PROYECTO DE ACTUALIZACION DE LOS MAPAS DE RIESGOS DE … · de los Mapas de Riesgos de la Institución mediante la aplicación de un método lógico y sistemático para el establecimiento

PROYECTO DE ACTUALIZACION DE LOS MAPAS DE RIESGOS DE LA UNIVERSIDAD INDUSTRIAL

DE SANTANDER

BIENVENIDOS

13 DE ABRIL DE 2010 DIANA A. SALCEDO RESTREPO

ING. INDUSTRIAL

CONTENIDO1. Documentos de referencia

2. Marco legal

3. Objetivo general y específicos del Proyecto

4. Fases del Proyecto

5. Terminología

6. Objetivos de la Administración del Riesgo

7. Beneficios de la Administración del Riesgo

8. Insumos y productos de la Administración delRiesgo

9. Metodología

10. Preguntas

1. DOCUMENTOS DE REFERENCIA

• Guía de Administración del Riesgo –Departamento Administrativo de laFunción Pública. República De Colombia(DAFP)

• Manual para la Administración del RiesgoMSE.01

Versión 01 – 16/03/2009

• Norma Técnica de Calidad en la GestiónPublica NTC GP 1000:2009

2. MARCO LEGAL..

• Ley 87 de 1993, por la cual se establecennormas para el ejercicio del control internoen las entidades y organismos del Estado yse dictan otras disposiciones.

• Ley 489 de 1998. ESTATUTO BASICO deOrganización y funcionamiento de laadministración pública.

• Decreto 2145 de 1999, por el cual se dictannormas sobre el Sistema Nacional deControl Interno de las Entidades yOrganismos de la Administración Pública delOrden Nacional y Territorial y se dictanotras disposiciones.

• Decreto 1537 de 2001, por el cual se reglamentaparcialmente la Ley 87 de 1993 en cuanto aelementos técnicos y administrativos que fortalezcanel sistema de control interno de las entidades yorganismos del Estado.

• Decreto 1599 de 2005, por el cual se adopta elModelo Estándar de Control Interno para el EstadoColombiano y se presenta el anexo técnico MECI1000:2005.

• Decreto 4485 del 18 de noviembre de 2009, el cualactualizó la Norma Técnica de Calidad en la GestiónPública GP 1000:2004 a la versión 2009.

2. MARCO LEGAL

3. OBJETIVO GENERAL DEL PROYECTO

• Fortalecer la implementación ydesarrollo de la política de laadministración del riesgo a través deladecuado tratamiento de los riesgospara garantizar el cumplimiento de lamisión y los objetivos institucionales.

3. OBJETIVOS ESPECIFICOS DEL PROYECTO..

• Llevar a cabo el proceso de actualizaciónde los Mapas de Riesgos de la Instituciónmediante la aplicación de un métodológico y sistemático para elestablecimiento del contexto,identificación, análisis, evaluación,tratamiento, monitoreo y comunicación delos riesgos.

• Facilitar a la Alta Dirección la toma dedecisiones y la planificación mediante unproceso de mejoramiento continuoenfocado en las buenas prácticas deAdministración del riesgo.

• Analizar los Riesgos, controles ymétodos de seguimiento existentes paradeterminar el estado y efectividad de losmismos.

• Verificar el avance en la implementaciónde los planes diseñados para dartratamiento a los riesgos de laInstitución.

• Contribuir a la planeación, gestión ycontrol de los procesos.

3. OBJETIVOS ESPECIFICOS DEL PROYECTO

4. FASES DEL PROYECTO..

• FASE 1

No. ACTIVIDAD DURACION

1

Taller de Actualización para líderes y facilitadores sobre elproceso de Administración del Riesgo, según lineamientosde la Guía de Administración del Riesgo (DAFP) / NormaTécnica Colombiana NTC 5254:2006

1 hr.

2

Revisión de la Metodología Actual (Documento de Ref.Manual para la Administración del Riesgo MSE.01 Versión 01– 2009)

1 hr.

3

Elaboración del Plan de Trabajo con los líderes del proceso(El cual contempla el desarrollo de las fases 2, 3 y 4,descritas a continuación)

30 min


1Evaluación de los controles establecidos y Seguimiento a losPlanes de Acción.

1 hr.

