UNIVERSIDAD DE CÓRDOBA

Transcripción

1 1 de 18 ÍNDICE 1. GENERALIDADES REFERENTE NORMATIVO DEFINICIONES 3 3. CONTENIDO Comunicar y Consultar Contexto Estratégico Organizacional Identificación de Riesgos Análisis del Riesgo Valoración de Riesgo Políticas de Administración de Riesgos Monitoreo y Revisión REGISTROS CONTROL DE CAMBIOS ANEXOS. 18 Elaborado por Lurdais María Martínez Cárdenas Firma: Cargo Líder Proceso de Seguimiento y Control Revisado por Diana Carina Martelo Barrios Cargo Líder Proceso de Gestión de Calidad Firma: Aprobado por Diana Carina Martelo Barrios Firma: Cargo Líder Proceso de Gestión de Calidad

2 2 de GENERALIDADES El propósito de este instructivo es exponer el modelo de administración del riesgo adoptado por la Universidad de Córdoba para todos los procesos del Sistema Integral de Calidad (SIGEC). Facilita el diligenciamiento del formato FMAN-013 Mapa de Riesgo, el cual contiene la identificación, valoración y los controles de los riesgos de la Institución para su administración. En su elaboración se adoptó la Guía de Administración del Riesgo emitida por el Departamento Administrativo de la Función Pública (DAFP) en su versión del año Los Mapas de Riesgos de los procesos se deben actualizar anualmente. Art. 73, ley 1474 de 2011, sin embargo si la Institución o el procesos lo considera necesario se debe realizar en el momento requerido y/o una vez se ha materializado el Riesgo. El Mapa de Riesgos Institucional está conformado por los mapas de riesgos de los quince (15) procesos del Sistema Integral de Gestión de Calidad REFERENTE NORMATIVO. Ley 87 de Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011). Artículo 2 OBJETIVOS DEL CONTROL INTERNO: literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos. Ley 489 de Estatuto Básico de Organización y Funcionamiento de la Administración pública Capítulo VI. Sistema Nacional de Control Interno. Decreto 2145 de 1999 Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y territorial y se dictan otras disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000).(y por el Art. 8º. de la ley 1474 de 2011). Directiva presidencial 09 de Lineamientos para la implementación de la política de lucha contra la corrupción. Decreto 2593 del Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4 de 1999.

3 3 de 18 Decreto 1537 de Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado Parágrafo del Artículo 4º señala los objetivos del sistema de control interno ( ) define y aplica medidas para prevenir los riesgos, detectar y corregir las desviaciones y en su Artículo 3º establece el rol que deben desempeñar las oficinas de control interno ( ) que se enmarca en cinco tópicos ( ) valoración de riesgos. Así mismo establece en su Artículo 4º la Administración de riesgos, como parte integral del fortalecimiento de los sistemas. Decreto 1599 de Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano y se presenta el anexo técnico del MECI 1000: Componentes de administración del riesgo. Decreto 4485 de Por el cual se adopta la actualización de la NTCGP a su versión Numeral 4.1 Requisitos Generales literal g) establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder. Este decreto aclara la importancia de la Administración del riesgo en el Sistema de Gestión de la Calidad en las entidades. Ley 1474 de Estatuto Anticorrupción. Artículo 73. Plan Anticorrupción y de Atención al Ciudadano que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la atención al ciudadano. 2. DEFINICIONES Aceptar el Riesgo. Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular. Administración de Riesgos. Conjunto de elementos de control que al interrelacionarse permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de sus funciones. Análisis de Riesgo. Permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo. Autoevaluación del Control. Elemento de control que basado en un conjunto de mecanismos de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los

4 4 de 18 procesos y de cada área organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas. Compartir el Riesgo. Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio. Consecuencia. El resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente ala consecución de los objetivos de la entidad o el proceso. Evaluación del Riesgo. Proceso utilizado para determinar las prioridades de la Administración del riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado. Evento. Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie. Frecuencia. Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado. Identificación de Riesgo. Elemento de Control que posibilita conocer los eventos potenciales, estén o no bajo el control de la entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. Monitorear. Comprobar, supervisar, observar o registrar la forma en que se lleva actividad con el fin de identificar posibles cambios. a cabo una Pérdida. Consecuencia negativa que trae consigo un evento. Probabilidad. Grado en el cual es probable que ocurra un evento, que se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir. Proceso de Administración de Riesgo. Aplicación sistemática de políticas, procedimientos y prácticas de administración a las diferentes etapas de la Administración. Reducción del Riesgo. Aplicación de controles para reducir las probabilidades de ocurrencia de un evento. Riesgo. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.

