencin de resultados. Previa la identificacin de los riesgos es importante tener en cuenta tal como se mencion anteriormente, los factores que pueden incidir en la aparicin de los mismos, los cuales pueden ser externos e internos y llegar a afectar la organizacin en cualquier momento. Debe considerarse adems de los factores previamente citados, factores externos relacionados con la entidad como son: econmicos, sociales, de orden pblico, polticos, legales y cambios tecnolgicos, entre otros y como factores internos: la naturaleza de las actividades de la entidad, la estructura organizacional, los sistemas de informacin, los procesos y procedimientos y los recursos econmicos. Para la identificacin se recomienda la aplicacin de varias herramientas y tcnicas como por ejemplo: entrevistas estructuradas con expertos en el rea de inters, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, anlisis de escenarios y hacer revisiones peridicas de factores econmicos y tecnolgicos que puedan afectar la organizacin, entre otros. Igualmente pueden utilizarse diferentes fuentes de informacin de la entidad, tales como registros histricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de aos anteriores, los cuales pueden proporcionar informacin importante, la tcnica utilizada depender de las necesidades y naturaleza de la entidad. Una manera de visualizar los riesgos es a travs de la utilizacin del formato de identificacin de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia los riesgos, posteriormente presentando una descripcin de cada uno de estos y finalmente definiendo las posibles consecuencias. Es importante centrarse en los riesgos ms significativos para la entidad.
25
Formato de identificacin de riesgos