2Actualización del Contexto Estratégico, Organizacional y deAdministración del Riesgo.

2 hr.

FASE 2

FASE 3


1Identificación de los Riesgos de cada uno de los procesosde la Institución (Seguimiento y Actualización).

1 hr.

2Análisis de los Riesgos, determinación de los controles ycálculo del nivel del riesgo (Seguimiento y Actualización).

1.5 hr.

3Evaluación de los Riesgos y Establecimiento de los Planesde Acción para dar tratamiento a los riesgos prioritarios(Seguimiento y Actualización).

1.5 hr.

4. FASES DEL PROYECTO..

FASE 4


1 Monitoreo y Revisión (Revisión de Indicadores del Riesgo). 2 hr.

2Elaboración del Plan de Comunicaciones.

1 hr.

4. FASES DEL PROYECTO

FASE 1 TALLER DE ACTUALIZACION SOBRE EL

PROCESO DE ADMINISTRACIÓN DEL RIESGO

5.TERMINOLOGIA

ADMINISTRACION DE RIESGOS• Conjunto de elementos de control que al

interrelacionarse, permiten a la entidad públicaevaluar aquellos eventos negativos, tanto internoscomo externos, que pueden afectar o impedir ellogro de los objetivos institucionales o los eventospositivos, que permitan identificar oportunidadespara un mejor cumplimiento de su función.

Decreto 1599 del 20 de Mayo de 2005,artículo 5to de la Ley 87 de 1993 Modelo Estándar de Control interno

5.TERMINOLOGIA

ADMINISTRACION DE RIESGOS

• Conjunto de estrategias que a partir de los recursos(físicos, humanos y financieros), busca, en el cortoplazo mantener la estabilidad financiera de la empresaprotegiendo los activos e ingresos, y el largo plazo,minimizar las pérdidas ocasionadas por la ocurrenciade dichos riesgos.

• Ha sido contemplada como uno de los componentesdel Subsistema de Control Estratégico del MECI.

5. TERMINOLOGIA

ANALISIS DE BENEFICIO-COSTO

Herramienta de la Administración del Riesgo que lepermite al grupo evaluador, valorar y comparar loscostos financieros y económicos, de implementar lamedida, contra los beneficios generados por lamisma. Una medida de la Administración del Riesgoserá aceptada siempre que el beneficio valoradosupere al costo.

5. TERMINOLOGIACAUSA

Son los medios, circunstancias y agentes quegeneran los riesgos.

CONTROL

Es toda acción que tiende a minimizar los riesgos,significa analizar el desempeño de las operaciones,evidenciando posibles desviaciones frente alresultado esperado para la adopción de medidaspreventivas. Los controles proporcionan un modelooperacional de seguridad razonable en el logro delos objetivos.

5. TERMINOLOGIA

COSTO:

Se entiende por costo las erogaciones, directas eindirectas en que incurre la entidad en laproducción, prestación de un servicio o manejo deun riesgo.

FACTORES DE RIESGO:

Manifestaciones o características medibles uobservables de un proceso que indican la presenciade Riesgo o tienden a aumentar la exposición,pueden ser internos o externos a la entidad.

5. TERMINOLOGIA

IDENTIFICACION DEL RIESGO:

Establecer la estructura del riesgo; fuentes o factores,internos o externos, generadores de riesgos; puedehacerse a cualquier nivel: total de entidad por áreas,por procesos, incluso, bajo el viejo paradigma, porfunciones; desde el nivel estratégico hasta el máshumilde operativo.

IMPACTO:

Consecuencias que puede ocasionar a laOrganización materialización del riesgo.

5. TERMINOLOGIA

INDICADOR:

Es la valoración de una o más variables que informasobre una situación y soporta la toma de decisiones,es un criterio de medición y de evaluacióncuantitativa o cualitativa.

MAPAS DE RIESGOS:

Herramienta metodológica que permite hacer uninventario de los riesgos ordenada ysistemáticamente, definiéndolos, haciendodescripción de cada uno de estos y las posiblesconsecuencias.

5. TERMINOLOGIA

PLAN DE CONTINGENCIAParte del plan de manejo de riesgos que contiene lasacciones a ejecutar en caso de la materialización delriesgo, con el fin de dar continuidad a los objetivosde la entidad.