5 5 de 18 Riesgo Inherente. Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto. Riesgo Residual. Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo. Sistema de Administración de Riesgo. Conjunto de elementos del direccionamiento estratégico de una entidad concerniente a la Administración de Riesgo. 3. CONTENIDO PROCESO DE ADMINISTRACIÓN DE RIESGO C O M U N I C A R Y C O N S U L T A R Contexto Estratégico Organizacional. Identificación de Riesgos: Qué puede Suceder? Cómo puede Suceder? Análisis de Riesgos: Determinar la Probabilidad Determinar el Impacto. Determinar Nivel de Riesgo Valoración del Riesgo: Identificar Controles para el Riesgo. Verificar la efectividad de los Controles. Establecer tratamiento. Políticas de Administración del Riesgo M O N I T O R E A R Y R E V I S A R 3.1 Comunicar y Consultar Es la actividad que se refiere al conocimiento previo que deben tener quienes participan en la administración del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en información pertinente y actualizada. Estos deberían incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y las medidas que se toman para tratarlo. Esta comunicación es eficaz para garantizar que los responsables de implementar las actividades relacionadas con la gestión del riesgo entiendan las bases sobre las cuales se toman las decisiones.

6 6 de Contexto Estratégico Organizacional. Para la formulación y operacionalización de la política de Administración del riesgo es fundamental tener claridad de la misión, Visión, Objetivos Institucional y del Proceso, Valores y tener una visión sistemática de la gestión del proceso, así como la normatividad aplicable. Por ende, el diseño se establece a partir de la identificación de los factores internos o externos a la entidad que puede generar riesgos que afecten el cumplimiento de sus objetivos. Este contexto estratégico es la base para la etapa identificación de los riesgos. El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados de los componentes de ambiente de control, estructura organizacional, modelo de operación, cumplimiento de los planes y programas, sistemas de información, procesos y procedimientos y los recursos económicos, entre otros. Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados: Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la entidad. Identificar los factores internos que pueden ocasionar la presencia de riesgo con base en el análisis de los componentes del Ambiente de Control (Acuerdos, compromisos o protocolos éticos, Desarrollo del talento humano, Estilos de Dirección), Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo. EJEMPLOS DE FACTORES INTERNOS Y EXTERNOS DE RIESGOS FACTORES EXTERNOS Económicos: Disponibilidad de Capital, Emisión de deudas o no pago de éstas, Liquides, mercados financieros, desempleo, competencia Medioambientales: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible. Políticos: Cambios de Gobierno, Legislación, políticas públicas, regulación. Sociales: Demografía, responsabilidad social, terrorismo Tecnológicos: Interrupciones comercio electrónico, datos externos, tecnología emergente. FACTORES INTERNOS Infraestructura: Disponibilidad de Activos, capacidad de los activos, acceso al capital. Talento Humano: Capacidad del personal, salud, seguridad. Procesos. Capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento Tecnología: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento.

7 7 de 18 Para determinar el contexto estratégico de la institución es posible utilizar herramientas y técnicas como las que se relacionan a continuación: Lluvias de Ideas Análisis de Diagrama de Flujos de Procesos. Juicios basados en experiencia y datos históricos. Ejemplo Nº 1. Establecer los factores Internos y Externos que pueden ocasionar riesgos en el Proceso de Seguimiento y Control de la Institución. Misión de la Universidad de Córdoba Visión de la Universidad de Córdoba CONTEXTO ESTRATÉGICO La Universidad de Córdoba es una institución pública de educación superior que forma integralmente personas capaces de interactuar en un mundo globalizado, desde el campo de las ciencias básicas, asociadas a la producción agroindustrial, las ingenierías, las ciencias sociales, humanas, la educación y la salud; genera conocimiento en ciencia, tecnología, arte y cultura y contribuye al desarrollo humano y a la sostenibilidad ambiental de la región y del país. Ser reconocida como una de las mejores instituciones públicas de educación superior del país por la calidad de sus procesos académicos y de gestión institucional, orientada al mejoramiento de la calidad de vida de la región, mediante la ejecución y aplicación de proyectos de investigación y extensión en cooperación con el sector productivo. Proceso Fecha de Análisis Seguimiento y Control Objetivo del Proceso Realizar seguimiento y control al Sistema Integral de Gestión de Calidad, asegurando su conformidad con los requisitos legales, normativos y del cliente; con el fin de mejorar continuamente la eficacia, eficiencia y efectividad del Sistema PLANEAR Actividades desarrolladas en el Proceso (Seguir hipervínculo) Diseño y planificación de las actividades del proceso de seguimiento y Control. Lista de Eventos que pueden afectar el logro del objetivo del Proceso. Riesgos Las Auditorías no contribuyan a la mejora de los Procesos. HACER Control del Servicio no conforme Exista poca Cultura de Control en la Institución HACER Seguimiento al Plan de Mejoramiento de los Procesos HACER Seguimiento a la Satisfacción del Cliente VERIFICAR Autoevaluación del Sistema Integral de Gestión de Calidad ACTUAR O Definición de Acciones Preventivas, AJUSTAR Correctivas y de Mejora

