Administracion De Riesgos[1]

7,712 views

Published on

Published in: Business, Economy & Finance
1 Comment
4 Likes
Statistics
Notes
  • excelente presentacion! muy importante conocer y saber identificar los riesgos a la hora de la toma de decisiones, buen aporte, comparto con ustedes la noticia sobre Ana Patricia http://www.mujeresycia.com/?x=nota/33737/1/ana-patricia-botin-la-mujer-mas-reputada
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
7,712
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
491
Comments
1
Likes
4
Embeds 0
No embeds

No notes for slide

Administracion De Riesgos[1]

  1. 1. Guía Administración del Riesgo Departamento Administrativo de la Función Pública República de Colombia
  2. 2. Guía Administración del Riesgo 1 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA Fernando Grillo Rubiano DIRECTOR Carla Liliana Henao Carmona SUBDIRECTORA Carlos Humberto Moreno Bermúdez DIRECTOR DE EMPLEO PÚBLICO Elber Eliécer Rojas Méndez DIRECTOR DE DESARROLLO ORGANIZACIONAL Martha Cecilia Martelo de Castro DIRECTORA DE CONTROL INTERNO Y RACIONALIZACIÓN DE TRÁMITES Claudia Patricia Hernández León JEFE OFICINA ASESORA JURÍDICA Alejandro Enrique Lobo Sagre JEFE OFICINA ASESORA DE PLANEACIÓN Juan Manuel Cortés Gaona JEFE OFICINA DE CONTROL INTERNO Celmira Frasser Acevedo JEFE OFICINA DE SISTEMAS (E) Bogotá, D.C., junio de 2004 Segunda Edición Departamento Administrativo de la Función Pública
  3. 3. Guía Administración del Riesgo ELABORACIÓN DE TEXTOS: Sol Beatriz Arango Ramírez María Andrea Palacio Palacio Gustavo Olaya Ferreira Luis Rogelio Bautista Cotrino María del Consuelo Arias Prieto ======== DISEÑO Y DIAGRAMACIÓN Gabriela Osorio Valderrama Área de Comunicaciones DAFP. IMPRESIÓN: 2 Imprenta Nacional de Colombia Junio de 2004 Departamento Administrativo de la Función Pública
  4. 4. Guía Administración del Riesgo 3 P resentación Después de dos años de la publicación de la Cartilla de Administración del Riesgo y tenien- do en cuenta las experiencias recogidas duran- te este tiempo, fruto de los espacios generados para debatir tan importante tema con entida- des tanto del sector público como privado, es para el Departamento Administrativo de la Fun- ción Pública muy grato presentar la actualiza- ción de la metodología, acorde con el accio- nar de la administración pública y teniendo en cuenta los lineamientos internacionales que sobre el tema se aplican en la actualidad. Se espera que dicha guía sirva como comple- mento a la consolidación de los Sistemas de Control Interno de las entidades y contribuya a la implementación e interiorización de una cul- tura de Autocontrol y autoevaluación que par- ta del proceso de planeación y del cumplimien- to de los objetivos estratégicos institucionales, de tal manera que los fines del Estado y los prin- cipios establecidos en la Constitución Política de Colombia se cumplan a cabalidad. Departamento Administrativo de la Función Pública
  5. 5. Guía Administración del Riesgo El direccionamiento en la administración del ries- go ayuda al conocimiento y mejoramiento de la entidad, contribuye a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindán- dole un manejo sistémico a la entidad. La consigna es que la administración del ries- go sea incorporada al interior de las entida- des como una política de gestión por parte de la alta dirección y cuente con la participación y respaldo de todos los servidores públicos; ta- rea que se facilitará con la implementación de la metodología aquí presentada lo cual per- mite establecer mecanismos para identificar, valorar y minimizar los riesgos a los que cons- tantemente están expuestas y poder de esta manera fortalecer el sistema de control inter- no para lograr el más alto grado de eficacia y eficiencia. FERNANDO GRILLO RUBIANO Director 4 Departamento Administrativo de la Función Pública
  6. 6. Guía Administración del Riesgo 5 T abla de contenido 1 OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO ................. 9 1.1 GENERALES .............................................................................. 11 1.2 ESPECÍFICOS ............................................................................ 11 2. MARCO LEGAL ....................................................................... 13 3. MARCO CONCEPTUAL ........................................................... 17 4. METODOLOGÍA ....................................................................... 21 4.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO .......... 24 4.2 VALORACIÓN DEL RIESGO .................................................... 24 4.2.1 Identificación del riesgo ........................................................ 24 4.2.2 Análisis del riesgo .................................................................... 27 4.2.3 Determinación del nivel del riesgo ...................................... 29 4.3 MANEJO DEL RIESGO ............................................................. 30 4.3.1 Consideración de Acciones ................................................. 30 4.3.2 Elaboración del Mapa de Riesgos ....................................... 31 4.3.3 Implementación de Acciones .............................................. 33 4.4 MONITOREO ............................................................................ 33 5. DEFINICIÓN DE TÉRMINOS ...................................................... 37 ANEXO I ................................................................................... 43 ANEXO II ................................................................................... 51 BIBLIOGRAFÍA .......................................................................... 63 Departamento Administrativo de la Función Pública
  7. 7. Guía Administración del Riesgo 6 Departamento Administrativo de la Función Pública
  8. 8. Guía Administración del Riesgo 7 I ntroducción El estudio y manejo de los riesgos no es un tema nuevo, de alguna u otra forma, las entidades, negocios y grandes empresas han venido desarrollando planes, programas y proyectos tendientes a darle un manejo adecuado a los riesgos, con el fin de lograr de la manera mas eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar. Es así como se encuentra que existen diferentes formas de abordar el tema de los riesgos dependiendo del tamaño de la entidad, los objetivos que persigue, la cultura administrativa, la complejidad de sus operaciones y la disponibilidad de recursos, entre otros. El riesgo es un concepto que se puede considerar fundamental, por su vínculo con todo el quehacer, casi se podría afirmar que no hay actividad de la vida, los negocios o de cualquier asunto que no incluya la palabra riesgo, es por ello que la humanidad desde sus inicios buscó maneras de protegerse contra las contingencias y desarrolló - al igual que la mayoría de las especies animales - ma- neras de evitar, minimizar o asumir riesgos a través de acciones pre- ventivas1 . 1 ESTUPIÑÁN GAITÁN, Rodrigo, La gerencia de riesgo y el nuevo enfoque de control interno plan- teado por el “COSO” Departamento Administrativo de la Función Pública