PLAN DE MANEJO DEL RIESGOPlan de acción propuesto por el grupo de trabajocuya evaluación de beneficio costo resulta positiva yes aprobado por la gerencia.

5. TERMINOLOGIA

PLAN DE MEJORAMIENTO

Parte del plan de manejo que contiene las técnicasde la administración del riesgo orientadas aprevenir, evitar, reducir, dispersar, transferir oasumir riesgos.

PROBABILIDAD

Una medida (expresada como porcentaje o razón)para estimar la posibilidad de que ocurra un incidenteo evento. Contando con registros, puede estimarse apartir de su frecuencia histórica mediante modelosestadísticos de mayor o menor complejidad.

5. TERMINOLOGIA

RETROALIMENTACION

Información sistemática sobre los resultadosalcanzados en la ejecución del plan, que sirven paraactualizar y mejorar la planeación futura.

RIESGO

Posibilidad de ocurrencia de toda aquella situaciónque pueda entorpecer el normal desarrollo de lasfunciones de la entidad y le impidan el logro de susobjetivos.

5. TERMINOLOGIA

RIESGO ABSOLUTO

El máximo riesgo sin los efectos mitigantes de laadministración del riesgo.

RIESGO RESIDUAL

Es el riesgo que queda cuando las técnicas de laadministración del riesgo han sido aplicadas.

SEGUIMIENTO

Recolección regular y sistemática sobre la ejecucióndel plan, que sirven para actualizar y mejorar laplaneación futura.

5. TERMINOLOGIA

SISTEMA

Conjunto de cosas o partes coordinadas,ordenadamente relacionadas entre sí, quecontribuyen a un determinado objetivo.

TECNICAS PARA MANEJAR EL RIESGO

Evitar o prevenir, reducir, dispersar, transferir yasumir riesgos.

VALORACION DEL RIESGO

Es el resultado de confrontar la evaluación delriesgo con los controles existentes.

6. OBJETIVOS DE LA ADMINISTRACION DEL RIESGO..

GENERAL

Fortalecer la implementación ydesarrollo de la política de laadministración del riesgo a través deladecuado tratamiento de los riesgos paragarantizar el cumplimiento de la misión yobjetivos institucionales de las entidadesde la Administración Pública.

ESPECIFICOS• Generar una visión sistémica acerca de la

administración y evaluación de riesgos,consolidado en un Ambiente de Controladecuado a la entidad y un DireccionamientoEstratégico que fije la orientación clara yplaneada de la gestión dando las bases para eladecuado desarrollo de las Actividades deControl.

• Proteger los recursos del Estado,resguardándolos contra la materialización de losriesgos.

6. OBJETIVOS DE LA ADMINISTRACION DEL RIESGO..

• Introducir dentro de los procesos y procedimientoslas acciones de mitigación resultado de laadministración del riesgo.

• Involucrar y comprometer a todos los servidores decualquier entidad de la Administración pública, en labúsqueda de acciones encaminadas a prevenir yadministrar los riesgos.

• Propender porque cada entidad interactúe con otras,para fortalecer su desarrollo y mantener la buenaimagen y las buenas relaciones.

• Asegurar el cumplimiento de normas, leyes yregulaciones.

6. OBJETIVOS DE LA ADMINISTRACION DEL RIESGO

7.BENEFICIOS DE LA ADMINISTRACION DEL RIESGO

• Menos sorpresas.• Aprovechamiento de Oportunidades.• Mejora de la planificación, el desempeño y la

eficacia• Economía y eficiencia.• Mejores relaciones con las partes involucradas.• Mejor información para toma de decisiones.• Mejor reputación.• Protección de la alta dirección.• Responsabilidad, aseguramiento y gobierno.• Bienestar social.