RIESGO DESCRIPCIN POSIBLES CONSECUENCIAS
Riesgo: posibilidad de ocurrencia de aquella situacin que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Descripcin: se refiere a las caractersticas generales o las formas en que se observa o manifiesta el riesgo identificado. Posibles consecuencias: corresponde a los posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daos de tipo econmico, social, administrativo, entre otros. Clasificacin del riesgo Durante el proceso de identificacin del riesgo se recomienda hacer una clasificacin de los mismos teniendo en cuenta los siguientes conceptos4 : Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad por parte de la alta gerencia. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como tcnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de informacin, en la definicin de los procesos , en la estructura de la entidad, la desarticulacin entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupcin e incumplimiento de los compromisos institucionales. Riesgos de Control: Estn directamente relacionados con inadecuados o inexistentes puntos de control y en otros casos, con puntos de control obsoletos, inoperantes o poco efectivos. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, as como su interaccin con las dems reas depender en gran parte el xito o fracaso de toda entidad. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la comunidad.
26
Casals & Associates Inc, PriceWaterhouseCoopers, USAID, Documento Mapas de Riesgos, octubre 2003, p.6-7
Riesgos de Tecnologa: Se asocian con la capacidad de la Entidad para que la tecnologa disponible satisfaga las necesidades actuales y futuras de la entidad y soporten el cumplimiento de la misin. 4.2.2 Anlisis del riesgo
27
El objetivo del anlisis es el de establecer una valoracin y priorizacin de los riesgos con base en la informacin obtenida en el formato de identificacin de riesgos elaborados en la etapa de identificacin, con el fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar. El anlisis del riesgo depender de la informacin sobre el mismo, de su causa y la disponibilidad de datos. Para adelantarlo es necesario disear escalas que pueden ser cuantitativas o cualitativas. Se han establecido dos aspectos para realizar el anlisis de los riesgos identificados: Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque ste no se haya materializado. Impacto: consecuencias que puede ocasionar a la organizacin la materializacin del riesgo. A continuacin se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos. Anlisis cualitativo: se refiere a la utilizacin de formas descriptivas para presentar la magnitud de consecuencias potenciales y la posibilidad de ocurrencia. Se disean escalas ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada organizacin o el concepto particular del riesgo evaluado. Escala de medida cualitativa de PROBABILIDAD: se deben establecer las categoras a utilizar y la descripcin de cada una de ellas, con el fin de que cada persona que aplique la escala mida a travs de ella los mismos tems, por ejemplo: ALTA: es muy factible que el hecho se presente. MEDIA: es factible que el hecho se presente. BAJA: es muy poco factible que el hecho se presente.
Ese mismo diseo puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las categoras y la descripcin, por ejemplo: ALTO: Si el hecho llegara a presentarse, tendra alto impacto o efecto sobre la entidad MEDIO: Si el hecho llegara a presentarse tendra medio impacto o efecto en la entidad BAJO: Si el hecho llegara a presentarse tendra bajo impacto o efecto en la entidad Con base en los ejemplos anteriormente expuestos, los equipos de trabajo en coordinacin con los encargados de adelantar los procesos pueden construir sus propias escalas de acuerdo a la naturaleza de la entidad y a las caractersticas de los procesos y procedimientos, de forma que estas escalas se ajusten al anlisis de los riesgos identificados. Anlisis cuantitativo: Este anlisis contempla valores numricos para los cuales se pueden construir tablas; la calidad depende de lo exactas y completas que estn las cifras utilizadas. La forma en la cual la probabilidad y el impacto es expresada y las formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo. Ejemplo de escala de probabilidad: Probabilidad de ocurrencia 0 - 25 26- 70 71- 100 Nivel Baja Media Alta Calificacin 1 2 3
Al igual que para determinar las escalas cualitativas, el diseo de las escalas cuantitativas debe contar con la participacin de las personas encargadas de los procesos y con el grupo encargado de liderar la administracin del riesgo. Priorizacin de los riesgos Una vez realizado el anlisis de los riesgos con base en los aspectos de probabilidad e impacto, se recomienda utilizar la matriz de priorizacin que permite determinar cuales requieren de un tratamiento inmediato.
28
Matriz de priorizacin de riesgos
29
ALTA
BAJA
F R E C U E N C I A
A C
BAJO
B D
ALTO
IMPACTO
Cuando se ubican los riesgos en la matriz se define cules de ellos requieren acciones inmediatas, que en este caso son los del cuadrante B, es decir los de alto impacto y alta probabilidad. Los que no requieren acciones inmediatas (pero desde luego requieren que se formulen) son los ubicados en el cuadrante C bajo impacto y baja probabilidad. Respecto a los ubicados en las casillas A y D, es la entidad la que debe seleccionar de acuerdo a la naturaleza del riesgo cules va a trabajar primero, los de alto impacto pero baja probabilidad o los de alta probabilidad y bajo impacto, ya que estos pueden ser peligrosos para el logro de los objetivos institucionales, por las consecuencias que presentan en el caso de los ubicados en la casilla D, o por lo constante de su presencia en el caso de la casilla A. 4.2.3 Determinacin del nivel del riesgo
La determinacin del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad con los controles existentes al interior de los diferentes procesos y procedimientos que se realizan. Para adelantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener informacin para efectos de tomar decisiones, estos niveles de riesgo pueden ser: ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o unidad. (Impacto y probabilidad alta vs controles) MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto - probabilidad baja o Impacto bajo - probabilidad alta vs controles). BAJO: Cuando el riesgo presenta vulnerabilidad baja.( Impacto y probabilidad baja vs controles).
Un ejemplo de la determinacin del nivel del riesgo y del grado de exposicin al mismo: Riesgo: Perdida de informacin debido a la entrada de un virus en la red de informacin de la entidad. Probabilidad: Alta, porque todos los computadores de la entidad estn conectados a la red de Internet e intranet. Impacto: Alto, porque la perdida de informacin traera consecuencias graves para el quehacer de la entidad. Controles existentes: la entidad tiene establecidos controles semanales haciendo backup o copias de seguridad y vacunando todos los programas y equipos; adems guarda la informacin ms relevante desconectada de la red en un centro de informacin. Resultado Nivel de riesgo: Medio por los controles establecidos Lo anterior significa que a pesar de que la probabilidad y el impacto son altos confrontado con los controles, se puede afirmar que el nivel de riesgo es medio y por lo tanto las acciones que se implementen entrarn a reforzar los controles existentes y a valorar la efectividad de los mismos.
4.3
MANEJO DEL RIESGO
Cualquier esfuerzo que emprendan las entidades en torno a la valoracin del riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de los mismos. 4.3.1 Consideracin de Acciones