8 8 de Identificación de Riesgos El proceso de identificación del riesgo debe ser permanente e interactivo, basado en el resultado del análisis del Contexto Estratégico y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados. Es importante centrarse en los riesgos más significativos para la entidad relacionados con el desarrollo de los procesos y los objetivos institucionales. Para la Identificación del riesgo se pueden tener en cuenta la Caracterización del Proceso, Normatividad Aplicable, Planes y Programas del Procesos u Otros. Se Puede utilizar la siguiente frase para establecer los riesgos, sus causas y Consecuencias: Debido a (Causa), puede (, lo que conllevaría a (Efectos). Debido al Número Insuficiente de Auditores para el Proceso de Auditoria, se puede Incumplir el Programa de Auditoria, lo que conllevaría a la No evaluación completa del Sistema Integral de Gestión de la Calidad. Debido al Número Insuficiente de Auditores para el Proceso de Auditoria, se puede Incumplir el Programa de Auditoria, lo que conllevaría a la No evaluación completa del Sistema Integral de Gestión de la Calidad. Debido a la Falta de Capacitación de los auditores Internos, puede ocasionar que las Auditorias no contribuyan a la mejora de los procesos

9 9 de 18 Ejemplo Nº 2. Identificar los riesgos a los que están expuestos el proceso de Seguimiento y Control de la Universidad Nombre del Proceso Seguimiento y Control IDENTIFICACIÓN DE RIESGOS Objetivo Realizar seguimiento y control al Sistema Integral de Gestión de Calidad, asegurando su conformidad con los requisitos legales, normativos y del cliente; con el fin de mejorar continuamente la eficacia, eficiencia y efectividad del Sistema Causas (Factores N Riesgos Efectos (Consecuencias) internos o Externos) Falta de Capacitación a los funcionarios Selección inadecuada de los Las Auditorías no Incumplimiento de los Objetivos de Calidad Auditores Internos. contribuyan a la 1 El tiempo destinado mejora de los a la Auditoría no es Procesos. suficiente. Incumplimiento de los Objetivos de las Auditorías Concepción errónea del proceso de Auditoría Falta de Exista poca Sensibilización 2 Cultura de Control Resistencia al en la Institución Estancamiento del Sistema de Control Interno Cambio No mejorar Continuamente el Sistema Integral de Gestión de Calidad No se cumplan los objetivos institucionales en lo que respecta al Control Interno Causas: Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Se pueden clasificar en 5 categorías (personas, materiales, comités, instalaciones y Entorno). Riesgos: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. Efectos: Constituye las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental

10 10 de Análisis del Riesgo. Establece la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. Permite establecer la probabilidad de ocurrencia de los Eventos (riesgos) y el impacto de sus consecuencias (efectos), calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo. Se han establecido dos aspectos en el análisis de los riesgos identificados: Probabilidad que es la posibilidad de ocurrencia del riesgo y puede ser medida con criterios de Frecuencias, si se ha materializado (por ejemplo: Número de veces en un tiempo determinado), o Factibilidad, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. Impacto se entiende las consecuencias que puede ocasionar a la organización la materialización del riesgo Calificación del Riesgo. Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Determinación de la probabilidad. Se debe utilizar la siguiente tabla: Determinación de la Probabilidad Calificación Descriptor Descripción Frecuencia 1 Raro 2 Improbable El evento puede ocurrir solo en circunstancias excepcionales. El evento puede ocurrir en algún momento No se ha presentado en los últimos 5 años. Al menos de 1 vez en los últimos 5 años. 3 Posible 4 Probable 5 Casi certeza El evento podría ocurrir en algún momento El evento probablemente ocurrirá en la mayoría de las circunstancias Se espera que el evento ocurra en la mayoría de las circunstancias Al menos de 1 vez en los últimos 2 años. Al menos de 1 vez en el último año. Más de 1 vez al año.