8. INSUMOS Y PRODUCTOS DE LA ADMINISTRACION DEL RIESGO

Componente: ADMINISTRACION DE RIESGOS

Elementos:

Contexto estratégicoIdentificación de riesgosAnálisis de riesgosValoración de riesgosPolíticas de administración de riesgos

SUBSISTEMA DE CONTROL ESTRATEGICO

Estructura organizacional flexible y efectiva

Modelo de Operación que garantice una gestión

efectiva

Planes y programas que regulen y orientan el

desarrollo de la función Institucional

Diagnóstico estratégico para la gestión de la

Entidad

Análisis de los aspectos externos e internos que

implican exposición al riesgo

Reconocimiento de situaciones de riesgo o los

riesgos que afectan el cumplimiento de los

objetivos de la Institución

Medida de respuesta ante los riesgos identificados

Políticas de administración de riesgos identificados

INSUMOS

PRODUCTOS

9. METODOLOGÍA

1. Nuestro Equipo de Trabajo

COMITÉ DE CALIDAD

COMITÉ PRIMARIO

RECTOR

Gerente del Proyecto

VICERRECTOR

ADMINISTRATIVO

Rpte. De la Dirección

DIRECTOR UA

Líderes de Procesos

FACILITADORES

PROFESIONAL DE

CALIDAD

CONSULTOR LIDER

PROFESIONAL DE

CALIDAD


1Evaluación de los controles establecidos y Seguimiento a losPlanes de Acción.

1 hr.

2Actualización del Contexto Estratégico, Organizacional y deAdministración del Riesgo.

2 hr.

FASE 2

9. METODOLOGÍA

2.1 CONTEXTO ESTRATÉGICO

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS

2.6 OPCIONES Y PLAN DE MANEJO

2.7 MAPA DE RIESGOS

2.8 MONITOREO

ADMINISTRACIONDE RIESGO

2. Proceso de Actualización de los Mapas de Riesgos

9. METODOLOGÍA

2.1 Contexto EstratégicoA. ANALISIS DEL

ENTORNO (EXT)

* Social, económico,cultural, de ordenpúblico, político, legaly/o cambiostecnológicos, entreotros.

B. SITUACIONACTUAL DE LAENTIDAD (INT)Componentes de Ambientede Control, EstructuraOrganizacional, Modelo deOperación, *Cumplimientode los Planes y Programas,Sistemas de Información,Procedimientos y los

Recursos Económicos, entreotros.

1. Identificar los factoresexternos que puedanocasionar riesgos

2. Identificar los factoresinternos que puedenocasionar riesgos

3. Aportar informaciónque facilite y enriquezcalas demás etapas de laAdmon. Del Riesgo

TECNICA LLUVIA DE IDEAS

9. METODOLOGÍA

CONTEXTO ESTRATÉGICO

EC que permite establecer el lineamiento estratégico que orienta las decisiones de la Entidad Pública, frente a los

riesgos que generan eventos que originen oportunidades o

afecten el cumplimiento de su función, misión y objetivos

institucionales.

FASE 3


1Identificación de los Riesgos de cada uno de los procesosde la Institución (Seguimiento y Actualización).

1 hr.

2Análisis de los Riesgos, determinación de los controles ycálculo del nivel del riesgo (Seguimiento y Actualización).

1.5 hr.

3Evaluación de los Riesgos y Establecimiento de los Planesde Acción para dar tratamiento a los riesgos prioritarios(Seguimiento y Actualización).

1.5 hr.

9. METODOLOGÍA

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS


2.7 MAPA DE RIESGOS

2.8 MONITOREO



2.1 CONTEXTOESTRATEGICO

9. METODOLOGÍA

2.2 Identificación de Riesgos..

IDENTIFICACION DE RIESGOS

EC que posibilita conocer los eventos potenciales, estén o no bajo control de la Institución,

que ponen en riesgo el logro de su Misión, estableciendo agentes

generadores, las causas y los efectos de su ocurrencia

ENTRADAS

A. Resultado del Análisis del Contexto Estratégico

B. Proceso de Planeación

C. Claridad de los Objetivos Estratégicos de la Entidad para la obtención de resultados

2. Describir los riesgos identificados con sus características

TECNICA

LLUVIA DE IDEAS

1. Determinar las causas (factores internos o externos) de las situaciones identificadas

3. Precisar los efectos que los riesgos puedan ocasionar a la entidad

FORMATO MAPA DE RIESGOS CI-FSE-18

SALIDAS9. METODOLOGÍA

CONTEXTO

ESTRATEGICO

2.2.1 Formato Mapa de Riesgos..

MAPA DE RIESGOS

PROCESO: OBJETIVO DEL PROCESO:

RiesgoQué puede

ocurrir?

Riesgo (Evento que puede afectar el logro del

objetivo)

DescripciónEn qué

consiste o cuáles son sus características

?