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender las cuales deben ser factibles y efectivas, tales como: la implementacin de polticas, definicin de estndares, optimizacin de procesos y procedimientos y cambios fsicos entre otros. Se pueden tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto. Evitar el riesgo: es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseo o eliminacin, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto
30
puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc. Reducir el riesgo: si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al ms bajo nivel posible. La reduccin del riesgo es probablemente el mtodo ms sencillo y econmico para superar las debilidades antes de aplicar medidas ms costosas y difciles. Se consigue mediante la optimizacin de los procedimientos y la implementacin de controles. Ejemplo: Planes de contingencia. Dispersar y atomizar el riesgo: Se logra mediante la distribucin o localizacin del riesgo en diversos lugares. Es as como por ejemplo, la informacin de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicacin segura, en vez de dejarla concentrada en un solo lugar. Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar plizas de seguros, esta tcnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. As mismo, el riesgo puede ser minimizado compartindolo con otro grupo o dependencia. Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la prdida residual probable y elabora planes de contingencia para su manejo. Una vez establecidas cuales de las anteriores opciones de manejo del riesgo se van a concretar, estas deben evaluarse con relacin al beneficio-costo para proceder a elaborar el mapa de riesgos, el cual permitir visualizar todo el proceso de valoracin, anlisis y manejo de los riesgos. 4.3.2 Elaboracin del Mapa de Riesgos
31
Para la consolidacin del Mapa de Riesgos, adicional a las consideraciones expuestas, es necesario identificar las causas que los pueden 5 ocasionar , lo cual facilita el proceso de definicin de acciones para mitigar los mismos. La seleccin de las acciones ms convenientes debe considerar la viabilidad jurdica, tcnica, institucional, financiera y econmica y se puede realizar con base en los siguientes factores:
Definidas estas como los medios, circunstancias y agentes que generan riesgos
a) b)
El nivel del riesgo El balance entre el costo de la implementacin de cada accin contra el beneficio de la misma.
As mismo en el Mapa de Riesgos se deben identificar los controles existentes, las reas o dependencias responsables de llevar a cabo las acciones, definir un cronograma y unos indicadores que permitan verificar el cumplimiento para tomar medidas correctivas cuando sea necesario. (Ver formato) MAPA DE RIESGOS Control Existente Nivel de Riesgo Causas Acciones Responsables Cronograma Indicadores
Riesgo
Impacto Probabilidad
Descripcin del Mapa de riesgos Riesgo: posibilidad de ocurrencia de aquella situacin que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Impacto: consecuencias que puede ocasionar a la organizacin la materializacin del riesgo. Probabilidad entendida como la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo aunque este no se haya presentado nunca. Control existente: especificar cul es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo. Nivel de riesgo: El resultado de la aplicacin de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes. Causas: Son los medios, circunstancias y agentes que generan los riesgos. Acciones: es la aplicacin concreta de las opciones del manejo del riesgo que entrarn a prevenir o a reducir el riesgo y harn parte del plan de manejo del riesgo.
32
Responsables: Son las dependencias o reas encargadas de adelantar las acciones propuestas. Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. Indicadores: se consignan los indicadores diseados para evaluar el desarrollo de las acciones implementadas. Finalmente, partiendo de que el fin ltimo de la administracin del riesgo es propender por el cumplimiento de la misin y objetivos institucionales, los cuales estn consignados en la planeacin anual de la entidad, se sugiere articular el mapa de riesgos con la planeacin de manera que no sean planes aislados sino complementarios. 4.3.3 Implementacin de acciones
33
Definido el Mapa de Riesgos con sus acciones, responsables y cronogramas, es fundamental comenzar a ejecutar dichas acciones con el fin de determinar su efectvidad en el menor tiempo posible.
4.5
MONITOREO
Una vez diseado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organizacin. El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y evaluar la eficiencia en su implementacin adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicacin de las acciones preventivas. El monitoreo debe estar a cargo de la Oficina de Control Interno y los responsables de las diferentes reas y su finalidad principal ser la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su funcin asesora comunicar y presentar luego del monitoreo, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas. A continuacin se presenta un diagrama que consolida todo el proceso de administracin del riesgo y puede facilitar la comprensin del mismo al momento de llevar a cabo la tarea de levantamiento del Mapa de Riesgos. (Ver pgina siguiente)
DIAGRAMA PROCESO DE ADMINISTRACIN DEL RIESGO LA ADMINISTRACIN DEL RIESGO COMO POLTICA INSTITUCIONAL
1. Identificar la Misin 2. Identificar objetivos estratgicos 3. Identificar procesos estratgicos 1. Definir objetivos en materia de administracin del riesgo 2. Diseo cronograma de actividades 3. Capacitacin en la metodologa
ETAPA 1 PLANEACION
Conocimiento general de la institucin
Diseo del plan
ETAPA 2 VALORACIN DEL RIESGO
Identificacin del riesgo
1. Identificacin de factores internos y externos 2. Diligenciamiento del formato de identificacin del Riesgo 3. Clasificacin de los riesgos 1. Medir impacto y probabilidad 2. Jerarquizar los riesgos acorde con la escala de medicin definida (comenzando por los de mayor impacto y probabilidad) 3. Seleccionar los riesgos de mayor impacto y probabilidad 1. Identificar los controles existentes para cada uno de los riesgos seleccionados 2. Confrontar el impacto y la probabilidad frente a los controles existentes 3. Seleccionar los riesgos de mayor incidencia para el cumplimiento de los objetivos
Anlisis del Riesgo
Determinacin del nivel de riesgo
34
DIAGRAMA PROCESO DE ADMINISTRACIN DEL RIESGO LA ADMINISTRACIN DEL RIESGO COMO POLTICA INSTITUCIONAL
35
ETAPA 3 MANEJO DEL RIESGO
Consideracin de Acciones
1. Estudio de posibles acciones para mitigar los riesgos 1. Definicin de las causas que propician los riesgos 2. Definicin de acciones para mitigar los riesgos 3. Anlisis costo beneficio de las acciones 4. Diligenciamiento del formato de Mapa de Riesgos 1. Ejecucin de los compromisos adquiridos 2. Seguimiento a las acciones por parte de los responsables 1. Definir los riesgos a los cuales se va a hacer seguimiento 2. Elaborar cronograma de seguimiento 3. Definicin de responsables del seguimiento 1. Revisin de los compromisos adquiridos para mitigar los riesgos seleccionados 2. Verificacin de la implementacin de las actividades 1. Consolidacin de la informacin 2. Presentacin de sugerencias y recomendaciones 3. Elaboracin del informe
Elaboracin del mapa de Riesgos
Implementacin de acciones
ETAPA 4 MONITOREO
Elaboracin del plan de seguimiento
Ejecucin del seguimiento
Presentacin de resultados y propuestas
36
37
5. DEFINICIN DE TRMINOS
38