11 11 de 18 Determinación del impacto. Los impactos se pueden clasificar como: Calificación de los Impactos Nivel Descriptor Descripción 1 Insignificantes Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad. 2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad. 3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad. 4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad 5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad. Para determinar el impacto se pueden utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado. Impacto de Confidencialidad de la Información. Se refiere a la pérdida o revelación de la misma. Cuando se habla de información institucional se hace alusión a aquella que por la razón de ser de la entidad sólo puede ser conocida y difundida al interior de la misma; así mismo, la sensibilidad de la información depende de la importancia que esta tenga para el desarrollo de la misión de la entidad. Impacto de Confidencialidad Nivel Concepto 5 Estratégica 4 Institucional 3 Relativa al Proceso 2 Grupo de Persona 1 Personal Impacto de Credibilidad. Se refiere a la perdida de ésta frente a diferentes actores sociales o dentro de la entidad. Impacto de Credibilidad Nivel Concepto 5 Usuario País 4 Usuarios Región 3 Usuarios Ciudad 2 Todos los funcionarios 1 Grupo de funcionarios

12 12 de 18 Impacto financiero. Establecido en salarios mínimos mensuales legales vigentes. Se refiere a la pérdida de dineros o bienes públicos, es decir, al detrimento del patrimonio público. Impacto Financiero Nivel Concepto 5 Más de Impacto Legal. El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su función administrativa, ejecución presupuestal y normatividad aplicable. Impacto Legal Nivel Concepto 5 Intervención Sanción 4 Investigación Fiscal 3 Investigación Disciplinarias 2 Demandas 1 Multas Impacto Operativo. Aplica en la mayoría de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos dentro de la misma. Impacto Operativo. Nivel Concepto 5 Paro Total del Proceso 4 Intermitencia en el Servicio Cambios en la interacción de los 3 procesos 2 Cambios en Procedimientos 1 Ajustes a una actividad concreta

13 13 de Evaluación del Riesgo. Permite comparar los resultados de la probabilidad y del impacto del Riesgo, los cuales se relaciona en la siguiente matriz: PROBABILIDAD Raro (1) Improbable (2) Posible (3) Probable (4) Casi Certeza (5) Controles: MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS Insignificante (1) Baja (Asumir el Baja (Asumir el Menor (2) Zona de Riesgo Baja (Asumir el Zona de Riesgo Baja (Asumir el Zona de Riesgo Moderada Baja (Asumir y/o (Asumir el Reducir el Zona de Moderado Riesgo Alta Zona de Alta Riesgo Alta IMPACTO Moderado (3) Moderada (Asumir y/o Reducir el Moderada (Asumir y/o Reducir el Alta Alta Extrema Mayor (4) Alta Alta Extrema Extrema Extrema Catastrófico (5) Alta Extrema Extrema Extrema Extrema Si el riesgo se ubica en la Baja (Color Verde), el riesgo se encuentra en un nivel que se puede aceptar sin necesidad de tomar otras medidas de control diferentes a las que se poseen. Si el riesgo se ubica en la extrema (Color Rojo), es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario, se deben implementar controles de prevención para evitar la probabilidad del riesgo y de protección para disminuir el Impacto o compartir o transferir el riesgo si es posibles a través de pólizas de seguros u otras opciones que estén disponibles.

14 14 de 18 Si el riesgo se sitúa en cualquier de las otras zonas Moderada o Alta (Color Amarillo y Naranjado Respectivamente), se deben tomar medidas para llevar en lo posible los riesgos a la zona moderada o baja. Siempre que el riesgo sea calificado con Impacto catastrófico, la Entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia. Ejemplo Nº 3. Realizar el Análisis de un Riesgo del proceso de Seguimiento y Control. Análisis del Riesgo Proceso Riesgo Las Auditorías no contribuyan a la mejora de los Procesos. Exista poca Cultura de Control en la Institución Seguimiento y Control Calificación Probabilidad Impacto 4 Probable 3 Moderado 4 Probable 4 Mayor Evaluación Alta Compartir o Extrema Compartir o 3.5 Valoración de Riesgo. La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa es necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomas decisiones. Para realizar la valoración de los controles existentes es necesario recordar que estos de clasifican en: Preventivos. Aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia o materialización. Correctivos. Aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. Los controles acordes a su tipo, Correctivos o Preventivos, debe tener en cuenta la viabilidad y costo de los mismos. Para los riesgos que no tengan controles, el proceso deberá establecer los que considere necesario. La siguiente tabla relaciona los criterios con la valoración de los riesgos. EJEMPLOS DE CONTROLES

