ADMINISTRACIÓN DE RIESGOS

Transcripción

1 DIRECCIÓN GESTIÓN DE CALIDAD ADMINISTRACIÓN DE RIESGOS Versión 1.0 Fecha Febrero- 2016

2 AGENDA 1. BENEFICIOS DE LA GESTIÓN DEL RIESGO. 2. OBJETIVOS CAPACITACIÓN ADMINISTRACIÓN DEL RIESGO. 3. MARCO NORMATIVO. 4. MODELO ESTANDAR DE CONTROL INTERNO MECI COMPONENTE ADMINISTRACIÓN DEL RIESGO. 5. METODOLOGÍA ADMINISTRACIÓN DE RIESGOS. Pg. 2

3 1. BENEFICIOS Pg. 3

4 1. BENEFICIOS Beneficios de la Gestión del Riesgo Facilita el logro de los objetivos y el cumplimiento de la misión Promueve la gestión preventiva La gestión del riesgo crea y protege el valor Es parte de la toma de decisiones Facilita la mejora continua de la organización Establece una base confiable para la planificación y toma de decisiones Pg. 4

5 2. OBJETIVOS Pg. 5

6 2. OBJETIVOS CAPACITACIÓN ADMINISTRACIÓN DE RIESGOS Dar a conocer la actualización en la metodología de Administración de Riesgos. Difundir los diferentes conceptos que se emplean en la metodología de administración de riesgos. Orientar al personal en la construcción de los mapas de riesgos Institucional, de corrupción y proceso. Divulgar la diferencia en el empleo de las matrices para riesgos de corrupción y riesgos de proceso e institucional. Pg. 6

7 3. MARCO NORMATIVO Pg. 7

8 3. MARCO NORMATIVO Normatividad Ley 87 de Artículo 2 Objetivos del Control Interno. Literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos. Ley 1474 de Estatuto Anticorrupción. Artículo 73 Plan Anticorrupción y de Atención al Ciudadano que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias anti trámites y los mecanismos para mejorar la atención al ciudadano. Decreto 1083 de Artículo Administración riesgos. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas ( ) Decreto 943/2014 por el cual se actualiza el Modelo Estándar de Control Interno M.E.C.I. (Antes Decreto 1537 del 2011) Pg. 8

9 3. MARCO NORMATIVO Normatividad Decreto 124 de Por el cual se sustituye el Titulo 4 de la Parte 1 del Libro 2 del Decreto 1081 de 2015, relativo al Plan Anticorrupción y de Atención al Ciudadano. Directiva Permanente No del 6 de Marzo de Lineamientos Generales para la Administración de Riesgos en el Ejército Nacional Guía para la Administración del Riesgos del Departamento Administrativo de la Función Pública Guía para la Gestión del Riesgo de Corrupción Presidencia de la República. Pg. 9

10 4. MODELO ESTANDAR DE CONTROL INTERNO Pg. 10

11 4. MODELO ESTANDAR DE CONTROL INTERNO El MECI proporciona la estructura básica para evaluar la estrategia, la gestión y los propios mecanismos de evaluación del proceso administrativo, y aunque promueve una estructura uniforme, puede ser adaptada a las necesidades especificas de cada entidad, a sus objetivos, estructura, tamaño, procesos y servicios que suministran. Ayuda: Administración del Riesgo DAFP Pg. 11

12 4. COMPONENTE ADMINISTRACIÓN DEL RIESGO 1. SUBSISTEMA DE CONTROL ESTRATEGICO 1.3 ADMINISTRACIÓN DE RIESGOS CONTEXTO ESTRATÉGICO IDENTIFICACIÓN DE RIESGOS ANÁLISIS DE RIESGOS VALORACIÓN DE RIESGOS POLÍTICA DE ADMINISTRACIÓN DE RIESGOS MODULO DE PLANEACIÓN Y GESTIÓN ADMINISTRACIÓN DEL RIESGO 1.3 COMPONENTE ADMINISTRACIÓN DEL RIESGO Políticas de Administración de Riesgos Identificación del Riesgo Análisis y Valoración del Riesgo Pg. 12