  9. 9. Guía Administración del Riesgo Actualmente la dirección moderna concibió una disciplina deno- minada “Administración de riesgos” o Gerencia de riesgos” que es una función de muy alto nivel dentro de la organización para defi- nir un conjunto de estrategias que a partir de los recursos (físicos, humanos y financieros) busca, en el corto plazo mantener la estabi- lidad financiera de la empresa, protegiendo los activos e ingresos y, en el largo plazo, minimizar las pérdidas ocasionadas por la ocu- rrencia de dichos riesgos. En este contexto, las entidades de la administración pública no pue- den ser ajenas al tema de los riesgos y deben buscar como manejar- los partiendo de la base de su razón de ser y su compromiso con la sociedad; por esto se debe tener en cuenta que los riesgos no sólo son de carácter económico y están directamente relacionados con entidades financieras o con lo que se ha denominado riesgos profe- sionales, sino que hacen parte de cualquier gestión que se realice. Para efectos de esta guía, se va a considerar el riesgo como toda posibilidad de ocurrencia de aquella situación que pueda entorpe- cer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos, por lo que se entrega a la administración pública como una herramienta que le permita a las instituciones hacer un manejo adecuado de los riesgos desde la planeación y contribuir así al logro de los objetivos. La actualización de la Cartilla Guía Administración del riesgo, es el resultado de la labor realizada por un grupo de trabajo de la Direc- ción de Control Interno y Racionalización de Tramites del Departa- mento Administrativo de la Función Pública. Tiene por objeto fortalecer aspectos relevantes de la Función de la Administración Pública, enunciados en el artículo 209 de la Consti- tución Política de Colombia, el artículo 3 de la Ley 489 de 1998 y el Decreto 1537 de 2001; además de dar cumplimiento a los principios constitucionales de igualdad, moralidad, eficacia, economía, ce- leridad, imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones, recordando que una de la finalidades sociales del Estado es el bienestar general y el mejoramiento de la calidad de vida de la población, acorde con los enunciados contenidos en el artículo 366 de la Carta Magna y el artículo 4 de la Ley 489 de 1998. Pretende que el usuario de la guía pueda identificar, analizar y manejar permanentemente el riesgo, garantizando el cumplimien- to de los objetivos institucionales, la supervivencia de la entidad y fortaleciendo continuamente la credibilidad de la misma ante el 8 ciudadano. Departamento Administrativo de la Función Pública
  10. 10. Guía Administración del Riesgo 9 1. OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO Departamento Administrativo de la Función Pública
  11. 11. Guía Administración del Riesgo 10 Departamento Administrativo de la Función Pública
  12. 12. Guía Administración del Riesgo 11 1.1 GENERALES Facilitar el cumplimiento de la misión y objetivos institucionales de las entidades de la administración pública a través de la prevención y administración de los riesgos. 1.2 ESPECÍFICOS Generar una visión sistémica acerca de la administración y eva- luación de riesgos, así como del papel de la alta y media geren- cia en coordinación con la Oficina de Control Interno, con rela- ción a los mismos. Proteger los recursos del Estado. Introducir dentro de los procesos y procedimientos la administra- ción del riesgo. Involucrar y comprometer a todos los servidores de cualquier en- tidad de la administración pública, en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos. Propender porque cada entidad interactúe con otras, para for- talecer su desarrollo. Asegurar el cumplimiento de normas, leyes y regulaciones. Departamento Administrativo de la Función Pública
  13. 13. Guía Administración del Riesgo 12 Departamento Administrativo de la Función Pública
  14. 14. Guía Administración del Riesgo 13 2. MARCO LEGAL Departamento Administrativo de la Función Pública
  15. 15. Guía Administración del Riesgo 14 Departamento Administrativo de la Función Pública
  16. 16. Guía Administración del Riesgo Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en las entidades 15 y organismos del Estado y se dictan otras disposicio- nes, artículo 2 literal a). Proteger los recursos de la 1. organización, buscando su adecuada administra- ción ante posibles riesgos que los afectan. Artículo 2 literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos. 2. Ley 489 de 1998. ESTATUTO BÁSICO de Organización y funcionamiento de la administración pública. Decreto 2145 de 1999, por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las 3. Entidades y Organismos de la Administración públi- ca del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el De- creto 2593 del 2000. Directiva presidencial 09 de 1999, lineamientos para 4. la implementación de la política de lucha contra la corrupción. Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elemen- tos técnicos y administrativos que fortalezcan el sis- tema de control interno de las entidades y organis- mos del Estado. Cuarto parágrafo. Son objetivos del sistema de control interno (…) definir y aplicar medi- 5. das para prevenir los riesgos, detectar y corregir las desviaciones… Artículo 3. El rol que deben desem- peñar las oficinas de control interno (…) se enmar- ca en cinco tópicos (…) valoración de riesgos. Artí- culo 4. Administración de riesgos. Como parte inte- gral del fortalecimiento de los sistemas de control interno en las entidades publicas (…). Decreto 188 de 2004, por el cual se modifica la es- 6. tructura del Departamento Administrativo de la Fun- ción Pública y se dictan otras disposiciones. Departamento Administrativo de la Función Pública
  17. 17. Guía Administración del Riesgo 16 Departamento Administrativo de la Función Pública
  18. 18. Guía Administración del Riesgo 17 3. MARCO CONCEPTUAL Departamento Administrativo de la Función Pública
  19. 19. Guía Administración del Riesgo 18 Departamento Administrativo de la Función Pública
  20. 20. Guía Administración del Riesgo 19 L a administración pública al ocuparse de los fenómenos de orga- nización y gestión, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administración, para lo cual requiere estar en constante actualización y estar abierta al cambio y a la aplicación de diferentes instrumentos que le permitan a las entidades ser cada vez más eficientes, por lo que se hace necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en un momento de- terminado el cumplimiento de los objetivos institucionales. Por lo anterior, se hace necesario introducir el concepto de administra- ción del riesgo en las entidades, teniendo en cuenta que todas las or- ganizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente expuestas a diferentes riesgos que pue- den poner en peligro su existencia. Desde la perspectiva del control, el modelo COSO interpreta que la eficiencia del control es la reducción de los riesgos, es decir: el propósito principal del control es la elimina- ción o reducción de los riesgos, es lograr que el proceso y sus controles garanticen, de manera razonable que los riesgos están minimizados o se están reduciendo y por lo tanto, que los objetivos de la organización van a ser alcanzados2 . Para el caso de las organizaciones públicas, dada la diversidad y par- ticularidad de las entidades en cuanto a funciones, estructura, manejo presupuestal, contacto con la ciudadanía y compromiso social entre otros, es preciso identificar o precisar las áreas, los procesos, los proce- dimientos, las instancias y controles dentro de los cuales puede actuar- se e incurrirse en riesgos que atentan contra la buena gestión y la ob tención de resultados para tener un adecuado manejo del riesgo. Igualmente, es importante tener en cuenta que los riesgos están deter- minados por factores de carácter externo, también denominados del entorno y factores de carácter interno. Entre los factores externos se destacan: la normatividad en la medida que se hace parte de un Estado social de derecho; a vía de ejemplo se pueden mencionar cambios constitucionales como el de 1991; juris- prudenciales como los que se expresan en sentencias que declaran sin efecto normas que venían aplicándose y que en un momento deter- minado pueden afectar las funciones específicas de una entidad pú- 2 PORTAL, Juan Manuel, Autoevaluación del control, III Encuentro nacional de control interno, noviembre de 1997. Departamento Administrativo de la Función Pública
