Administración de riesgos

2,541 views
2,461 views

Published on

Breve y sencillo modelo de administración del riesgo en las instituciones

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,541
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
56
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Administración de riesgos

  1. 1. Página 1 Auditoría Interna del IPSFA A D M I N I S T R A C I O N D E L R I E S G O ¿ Q u é E S L A E T A P A S mismos, que no son otra cosa EL RIESGO que los riesgos que se pueden A D M I N I S T R A C I O N D E L presentar en el desarrollo de Posibilidad de ocu- R I E S G O ? A.IDENTIFICACIÓN DE RIESGO estos y que afectan negativamen- rrencia de aquella si- te los resultados de su gestión. Es el proceso realizado por la (Descripción, causas y conse- tuación que pueda dependencia que tiene como cuencias). B.ANÁLISIS DE LOS RIESGOS entorpecer el normal propósito : A N A L I S I S desarrollo de las fun- RIESGO DESCRIPCION CAUSA ACTIVIDAD CONSECUENCIA Identificar los riesgos a que C.PLANIFICACIÓN DE ACCIONES ciones de la entidad y esta expuesta en el desarrollo le impidan el logro de de sus actividades. sus objetivos. Analizar los distintos factores D.SEGUIMIENTO que puedan provocarlos. Definir las estrategias que permitan controlarlos. I D E N T I F I - C A C I Ó N D E R I E S G O D E L O S La etapa principal en la adminis- R I E S G O S tración del riesgo es la identifica- El objetivo del análisis es estable- ción de los riesgos a los cuales cer una valoración y priorización se expone la entidad, los proce- de los riesgos con base en laLos propósitos de la admi- sos, el producto y/o servicios; información obtenida en el forma- to de identificación de riesgos debe ser el resultado de un ejer-nistración de riesgos contri- cicio participativo en la entidad. elaborados en la etapa de identifi- cación, con el fin de obtener da-buyen al logro de las metas El conocimiento previo de la dependencia nos acercara más tos para establecer el nivel de riesgo y las acciones que se vany objetivos de la entidad de a la situación real de la misma, para conocer sus verdaderas a implementar. Consiste en: una forma razonable debilidades y fortalezas. Evaluar el impacto que pueda Con tal dominio se determinará como primera medida los proce- provocar en caso de materializar- CONTENIDO: sos que debe seguir la depen- se.El Riesgo 1 dencia para desarrollar todas Determinar la probabilidad de que sus actividades. ocurra el riesgo.¿Qué es la administración del 1 Una vez definida la organización Evaluación del riesgo. lógica de los procedimientos, seEtapas 1 Tomar en cuenta el contexto de procede a determinar las causas los controles existente. o motivos que impiden el buenIdentificación del Riesgo 1 desarrollo y ejecución de los Determinación del nivel del ries- go.Análisis de loa Riesgos 1Nivel de impacto 1 IMPACTO VALOR CARÁCTER FRECUENCIA VALOR CARACTERNivel de probabilidad 1 Alto 7-8-9-10 Afecta la operación Baja 1-2-3 Ha ocurrido una segura del (1) vez en los proceso y/o últimos cincoEvaluación del Riesgo 2 (5) años. involucra el incumplimien- Media 4-5-6 Ha ocurrido alControles existentes 2 NIVEL DE IMPACTO to de regula- menos una (1) ciones exis- vez en los ú l t i IMPACTO VALOR CARÁCTER tentes. mos dos (2)Determinación del nivel del riesgo 2 Bajo 1-2-3 No afecta la años operación del proceso ni su NIVEL DE PROBABILIDAD Alta 7-8-9-10| Ha ocurrido al desempeño. menos una (1)Planificación de las acciones para vez en el último 2-3enfrentar los Riesgos Medio 4-5-6 Permite la semestre operación del proceso, peroPlan de Riesgos 3 bajo condicio- nes de de -Seguimiento 4 sempeño redu cido.Modelo de Plan de Riesgo 4 Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA
  2. 2. A u d i t o r í a I n t e r na d e l I P S F A P á g i n a 2 F O R M A T O D E L A Es necesario tener certeza E V A L U A C I O N R I E S G O sobre los puntos de control EVALUACION DEL RIESGO existentes en los diferentes Es el resultado automático, procesos, los cuales permiten ACTIVIDAD RIESGO DESCRIPCION CAUSAS CONSECUENCIAS IMPACTO PROBABILIDAD RIESGO EVALUACION DEL realizado mediante una formula obtener información para matemática que resulta de la efectos de tomar decisiones. relación entre el impacto y la Los controles pueden ser: probabilidad, el cual puede ser Preventivos: Actúan para alto o bajo. Multiplicadas estas eliminar las causas del riesgo dos calificaciones, grado de y prevenir su ocurrencia. ocurrencia o frecuencia por la Reducen la probabilidad o el relevancia del riesgo, nos arro- impacto. ja una calificación o pondera- De detección: Actúan para ción final por riesgo sobre una descubrir riesgos que no escala de 100 puntos donde se fueron previstos y están afec- establece que a una mayor tando