Administracin de riesgos: Una rama de administracin que aborda las consecuencias del riesgo. Consta de dos etapas: i El diagnstico o valoracin, mediante Identificacin, Anlisis y determinacin del Nivel, y ii El manejo o la administracin propiamente dicha, en que se elabora, ejecuta y hace seguimiento al Plan de manejo que contiene las Tcnicas de Administracin del Riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta direccin. Anlisis de Beneficio-Costo: Una herramienta de Administracin de Riesgos usada para tomar decisiones sobre las tcnicas propuestas por el grupo para la administracin de los riesgos, en la cual se valoran y comparan los costos, financieros y econmicos, de implementar la medida, contra los beneficios generados por la misma. Una medida de administracin de riesgos ser aceptada siempre que el beneficio valorado supere al costo. Anlisis de riesgos: Determinar el Impacto y la Probabilidad del riesgo. Dependiendo de la informacin disponible pueden emplearse desde modelos de simulacin, hasta tcnicas colaborativas. Causa: Son los medios, circunstancias y agentes que generan los riesgos. Control: Es toda accin que tiende a minimizar los riesgos, significa analizar el desempeo de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopcin de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos. Costo: Se entiende por costo las erogaciones, directas e indirectas en que incurre la entidad en la produccin, prestacin de un servicio o manejo de un riesgo. Factores de riesgo: Manifestaciones o caractersticas medibles u observables de un proceso que indican la presencia de Riesgo o tienden a aumentar la exposicin, pueden ser internos o externos a la entidad. Identificacin de riesgos: Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por reas, por procesos, incluso, bajo el viejo paradigma, por funciones; desde el nivel estratgico hasta el ms humilde operativo.
39
Impacto: consecuencias que puede ocasionar a la organizacin la materializacin del riesgo. Indicador: es la valoracin de una o ms variables que informa sobre una situacin y soporta la toma de decisiones, es un criterio de medicin y de evaluacin cuantitativa o cualitativa. Mapas de riesgos: herramienta metodolgica que permite hacer un inventario de los riesgos ordenada y sistemticamente, definindolos, haciendo la descripcin de cada uno de estos y las posibles consecuencias Nivel de riesgo (determinacin del): Es el resultado de confrontar el impacto y la probabilidad, con los controles existentes. Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materializacin del riesgo, con el fin de dar continuidad a los objetivos de la entidad. Plan de manejo de riesgos: Plan de accin propuesto por el grupo de trabajo, cuya evaluacin de beneficio costo resulta positiva y es aprobado por la gerencia. Plan de mejoramiento: Parte del plan de manejo que contiene las tcnicas de administracin del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos. Probabilidad: Una medida (expresada como porcentaje o razn) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histrica mediante modelos estadsticos de mayor o menor complejidad. Responsables: Son las dependencias o reas encargadas de adelantar las acciones propuestas. Retroalimentacin: Informacin sistemtica sobre los resultados alcanzados en la ejecucin de un plan, que sirven para actualizar y mejorar la planeacin futura. Riesgo: posibilidad de ocurrencia de toda aquella situacin que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Riesgo absoluto: el mximo riesgo sin los efectos mitigantes de la administracin del riesgo.
40
Riesgo residual: es el riesgo que queda cuando las tcnicas de administracin del riesgo han sido aplicadas. Seguimiento: Recoleccin regular y sistemtica sobre la ejecucin del plan, que sirven para actualizar y mejorar la planeacin futura. Sistema: Conjunto de cosas o partes coordinadas, ordenadamente relacionadas entre s, que contribuyen a un determinado objetivo. Tcnicas para manejar el riesgo: Evitar o prevenir, reducir, dispersar, transferir y asumir riesgos. Valoracin del riesgo: Primera fase en la administracin de riesgos, diagnstico que consta de la identificacin, anlisis y determinacin del nivel de riesgo.
41
42
43
ANEXO I
EJEMPLO SOBRE LA APLICACIN DE LA ADMINISTRACIN DEL RIESGO
Metodologa utilizada por una oficina para la elaboracin del mapa de riesgos: Con el nimo de aprender haciendo y adquirir mayor experiencia sobre la administracin del riesgo, el Jefe de una Oficina de Control Interno de un organismo del Estado, imparti instrucciones para el diseo, estructuracin y elaboracin del Mapa de Riesgos de la Oficina. Para tal efecto, se conform un equipo de trabajo multidisciplinario con representantes de cada una de las reas de la entidad al cual se le brind la capacitacin correspondiente para adelantar dicha tarea. Aprovechando la organizacin por procesos de la oficina y tomando como base el Decreto 1537/2001, as como la Gua Preliminar emitida por el Consejo Asesor del Gobierno Nacional en materia de Control Interno, se dispuso elaborar el Mapa de Riesgos, definiendo un proceso especfico y un procedimiento y definiendo actividades y asignando los responsables para cada una de stas y se fijaron los plazos para presentar el trabajo. Al proceso al que se le adelant el respectivo Mapa de Riesgos es el relativo al Fortalecimiento del Sistema de Control Interno para el Procedimiento Fortalecimiento de la Cultura de Contro. A continuacin se presenta el cuadro de actividades diseado para adelantar el levantamiento del Mapa :
44
CUADRO DE ACTIVIDADES Y RESPONSABLES DE LA ELABORACIN DEL MAPA DE RIESGOS Se presenta el esquema de trabajo elaborado por la oficina para el grupo de trabajo encargado de realizar la valoracin de los riesgos y la elaboracin del mapa de riesgos. ACTIVIDAD Instrucciones Generales Identificacin de los procesos a trabajar Capacitacin para el grupo encargado de levantar el mapa brindndole los fundamentos conceptuales sobre la administracin del riesgo acorde con la normatividad vigente, as como con las guas generadas en el Departamento Administrativo de la Funcin Pblica y los lineamientos de la Presidencial de la Repblica Identificacin de los factores internos y externos. RESPONSABLE Jefe Oficina de Control Interno Jefe Oficina de Control Interno Jefe de Talento Humano
45
Funcionarios miembros del grupo de trabajo y responsable de ejecutar procedimiento. Funcionarios miembros del grupo de trabajo y responsable de ejecutar procedimiento. Coordin: Jefe de Control InternoOficina de Talento Humano.
Diligenciar el formato de identificacin de riesgos definiendo la descripcin del riesgo y las posibles consecuencias.
Taller de retroalimentacin con la participacin de todos los funcionarios de la oficina. Duracin: 10 horas. 1. En este taller cada funcionario present y justific los Riesgos de su respectivo procedimiento. 2. Los participantes aportaron, solicitaron modificaciones y/o eliminaron algunos aspectos propuestos por el responsable del procedimiento.
Consolid: Profesional Universitario Logstica: Oficina de Talento Humano
ACTIVIDAD 3. Se estableci la fecha para presentacin de los ajustes a la presentacin inicial, las acciones de control, los responsables de ejecutarla y el indicador de cumplimiento para la misma. 4. Cada funcionario realiz los ajustes correspondientes a su formato de acuerdo con los aportes de los participantes en el taller. 5. Diligenciamiento del formato de mapa de riesgos. Taller. Para revisar los mapas de riesgos levantados con el fin de concertar las acciones a ejecutar, comprometer los responsables y definir indicadores. Duracin: 6 horas Participaron: El Jefe de la Oficina, las Jefes de Grupo y los funcionario responsables de procedimientos de la oficina Consolidacin del documento Mapa de Riesgos de los Procedimientos Oficina de Control Interno. Aprobacin y difusin del Mapa de Riesgos de la Oficina de Control Interno
RESPONSABLE
Funcionario responsable de procedimiento.
Coordin: Jefe de Control Interno. Oficina de Talento Humano Consolid: Profesional Universitario Logstica: Oficina de Talento Humano
Profesional Universitario
Jefes de rea. Jefe Oficina de Control Interno.