  21. 21. Guía Administración del Riesgo blica y por lo tanto sus objetivos. También pueden mencionarse las re- formas a la administración y los constantes recortes presupuestales que afectan la capacidad de gestión de las entidades públicas, lo cual sumado a la reducción o eliminación total del presupuesto de inver- sión, obliga a considerar en todo momento el riesgo en que incurre la entidad de no poder cumplir con su objeto social. Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los controles existentes, los procesos y pro- cedimientos, la disponibilidad presupuestal, la forma como se vinculan las personas a la entidad, los intereses de los directivos, el nivel del ta- lento humano, la motivación y los niveles salariales, entre otros. Es así como se hace necesario además de la identificación de factores y riesgos en las entidades, su análisis, valoración e implementación de un plan de manejo el cual se materialice en un mapa de Riesgos, al cual se le haga una evaluación y monitoreo permanentes. Para llevar a cabo dicho proceso se considera importante señalar el papel de la Oficina de Control Interno, el cual es de dos clases, directo e indirecto: Rol directo: Liderar y coordinar el proceso de levantamiento de los Mapas de Riesgos institucionales y con base en ellos, realizar recomen- daciones preventivas y/o correctivas con los responsables de los pro- cesos. Igualmente, la Oficina de Control Interno debe hacer un moni- toreo periódico y realizar seguimiento a la evolución de los riesgos y al cumplimiento de las acciones propuestas, con el fin de verificar el cum- plimiento de las mismas y proponer mejoras. Rol indirecto: Velar porque al interior de la entidad se implementen políticas de administración del riesgo y se conformen equipos de tra- bajo que apoyen dicho proceso y propendan por que se implementen mecanismos reales para la administración del riesgo. Igualmente el Decreto 1537 de 2001 en su artículo 4: “Administración de riesgos” especifica que la identificación y el análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces con miras a estable- cer acciones efectivas, representadas en actividades de control, acor- dadas entre los responsables de las áreas o procesos y dichas oficinas.3 20 3 DECRETO 1537 DE 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 Departamento Administrativo de la Función Pública
  22. 22. Guía Administración del Riesgo 21 4. METODOLOGÍA Departamento Administrativo de la Función Pública
  23. 23. Guía Administración del Riesgo 22 Departamento Administrativo de la Función Pública
  24. 24. Guía Administración del Riesgo 23 L a metodología presentada, contiene algunos pequeños ajus- tes que más que cambios pueden considerarse complemento a la Guía entregada hace dos años. Dichos ajustes, responden a la expe- riencia recogida durante la divulgación de la cartilla anterior, a través de talleres, asesorías directas a las entidades y la participación en di- ferentes foros tanto con entidades del sector público, como empresas del sector privado que trabajan el tema desde hace varios años. Las entidades de la administración pública tienen unos objetivos insti- tucionales definidos por su norma de constitución, los cuales deben desarrollar a través de diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos se puede ver afectado por la pre- sencia de riesgos, razón por la cual se hace necesario contar con una metodología para administrar los mismos dentro de la organización. En este sentido y partiendo de la razón de ser de las entidades, la ad- ministración del riesgo debe ser una política institucional definida y res- paldada por la alta dirección que se comprometa a manejar el tema dentro de la organización. En el anexo II se adjunta un cuestionario que le va a facilitar a las enti- dades establecer cómo se encuentran respecto a la administración del riesgo. DIRECTRICES GENERALES Las etapas sugeridas para una adecuada Administración del Ries- go son las siguientes: ♦ Compromiso de la alta y media dirección: Para el éxito en la Implementación de una adecuada administración del ries- go, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de definir las políticas y en segunda instancia de estimular la cultura de la identificación y prevención del riesgo. Para lograrlo es importante la defini- ción de canales directos de comunicación y el apoyo a to- das las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. ♦ Conformación de un equipo de trabajo: Es importante con- formar un equipo de trabajo que junto con la Oficina de Control Interno se encargue de liderar el proceso de admi- Departamento Administrativo de la Función Pública
  25. 25. Guía Administración del Riesgo nistración del riesgo dentro de la entidad y cuente con un canal directo de comunicación con la alta dirección. Di- cho equipo lo deben integrar personas de diferentes áreas que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos para que se facilite la administración del riesgo y la construcción de los mapas de riesgos institu- cionales. ♦ Capacitación en la metodología: Definido el equipo o equi- pos de trabajo, debe capacitarse a sus integrantes en la metodología de la administración del riesgo, para lo cual se podrá contar con el apoyo del Departamento Adminis- trativo de la Función Pública. 4.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO Como cualquier otro proceso institucional, la administración del ries- go debe planearse y programarse de manera que haga parte de todo el quehacer de la entidad. Para el diseño de esta planeación es fundamental tener claridad en la misión institucional, en sus objetivos y tener una visión sistémi- ca de manera que no se perciba la administración del riesgo como algo aislado. Igualmente es necesario conocer sobre el tema de riesgos y la metodología propuesta. Dicha planeación debe contener: ¿Cuándo va a empezar a ma- nejarse el tema dentro de la entidad?, ¿Quiénes van a participar directamente en el proceso? , ¿Cuándo van a realizarse las capa- citaciones y a quién van a ir dirigidas? y ¿Cómo se va a articular el tema dentro de la planeación y con los procesos?, entre otros. 4.2 VALORACIÓN DEL RIESGO La valoración del riesgo consta de tres etapas: la identificación, el análisis y la determinación del nivel del riesgo. Estas etapas son de singular interés para desarrollar con éxito la administración del ries- go e implementar una política al respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las personas que eje- cutan los procesos para lograr que las acciones determinadas al- cancen los niveles de efectividad esperados. 4.2.1 Identificación del riesgo El proceso de la identificación del riesgo debe ser permanente e 24 interactivo integrado al proceso de planeación y debe partir de la Departamento Administrativo de la Función Pública
  26. 26. Guía Administración del Riesgo claridad de los objetivos estratégicos de la entidad para la obten- ción de resultados. 25 Previa la identificación de los riesgos es importante tener en cuenta tal como se mencionó anteriormente, los factores que pueden incidir en la aparición de los mismos, los cuales pueden ser externos e internos y llegar a afectar la organización en cualquier momento. Debe considerarse además de los factores previamente citados, fac- tores externos relacionados con la entidad como son: económicos, sociales, de orden público, políticos, legales y cambios tecnológicos, entre otros y como factores internos: la naturaleza de las actividades de la entidad, la estructura organizacional, los sistemas de informa- ción, los procesos y procedimientos y los recursos económicos. Para la identificación se recomienda la aplicación de varias herra- mientas y técnicas como por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entre- vistas e indagaciones con personas ajenas a la entidad, usar diagra- mas de flujo, análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organiza- ción, entre otros. Igualmente pueden utilizarse diferentes fuentes de información de la entidad, tales como registros históricos, experiencias significativas regis- tradas, opiniones de especialistas y expertos, informes de años anterio- res, los cuales pueden proporcionar información importante, la técnica utilizada dependerá de las necesidades y naturaleza de la entidad. Una manera de visualizar los riesgos es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventa- rio de los mismos, definiendo en primera instancia los riesgos, posterior- mente presentando una descripción de cada uno de estos y finalmente definiendo las posibles consecuencias. Es importante centrarse en los riesgos más significativos para la entidad. Formato de identificación de riesgos POSIBLES RIESGO DESCRIPCIÓN CONSECUENCIAS Departamento Administrativo de la Función Pública