Agente generador(Sujeto u objeto con

capacidad para generar el riesgo)

Por qué se puede

presentar?Por qué ? Por qué?

Causas(Factores internos o

externos) Efecto /Consecuencias

(Cómo se reflejaen la entidad?)

consecuencias de la ocurrencia del riesgo sobre los objetivos de la

entidad

MAPA DE RIESGOS CI-FSE.18

9. METODOLOGÍA

Son los medios, las circunstancias y agentes generadores de riesgo

se pueden clasificar en cinco categorías:

personas, materiales, Comités, instalaciones y

entorno.

2.2.2 Clasificación de Riesgos..

RIESGOS ESTRATEGICOS

• Se asocia con la forma en que seadministra la Entidad

• Se enfoca en asuntos globalesrelacionados con la misión y el cumplimientode los objetivos estratégicos, y

• La clara definición de políticas, diseño yconceptualización de la entidad por parte dela alta gerencia.

9. METODOLOGÍA

RIESGOS OPERATIVOS

• Comprende los Riesgos relacionados tanto conla parte operativa como técnica de la Institución.

• Incluye Riesgos provenientes de:-Deficiencias en los sistemas de información,- En la definición de los procesos,- En la estructura de la entidad,- La desarticulación entre dependencias,

“Lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales”.


9. METODOLOGÍA

RIESGOS FINANCIEROS

• Se relacionan con el manejo de los recursos de laentidad que incluye:

– La ejecución presupuestal

– La elaboración de los estados financieros

– Los pagos

– Manejos de excedentes de Tesorería

– Manejo sobre los bienes de cada entidad“De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda la

Universidad.


9. METODOLOGÍA

RIESGOS DE CUMPLIMIENTO• Se asocian con la capacidad de la entidad para

cumplir con los requisitos legales,contractuales, de ética pública y en general consu compromiso ante la comunidad.

RIESGOS DE TECNOLOGIA• Se asocian con la capacidad de la Entidad para

que la tecnología disponible satisfaga lasnecesidades actuales y futuras de la entidad ysoporte el cumplimiento de la misión.


9. METODOLOGÍA

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS


2.7 MAPA DE RIESGOS

2.8 MONITOREO




9. METODOLOGÍA

2.3 Análisis del Riesgo..

ANALISIS DEL RIESGO

EC que permite establecer la probabilidad de ocurrencia de los

eventos (riesgos) positivos y/o negativos y el impacto de sus consecuencias

(efectos), calificándolos y evaluándolos a fin de determinar la capacidad de la

Institución para su aceptación y manejo

ENTRADAS

2. Describir los riesgos identificados con sus características

TECNICALLUVIA DE IDEAS

3. Precisar los efectos que los riesgos puedan ocasionar a la entidad

1. Determinar las causas (factores internos o externos) de las situaciones identificados

1. Establecer la probabilidad de ocurrencia de los riesgos, que puedan disminuir la capacidad inst. para cumplir su propósito

2. Medir el impacto, las consec. Del riesgo sobre las personas, los recursos o la coordinación de acciones necesarias para llevar el logro de los obj. Inst o el desarrollo de los procesos

3. Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes para su tratamiento


SALIDAS9. METODOLOGÍA

IDENTIFICACION DEL

RIESGO

2.3.1 Formato Mapa de Riesgos..

Impacto ProbabilidadEvaluación del

Riesgo

Probabilidad: Posibilidad de ocurrencia delriesgo y puede ser medida con criterios defrecuencia (si el riesgo se ha materializado)o factibilidad (teniendo en cuenta lapresencia de factores internos y externosque puedan propiciar el riesgo).

Impacto: Consecuencias que puedeocasionar a la Organización lamaterialización del riesgo.

Calificación del Riesgo: Se logra a travésde la estimación de la probabilidad deocurrencia y el impacto que puedecausar la materialización del riesgo.

