ADMINISTRACIÓN DEL RIESGO

Transcripción

1 ADMINISTRACIÓN DEL RIESGO OBJETIVOS Comprender la importancia de gestionar los riesgos, dar a conocer la estructura para la gestión del riesgo. Presentar la relación funcional de los elementos de la norma NTC 5254 y Relación de la Gestión del Riesgo con los Sistemas Integrados. Desarrollar el componente de administración del riesgo y sus cinco elementos, para definir el mecanismo de autoevaluación de control. Dar a conocer la estructura para la gestión del riesgo. 1

2 RIESGOS Efecto de la incertidumbre sobre los objetivos NTC ISO /2011 Definiciones Riesgo. Toda posibilidad de ocurrencia de aquella situación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de sus objetivos.( Numeral 3.50 GP 1000:2009). Gestión del Riesgo: actividades, coordinadas para dirigir y controlar una organización con respecto al riesgo. Proceso para la gestión del riesgo: aplicación sistemática de las políticas, los procesos y las prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto y de identificación, análisis, evaluación, tratamiento, monitoreo y revisión del riesgo. 2

3 BENEFICIOS Aumenta la probabilidad de alcanzar los objetivos. Fomentar la gestión proactiva. Cumplimiento de los requisitos legales y reglamentarios. Mejorar los controles. Usar eficazmente los recursos. Mejorar la prevención de pérdidas y la gestión de incidentes. Establecer una base confiable par la toma de decisiones y la planificación. PRINCIPIOS Crea y protege el valor Parte integral de todos los procesos de la organización Parte para la toma de decisiones Aborda explícitamente la incertidumbre Es sistemática, estructurada y oportuna Se basa en la mejor información disponible Esta adaptada Toma en consideración los factores humanos y culturales Transparente e inclusive Dinámica, reiterativa, y receptiva al cambio Facilita la mejora continua GESTIÓN DEL RIESGO 3

4 Dirección y Compromiso Definir y aprobar la política de la gestión del riesgo. Garantizar que la cultura de la organización y la política para la gestión del riesgo están alineadas. Determinar indicadores del desempeño de la gestión del riesgo con los objetivos y las estrategias de la organización. Garantizar conformidad legal y reglamentaria Dirección y Compromiso Asignar obligaciones y responsabilidades en los niveles respectivos dentro de la organización. Comunicar los beneficios de la gestión del riesgo a todas las partes involucradas y las interesadas. 4

5 PROCESO DE LA GESTIÓN DEL RIESGO Establecimiento del contexto Comunicación y consulta Valoración del riesgo Identificación del Riesgo Análisis del Riesgo Evaluación del Riesgo Monitoreo y revisión Tratamiento del Riesgo 1. Comunicación y consulta Debe estar presente en toda la gestión del riesgo. Se deberían desarrollar tempranamente los planes de comunicación y la consulta: cuales son los riesgos, causas y medidas que se toman para tratarlo. Para garantizar que aquellos responsables de la implementación del proceso para la gestión del riesgos y que las partes involucradas entiendan las bases por la cual se toman decisiones. 5

6 2. Establecimiento del Contexto Se establece el contexto articulando a los objetivos de la organización, se deben definir los parámetros externos e internos que se va a considerar al gestionar el riesgo y se establece su relación con los procesos y objetivos de la institución. Análisis de los aspectos externos e internos que implican exposición al riesgo en los procesos. Establecimiento de los criterios de riesgos basados en el enfoque de procesos. Que podría fallar? Que impida cumplir el objetivo y las metas definidas a nivel de entidad CONTEXTO ESTRATÉGICO FACTORES INTERNOS Ambiente de Control Estructura Organizacional, funciones y responsabilidades, Modelo de Operación, normatividad, sistemas de información, relaciones contractuales, estrategias, capacidades en términos de recursos y conocimientos Estos factores se pueden convertir en FACTORES EXTERNOS posibles causas que Entorno-Ambiente Social y generan los riesgos. Cultural- financiero Político - Económico Legal Cultural Tecnológico Ambiental PQR Grupos de Interés Competencia catástrofes relaciones con la partes interesadas IDENTIFICACIÓN EVENTOS ASOCIADOS Proceso Actividad EXPOSICIÓN AL RIESGO ENTIDAD OBJETIVOS IDENTIFICACIÓN EVENTOS ASOCIADOS Proceso Actividad 6