  27. 27. Guía Administración del Riesgo Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. Posibles consecuencias: corresponde a los posibles efectos oca- sionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, entre otros. Clasificación del riesgo Durante el proceso de identificación del riesgo se recomienda hacer una clasificación de los mismos teniendo en cuenta los siguientes concep- tos4 : Riesgo Estratégico: Se asocia con la forma en que se administra la Enti- dad. El manejo del riesgo estratégico se enfoca a asuntos globales rela- cionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los proce- sos , en la estructura de la entidad, la desarticulación entre dependen- cias, lo cual conduce a ineficiencias, oportunidades de corrupción e in- cumplimiento de los compromisos institucionales. Riesgos de Control: Están directamente relacionados con inadecuados o inexistentes puntos de control y en otros casos, con puntos de control obsoletos, inoperantes o poco efectivos. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los es- tados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparen- cia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. 26 4 Casals & Associates Inc, PriceWaterhouseCoopers, USAID, Documento Mapas de Riesgos, octu- bre 2003, p.6-7 Departamento Administrativo de la Función Pública
  28. 28. Guía Administración del Riesgo Riesgos de Tecnología: Se asocian con la capacidad de la Enti- dad para que la tecnología disponible satisfaga las necesida- 27 des actuales y futuras de la entidad y soporten el cumplimiento de la misión. 4.2.2 Análisis del riesgo El objetivo del análisis es el de establecer una valoración y prioriza- ción de los riesgos con base en la información obtenida en el for- mato de identificación de riesgos elaborados en la etapa de iden- tificación, con el fin de obtener información para establecer el ni- vel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre el mismo, de su causa y la disponibilidad de datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas. Se han establecido dos aspectos para realizar el análisis de los ries- gos identificados: Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la pre- sencia de factores internos y externos que pueden propiciar el ries- go, aunque éste no se haya materializado. Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo. A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos. Análisis cualitativo: se refiere a la utilización de formas des- criptivas para presentar la magnitud de consecuencias poten- ciales y la posibilidad de ocurrencia. Se diseñan escalas ajus- tadas a las circunstancias de acuerdo a las necesidades par- ticulares de cada organización o el concepto particular del riesgo evaluado. Escala de medida cualitativa de PROBABILIDAD: se deben estable- cer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a tra- vés de ella los mismos ítems, por ejemplo: ALTA: es muy factible que el hecho se presente. MEDIA: es factible que el hecho se presente. BAJA: es muy poco factible que el hecho se presente. Departamento Administrativo de la Función Pública
  29. 29. Guía Administración del Riesgo Ese mismo diseño puede aplicarse para la escala de medida cuali- tativa de IMPACTO, estableciendo las categorías y la descripción, por ejemplo: ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad Con base en los ejemplos anteriormente expuestos, los equipos de trabajo en coordinación con los encargados de adelantar los pro- cesos pueden construir sus propias escalas de acuerdo a la natura- leza de la entidad y a las características de los procesos y procedi- mientos, de forma que estas escalas se ajusten al análisis de los ries- gos identificados. Análisis cuantitativo: Este análisis contempla valores numéricos para los cuales se pueden construir tablas; la calidad depende de lo exac- tas y completas que estén las cifras utilizadas. La forma en la cual la probabilidad y el impacto es expresada y las formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo. Ejemplo de escala de probabilidad: Probabilidad Nivel Calificación de ocurrencia 0 - 25 Baja 1 26- 70 Media 2 71- 100 Alta 3 Al igual que para determinar las escalas cualitativas, el diseño de las escalas cuantitativas debe contar con la participación de las personas encargadas de los procesos y con el grupo encargado de liderar la administración del riesgo. Priorización de los riesgos Una vez realizado el análisis de los riesgos con base en los aspectos de probabilidad e impacto, se recomienda utilizar la matriz de prio- 28 rización que permite determinar cuales requieren de un tratamien- to inmediato. Departamento Administrativo de la Función Pública
  30. 30. Guía Administración del Riesgo Matriz de priorización de riesgos 29 F R ALTA E C A B U E N BAJA C I C D A IMPACTO BAJO ALTO Cuando se ubican los riesgos en la matriz se define cuáles de ellos requieren acciones inmediatas, que en este caso son los del cua- drante B, es decir los de alto impacto y alta probabilidad. Los que no requieren acciones inmediatas (pero desde luego requieren que se formulen) son los ubicados en el cuadrante C bajo impacto y baja probabilidad. Respecto a los ubicados en las casillas A y D, es la enti- dad la que debe seleccionar de acuerdo a la naturaleza del riesgo cuáles va a trabajar primero, los de alto impacto pero baja probabi- lidad o los de alta probabilidad y bajo impacto, ya que estos pueden ser peligrosos para el logro de los objetivos institucionales, por las con- secuencias que presentan en el caso de los ubicados en la casilla D, o por lo constante de su presencia en el caso de la casilla A. 4.2.3 Determinación del nivel del riesgo La determinación del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad con los controles existentes al interior de los diferentes procesos y procedimientos que se realizan. Para ade- lantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones, estos niveles de ries- go pueden ser: ALTO: Cuando el riesgo hace altamente vulnerable a la enti- dad o unidad. (Impacto y probabilidad alta vs controles) MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto - probabilidad baja o Impacto bajo - probabili- dad alta vs controles). BAJO: Cuando el riesgo presenta vulnerabilidad baja.( Impacto y probabilidad baja vs controles). Departamento Administrativo de la Función Pública