13 5. METODOLOGÍA ADMINISTRACIÓN DEL RIESGO 5. METODOLOGÍA ADMINISTRACIÓN DEL RIESGO Pg. 13

14 METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO METODOLOGÍA ADMINISTRACIÓN DEL RIESGO ANTES DE INICIAR CON LA METODOLOGIA CONOCIMIENTO DE LA ENTIDAD Misión Visión Objetivos Estratégicos Planeación Institucional MODELO DE OPERACIÓN POR PROCESOS Caracterizaciones de los procesos Objetivos de los procesos Planes, programas o proyectos asociados PASO 1 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO LINEAMIENTO DE LA POLÍTICA PASO 2 IDENTIFICACIÓN DEL RIESGO 2.1 Establecimiento del Contexto Contexto Interno Contexto Externo Contexto del Proceso 2.2 Identificación del Riesgo Técnicas para identificación del riesgo PASO 3 VALORACIÓN DEL RIESGO COMUNICACIÓN Y CONSULTA (ASPECTO TRANSVERSAL) 3.1 Análisis del Riesgo 3.2 Evaluación del Riesgo 3.3 Monitoreo y Revisión Causas y Fuentes de Riesgo Cálculo de la probabilidad Análisis de consecuencias Análisis preliminar (Riesgo Inherente) Valoración de los controles Nivel de riesgo (Riesgo Residual) Matriz de responsabilidades Pg. 14

15 Compromisos del SIG Política de Administración del Riesgo El Ejército Nacional se compromete a administrar los riesgos inherentes a la Gestión de sus procesos, mediante la orientación referente al tratamiento de los riesgos y sus efectos al interior de la Fuerza con el fin de cumplir con la misión Institucional. Pg. 15

16 1. Contexto Estratégico Se determinan las características o aspectos esenciales del entorno en el cual opera la entidad. A partir de los factores que se definan es posible establecer las causas de los riesgos a identificar. Contexto Externo Económicos Políticos Sociales Tecnológicos Medio Ambientales Comunicación Ext Contexto Interno Financieros Personal Procesos Tecnología Estratégicos Comunicación Int. Pg. 16

17 6. Clases Monitoreo de Riesgo y revisión del riesgo. Se establece la clase de riesgo que se va a manejar por proceso, así: Corrupción: Posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular. Institucional: Contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad y que afectan el cumplimiento de la misión y objetivos de la misma. Solo lo establecen las Jefaturas y se aplica en las Unidades. Proceso: Si el riesgo refiere a otras condiciones del proceso y no a actividades que pudieran presentar factores de corrupción. Pg. 17

18 2. Identificación del Riesgo El objetivo de esta fase de la administración de riesgos es generar una lista detallada de los posibles riesgos que pueden afectar el correcto funcionamiento de las actividades del proceso, para ello se deben determinar de la siguiente manera: Identificación del proceso: Determinar cuál es el proceso al que se le determina el riesgo. Objetivo del proceso: Tener presente el objetivo de acuerdo a la caracterización del proceso. Establecer las causas: Descripción de los factores internos y/o externos que generan los riesgos. Identificar los riesgos: Se identifica el riesgo que podría afectar el cumplimiento del objetivo del proceso y/o misión Institucional. Determinar los efectos o consecuencias: Consecuencias que puede dejar la ocurrencia del evento sobre la organización. Pg. 18

19 DEFINICIÓN RIESGO Definición Riesgo Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad e impacto. Pg. 19

20 3. Análisis del Riesgo En esta etapa se busca el desarrollo y la comprensión del riesgo, tomando como entrada la información obtenida de la identificación del riesgo. Dos aspectos fundamentales se deben definir dentro de este proceso: Probabilidad: Posibilidad de ocurrencia del riesgo. Impacto: Las consecuencias que puede ocasionar a la organización la materialización del riesgo. Pg. 20

21 TABLA DE PROBABILIDAD TABLA DE PROBABILIDAD DESCRIPTOR NIVEL DESCRIPCIÓN FRECUENCIA Rara vez 1 Improbable 2 Posible 3 Probable 4 Casi seguro 5 El evento puede ocurrir solo en circunstancias excepcionales. El evento puede ocurrir en algún momento. El evento podría ocurrir en algún momento. El evento probablemente ocurrirá en la mayoría de las circunstancias. Se espera que el evento ocurra en la mayoría de las circunstancias. No se ha presentado en los últimos 5 años. Al menos 1 vez en los últimos 5 años. Al menos 1 vez en los últimos 2 años. Al menos 1 vez en el último año. Más de 1 vez al año. Pg. 21

22 TABLA DE IMPACTO TABLA DE IMPACTO DESCRIPTOR NIVEL DESCRIPCIÓN Insignificante 1 Menor 2 Moderado 3 Mayor 4 Catastrófico 5 Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad. Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad. Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad. Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad. Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad. Pg. 22