15 15 de 18 CONTROLES DE GESTIÓN CONTROLES OPERATIVOS CONTROLES LEGALES EJEMPLOS DE CONTROLES Políticas claras aplicadas Seguimiento al plan estratégico y operativo Indicadores de Gestión Tableros de Control Seguimiento a Cronogramas Evaluación del desempeño Informes de Gestión Monitoreo de Riesgos Conciliaciones Consecutivos Listas de Chequeo Registro controlado Segregación de funciones Niveles de Autorización Custodia Apropiada Procedimientos formales aplicados Pólizas Seguridad física Contingencias y respaldo Personal capacitado Aseguramiento y Calidad Normas claras y aplicadas Control de Términos Procedimiento para la Valoración del riesgo. El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica: a. Describirlos (estableciendo si son preventivos o correctivos). b. Revisarlos para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. c. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado. Como se Valoran los Riesgos. A continuación se muestran dos cuadros orientadores para ponderar de manera objetiva los controles y poder determinar el desplazamiento dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos.

16 16 de 18 Parámetros Herramientas para ejercer el control Seguimiento control Criterios Posee una herramienta para ejercer el control. Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva. Están definidos los responsables de la ejecución del control y del al seguimiento. La frecuencia de ejecución del control y seguimiento es adecuada. Tipo de Control Probabilidad Impacto Puntaje Ejemplo Nº 4. Rangos de Calificación de los Controles Dependiendo si el Control Afecta Probabilidad o Impacto Desplaza en la Matriz de Calificación, Evaluación y Respuesta a los Riesgos Cuadrantes a disminuir en la Probabilidad Entre Entre Entre Realizar Valoración de un Riesgo del proceso de Seguimiento y Control. Cuadrantes a Disminuir en el Impacto RIESGOS Las Auditorías no contribuyan a la mejora de los Procesos. Existen controles para evitar el Riesgo? SI SI SI Qué controles existen? 1. Los Auditores Internos se seleccionan en relación a su SI SI SI SI Impacto 3. Seguimiento a los Planes de Mejoramiento de las Auditoria SI SI SI SI Impacto 4. Informar a los Lideres de Procesos y a los Servidores VALORACIÓN DEL RIESGO Están definidos los En el tiempo que lleva el El control está responsables de la control ha demostrado ser documentado? ejecución del Control y efectivo? del seguimiento? La frecuencia y ejecución del control y seguimiento es adecuada? Este Control reduce el Impacto o la probabilidad? SI SI SI SI Probabilidad Riesgo Residual Zona de riesgo moderada - Asumir y/o Reducir el Riesgo

17 17 de Políticas de Administración de Riesgos. Permite estructurar criterios orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad pública. Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo Opciones de Manejo. Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar. Un ejemplo de estos puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. transferir el riesgo, reduce su efecto a través del traspaso de las perdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el líder del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo Acciones. Es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo. Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. La selección de las acciones más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica. Responsable. Son las dependencias o áreas encargadas de adelantar las acciones propuestas. Cronograma. Son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. (Mensual, Bimensual, Semestral u otros). Indicador. Se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas.

18 18 de Monitoreo y Revisión. Los riesgos son necesarios monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas El monitoreo lo realizan los Lideres de los procesos. La Unidad de Control Interno realiza seguimiento al plan de manejo y/o Controles establecidos en el Mapa de riesgos, en intervalos planificados. 4. REGISTROS N Código Nombre Responsable 01 FMAM N.A Mapa Riesgo de Guía de Administración del Riesgo 5. CONTROL DE CAMBIOS N.A 6. ANEXOS. N.A Gestores Documentales de cada proceso Lugar de Archivo Medio de Archivo Tiempo de Archivo Procesos que lo Físico y Generan, electrónico 3 años pagina Web del SIGEC N.A N.A Electrónico N.A N.A Disposición Conservación