7 ESTABLECER EL CONTEXTO PARA LA GESTIÓN DEL RIESGO Se debería establecer el contexto de la gestión del riesgo de acuerdo a las necesidades la organización Definición de la meta. Y objetivos de la gestión del riesgo. Definición de responsabilidades en la gestión del riesgo. Definición de metodología para la valoración del riesgo. Forma de evaluar la gestión del riesgo. Identificación y expediciones de las decisiones que se deben tomar, entre otros. Definición de los criterios del riesgo Definidos por la reglamentación y normatividad aplicable. Naturaleza de las causas y consecuencia que se puedan presentar y la forma como se van a medir. Como se va a definir la probabilidad. Como se va a de terminar el riesgo. 7

8 Taller Nº 1 CONTRUCCIÓN DEL CONTEXTO ESTRATÈGICO OBJETIVO: Relacionar las definiciones de la columna de la izquierda con los conceptos de la derecha. METODOLOGIA: En grupos desarrollar cuáles factores considerarían dentro del análisis del contexto estratégico externo e interno en su organización CONTEXTO INTERNO Ambiente interno en el cual la organización busca alcanzar su objetivos CONTEXTO EXTERNO Ambiente externo en el cual la organización busca alcanzar sus objetivos 3. VALORACIÓN Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo. Ref: Guía del DAFP

9 3.1 Identificación del riesgo Generar una lista de los riesgos con base en los eventos que podrían crear, aumentar, prevenir degradar, acelerar o retrasar el logro de los objetivos Evento: Ocurrencia o cambio de un conjunto particular de circunstancias ( GTC 137) La identificación de los riesgos debería incluir riesgos independientes de si su origen está o no bajo control de la organización. Identificar las consecuencias incluso el origen del riesgos. Es necesario considerar las causas y los escenarios posibles que muestran que las consecuencias se podrían presentar. La identificación debe considerar involucrar las personas con el conocimiento apropiado. 9

10 2. IDENTIFICACIÓN DEL RIESGO FUENTES DE INFORMACION RIESGOS Contexto estratégico Casos o estadísticas de Riesgos ocurridos en la entidad ELEMENTO DE CONTROL Glosario de Riesgos ENTIDAD Como puede suceder? CAUSA Que puede suceder? EFECTO CUMPLIMIENTO MISION Y OBJETIVOS CLASIFICACION DEL RIESGO Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca en asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir su compromiso ante la Comunidad Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales. Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades. Riesgos Financieros: Se relacionan con el manejo de los recursos financieros. 10

11 3.2 Análisis de Riesgos Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo (GTC 137) Implica el desarrollo y comprensión del riesgo. Es necesario para tratar los riesgos y sobre las estrategias y métodos mas adecuados para su tratamiento. El análisis del riesgo considera las causas y fuentes de riesgos, sus consecuencias positivas o negativas, y la probabilidad de que tales consecuencias puedan ocurrir. 11

12 Un evento puede tener varias consecuencias. Se deberían considerar los controles existentes, su eficacia y eficiencia. La manera como se expresan las probabilidades y consecuencias deben determinar un nivel de riesgo. Tipos de Análisis TIPOS DE ANÁLISIS Cualitativo. Semicuantitativo. Cuantitativo. Combinación de ellos. 12

13 La herramienta de análisis permite expresar el riesgo a partir de la combinación de sus dos componentes: consecuencia y probabilidad. TALLER N 2 IDENTIFICACIÓN DEL RIESGOS OBJETIVO: Adquirir destrezas para identificar el tratamiento de los riesgos identificados. METODOLOGIA: Teniendo en cuenta los riesgos identificados define las acciones que se deban tomar. PROCESO RIESGO COMO SE PUEDE PRESENTAR? CAUSAS CONSECUENCIAS PROBABILIDAD ANALISIS IMPACTO NIVEL DEL RIESGO PRIORID AD DEL RIESGO 13

14 3.3 EVALUACIÓN DEL RIESGO Su propósito es facilitar la toma de decisiones, basada en los resultados de dichos análisis, a acerca de cuales riesgos necesitan tratamiento y la prioridad para la implementación del tratamiento. Implica la comparación del nivel del riesgo observado durante el proceso de análisis y del criterio del riesgo establecido al considerar el contexto, para identificar la necesidad de tratamiento. TIPOS DE CONTROLES Se debería identificar los controles para completar la evaluación del riesgo: Preventivos: Aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia o materialización. Correctivos: Aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. 14