23 EVALUACIÓN IMPACTO RIESGOS CORRUPCIÓN Impacto de los riesgos de corrupción. Si el riesgo de corrupción se materializa podría Afectar al grupo de funcionarios del proceso? Respuesta SI NO 2. Afectar el cumplimiento de metas y objetivos de la dependencia? 3. Afectar el cumplimiento de misión de la Entidad? 4. Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? 5. Generar pérdida de confianza de la Entidad, afectando su reputación? 6. Generar pérdida de recursos económicos? 7. Afectar la generación de los productos o la prestación de servicios? 8. Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien o servicios o los recursos públicos? 9. Generar pérdida de información de la Entidad? 10. Generar intervención de los órganos de control, de la Fiscalía, u otro ente? 11. Dar lugar a procesos sancionatorios? 12. Dar lugar a procesos disciplinarios? 13. Dar lugar a procesos fiscales? 14. Generar pérdida de credibilidad del sector? 15. Generar pérdida de credibilidad de la entidad? 16. Ocasionar lesiones físicas o pérdida de vidas humanas? 17. Afectar la imagen regional? 18. Afectar la imagen nacional? CALIFICACIÓN DE RIESGO DE CORRUPCIÓN IMPACTO Respuestas Descripción Nivel Entre 1-5 Moderado 0 Entre 6-11 Mayor 1 Entre Catastrófico 2 Pg. 23

24 3.1. Evaluación del riesgo Permite comparar los resultados de su calificación en términos de probabilidad y impacto, para tener un primer resultado cuantitativo y cualitativo del estado actual del riesgo sin haber tomado acción alguna para su manejo y así posteriormente poder tomar decisiones y definir los controles a ejecutar. Pg. 24

25 MATRIZ DE RIESGO PARA PROCESO E INSTITUCIONAL Zona de valoración del riesgo Registro Seguimiento Extrema Administración de riesgos Mensualmente Alta Administración de riesgos Bimestral Moderado Administración de riesgos Trimestralmente Baja Administración de riesgos Semestralmente Pg. 25

26 PROBABILIDAD DE OCURRENCIA MATRIZ DE RIESGO PARA CORRUPCIÓN Resultados de la calificación del Riesgo de Corrupción Probabilidad Puntaje Zonas de riesgo de corrupción Casi Seguro 5 25 Moderada 50 Alta 100 Extrema Probable 4 Posible 3 20 Moderada 15 Moderada 40 Alta 30 Alta 80 Extrema 60 Extrema Zona de valoración del riesgo Extrema Registro Administración de riesgos Seguimiento Improbable 2 10 Baja 20 Moderada 40 Alta Alta Moderado Administración de riesgos Administración de riesgos Mensualmente Baja Administración de riesgos Rara vez 1 5 Baja 10 Baja 20 Moderada Impacto Moderado Mayor Catastrófico Puntaje IMPACTO Pg. 26

27 VALORACIÓN DEL RIESGO Controles: Mecanismos de control definidos para regular el funcionamiento de un proceso o procedimiento, tendientes a verificar, revisar, proteger, vigilar, supervisar, inspeccionar y confrontar las actividades ejecutadas, direccionando y asegurando que se cumplan como están establecidas, a fin de que los resultados no se desvíen de los objetivos del proceso. POLÍTICAS CLARAS APLICADAS CONCILIACIONES NORMAS CLARAS Y APLICADAS Políticas claras aplicadas Plan estratégico y operativo Indicadores de gestión Tableros de control Informes de gestión Conciliaciones Consecutivos Verificación de firmas Listas de chequeo Niveles de autorización Custodia apropiada Procedimientos formales aplicados Pólizas Seguridad física Contingencias y respaldos Personal capacitado Aseguramiento y calidad Normas claras aplicadas Control de términos Pg. 27

28 VALORACIÓN DEL RIESGO a). NATURALEZA DE LOS CONTROLES: CONTROLES PREVENTIVOS: Se orientan a eliminar las causas del riesgo, para prevenir su ocurrencia o materialización. CONTROLES DETECTIVO: Los cuales permiten registrar un evento después de que ha sucedido. Ejemplo: Registro de la información de operaciones en los sistemas SICOE Y SIGE WEB, traza de registros realizados, entre otros. CONTROLES CORRECTIVOS: Aquellos que permiten, después de ser detectado el evento no deseado, el restablecimiento de la actividad. b). DETERMINAR SI LOS CONTROLES ESTÁN DOCUMENTADOS: De forma tal que es posible conocer cómo se lleva a cabo el control, quién es el responsable de su ejecución y cuál es la periodicidad para su ejecución, lo cuál determinará las evidencias que van a respaldar la ejecución del mismo. Pg. 28