  31. 31. Guía Administración del Riesgo Un ejemplo de la determinación del nivel del riesgo y del grado de exposición al mismo: Riesgo: Perdida de información debido a la entrada de un virus en la red de información de la entidad. Probabilidad: Alta, porque todos los computadores de la enti- dad están conectados a la red de Internet e intranet. Impacto: Alto, porque la perdida de información traería conse- cuencias graves para el quehacer de la entidad. Controles existentes: la entidad tiene establecidos controles se- manales haciendo backup o copias de seguridad y vacunando todos los programas y equipos; además guarda la información más relevante desconectada de la red en un centro de información. Resultado Nivel de riesgo: Medio por los controles establecidos Lo anterior significa que a pesar de que la probabilidad y el impac- to son altos confrontado con los controles, se puede afirmar que el nivel de riesgo es medio y por lo tanto las acciones que se imple- menten entrarán a reforzar los controles existentes y a valorar la efec- tividad de los mismos. 4.3 MANEJO DEL RIESGO Cualquier esfuerzo que emprendan las entidades en torno a la va- loración del riesgo llega a ser en vano, si no culmina en un adecua- do manejo y control de los mismos. 4.3.1 Consideración de Acciones Para el manejo de los riesgos se deben analizar las posibles accio- nes a emprender las cuales deben ser factibles y efectivas, tales como: la implementación de políticas, definición de estándares, op- timización de procesos y procedimientos y cambios físicos entre otros. Se pueden tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemen- te, interrelacionadas o en conjunto. Evitar el riesgo: es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustan- ciales por mejoramiento, rediseño o eliminación, resultado de unos 30 adecuados controles y acciones emprendidas. Un ejemplo de esto Departamento Administrativo de la Función Pública
  32. 32. Guía Administración del Riesgo puede ser el control de calidad, manejo de los insumos, manteni- miento preventivo de los equipos, desarrollo tecnológico, etc. 31 Reducir el riesgo: si el riesgo no puede ser evitado porque crea gran- des dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el méto- do más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la op- timización de los procedimientos y la implementación de controles. Ejemplo: Planes de contingencia. Dispersar y atomizar el riesgo: Se logra mediante la distribución o loca- lización del riesgo en diversos lugares. Es así como por ejemplo, la in- formación de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar. Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado com- partiéndolo con otro grupo o dependencia. Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el ge- rente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. Una vez establecidas cuales de las anteriores opciones de manejo del riesgo se van a concretar, estas deben evaluarse con relación al be- neficio-costo para proceder a elaborar el mapa de riesgos, el cual permitirá visualizar todo el proceso de valoración, análisis y manejo de los riesgos. 4.3.2 Elaboración del Mapa de Riesgos Para la consolidación del Mapa de Riesgos, adicional a las considera- ciones expuestas, es necesario identificar las causas que los pueden 5 ocasionar , lo cual facilita el proceso de definición de acciones para mitigar los mismos. La selección de las acciones más convenientes debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los siguientes factores: 5 Definidas estas como los medios, circunstancias y agentes que generan riesgos Departamento Administrativo de la Función Pública
  33. 33. Guía Administración del Riesgo a) El nivel del riesgo b) El balance entre el costo de la implementación de cada acción contra el beneficio de la misma. Así mismo en el Mapa de Riesgos se deben identificar los controles existentes, las áreas o dependencias responsables de llevar a cabo las acciones, definir un cronograma y unos indicadores que permi- tan verificar el cumplimiento para tomar medidas correctivas cuan- do sea necesario. (Ver formato) MAPA DE RIESGOS Control Nivel de Causas Acciones Respon- Crono- Indicadores Riesgo Impacto Probabilidad Existente Riesgo sables grama Descripción del Mapa de riesgos Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo. Probabilidad entendida como la posibilidad de ocurrencia del ries- go; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo aunque este no se haya presentado nunca. Control existente: especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo. Nivel de riesgo: El resultado de la aplicación de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes. Causas: Son los medios, circunstancias y agentes que generan los riesgos. Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán par- 32 te del plan de manejo del riesgo. Departamento Administrativo de la Función Pública
  34. 34. Guía Administración del Riesgo Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas. 33 Cronograma: son las fechas establecidas para implementar las ac- ciones por parte del grupo de trabajo. Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas. Finalmente, partiendo de que el fin último de la administración del riesgo es propender por el cumplimiento de la misión y objetivos instituciona- les, los cuales están consignados en la planeación anual de la enti- dad, se sugiere articular el mapa de riesgos con la planeación de ma- nera que no sean planes aislados sino complementarios. 4.3.3 Implementación de acciones Definido el Mapa de Riesgos con sus acciones, responsables y cronogramas, es fundamental comenzar a ejecutar dichas acciones con el fin de determinar su efectvidad en el menor tiempo posible. 4.5 MONITOREO Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la orga- nización. El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación ade- lantando revisiones sobre la marcha para evidenciar todas aque- llas situaciones o factores que pueden estar influyendo en la apli- cación de las acciones preventivas. El monitoreo debe estar a cargo de la Oficina de Control Interno y los responsables de las diferentes áreas y su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para ase- gurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del monitoreo, sus resultados y propuestas de mejoramiento y tratamien- to a las situaciones detectadas. A continuación se presenta un diagrama que consolida todo el pro- ceso de administración del riesgo y puede facilitar la comprensión del mismo al momento de llevar a cabo la tarea de levantamiento del Mapa de Riesgos. (Ver página siguiente) Departamento Administrativo de la Función Pública
  35. 35. Guía Administración del Riesgo DIAGRAMA PROCESO DE ADMINISTRACIÓN DEL RIESGO LA ADMINISTRACIÓN DEL RIESGO COMO POLÍTICA INSTITUCIONAL 1. Identificar la Misión ETAPA 1 Conocimiento 2. Identificar objetivos PLANEACION ⇒ general de la institución ⇒ estratégicos 3. Identificar procesos estratégicos 1. Definir objetivos en ma- teria de administración del riesgo Diseño del plan ⇒ 2. Diseño cronograma de actividades 3. Capacitación en la metodología 1. Identificación de facto- res internos y externos ETAPA 2 2. Diligenciamiento del Identificación VALORACIÓN ⇒ del riesgo ⇒ formato de identifica- ción del Riesgo DEL RIESGO 3. Clasificación de los riesgos 1. Medir impacto y pro- babilidad 2. Jerarquizar los riesgos acorde con la escala de medición definida Análisis del Riesgo ⇒ (comenzando por los de mayor impacto y probabilidad) 3. Seleccionar los riesgos de mayor impacto y probabilidad 1. Identificar los controles existentes para cada uno de los riesgos se- leccionados Determinación 2. Confrontar el impacto y del nivel de riesgo ⇒ la probabilidad frente a los controles existentes 3. Seleccionar los riesgos de mayor incidencia 34 para el cumplimiento de los objetivos Departamento Administrativo de la Función Pública
  36. 36. Guía Administración del Riesgo DIAGRAMA PROCESO DE ADMINISTRACIÓN DEL RIESGO LA ADMINISTRACIÓN DEL RIESGO COMO POLÍTICA INSTITUCIONAL 35 ETAPA 3 1. Estudio de posibles Consideración MANEJO ⇒ de Acciones ⇒ acciones para mitigar los riesgos DEL RIESGO 1. Definición de las cau- sas que propician los riesgos 2. Definición de acciones Elaboración del mapa de Riesgos ⇒ para mitigar los riesgos 3. Análisis costo beneficio de las acciones 4. Diligenciamiento del formato de Mapa de Riesgos 1. Ejecución de los com- Implementación promisos adquiridos de acciones ⇒ 2. Seguimiento a las ac- ciones por parte de los responsables 1. Definir los riesgos a los cuales se va a hacer Elaboración seguimiento ETAPA 4 MONITOREO ⇒ del plan de ⇒ 2. Elaborar cronograma de seguimiento seguimiento 3. Definición de responsa- bles del seguimiento 1. Revisión de los compro- misos adquiridos para mitigar los riesgos selec- Ejecución del seguimiento ⇒ cionados 2. Verificación de la im- plementación de las actividades 1. Consolidación de la información Presentación de 2. Presentación de suge- resultados y propuestas ⇒ rencias y recomenda- ciones 3. Elaboración del informe Departamento Administrativo de la Función Pública