46
IDENTIFICACIN DE LOS RIESGOS Una vez se realiz la identificacin de los factores internos y externos que pueden afectar a la Oficina se procedi a diligenciar el formato de identificacin de riesgos, estableciendo el riesgo, su descripcin y las posibles consecuencias. Posteriormente se procedi a elaborar el Mapa de Riesgos (ver formatos) PROCESO: Fortalecimiento del Sistema de Control Interno PROCEDIMIENTO: Fortalecimiento de la cultura del control Formato de identificacin de riesgos
No. 1 RIESGO Escasa cobertura y periodicidad en el fomento de la cultura del control en la entidad DESCRIPCIN DEL RIESGO La planta de personal asignada a la Oficina de Control Interno, dado el tamao de la entidad no permite ampliar la cobertura y periodicidad de las capacitaciones. POSIBLES CONSECUENCIAS Desconocimiento del tema de Control Interno por parte de gran parte de los servidores de la entidad. Se reducen las oportunidades para fortalecer la cultura del control interno. Bajo compromiso de los funcionarios en la aplicacin de herramientas de autocontrol y la auto evaluacin.
47
Inadecuada seleccin Los procesos de seleccin Deterioro de la de personal para la no cumplen con el rigor imagen de la Oficina Oficina tcnico administrativo Falta de credibilidad Insatisfaccin de la Direccin Desgaste administrativo Deficiencia en la calidad de la informacin Los equipos de sistemas as como el software utilizado no corresponden a las necesidades Informacin poco confiable Inoportunidad en las asesoras
No.
RIESGO
DESCRIPCIN DEL RIESGO Por desconocimiento de los temas relacionados con control interno, falta respaldo y participacin por parte de la alta direccin en las actividades organizadas por la Oficina de Control Interno. Las personas de la Oficina de Control Interno, no tienen claridad ni conocimiento de toda la normatividad relacionada con control interno.
POSIBLES CONSECUENCIAS Falta de compromiso por parte de los funcionarios con el control interno Rezago en materia de control interno Baja productividad
Insuficiente respaldo de la alta direccin
Falta de conocimiento y claridad en la normatividad relacionada con Control Interno
Asesoras inadecuadas Baja imagen de la Oficina Incumplimientos en la entrega de informes que pueden llevar a incurrir en sanciones.
48
MAPA DE RIESGOS
DEPENDENCIA: Oficina de Control Interno PROCESO: Fortalecimiento del Sistema de Control Interno PROCEDIMIENTO: Fortalecimiento de la Cultura del Control CONTROLES EXISTENTES CAUSAS ACCIONES RESPONSABLE
1. Representante Legal 1. Incrementar las personas de la Oficina de Control interno 2. Elaborar el plan anual de la Oficina RIESGO
No.
RIESGO
PROBAIMPACTO BILIDAD
NIVEL DEL
CRONOGRAMA
INDICADOR
Escasa cobertura y periodicidad en el fomento de la cultura del control en la entidad
Alto
Media 1. Charlas espordicas sobre el tema 2. Divulgacin de documentos
Inicio: enero 2004
Medio 1. Insuficiente personal asignado a la Oficina de Control Interno 2. Inadecuada planeacin y programacin. 3. Falta de inters de los funcionarios en el tema 4. Escasos recursos para programas de divulgacin
2. Oficina de CI y Oficina de planeacin 3. Elaborar documentos 3. Oficina de CI o guas de sensibilizacin y de Talento y divulgarlos Humano 4. Definicin de 4. Oficina de CI instrumentos o y de Talento mecanismos virtuales Humano para incrementar la cobertura 1. Representante Legal
Finaliza: marzo 2004
No. funcionarios actuales No. funcionarios en 3 meses
Inadecuada seleccin del personal para la Oficina
Alto
Alta
1.Proceso de seleccin de personal
Alto 1. Intereses particulares. 1. Contratar el proceso de seleccin con un ente externo. 2. Falta de claridad 2. Anlisis del proceso y conocimiento del de seleccin definiendo proceso de seleccin. controles para cada una de las etapas. 3. Falta de controles en 3. Capacitacin el proceso de seleccin especfica para los funcionarios de la Oficina de Talento Humano
2. Oficina de Talento Humano, Oficina de Planeacin 3. Oficina de Talento Humano
Inicio: enero 2004 Finaliza: julio 2004
No. funcionarios nombrados resultado del proceso de seleccin contratado No funcionarios capacitados No.funcionarios Oficina de TH
49
50
CONTROLES EXISTENTES CAUSAS ACCIONES RESPONSABLE CRONOGRAMA
RIESGO Medio 1.Falta de capacidad tcnica 2.Recursos tecnolgicos inadecuados Inicio: enero 2004
No.
RIESGO
PROBAIMPACTO BILIDAD
NIVEL DEL
INDICADOR
Deficiencia en la calidad de la informacin
Alto
Alto
1. Plan Informtico
2.Mecanismos de seguridad
1.Ejecucin y seguimiento 1. Oficina de del Plan Informtico Sistemas, Representante legal. 2.Optimizacin de los 2. Jefes de rea. recursos informticos disponibles. 3. Implementar nuevos 3.Oficina de mecanismos de Sistemas seguridad para la informacin Finaliza: julio 2004 1. Oficina de Talento Humano, Oficina de CI. Inicio: enero 2004 2. Representante Finaliza: Legal, Oficina febrero 2004 de CI, Jefes de rea 1. Recopilacin temtica 1. Oficina de CI de la normatividad vigente en la materia. 2.Capacitacin en la materia. 2. Oficina de Talento Humano, Oficina de CI.
No equipos asignados Of C No. equipos requeridos
4 1. Programacin de jornadas de capacitacin para la alta direccin en temas de control interno. 2.Falta de compromiso 2. Dinamizar el Comit e inters de Coordinacin de Control Interno
Insuficiente respaldo de la alta direccin
Alto
Alta
1 . Participacin de la Medio 1.Falta de conocimiento direccin en las reuniones del tema de control del Comit de Coordinainterno. cin de Control Interno
Reuniones Comit CI programadas Reuniones realizadas
Alto
Baja
Falta de conocimiento y claridad en la normatividad relacionada con Control Interno
1. Capacitacin y reuniones de retroalimentacin de la Oficina de CI
Bajo 1. Falta de unidad documental en la Oficina de Control Interno. 2. Perfil inadecuado de las personas de la Oficina
Inicio: febrero 2004 Finaliza: mayo 2004
Archivos organizados por tema
NOTA : El presente mapa es un ejemplo figurado para aclarar los conceptos, puede contener ms indicadores, controles y acciones.
ANEXO II CUESTIONARIO SOBRE LA ADMINISTRACIN DEL RIESGO A continuacin se presenta un cuestionario que le permite a las personas encargadas de adelantar la administracin del riesgo, realizar un diagnostico sobre el estado en que se encuentra la entidad. Es una ayuda metodolgica que puede ser utilizada para obtener mayor informacin. Est usted listo para administrar el riesgo? Responda las siguientes preguntas usando la escala desde 1 (nunca,) 3 (a veces) hasta 5 (siempre), con valores intermedios. Deje la casilla en blanco si no conoce la respuesta:
Nunca A veces Siempre
51
1. Nuestro equipo administrativo discute el riesgo en comits directivos 2. Nuestros reportes sobre decisiones importantes se refieren al riesgo de dichas decisiones 3. La administracin de riesgos es tema de discusin en nuestros comits de control interno y directivo. 4. Administradores asisten a los talleres (tanto internos como conferencias pblicas) sobre prcticas de administracin del riesgo 5. Hemos afrontado varias dificultades sorpresivas. 6. Cuando una de mis decisiones se torna insatisfactoria, el equipo administrativo trata de aprender de ello. 7. Estoy provisto de las herramientas que necesito para valorizar el riesgo. 8. Mi jefe respalda la administracin del riesgo.
Puntaje < 24: Administracin del riesgo no es parte de su organizacin actual. Trabaje en la construccin y apreciacin para el manejo del riesgo Puntaje 24-36: Administracin del riesgo es parte de su organizacin, pero se requiere su ayuda para convertirla en una mayor parte de la cultura corporativa de la gerencia. Puntaje > 36: Estructura de xito. Revise las reas en que obtuvo 3 puntos o menos para ver qu medidas debe tomar.
Administracin del riesgo en la administracin pblica 1. Objetivos de la organizacin