29 VALORACIÓN DEL RIESGO c). ESTABLECER SI EL CONTROL QUE SE IMPLEMENTA ES AUTOMÁTICO O MANUAL: CONTROLES AUTOMÁTICOS: Utilizan herramientas tecnológicas como sistemas de información o software, diseñados para prevenir, detectar o corregir errores o deficiencias, sin que tenga que intervenir una persona en el proceso. CONTROLES MANUALES: Políticas de operación aplicables, autorizaciones a través de firmas o confirmaciones vía correo electrónico, archivos físicos, consecutivos, listas de chequeo, controles de seguridad con personal especializado, entre otros. d). DETERMINAR SI LOS CONTROLES SE ESTÁN APLICANDO EN LA ACTUALIDAD: Y si han sido efectivos para minimizar el riesgo. Pg. 29

30 TABLA ANALISIS Y EVALUACIÓN CONTROLES POR PROCESO E INSTITUCIONAL VALORACIÓN DE CONTROLES (CORRPCIÓN, INSTITUCIONAL Y PROCESO) CRITERIOS PARA LA EVALUACIÓN PUNTAJE CONTROL 1 CONTROL 2 CONTROL 3 CONTROL 4 FINAL Escala de afectación Existen manuales, instructivos o procedimientos para el manejo del 15 control? Está(n) definido(s) el(los) responsable(s) de la ejecución del control y del 5 seguimiento? El control es automático? 15 El control es manual? 10 La frecuencia de ejecución del control y seguimiento es adecuada? 15 Se cuenta con evidencias de la ejecución y seguimiento del control? 10 En el tiempo que lleva la herramienta ha demostrado ser efectiva? 30 TOTAL RANGOS DE CALIFICACIÓN DE LOS CONTROLES Dependiendo si el control afecta probabilidad o impacto desplaza en la matriz de evaluación del riesgo así: EN PROBABILIDAD AVANZA HACIA ABAJO EN IMPACTO AVANZA HACIA LA IZQUIERDA CUADRANTES A DISMINUIR Entre Entre Entre Pg. 30

31 5. Tratamiento del Riesgo proceso e institucional Asumir un riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso simplemente se acepta Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección) Compartir o Transferir el riesgo: Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones Evitar el riesgo: Tomar las medidas encaminadas a prevenir su materialización Pg. 31

32 5.1. Tratamiento del riesgo de corrupción Zona de Riesgo Baja: Puntaje: De 5 a 10 puntos. Definido por la casilla Baja, Probabilidad: Rara vez o Improbable, Impacto: Moderado y Mayor, Tratamiento: Los riesgos de corrupción de las zonas baja se encuentran en un nivel que puede eliminarse o reducirse fácilmente con los controles establecidos en la entidad. Zona de Riesgo Moderada: Puntaje: De puntos. Definido por la casilla Moderado, Probabilidad: Rara vez, Improbable, Posible, Probable y Casi Seguro, Impacto: Moderado, Mayor y Catastrófico, Tratamiento: Deben tomarse las medidas necesarias para llevar los riesgos a la Zona de Riesgo Baja o eliminarlo. Nota: En todo caso se requiere que las entidades propendan por eliminar el riesgo de corrupción o por lo menos llevarlo a la Zona de Riesgo Baja. Pg. 32

33 5.1. Tratamiento del riesgo de corrupción Zona de Riesgo Alta: Puntaje: De puntos. Definida por la casilla Alta, Probabilidad: Improbable, Posible, Probable y Casi seguro, Impacto: Mayor y Catastrófico, Tratamiento: Deben tomarse las medidas necesarias para llevar los riesgos a la Zona de Riesgo Moderada, Baja o eliminarlo. Nota: En todo caso se requiere que las entidades propendan por eliminar el riesgo de corrupción o por lo menos llevarlo a la Zona de Riesgo Baja. Zona de Riesgo Extrema: Puntaje: De puntos, Definida por la casilla Extrema, Probabilidad: Posible, Probable y Casi Seguro, Impacto: Catastrófico, Tratamiento: Los riesgos de corrupción de la Zona de Riesgo Extrema requieren de un tratamiento prioritario. Se deben implementar los controles orientados a reducir la posibilidad de ocurrencia del riesgo o disminuir el impacto de sus efectos y tomar las medidas de protección. Nota: En todo caso se requiere que las entidades propendan por eliminar el riesgo de corrupción o por lo menos llevarlo a la Zona de Riesgo Baja. Pg. 33

34 Monitoreo Tratamiento y revisión del Riesgo del riesgo. En esta parte de la metodología se definen las acciones que se van a tomar para mitigar el riesgo, así: Acciones asociadas al monitoreo y revisión (Riesgo Institucional, Proceso y de Corrupción): Actividades contempladas para reducir las causas identificadas para el riesgo. Acciones asociadas a los controles (Riesgo Institucional, Proceso y de Corrupción): Actividades identificadas que ayudan a fortalecer o mejorar los controles, con el avance de la acción se busca reducir la Zona de Valoración del riesgo. Pg. 34