  37. 37. Guía Administración del Riesgo 36 Departamento Administrativo de la Función Pública
  38. 38. Guía Administración del Riesgo 37 5. DEFINICIÓN DE TÉRMINOS Departamento Administrativo de la Función Pública
  39. 39. Guía Administración del Riesgo 38 Departamento Administrativo de la Función Pública
  40. 40. Guía Administración del Riesgo • Administración de riesgos: Una rama de administración que aborda las consecuencias del riesgo. Consta de dos etapas: i El 39 diagnóstico o valoración, mediante Identificación, Análisis y determinación del Nivel, y ii El manejo o la administración pro- piamente dicha, en que se elabora, ejecuta y hace seguimien- to al Plan de manejo que contiene las Técnicas de Administra- ción del Riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta dirección. • Análisis de Beneficio-Costo: Una herramienta de Administra- ción de Riesgos usada para tomar decisiones sobre las técni- cas propuestas por el grupo para la administración de los ries- gos, en la cual se valoran y comparan los costos, financieros y económicos, de implementar la medida, contra los beneficios generados por la misma. Una medida de administración de riesgos será aceptada siempre que el beneficio valorado su- pere al costo. • Análisis de riesgos: Determinar el Impacto y la Probabilidad del riesgo. Dependiendo de la información disponible pueden em- plearse desde modelos de simulación, hasta técnicas colaborativas. • Causa: Son los medios, circunstancias y agentes que generan los riesgos. • Control: Es toda acción que tiende a minimizar los riesgos, signi- fica analizar el desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adop- ción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos. • Costo: Se entiende por costo las erogaciones, directas e indi- rectas en que incurre la entidad en la producción, prestación de un servicio o manejo de un riesgo. • Factores de riesgo: Manifestaciones o características medibles u observables de un proceso que indican la presencia de Ries- go o tienden a aumentar la exposición, pueden ser internos o externos a la entidad. • Identificación de riesgos: Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por funciones; des- de el nivel estratégico hasta el más humilde operativo. Departamento Administrativo de la Función Pública
  41. 41. Guía Administración del Riesgo • Impacto: consecuencias que puede ocasionar a la organiza- ción la materialización del riesgo. • Indicador: es la valoración de una o más variables que informa sobre una situación y soporta la toma de decisiones, es un crite- rio de medición y de evaluación cuantitativa o cualitativa. • Mapas de riesgos: herramienta metodológica que permite ha- cer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias • Nivel de riesgo (determinación del): Es el resultado de confrontar el impacto y la probabilidad, con los controles existentes. • Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad. • Plan de manejo de riesgos: Plan de acción propuesto por el gru- po de trabajo, cuya evaluación de beneficio costo resulta posi- tiva y es aprobado por la gerencia. • Plan de mejoramiento: Parte del plan de manejo que contiene las técnicas de administración del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos. • Probabilidad: Una medida (expresada como porcentaje o ra- zón) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad. • Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas. • Retroalimentación: Información sistemática sobre los resultados alcanzados en la ejecución de un plan, que sirven para actua- lizar y mejorar la planeación futura. • Riesgo: posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. • Riesgo absoluto: el máximo riesgo sin los efectos mitigantes de 40 la administración del riesgo. Departamento Administrativo de la Función Pública
  42. 42. Guía Administración del Riesgo • Riesgo residual: es el riesgo que queda cuando las técnicas de administración del riesgo han sido aplicadas. 41 • Seguimiento: Recolección regular y sistemática sobre la ejecu- ción del plan, que sirven para actualizar y mejorar la planea- ción futura. • Sistema: Conjunto de cosas o partes coordinadas, ordenada- mente relacionadas entre sí, que contribuyen a un determina- do objetivo. • Técnicas para manejar el riesgo: Evitar o prevenir, reducir, dis- persar, transferir y asumir riesgos. • Valoración del riesgo: Primera fase en la administración de ries- gos, diagnóstico que consta de la identificación, análisis y de- terminación del nivel de riesgo. Departamento Administrativo de la Función Pública
  43. 43. Guía Administración del Riesgo 42 Departamento Administrativo de la Función Pública
  44. 44. Guía Administración del Riesgo 43 ANEXO I EJEMPLO SOBRE LA APLICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO Metodología utilizada por una oficina para la elaboración del mapa de riesgos: Con el ánimo de aprender haciendo y adquirir mayor experiencia so- bre la administración del riesgo, el Jefe de una Oficina de Control Inter- no de un organismo del Estado, impartió instrucciones para el diseño, estructuración y elaboración del Mapa de Riesgos de la Oficina. Para tal efecto, se conformó un equipo de trabajo multidisciplinario con re- presentantes de cada una de las áreas de la entidad al cual se le brin- dó la capacitación correspondiente para adelantar dicha tarea. Aprovechando la organización por procesos de la oficina y tomando como base el Decreto 1537/2001, así como la Guía Preliminar emitida por el Consejo Asesor del Gobierno Nacional en materia de Control Interno, se dispuso elaborar el Mapa de Riesgos, definiendo un proceso específico y un procedimiento y definiendo actividades y asignando los responsables para cada una de éstas y se fijaron los plazos para presentar el trabajo. Al proceso al que se le adelantó el respectivo Mapa de Riesgos es el relativo al “Fortalecimiento del Sistema de Control Interno” para el Pro- cedimiento “Fortalecimiento de la Cultura de Contro”. A continuación se presenta el cuadro de actividades diseñado para adelantar el levantamiento del Mapa : Departamento Administrativo de la Función Pública
  45. 45. Guía Administración del Riesgo 44 Departamento Administrativo de la Función Pública
  46. 46. Guía Administración del Riesgo CUADRO DE ACTIVIDADES Y RESPONSABLES DE LA ELABORACIÓN DEL MAPA DE RIESGOS 45 Se presenta el esquema de trabajo elaborado por la oficina para el grupo de trabajo encargado de realizar la valoración de los riesgos y la elaboración del mapa de riesgos. ACTIVIDAD RESPONSABLE Instrucciones Generales Jefe Oficina Identificación de los procesos a trabajar de Control Interno Capacitación para el grupo encargado Jefe Oficina de de levantar el mapa brindándole los Control Interno fundamentos conceptuales sobre la Jefe de administración del riesgo acorde con la Talento Humano normatividad vigente, así como con las guías generadas en el Departamento Administrativo de la Función Pública y los lineamientos de la Presidencial de la República Identificación de los factores Funcionarios miem- internos y externos. bros del grupo de trabajo y responsa- ble de ejecutar pro- cedimiento. Diligenciar el formato de identificación Funcionarios miem- de riesgos definiendo la descripción del bros del grupo de riesgo y las posibles consecuencias. trabajo y responsable de ejecutar procedi- miento. Taller de retroalimentación con la Coordinó: Jefe de participación de todos los funcionarios Control Interno- de la oficina. Oficina de Talento Humano. Duración: 10 horas. 1. En este taller cada funcionario Consolidó: Profesional presentó y justificó los Riesgos de su Universitario respectivo procedimiento. Logística: Oficina 2. Los participantes aportaron, de Talento Humano solicitaron modificaciones y/o eliminaron algunos aspectos propuestos por el responsable del procedimiento. Departamento Administrativo de la Función Pública