15 Evaluación de Controles Los controles están documentados?? Se está aplicando en la actualidad? Es efectivo para minimizar el riesgo? EJEMPLOS 15

16 4. TRATAMIENTO DEL RIESGO Una o más opciones para modificar los riesgos y la implantación de tales opciones. Implica un proceso cíclico : a) Valoración del tratamiento de riesgos. b) Decisión sobre si los niveles de riesgos residual son tolerables. c) Si no son tolerables, generación de un nuevo tratamiento para el riesgos d) Valoración de la eficacia de dicho tratamiento. 16

17 Las opciones para el tratamiento pueden incluir las siguientes: a) Evitar el riesgo. b) Incrementar el riesgo para perseguir una oportunidad c) Retirar una fuente de riesgos d) Cambiar la probabilidad e) Cambiar la consecuencia. f) Compartir el riesgo con una o varias partes. g) Retener el riesgo mediante un decisiones informada. ACCIÓN RECOMENDADA 17

18 TRATAMIENTO DEL RIESGO Proceso Para modificar el riesgo. Control: medida que modifica al riesgo Ejemplos Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. 18

19 Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). Se consigue mediante la optimización de los procedimientos y la implementación de controles. Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. 19

20 Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. MONITOREO Y REVISIÓN El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. 20

21 Deberían comprender todos los aspectos de la gestión del riesgo: Garantizar que los controles son eficaces y eficientes. Información para mejorar riesgo. Lecciones aprendidas. la valoración del Detectar cambios en el contexto e internos. Identificar riesgos emergentes. Se debería registrar y reportar el resultado del monitoreo y evaluación del riesgo y ser incluida dentro de la revisión de los sistemas de gestión. 21

22 Registro del proceso Se debería tener la trazabilidad del la gestión del riesgo: En las decisiones con respecto a la creación de registros que debería tener en cuenta: Necesidades con respecto al mejoramiento continuo. Los beneficios de reutilizar la información con propósitos de gestión. Necesidades reglamentarias y operativas. Métodos de acceso Periodo de retención. El riesgo es inherente a todo lo que hacemos. Manejamos riesgos de manera continua, a veces consciente, otras sin darnos cuenta. La necesidad de manejar los riesgos sistemáticamente aplica a todas las organizaciones e individuos y a todas las funciones y actividades dentro de la organización. Esta necesidad es fundamental que sea reconocida por las gerencias y el personal. La alternativa a la Administración de Riesgos es: ---> Una Administración Riesgosa. 22

23 TALLER N 3 TRATAMIENTO DE RIESGOS OBJETIVO: Adquirir destrezas para identificar el tratamiento de los riesgos identificados en el taller Nº 2 METODOLOGIA: Teniendo en cuenta los riesgos identificados define las acciones que se deban tomar PROCESO RIESGO CONTROL EXISTENTE EL CONTROL ES EFICAZ? TRATAMIENTO DEL RIESGOS FECHA RESPONSABLE TRATAMIENTO POLITICA DE ADMINISTRACIÓN DEL RIESGO Para su formulación se debe tener en cuenta: Los objetivos que se esperan lograr. Las estrategias para establecer como se va a desarrollar las políticas, a largo, mediano y corto plazo. Los riesgos que se van a controlar Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido. El seguimiento y evaluación a la implementación y efectividad de las políticas El fin de la Administración del Riesgo es propender por el cumplimiento de la misión y objetivos institucionales. 23

24 INTEGRACIÓN DE SISTEMAS DE GESTIÓN RESPECTO AL TEMA DE ADMINISTRACIÓN DE RIESGO ASPECTOS DE LA NTC GP 1000:2009 A DESARROLLAR Se aplicaran los requisitos: 4.1 (g) Requisitos Generales: establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad 7.1 Control de la producción y de la prestación del servicio: La entidad debe planificar y llevar a cabo la producción y la prestación del servicio bajo condiciones controladas. Las condiciones controladas deben incluir, cuando sea aplicable (g) los riesgos de mayor probabilidad e impacto. 24

25 MECI 100:2005 DTO 1599 de