35 TRATAMIENTO DEL RIESGO 5.3 Tratamiento del riesgo. Indicadores: Se registran las (variables) diseñadas para medir el riesgo, unido a la información reportada de las acciones asociadas a los controles, monitoreo y revisión; suministra la información requerida para el seguimiento respectivo a la administración de riesgos. Responsables: Indicar el área y cargo de la persona responsable de ejecutar las acciones. Periodicidad: Es la frecuencia establecida en el cual se le hará seguimiento a la acción y puede ser mensual, bimestral, trimestral, semestral y anual. Cronograma: Son las fechas establecidas para implementar cada una de las acciones por parte del grupo de trabajo. Se deben registrar año, mes, día. Pg. 35

36 Comunicación y consulta COMUNICACIÓN Y CONSULTA Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes involucradas con respecto a la gestión del riesgo. Este análisis debe garantizar que se tienen en cuenta las necesidades de los usuarios o ciudadanos. Elaborar y difundir documentos para la administración de riesgos. Informes periódicos del seguimiento de los riesgos. Informe final administración de riesgos. Los riesgos Institucionales serán identificados por las Jefaturas y estandarizados a las Unidades Las Jefaturas que estandarizan riesgos (Institucional, proceso y corrupción) a las Unidades, serán las directamente responsables del seguimiento y si se materializa, seguimiento a la solicitud de acción correctiva. Pg. 36

37 Monitoreo y revisión MONITOREO Y REVISIÓN En esta etapa se debe asegurar que las acciones establecidas en la administración de riesgos se están llevando a cabo y evaluar la eficacia de su implementación, adelantando revisiones sobre la marcha y que permitan prevenir la materialización del riesgo. Monitoreo: Esta a cargo de los lideres de los procesos y sus equipos quienes deben revisar periódicamente la administración de riesgos y si es el caso ajustarlo, informando a JEPLA mediante documento. Controles: Se debe garantizar que los controles son eficaces y eficientes. Contexto: Los procesos deben determinar los cambios en el contexto interno y externo e informarlo mediante documento a JEPLA. Administración de Riesgos - seguimiento: Permite llevar un control a los resultados obtenidos en cada periodo de tiempo evaluado de acuerdo al indicador establecido para la medición Pg. 37

38 Monitoreo y revisión MONITOREO Y REVISIÓN Zona de valoración del riesgo Extrema Alta Moderado Baja Registro Administración de riesgos Solicitud de acción Administración de riesgos Solicitud de acción Administración de riesgos Solicitud de acción Administración de riesgos Solicitud de acción Seguimiento Mensualmente Bimestral Trimestralmente Semestralmente Fecha Envío Avance o Reporte a JEPLA por parte Jefaturas de Comando Ejército, Unidades Operativas Mayores Día 15 del mes siguiente Día 15 de cada dos meses 20-Abr, 22-Jul, 20-Oct, 15-Ene año siguiente. 22-Julio y 15-Ene año siguiente Fecha Envío Avance o Reporte a Unidades Operativas Mayores por parte Unidades Operativas Menores Día 10 del mes siguiente Día 10 de cada dos meses 15-Abr, 15-Jul, 15- Oct, 15-Ene año siguiente. 15-Julio y 15-Ene año siguiente Fecha Envío Avance o Reporte a Unidades Operativas Menores por parte Unidades Tácticas Día 05 del mes siguiente Día 05 de cada dos meses 10-Abr, 10-Jul, 10- Oct, 10-Ene año siguiente. 10-Julio y 10-Ene año siguiente NOTA: El seguimiento de los riesgos de corrupción, independientemente de la Zona de Valoración será mensual. Pg. 38

39 Divulgación COMUNICACIÓN Y CONSULTA En esta etapa se busca que sea divulgada la Administración de Riesgos, de tal manera que funcionarios y contratistas de la entidad sepan como se estructuraron, así: Es de suma importancia que se divulgue interna y externamente el mapa de riesgos de corrupción. Los Oficiales de Planeación, integrantes Equipo MECI-SIG y Controles internos serán los responsables de fomentar la gestión del riesgo, difundir entre el personal los riesgos de corrupción e institucional, elaborando acta de capacitación. Los mapas de riesgos Institucional y de corrupción, serán enviados por el correo institucional a todas las mensajerías, todos los usuarios y publicados en la página web link SIG, Administración de Riesgos. Pg. 39

40 GRACIAS