  47. 47. Guía Administración del Riesgo ACTIVIDAD RESPONSABLE 3. Se estableció la fecha para presentación de los ajustes a la presentación inicial, las acciones de control, los responsables de ejecutarla y el indicador de cumplimiento para la misma. 4. Cada funcionario realizó los ajustes Funcionario correspondientes a su formato de responsable acuerdo con los aportes de los de procedimiento. participantes en el taller. 5. Diligenciamiento del formato de mapa de riesgos. Taller. Para revisar los mapas de riesgos Coordinó: Jefe de levantados con el fin de concertar las Control Interno. acciones a ejecutar, comprometer los Oficina de responsables y definir indicadores. Talento Humano Duración: 6 horas Consolidó: Profesional Universitario Participaron: El Jefe de la Oficina, las Jefes de Grupo y los funcionario Logística: Oficina responsables de procedimientos de Talento Humano de la oficina Consolidación del documento Profesional Universitario Mapa de Riesgos de los Procedimientos Oficina de Control Interno. Aprobación y difusión del Mapa de Jefes de Área. Riesgos de la Oficina de Control Interno Jefe Oficina de Control Interno. 46 Departamento Administrativo de la Función Pública
  48. 48. Guía Administración del Riesgo IDENTIFICACIÓN DE LOS RIESGOS 47 Una vez se realizó la identificación de los factores internos y externos que pueden afectar a la Oficina se procedió a dili- genciar el formato de identificación de riesgos, establecien- do el riesgo, su descripción y las posibles consecuencias. Pos- teriormente se procedió a elaborar el Mapa de Riesgos (ver formatos) PROCESO: Fortalecimiento del Sistema de Control Interno PROCEDIMIENTO: Fortalecimiento de la cultura del control Formato de identificación de riesgos DESCRIPCIÓN POSIBLES No. RIESGO DEL RIESGO CONSECUENCIAS 1 Escasa cobertura y La planta de personal Desconocimiento del periodicidad en el asignada a la Oficina tema de Control fomento de la cultura de Control Interno, Interno por parte del control en la dado el tamaño de de gran parte de los entidad la entidad no permite servidores de la ampliar la cobertura entidad. y periodicidad de las Se reducen las capacitaciones. oportunidades para fortalecer la cultura del control interno. Bajo compromiso de los funcionarios en la aplicación de herramientas de autocontrol y la auto evaluación. 2 Inadecuada selección Los procesos de selección Deterioro de la de personal para la no cumplen con el rigor imagen de la Oficina Oficina técnico administrativo Falta de credibilidad Insatisfacción de la Dirección Desgaste administrativo 3 Deficiencia en la Los equipos de sistemas Información poco calidad de la así como el software confiable información utilizado no Inoportunidad en corresponden a las las asesorías necesidades Departamento Administrativo de la Función Pública
  49. 49. Guía Administración del Riesgo DESCRIPCIÓN POSIBLES No. RIESGO DEL RIESGO CONSECUENCIAS 4 Insuficiente respaldo Por desconocimiento de Falta de compromiso de la alta dirección los temas relacionados por parte de los con control interno, funcionarios con el falta respaldo y control interno participación por parte Rezago en materia de la alta dirección en de control interno las actividades Baja productividad organizadas por la Oficina de Control Interno. 5 Falta de conoci- Las personas de la Asesorías inadecuadas miento y claridad Oficina de Control Baja imagen de en la normatividad Interno, no tienen la Oficina relacionada con claridad ni conocimiento Incumplimientos en la Control Interno de toda la normativi- entrega de informes dad relacionada que pueden llevar a con control interno. incurrir en sanciones. 48 Departamento Administrativo de la Función Pública
  50. 50. MAPA DE RIESGOS DEPENDENCIA: Oficina de Control Interno PROCESO: Fortalecimiento del Sistema de Control Interno PROCEDIMIENTO: Fortalecimiento de la Cultura del Control PROBA- CONTROLES NIVEL No. RIESGO IMPACTO BILIDAD EXISTENTES DEL CAUSAS ACCIONES RESPONSABLE CRONOGRAMA INDICADOR RIESGO 1 Escasa cobertura Alto Media 1. Charlas esporádicas Medio 1. Insuficiente personal 1. Incrementar las 1. Representante y periodicidad en sobre el tema asignado a la Oficina personas de la Oficina Legal el fomento de la 2. Divulgación de de Control Interno de Control interno cultura del control documentos 2. Inadecuada 2. Elaborar el plan anual 2. Oficina de CI en la entidad planeación de la Oficina y Oficina de Inicio: No. y programación. planeación enero 2004 funcionarios 3. Falta de interés de 3. Elaborar documentos 3. Oficina de CI actuales los funcionarios en o guías de sensibilización y de Talento No. Departamento Administrativo de la Función Pública el tema y divulgarlos Humano Finaliza: funcionarios 4. Escasos recursos 4. Definición de 4. Oficina de CI marzo 2004 en 3 meses para programas de instrumentos o y de Talento divulgación mecanismos virtuales Humano para incrementar la cobertura Guía Administración del Riesgo 2 Inadecuada Alto Alta 1.Proceso de selección Alto 1. Intereses particulares. 1. Contratar el proceso 1. Representante selección del de personal de selección con un Legal No. funcionarios personal para la ente externo. nombrados Oficina 2. Falta de claridad 2. Análisis del proceso 2. Oficina de resultado del y conocimiento del de selección definiendo Talento Humano, Inicio: proceso de proceso de selección. controles para cada Oficina de enero 2004 selección una de las etapas. Planeación Finaliza: contratado 3. Falta de controles en 3. Capacitación 3. Oficina de julio 2004 No funcionarios el proceso de selección específica para los Talento Humano capacitados funcionarios de la No.funcionarios Oficina de Talento Oficina de TH Humano 49
  51. 51. 50 PROBA- CONTROLES NIVEL No. RIESGO IMPACTO BILIDAD EXISTENTES DEL CAUSAS ACCIONES RESPONSABLE CRONOGRAMA INDICADOR RIESGO 3 Deficiencia en la Alto Alto 1. Plan Informático Medio 1.Falta de capacidad 1.Ejecución y seguimiento 1. Oficina de calidad de la técnica del Plan Informático Sistemas, Repre- información sentante legal. Inicio: 2.Mecanismos de 2.Recursos 2.Optimización de los 2. Jefes de área. enero 2004 No equipos seguridad tecnológicos recursos informáticos asignados Of C inadecuados disponibles. No. equipos 3. Implementar nuevos 3.Oficina de Finaliza: requeridos mecanismos de Sistemas julio 2004 seguridad para la información 4 Insuficiente Alto Alta 1 . Participación de la Medio 1.Falta de conocimiento1. Programación de 1. Oficina de respaldo de la dirección en las reuniones del tema de control jornadas de capaci- Talento Humano, alta dirección del Comité de Coordina- interno. tación para la alta Oficina de CI. Reuniones ción de Control Interno dirección en temas Inicio: Comité CI de control interno. enero 2004 programadas 2.Falta de compromiso 2. Dinamizar el Comité 2. Representante Finaliza: Reuniones e interés de Coordinación de Legal, Oficina febrero 2004 realizadas Control Interno de CI, Jefes de Guía Administración del Riesgo área 5 Falta de Alto Baja 1. Capacitación y Bajo 1. Falta de unidad 1. Recopilación temática 1. Oficina de CI conocimiento y reuniones de retroali- documental en la de la normatividad Inicio: claridad en la mentación de la Oficina de Control vigente en la materia. febrero 2004 Archivos normatividad Oficina de CI Interno. Finaliza: organizados relacionada con 2. Perfil inadecuado 2.Capacitación en 2. Oficina de mayo 2004 por tema Control Interno de las personas de la materia. Talento Humano, la Oficina Oficina de CI. NOTA : El presente mapa es un ejemplo figurado para aclarar los conceptos, puede contener más indicadores, controles y acciones. Departamento Administrativo de la Función Pública