Evaluación del Riesgo: Permitecomparar los resultados de sucalificación, con los criterios definidospara establecer el grado de exposiciónde la Institución al riesgo (Riesgosaceptables, tolerables, moderados,importantes o inaceptables) y fijar lasprioridades para su tratamiento


9. METODOLOGÍA

2.3.2 Tabla de calificación de impacto..

Valor impacto Descripción

5 LevePérdidas de imagen y pérdidas económicas mínimas, sin lesiones

10 Moderado

Pérdidas de imagen y pérdidas económicas medias,

lesiones leves sin y con incapacidad

20 GravePérdidas de imagen, pérdidas económicas graves, victima

grave o muerte

9. METODOLOGÍA

2.3.3 Tabla de calificación de probabilidad..

Valor probabilidad Descripción

1 Baja

Puede ocurrir algunas veces o bajo

circunstancias excepcionales(P<=30%)

2 MediaPuede ocurrir

(P>30% y <=70%)

3 Alta

Probabilidad de ocurrencia en la

mayoría de circunstancias

(P>70%)

9. METODOLOGÍA

Probabilidad Valor

ALTA 3

15Zona de riesgoModeradoEvitar el riesgo

30Zona de riesgoImportanteReducir el riesgoEvitar el riesgoCompartir otransferir

60Zona de riesgoInaceptableEvitar el riesgoReducirCompartir o transferir

MEDIA 2

10Zona de riesgoTolerableAsumir el riesgoReducir el riesgo

20Zona de riesgoModeradoReducir el riesgoEvitar el riesgoCompartir otransferir

40Zona de riesgoImportanteReducir el riesgoEvitar el riesgoCompartir o transferir

BAJA 1

5Zona de riesgoAceptableAsumir el riesgo

10Zona de riesgoTolerableReducir el riesgoCompartir otransferir

20Zona de riesgoModeradoReducir el riesgoCompartir o transferir

IMPACTO LEVE MODERADO CATASTRÓFICA

VALOR 5 10 20

2.3.4 Matriz de Calificación, evaluación y respuesta a los riesgos..

9. METODOLOGÍA

2.6 Opciones de Manejo• Evitar el Riesgo: Tomar las medidas encaminadas a

prevenir su materialización.• Reducir el Riesgo: Implica tomar medidas

encaminadas a disminuir tanto la probabilidad(medidas de prevención), como el impacto(medidas de protección)

• Compartir o Transferir el Riesgo: Reduce suefecto a través del traspaso de las pérdidas a otrasOrganizaciones.

• Asumir un riesgo: Luego de que el riesgo ha sidoreducido o transferido puede quedar un riesgoresidual que se mantiene, en este caso el gerentedel proceso simplemente acepta la pérdidaresidual probable y elabora planes decontingencia.

9. METODOLOGÍA

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS


2.7 MAPA DE RIESGOS

2.8 MONITOREO




9. METODOLOGÍA

2.4 Valoración del Riesgo..

VALORACIONDEL RIESGO

EC que determina el nivel o grado de exposición de la

institución al impacto del riesgo, permitiendo estimar las

prioridades para su tratamiento.

Es el producto de confrontar los resultados de la evaluación del

riesgo con los controles identificados

ENTRADAS


1. Identificación de los controles existentes para los riesgos identificados y analizados.

2. Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del riesgo con los controles existentes, a fin de establecer aquellos que puedan causar mayor impacto a la Ins. En caso de materializarse.

3.Mapa de Riesgos por proceso


FORMATO CONTROLES EXISTENTES CI-FSE-19

SALIDAS

1. Establecer la probabilidad de ocurrencia de los riesgos, que puedan disminuir la capacidad inst. para cumplir su propósito

2. Medir el impacto, las consec. Del riesgo sobre las personas, los recursos o la coordinación de acciones necesarias para llevar el logro de los obj. Inst o el desarrollo de los procesos

3. Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes para su tratamiento

9. METODOLOGÍA

ANALISIS DEL RIESGO

2.4.1 Tipos de Controles/Evaluación..

• Tipos de controles

– Correctivos

– Preventivos

• Evaluación de los controles

– ¿Los controles están documentados?

– ¿Se están aplicando en la actualidad?

– ¿Es efectivo para minimizar el riesgo?

9. METODOLOGÍA

• La información relacionada con los controles será registrada en el Formato Controles Existentes, FSE.19., el cual incluye los siguientes campos:

• Riesgo

• Control (Descripción)

• Tipo (Preventivo o Correctivo)

• Documentado (Si o No)

• Se está aplicando en la actualidad?