Total Desacuerdo Indiferente De acuerdo Total desacuerdo acuerdo
1.1 Los propsitos generales de la organizacin estn claramente definidos y publicados de forma que pueden ser fcilmente comprendidos 1.2 Los objetivos de la organizacin estn definidos 1.3 Los objetivos de la organizacin estn comunicados 1.4 El personal entiende cmo los objetivos de la organizacin se relacionan con los objetivos de su reas 1.5 El personal entiende cmo los objetivos de la organizacin se relacionan con sus objetivos personales 1.6 Se hace al menos una revisin anual de la relacin entre los objetivos organizacionales y personales
52
53
1.7 El manejo efectivo del riesgo es importante para el logro de los objetivos organizacionales 1.8 El riesgo es visto tanto como oportunidad y amenaza para el logro de los objetivos organizacionales 1.9 Los objetivos de la administracin de riesgos en la organizacin estn claramente definidos 1.10 Si es as, cules son?
2. Comprensin del riesgo y administracin del riesgo

2.1 Hay una definicin comn en la organizacin para el trmino riesgo 2.2 Qu entiende la organizacin por el trmino riesgo en el logro de los objetivos?
2.3 Qu entiende la organizacin por el trmino administracin del riesgo?
2.4 En qu reas de la organizacin se garantiza la administracin del riesgo?
2.5 Hay un acuerdo comn en la organizacin para el manejo de riesgo 2.6 Hay parmetros claros en la organizacin para el manejo de riesgo 2.7 La responsabilidad sobre el manejo del riesgo est claramente establecida y entendida en la entidad 2.8 El seguimiento6 sobre el plan manejo del riesgo est claramente establecida entendida en la organizacin 2.9 El manejo del riesgo es importante para el desarrollo y xito de la organizacin 3. Identificacin del riesgo
3.1 Se identifican los cambios en el riesgo ante cambios en las funciones y responsabilidades
54
accountability
55
3.7 La organizacin identifica los principales riesgos potenciales para cada uno de sus objetivos
3.8 Qu tipo de riesgos se han identificado? a) Riesgos estratgicos. P.ej. derivados de las polticas o en las decisiones gubernamentales b) Riesgos en el logro de los objetivos c) Riesgos derivados de la normatividad d) Riesgos de polticas presupuestales e) Riesgos financieros f) Riesgos operacionales g) Riesgos de salud ocupacional h) Riesgos naturales i) Riesgos del talento humano
SI
NO
3.10. Cmo guarda su organizacin el registro de los riesgos que se han identificado?
3.11 Cules son los tres riesgos ms importantes que la organizacin debe enfrentar en los prximos 12 meses?
3.12 Qu oportunidades tiene la organizacin de lograr sus objetivos en los prximos 12 meses?
Anlisis del riesgo Qu herramientas y tcnicas se usan para el anlisis del riesgo?
3.13 La organizacin tiene dificultades para priorizar sus riesgos? 3.14 La organizacin tiene dificultades para valorizar la probabilidad de ocurrencia de sus riesgos? 3.15 La organizacin tiene dificultades para valorizar el impacto potencia de la materializacin de sus riesgos? 3.16 Con qu frecuencia la organizacin valora los riesgos de alcanzar sus objetivos? 3.17 La organizacin conoce las fortalezas y debilidades del manejo de riesgo en otras organizaciones
56
3.18 Los siguientes actores son importantes para la valoracin de riesgos a) Congreso b) Usuarios c) Industria d) Cortes e) Polticos f) Gobierno g) Empleados h) Otros. Especificar
57
3.19 La organizacin mide sus riesgos en trminos de? a) Impacto de sus polticas b) Impacto en imagen institucional c) Probabilidad del riesgo d) Impacto en la cobertura e) Logro de sus objetivos f) Otros. Especificar
SI
NO
Aumentado Disminuido
No ha No est cambiado seguro
3.20 En los ltimos cinco aos el nivel de riesgo en su organizacin se ha:?
Marque quin toma las decisiones de acuerdo a quin direcciona los riesgos segn las diferentes facetas en que se presenta, y, quien los revisa y/o monitorea Director general Grupo directivo Director finanzas Auditor interno Gerente de riesgo Jefe de rea Todo el personal Otros (especifique)
Toma de decisiones
Monitorea y reporta
Determinacin del riesgo La respuesta del riesgo por parte de la organizacin incluye: Una evaluacin de la efectividad de los controles existentes y el manejo gerencial del riesgo La implementacin de planes de accin para riesgos identificados Evaluacin costo-beneficio para direccionar riesgos La organizacin conoce cuanto riesgo se puede tomar en el cumplimiento de objetivos
58
59
Esta organizacin revisa rutinariamente la efectividad de los procesos de control de los riesgos La organizacin tiene claramente definido las polticas y procesos para reportar los cambios de riesgo, los incidentes y las fallas de control que ocurran La organizacin tiene procedimientos para reportar riesgos La priorizacin de riesgos que necesitan un activo manejo gerencial Otros (especifique)
Plan de manejo de riesgos