  52. 52. Guía Administración del Riesgo ANEXO II 51 CUESTIONARIO SOBRE LA ADMINISTRACIÓN DEL RIESGO A continuación se presenta un cuestionario que le permite a las perso- nas encargadas de adelantar la administración del riesgo, realizar un diagnostico sobre el estado en que se encuentra la entidad. Es una ayuda metodológica que puede ser utilizada para obtener mayor in- formación. Está usted listo para administrar el riesgo? Responda las siguientes preguntas usando la escala desde 1 (nunca,) 3 (a veces) hasta 5 (siempre), con valores intermedios. Deje la casilla en blanco si no conoce la respuesta: Nunca A veces Siempre 1. Nuestro equipo administrativo discute el riesgo en comités 1 2 3 4 5 directivos 2. Nuestros reportes sobre decisiones importantes se refieren 1 2 3 4 5 al riesgo de dichas decisiones 3. La administración de riesgos es tema de discusión en nuestros 1 2 3 4 5 comités de control interno y directivo. 4. Administradores asisten a los talleres (tanto internos como conferencias públicas) sobre 1 2 3 4 5 prácticas de administración del riesgo 5. Hemos afrontado varias dificultades sorpresivas. 1 2 3 4 5 6. Cuando una de mis decisiones se torna insatisfactoria, el equipo 1 2 3 4 5 administrativo trata de aprender de ello. 7. Estoy provisto de las herramientas que necesito para valorizar el riesgo. 1 2 3 4 5 8. Mi jefe respalda la administración del riesgo. 1 2 3 4 5 Departamento Administrativo de la Función Pública
  53. 53. Guía Administración del Riesgo Puntaje < 24: Administración del riesgo no es parte de su organización actual. Trabaje en la construcción y apreciación para el manejo del riesgo Puntaje 24-36: Administración del riesgo es parte de su or- ganización, pero se requiere su ayuda para convertirla en una mayor parte de la cultura corporativa de la gerencia. Puntaje > 36: Estructura de éxito. Revise las áreas en que obtuvo 3 puntos o menos para ver qué medidas debe tomar. Administración del riesgo en la administración pública 1. Objetivos de la organización Total Desacuerdo Indiferente De acuerdo Total desacuerdo acuerdo 1.1 Los propósitos generales de la organización están claramente definidos y publicados de forma que pueden ser fácilmente comprendidos 1.2 Los objetivos de la organización están definidos 1.3 Los objetivos de la organización están comunicados 1.4 El personal entiende cómo los objetivos de la organización se relacionan con los objetivos de su áreas 1.5 El personal entiende cómo los objetivos de la organización se relacionan con sus objetivos personales 1.6 Se hace al menos una revisión anual de la relación entre los objetivos organizacionales 52 y personales Departamento Administrativo de la Función Pública
  54. 54. Guía Administración del Riesgo Total desacuerdo Desacuerdo Indiferente De acuerdo Total acuerdo 53 1.7 El manejo efectivo del riesgo es importante para el logro de los objetivos organizacionales 1.8 El riesgo es visto tanto como oportunidad y amenaza para el logro de los objetivos organizacionales 1.9 Los objetivos de la administración de riesgos en la organización están claramente definidos 1.10 Si es así, cuáles son? 2. Comprensión del riesgo y administración del riesgo Total Desacuerdo Indiferente De acuerdo Total desacuerdo acuerdo 2.1 Hay una definición común en la organización para el término riesgo 2.2 Qué entiende la organización por el término “riesgo en el logro de los objetivos”? 2.3 Qué entiende la organización por el término “administración del riesgo”? Departamento Administrativo de la Función Pública
  55. 55. Guía Administración del Riesgo 2.4 En qué áreas de la organización se garantiza la administración del riesgo? Total Desacuerdo Indiferente De acuerdo Total desacuerdo acuerdo 2.5 Hay un acuerdo común en la organización para el manejo de riesgo 2.6 Hay parámetros claros en la organización para el manejo de riesgo 2.7 La responsabilidad sobre el manejo del riesgo está claramente establecida y entendida en la entidad 2.8 El seguimiento6 sobre el plan manejo del riesgo está claramente establecida entendida en la organización 2.9 El manejo del riesgo es importante para el desarrollo y éxito de la organización 3. Identificación del riesgo Total Desacuerdo Indiferente De acuerdo Total desacuerdo acuerdo 3.1 Se identifican los cambios en el riesgo ante cambios en las funciones y responsabilidades 54 6 accountability Departamento Administrativo de la Función Pública
  56. 56. Guía Administración del Riesgo Total desacuerdo Desacuerdo Indiferente De acuerdo Total acuerdo 55 3.7 La organización identifica los principales riesgos potenciales para cada uno de sus objetivos 3.8 Qué tipo de riesgos se han identificado? SI NO a) Riesgos estratégicos. P.ej. derivados de las políticas o en las decisiones gubernamentales b) Riesgos en el logro de los objetivos c) Riesgos derivados de la normatividad d) Riesgos de políticas presupuestales e) Riesgos financieros f) Riesgos operacionales g) Riesgos de salud ocupacional h) Riesgos naturales i) Riesgos del talento humano 3.10. Cómo guarda su organización el registro de los riesgos que se han identificado? 3.11 Cuáles son los tres riesgos más importantes que la organización debe enfrentar en los próximos 12 meses? Departamento Administrativo de la Función Pública
  57. 57. Guía Administración del Riesgo 3.12 Qué oportunidades tiene la organización de lograr sus objeti- vos en los próximos 12 meses? Análisis del riesgo Qué herramientas y técnicas se usan para el análisis del riesgo? Total Desacuerdo Indiferente De acuerdo Total desacuerdo acuerdo 3.13 La organización tiene dificultades para priorizar sus riesgos? 3.14 La organización tiene dificultades para valorizar la probabilidad de ocurrencia de sus riesgos? 3.15 La organización tiene dificultades para valorizar el impacto potencia de la materialización de sus riesgos? 3.16 Con qué frecuencia la organización valora los riesgos de alcanzar sus objetivos? 3.17 La organización conoce las fortalezas y debilidades del manejo de riesgo en 56 otras organizaciones Departamento Administrativo de la Función Pública
  58. 58. Guía Administración del Riesgo 3.18 Los siguientes actores son importantes para la valoración Total desacuerdo Desacuerdo Indiferente De acuerdo Total acuerdo 57 de riesgos a) Congreso b) Usuarios c) Industria d) Cortes e) Políticos f) Gobierno g) Empleados h) Otros. Especificar 3.19 La organización mide sus riesgos en términos de? SI NO a) Impacto de sus políticas b) Impacto en imagen institucional c) Probabilidad del riesgo d) Impacto en la cobertura e) Logro de sus objetivos f) Otros. Especificar Aumentado Disminuido No ha No está cambiado seguro 3.20 En los últimos cinco años el nivel de riesgo en su organización se ha:? Departamento Administrativo de la Función Pública
  59. 59. Guía Administración del Riesgo Marque quién toma las decisiones de acuerdo a quién direcciona los Toma Monitorea riesgos según las diferentes facetas de y reporta en que se presenta, y, quien los decisiones revisa y/o monitorea Director general Grupo directivo Director finanzas Auditor interno Gerente de riesgo Jefe de área Todo el personal Otros (especifique) Determinación del riesgo La respuesta del riesgo por parte Total Desacuerdo Indiferente De acuerdo Total desacuerdo acuerdo de la organización incluye: Una evaluación de la efectividad de los controles existentes y el manejo gerencial del riesgo La implementación de planes de acción para riesgos identificados Evaluación costo-beneficio para direccionar riesgos La organización conoce cuanto riesgo se puede tomar en el cumplimiento de objetivos 58 Departamento Administrativo de la Función Pública

×