• Eficiencia (Según la cantidad de recursos utilizados)

• Eficacia (Permite cumplir con el objetivo para el cual fue diseñado?)

• Efectividad (Eficacia + Efectividad)

9. METODOLOGÍA

2.4.2 Valoración del Riesgo..

Controles Existentes Valoración

CONTROLES EXISTENTES CI-FSE.19

PROCESO:

RIESGO Tipo Documentado


Control(Descripción)

Se está aplicando

en la actualidad?

EficienciaSegún la

cantidad de recursos utilizados

EficaciaPermite

cumplir con el objetivo para el

cual fue diseñado?

Efectividad

Eficacia + eficiencia)

2.4.3 Formato Mapa de Riesgos / Controles existentes..

Evaluación vs Controles = Nivel

9. METODOLOGÍA

La Calificación de la Eficiencia, Eficacia y Efectividad para los Controles

Existentes se debe hacer de acuerdo a la siguiente tabla, la cual estácontenida en el Formato FSE.19:

EFICIENCIA EFICACIA EFECTIVIDAD

ALTA (3): Los recursos utilizados son

mínimos

ALTA (3): Ha permitido el total cumplimiento del objetivo para

el cual fue diseñadoALTA (6)

MEDIA (2) MEDIA (2) MEDIA (4,5)

BAJA(1): Se utiliza una gran cantidad de

recursos

BAJA(1): No ha sido útil para dar cumplimiento al objetivo o

tan solo ha contribuido parcialmente .

BAJA (2,3)

9. METODOLOGÍA

2.4.4 Tabla de Efectividad..

2.4.5 Criterios para la Valoración de los riesgos..

Criterios Valoración

No existen controles Se mantiene el resultado de la evaluaciónantes de controles

Los controles existen pero no sonefectivos

Se mantiene el resultado de la evaluaciónantes de controles

Los controles existentes sonefectivos pero no estándocumentados

Cambia el resultado a una casilla inferiorde la matriz de evaluación antes decontroles (el desplazamiento depende desí el control afecta el impacto o laprobabilidad)

Los controles son efectivos y estándocumentados

Pasa a escala inferior (el desplazamientodepende de sí el control afecta el impactoo la probabilidad)

9. METODOLOGÍA

2.4.6 Ejemplo..

• Riesgo: pérdida de información.

• Causa: entrada de un virus en la red de la unidad.

• Probabilidad: Alta-3, todos los computadores estánconectados a la red de internet e intranet.

• Impacto: Grave-20, la pérdida de la información traeríaconsecuencias graves para los procesos.

• Evaluación de riesgo: de acuerdo a la matriz de calificación yevaluación sería de 60 y se encontraría en la zona de riesgoinaceptable.

9. METODOLOGÍA

2.4.6 Ejemplo..• Descripción de los controles

– Backup o copias de seguridad, semanales. Controlpreventivo (afecta la frecuencia)

– Vacunan todos los programas y equipos, diariamente.Control preventivo (afecta la frecuencia)

– Se guarda la información más relevante fuera de la red enun centro de información. Control preventivo (afecta elimpacto).

• Evaluación de los controles

– ¿Los controles están documentados? Si

– ¿Se están aplicando en la actualidad? Si

– ¿Es efectivo para minimizar el riesgo? Si

9. METODOLOGÍA

Probabilidad Valor

Alta 315

Moderado30

Grave60

Inaceptable

Media 210

Tolerable20

Moderado40

Grave

Baja 15

Aceptable10

Tolerable20

Moderado

Impacto Leve Moderado Catastrófica

Valor 5 10 20

2.4.6 Ejemplo

9. METODOLOGÍA

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS


2.7 MAPA DE RIESGOS

2.8 MONITOREO




9. METODOLOGÍA

2.5 Políticas de Administración de Riesgos..

POLITICAS DE LA ADMINISTRACION DEL

RIESGO

EC que permite estructurar criterios orientadores en la toma

de decisiones, respecto al tratamiento de los riesgos y sus

efectos al interior de la Institución

ENTRADAS


1. Identifican las opciones para tratar y manejar los riesgos basadas en la valoración de riesgos.

2. Permiten tomar decisiones adecuadas y fijar lineamientos de la Admon. Del Riesgo

3.Trasmiten la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la institución

MANUAL DEL RIESGO MSE-01

SALIDAS

9. METODOLOGÍA

• Esta a cargo del Representante Legal y el Comitéde Coordinación de Control Interno (Comité deCalidad)

• Se basa en el Mapa de Riesgos Resultado delProceso de la Administración del Riesgo.