Los cambios en los riesgos organizacionales son identificados, valorados y reportados Los procesos y procedimientos del riesgo de la organizacin, estn documentados, y proveen una gua para que el personal conozca sobre el manejo del riesgo Los gerentes en la organizacin entienden las diferentes facetas del riesgo que deben manejar

La importancia del manejo gerencial, y control de riesgo ha sido comunicado a travs de la organizacin La gerencia de la organizacin revisa regularmente el desempeo en el manejo de riesgo La estructura de la organizacin soporta un manejo efectivo del riesgo La cultura de la organizacin soporta un manejo efectivo del riesgo La organizacin soporta la toma de riesgos en la bsqueda de sus objetivos La organizacin soporta la innovacin en la bsqueda de sus objetivos
Cules son las medidas preventivas que toma la organizacin contra los riesgos si desea completar los objetivos propuestos
La alta direccin ha recibido entrenamiento en: Manejo del riesgo estratgico Manejo de procesos de riesgo
SI
NO
60
Toma de riesgo

61
Los procesos de comunicacin y reportes estn debidamente soportados con un adecuado manejo de riesgo Los procesos de comunicacin y reportes entre el personal y la direccin general estn debidamente soportados con un adecuado manejo de riesgo La alta gerencia de la organizacin es receptiva con todas las comunicaciones sobre riesgo incluidas las malas noticias El cdigo de conducta de la organizacin es claro en guiar al personal en las acciones relacionadas para el manejo de riesgos.
Monitoreo
La organizacin encuentra dificultad para monitorear los cambios en el perfil de los riesgos La organizacin monitorea y revisa los riesgos para el logro de sus objetivos La organizacin encuentra dificultad en monitorear los cambios en el perfil de los riesgos
La organizacin ha evaluado la necesidad de uso de la capacidad interna de monitorear y revisar el riesgo organizacional El monitoreo de la efectividad del manejo de riesgo es parte de una rutina integral del reporte de procesos gerenciales
62
63
BIBLIOGRAFA Casals & Associates Inc, PriceWaterhouseCoopers, USAID, Documento Mapas de Riesgo, octubre 2003. Cepeda Gustavo. Auditora y Control Interno. McGraw Hill, 1997. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA, Riesgos de corrupcin en la administracin pblica, Tercer Mundo, 2000 Estupin Gaitn, Rodrigo, La gerencia del riesgo y el nuevo enfoque de control interno planteado por el COSO Gil Galio, Pedro Orlando . Traduccin Administracin del Riesgo Estndar AS/NZ 4360:1999. 2001. Glosario de Evaluacin del riesgo. Compilado por David MacNamee. Mc2 Management Consulting. Ws.2000. Gonzlez Salas dgar. El Laberinto Institucional Colombiano. 19741994 Fescol. Universidad Nacional. 1998. Gua bsica de las Oficinas de Control Interno. Departamento Administrativo de la Funcin Pblica. 1999. McNamee, David. Cuestionario sobre la administracin del riesgo. Contacto Informacin: Telfono 1-925-934-3847. 1997. Ortiz, Jos Joaqun y Armando Ortiz. Auditora Integral. Interfinco. 2000. Salazar Vargas, Carlos. Las Polticas Pblicas. Pontificia Universidad Javeriana. 1999.
Departamento Administrativo de la Funcin Pblica Carrera 6 No. 12 - 62, Bogot, D.C. Conmutador: 334 40 80/87 Fax: 341 05 15 Lnea gratuita de Atencin al Cliente: 018000 917770 Web: www.dafp.gov.co E-mail: webmaster@dafp.gov.co Junio 2004
64
ISBN: 958-8125-44-8
Departamento Administrativo de l a Funcin Pblica Carrera 6 No. 12 - 62 Conmutador: 334 4080 Fax: 341 0515 Lnea Gratuita de Atencin al Cliente: 018000 917770 Web: www.dafp.gov.co Email: webmaster@dafp.gov.co 2004