seriamente el proceso. calificación mayor es el riesgo. CONTROLES EXISTENTES Correctivos: Permiten el restablecimiento de la activi- dad después de detectar un Son los mecanismos im- evento no deseable, o tam- plementados que permi- bién la modificación de las acciones causantes. Reducen ten mitigar la presencia el impacto. del riesgo L A C E R T E Z A D E L C O N O C I M I E N T O D E L O SC O N T R O L E S E N L O S D I F E R E N T E S P R O C E S O S O P T I M I Z A N L A T O M A D E D E C I S I O N DETERMINACION DEL NIVEL Cuando la evaluación de los controles existentes es media: DEL RIESGO - Si la evaluación del riesgo es baja, elEfectividad de los controles nivel del riesgo es medio VALORA-Cuando no existen controles: - Si la evaluación del riesgo es media, el CONTROL EXISTENTE CION DEL nivel del riesgo pudiera mantenerse en RIESGOLa probabilidad de la ocurrencia es alta medio si su referencia marcadora es laCuando los controles existentes no son probabilidad (Probabilidad alta - impactoefectivos: bajo); si su referencia marcadora es el impacto (impacto alto – probabilidad baja)La probabilidad de la ocurrencia es alta NIVEL DEL RIESGO el nivel del riesgo pudiera ser alto. EVALAUCION DEL DOCUMENTADOCuando los controles existentes son - Si la evaluación del riesgo es alta, el nivelefectivos, pero no están documenta- EFECTIVO CONTROL del riesgo es alto. APLICA EXISTEdos:La probabilidad de ocurrencia es media. Cuando la evaluación de los controles existentes es baja:Cuando los controles son efectivos y Disminuye el nivel del riesgoestán documentados:La probabilidad de ocurrencia es baja.Nivel del RiesgoCuando la evaluación de los controleses alta.Aumenta el nivel del riesgo. P L A N I F I C A C I O N D E L A S A C C I O N E S P A R A E N F R E N T A R L O S R I E S G O S RIESGOS DE ATEN- Éstos deben ser reducidos o dad en la integración del Pro- eliminados con un adecuado grama Anual de Trabajo. CION INMEDIATA balanceo de controles preventi- Los riesgos de este cuadrante vos y de detección, enfatizando son clasificados como relevan- los primeros. tes y de alta prioridad. Son Por lo anterior, es necesaria la riesgos críticos que amenazan evaluación de los sistemas o el logro de las metas y objeti- procesos de control interno vos Institucionales y por lo establecidos para el manejo de tanto pueden ser significativos tales riesgos. por su grado de impacto y alta Asimismo, éstos tendrán priori- probabilidad de ocurrencia. Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA
  3. 3. A u d i t o r í a I n t e r na d e l I P S F A P á g i n a 3 P L A N I F I C A C I O N D E L A S A C C I O N E S P A R A E N F R E N T A R L O S R I E S G O S ( C o n t . . . ) RIESGOS DE ATENCION le otorgue al sistema de control Institucionales y representan PERIODICA del proceso de que se trate). El áreas de oportunidad para los Los riesgos que se ubican dentro conocimiento y experiencia lo- responsables y la coordinación ES NECESARIO de este cuadrante son significati- grados de las auditorías y revi- de control interno de la gerencia vos, pero su grado de impacto siones de control realizadas en , en el sentido de que agrega INTRODUCIR LA es menor que los correspondien- el transcurso del tiempo, propor- valor a la gestión pública si son cionarán una base adecuada debidamente comunicados al ADMINISTRACION tes al cuadrante anterior. Para asegurar que estos riesgos man- para la asignación de recursos mando directivo. Los riesgos DEL RIESGO tengan una probabilidad baja y en este tema. ubicados en los cuadrantes I y II sean administrados por la enti- Los controles deben ser evalua- deben recibir prioridad alta en EN EL INSTITUTO dad o dependencia adecuada- dos y mejorados para asegurar los Programas Anuales de Tra- que este tipo de riesgos de alta bajo, para su oportuna atención. COMO mente, los sistemas de control correspondientes deberán ser probabilidad de ocurrencia sean HERRAMIENTA evaluados sobre la base de in- detectados antes de que se tervalos regulares de tiempo materialicen. Estos riesgos, con- DE TRABAJO (v.gr. una o dos veces al año, juntamente con los de atención GERENCIAL dependiendo de la “confianza o inmediata son relevantes para el grado de razonabilidad” que se logro de las metas y objetivos RIESGOS DE SEGUIMIENTO RIESGOS CONTROLADOS Los riesgos de este cuadrante son me- nos significativos pero tienen un alto grado de impacto. Los sistemas de con- Estos riesgos son al mismo tiempo poco pro- trol que enfrentan este tipo de riesgos bables y de bajo impacto. deben ser revisados una o dos veces al año, para asegurarse que están siendo administrados correctamente y que su importancia no ha cambiado debido a Ellos requieren de un seguimiento y control modificaciones en las condiciones inter- mínimo, a menos que una evaluación de ries- nas o externas de la dependencia o gos posterior muestre un cambio sustancial, y entidad. éstos se trasladen hacia un cuadrante de mayor impacto y probabilidad de ocurrencia. PLAN DE RIESGOSEl mapa de riesgos es una herra- ACCIONES DE CON- RESPONSABLES INDICADORESmienta sistemática gerencialcuya entrada resultan ser los TROL Son una variable que permitenmayores riesgos a los cuales Aplicaciones del manejo del medir el funcionamiento, gradoestá expuesto un determinado Riesgo que permite reducir o de ejecución y la evolución deproceso o la entidad propiamente prevenir Mecanismos Futuros las acciones de control imple-dicha y que propone desarrollar que generan cambio por mejora- mentadas por los responsableslas respuestas ante ellos, ten- miento, rediseño o eliminación y de las dependencias para reducirdientes a evitar, reducir, transfe- optimización de los procedimien- el riesgo.rir o asumir el riesgo, mediante la tos. CRONOGRAMAS Señalan la situación real de cum-aplicación de acciones, el moni- plimiento de las ACCIONES DEtoreo de las mismas, además del CONTROL QUE SE PROPUSIE-cronograma y los indicadores RON IMPLEMENTAR para evitar o disminuir el riesgo.LA FORMULACION DE LOS INDICADORES PUEDE REALIZARSE EN FORMA CUALITATIVA O CUANTITATIVA, PORCENTUAL O POR UNIDADES DE CUMPLIMIENTO Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA
  4. 4. A u d i t o r í a I n t e r na d e l I P S F A P á g i n a 4 s e g u i m i e n t oIntegrado por dos componentes.El monitoreo, que busca revisar en la organización como se esta realizando el manejo de los riesgos y la auto evaluación que lo realiza cada res-ponsable de las acciones en procura de determinar cuán efectivas son las acciones que esta implementando con el fin de contrarrestar el riesgo.1. MonitoreoLuego de definido el plan de manejo de riesgos, se realizará monitoreo ya que estos representan amenaza permanente para la organización.Para evaluar la eficiencia en la implementación y desarrollo de las acciones de control, se hacen revisiones del plan de manejo de riesgos paraestablecer factores que influyan en la aplicación de las acciones preventivas.Responsables del monitoreo: Cada responsable del área articulado con la Coordinación de Control Interno de la Gerencia.Finalidad: Aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.Resultado: Los responsables del proceso con asistencia de la Coordinación de Control Interno de la gerencia, comunicarán a los jefes o jefas de lasrespectivas áreas los hallazgos y sugerencias para el mejoramiento y tratamiento de los riesgos detectados.2. Auto evaluaciónEl plan de manejo de riesgos debe evaluarse con base en los indicadores de gestión diseñados para este fin y en los resultados del monitoreo apli-cados.La evaluación no es la última etapa del proceso, sino que a través de ella se obtiene información valiosa para:- Reformular el plan de manejo de riesgos.- Agregar las acciones para combatir los nuevos riesgos detectados.- Generar dentro de las áreas un ambiente de compromiso, pertenencia y autocontrol.- Posibilitar a través de la retroalimentación el mejoramiento en el logro de los objetivos institucionales. MODELO DE PLAN DE RIESGOS CONTROL INTERNO PAGINA: MAPA DE RIESGOSFECHA DE ACTUALIZACION:PROCESO:OBJETIVO DEL PROCESO: CRONOGRAMA DESCRIPCION CONSECUENCIAS EVALUACION DEL VALORACION RESPONSABLE DEL RIESGO Implementación ACTIVIDAD IMPACTO PROBABILIDAD EXISTENTES CONTROLES CAUSAS ACCIONES RIESGO RIESGO Fecha de NIVEL DE NIVEL DE NIVEL DE VALOR IMPACTO VALOR PROBABILI VALOR DAD EVALUACIONL Descripción del Mapa de riesgos Actividad: Paso del proceso al cual se le esta aplicando las técnicas de Administración del Riesgo Riesgo: Posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de la realización de la actividad. Causas: Identificar el agente generador del riesgo Consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social administrati- vo, etc. Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo. Probabilidad: Entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de Frecuencia, si se ha materiali- zado (por ejemplo: Número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Evaluación del Riesgo: Resultado obtenido en la matriz de calificación y evaluación de riesgos. Controles existentes: Especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo. Valoración del Riesgo: Es el resultado de determinar la vulnerabilidad de la entidad al riesgo, luego de confrontar la evaluación del riesgo con los controles existentes. Acciones: Es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo. Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas. Cronograma: Son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. Indicadores: Se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA

×