• La Política señala que debe hacerse para efectuarel control y la implementación de la misma,basándose en los planes estratégicos y losobjetivos institucionales por procesos.

2.5 Políticas de Administración de Riesgos

9. METODOLOGÍA

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS


2.7 MAPA DE RIESGOS

2.8 MONITOREO




9. METODOLOGÍA

2.6 Opciones de Manejo• Evitar el Riesgo: Tomar las medidas encaminadas a

prevenir su materialización.• Reducir el Riesgo: Implica tomar medidas

encaminadas a disminuir tanto la probabilidad(medidas de prevención), como el impacto(medidas de protección)

• Compartir o Transferir el Riesgo: Reduce suefecto a través del traspaso de las pérdidas a otrasOrganizaciones.

• Asumir un riesgo: Luego de que el riesgo ha sidoreducido o transferido puede quedar un riesgoresidual que se mantiene, en este caso el gerentedel proceso simplemente acepta la pérdidaresidual probable y elabora planes decontingencia.

9. METODOLOGÍA

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS


2.7 MAPA DE RIESGOS

2.8 MONITOREO




9. METODOLOGÍA

2.7 Elaboración del Mapa de Riesgos por proceso

EJERCICIO

9. METODOLOGÍA

2.2 IDENTIFICACIÓN

2.3 ANÁLISIS

2.4 VALORACIÓN

2.5 POLÍTICAS


2.7 MAPA DE RIESGOS

2.8 MONITOREO




9. METODOLOGÍA


1 Monitoreo y Revisión (Revisión de Indicadores del Riesgo). 2 hr.

2Elaboración del Plan de Comunicaciones.

1 hr.

FASE 4

9. METODOLOGÍA

2.8 Monitoreo..• Es esencial para asegurar que las acciones se

están llevando a cabo y evaluar la eficiencia de suimplementación adelantando revisiones sobre lamarcha para evidenciar todas aquellassituaciones o factores que puedan estarinfluyendo en la aplicación de las accionespreventivas.

• El monitoreo debe estar a cargo de losresponsables de los procesos y de la oficina deControl Interno.

9. METODOLOGÍA

2.8 Monitoreo..

• Su finalidad principal es la de aplicar y sugerir loscorrectivos y ajustes necesarios para asegurar unefectivo manejo del riesgo.

• La Oficina de Control Interno dentro de sufunción asesora comunicará y presentará luegodel seguimiento y evaluación sus resultados ypropuestas de mejoramiento y tratamiento a lassituaciones detectadas.

9. METODOLOGÍA

2.8 Monitoreo (Ejemplo)..

9. METODOLOGÍA

Probabilidad

de ocurrencia

1. Riesgo de industria2. Relaciones accionistas3. Cambios legales/regulatorios4. Desastre natural5. Delincuencia/terrorismo6. Manejo de comunidades7. Desarrollo de productos8. Riesgo de capacidad9. Fallas en el servicio10. Canales de comunicación11. Gobierno corporativo12. Dependencia de personal13. Relaciones laborales14. Disponibilidad de sistemas15. Seguridad de acceso16. Confiabilidad información Financiera17. Confiabilidad información de gestión18. Desastre natural - energía19. Desastre natural - otros20. Liderazgo21. Desempeño de personal22. Fraude – Robo de activos23. Manejo de tesorería24. Fraude Robo infraestructura

Impacto

1

2

3

Mu

y b

ajo

Med

io

9

4

24

7

8

10

13

11 12

14

15

18

20

19

22

23

Mu

y a

lto

Remoto Moderado Cierto

21

5

17

16

6

ProbablePoco probable

Bajo

Alt

o

123

Priorización de riesgos (Ejemplo) 2.8 Monitoreo

9. METODOLOGÍA

10. PREGUNTAS

GRACIAS

Documents

PROYECTO DE ACTUALIZACION DE LOS MAPAS DE RIESGOS DE … · de los Mapas de Riesgos de la Institución mediante la aplicación de un método lógico y sistemático para el establecimiento