Guia de Administracion de Riesgos PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guia de Administracion de Riesgos PDF

Uploaded by

Copyright:

Available Formats

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Fernando Grillo Rubiano DIRECTOR Carla Liliana Henao Carmona SUBDIRECTORA

Carlos Humberto Moreno Bermdez DIRECTOR DE EMPLEO PBLICO

Elber Elicer Rojas Mndez DIRECTOR DE DESARROLLO ORGANIZACIONAL

Martha Cecilia Martelo de Castro DIRECTORA DE CONTROL INTERNO Y RACIONALIZACIN DE TRMITES

Claudia Patricia Hernndez Len JEFE OFICINA ASESORA JURDICA

Alejandro Enrique Lobo Sagre JEFE OFICINA ASESORA DE PLANEACIN

Juan Manuel Corts Gaona JEFE OFICINA DE CONTROL INTERNO

Celmira Frasser Acevedo JEFE OFICINA DE SISTEMAS (E)

Bogot, D.C., junio de 2004 Segunda Edicin

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

IMPRESIN: Imprenta Nacional de Colombia Junio de 2004

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

FERNANDO GRILLO RUBIANO Director

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

1. OBJETIVOS DE LA ADMINISTRACIN DEL RIESGO

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Gua Administracin del Riesgo

Ley 489 de 1998. ESTATUTO BSICO de Organizacin y funcionamiento de la administracin pblica.

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

DECRETO 1537 DE 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

PLANEACIN DE LA ADMINISTRACIN DEL RIESGO

VALORACIN DEL RIESGO

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Formato de identificacin de riesgos

Departamento Administrativo de la Funcin Pblica

Gua Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica