POLITICA DE ADMINISTRACION DEL RIESGO

Transcripción

1 POLITICA DE ADMINISTRACION DEL RIESGO 2014

2 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política la Administración de los Riesgos para garantizar una gestión pública que responda a las necesidades y expectativas cambiantes de los usuarios y partes interesadas a través de la caracterización de los riesgos por procesos, de su Mapa de Riesgos y del análisis de los mismos y para adelantar el proceso de administración de los riesgos institucionales tomará como metodología la emitida por el Departamento Administrativo de la Función Pública. Los actores que intervienen en la ejecución de las políticas de administración de riesgo en la Comisión es la: la Dirección ejecutiva y los líderes de procesos quienes establecerán el contexto estratégico, los líderes de proceso quienes dirigirán el proceso de identificación y serán responsables de los resultados de los mismos; los asesores, los técnicos, asistenciales, pasantes y contratistas de la CREG que de manera directa y activa a través de reuniones de trabajo formularán mapas de riesgo por proceso e institucional, esta información será suministrada a la Oficina Asesora de Control Interno quien es la encargada de asesorar en el proceso de identificación y con base en ello realizar recomendaciones. Así mismo hacer seguimiento y verificar las acciones propuestas. Adicionalmente la Oficina Asesora de Control Interno debe Verificar que la entidad implemente las políticas de administración del riesgo y que existan mecanismos para su manejo. Por tanto, la Comisión de Regulación de Energía y Gas, realiza una oportuna identificación, gestión y minimización de los riesgos; asegurando el manejo eficiente y eficaz de los recursos de la entidad; con el fin de garantizar el cumplimiento de los objetivos institucionales y el logro de su visión. OBJETIVO El objetivo de la política de administración del riesgo es orientar la toma de decisiones respecto al tratamiento de los riesgos y sus efectos al interior de la Comisión de Regulación de Energía y Gas, con el fin de garantizar el cumplimiento de los objetivos institucionales. ALCANCE La política de administración del riesgo es un elemento que contribuye al control interno de la entidad, fomentando la cultura del autocontrol al interior de los procesos, la cual debe ser aplicada por todos los líderes y funcionarios de la

3 Comisión, de acuerdo con las responsabilidades definidas en el presente documento. El desarrollo de la política de administración del riesgo implica establecer el contexto estratégico que es la base para la identificación del riesgo para cada proceso, los factores internos y externos del riesgo, determinar las posibles causas internas y externas, establecer los efectos, definir el riesgo y consolidar la información en una matriz que permita visualizar la relación de dichos riesgos con los procesos institucionales. CONTEXTO ESTRATEGICO Para la formulación y operacionalización de la política de administración del riesgo es fundamental tener claridad de la misión institucional, sus objetivos y tener una visión sistemática de la gestión, de manera que no se perciba esta herramienta gerencial como algo aislado del mismo accionar administrativo. Por ende, el diseño se establece a partir de la identificación de los factores internos o externos a la entidad que pueden generar riesgos que afecten el cumplimiento de los objetivos. Según lo definido por la Guía de Administración del Riesgo: Este contexto estratégico es la base para la identificación de los riesgos en los procesos y actividades. El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados de los componentes de ambiente de control, estructura organizacional, modelo de operación, cumplimiento de los planes y programas, sistemas de información, procesos y procedimientos y los recursos económicos, entre otros. 1 Se recomienda la aplicación de varias herramientas y técnicas; por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar a la organización, entre otros. 2 Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados: - Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la entidad. 1 Guía de Administración del Riesgo. Contexto Estratégico, pág. 27. Cuarta Edición. 2 Guía de Administración del Riesgo. Contexto Estratégico, pág. 27. Cuarta Edición

4 - Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control, Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. - Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo. CLASES DE RIESGOS: El riesgo está vinculado con todo el quehacer de la entidad, durante el proceso de identificación del riesgo, pueden hacer una clasificación del mismo para darle tratamiento indicado, así mismo éste servirá de base para el impacto o consecuencia durante el proceso de análisis del riesgo. Entre las clases de riesgo que pueden presentarse están: Riesgo Estratégico: Se asocia en la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias. Riesgos Financieros: Se relacionan con el manejo de los recursos de entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. IDENTIFICACIÓN, ANÁLISIS, CALIFICACIÓN Y VALORACIÓN DEL RIESGO Con base en el formato de Identificación de los Riesgos de la Guía de Administración del Riesgo de la Función Pública, el líder de cada proceso institucional deberá consolidar la información requerida en el formato, contando con la participación activa de los funcionarios involucrados en dicho proceso,

5 esta actividad debe ser permanente e interactiva, basada tanto en el resultado del análisis del Contexto Estratégico como en el proceso de planeación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados. La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico, identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los objetivos institucionales. IDENTIFICACIÓN DE LOS RIESGOS CAUSAS Factores Internos y Externos. Incluye Agente Generador PROCESO OBJETIVO RIESGOS DESCRIPCIÓN EFECTOS (consecuencias) Como resultado, se debe obtener el formato diligenciado por cada proceso institucional, que servirá de base para la siguiente actividad, que consiste en que cada líder de proceso debe diligenciar con la participación de los funcionarios involucrados, el formato sobre el Análisis de controles existentes, para cada uno de los riesgos identificados para su proceso. Identificados y estimados los controles existentes a través de la Matriz de calificación, evaluación y respuesta a los riesgos, los líderes de los procesos deben entrar a determinar la probabilidad y el impacto de cada uno de los riesgos identificados para su proceso, operacionalizando si es viable, la mitigación del riesgo con base en los controles existentes, tal como se establece en la Guía del Departamento Administrativo de la Función Pública La probabilidad es la posibilidad de ocurrencia del riesgo y puede ser medida con criterios de Frecuencia (si se han materializado), o de Factibilidad (teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado). Según lo establecido en la Guía de Administración del Riesgo, para determinar de manera objetiva la probabilidad, se debe utilizar la siguiente tabla: NIVEL CONCEPTO DESCRIPCIÓN FRECUENCIA 1 Raro El evento puede ocurrir solo en circunstancias excepcionales.. No se ha presentado en los últimos 5 años 2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los últimos 5 años 3 Posible El evento podría ocurrir en algún momento. Al menos una vez en los últimos 2 años 4 Probable El evento probablemente ocurrirá Al menos una vez en en la mayoría de las el último año circunstancias

6 5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias Más de una vez al año Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes especificaciones: NIVEL IMPACTO DESCRIPCION 1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad 2 Menor Si el hecho llegara a presentarse, tendría bajo impacto efecto sobre la entidad 3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad 4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad 5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad Para determinar el impacto se puede utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado IMPACTO DE CONFIDENCIALIDAD DE LA INFORMACIÓN NIVEL CONCEPTO 1 Personal 2 Grupo de Trabajo 3 Relativa al Proceso 4 Institucional 5 Estratégica El impacto de confidencialidad de la información se refiere a la pérdida o revelación de la misma cuando se habla de información reservada institucional se hace alusión a aquella que por la razón de ser de la entidad solo puede ser conocida al interior de la misma. IMPACTO DE CREDIBILIDAD O DE IMAGEN NIVEL CONCEPTO 1 Grupo de Funcionarios 2 Todos los Funcionarios 3 Usuarios Ciudad 4 Usuarios Región 5 Usuarios País El impacto de credibilidad se refiere a la pérdida de la misma frente a diferentes actores sociales o dentro de la entidad.

7 IMPACTO LEGAL NIVEL CONCEPTO 1 Multas 2 Demandas 3 Investigación Disciplinaria 4 Investigación Fiscal 5 Intervención - Sanción El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su función administrativa, ejecución presupuestal y normatividad aplicable. IMPACTO OPERATIVO NIVEL CONCEPTO 1 Ajustes a una actividad concreta 2 Cambios en procedimientos 3 Cambios en la interacción de los procesos 4 Intermitencia en el servicio 5 Paro Total del Proceso El impacto operativo aplica para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos dentro de la entidad. Cada proceso debe realizar la descripción porcentual del valor establecido en los niveles de impactos citados en la tabla anterior. Los resultados de la valoración deben quedar registrados en el formato de Acciones de Control y de ser el caso, determinar con los funcionarios involucrados en los procesos, las acciones de control que deberán implementarse. Para facilitar la calificación y evaluación de los riesgos, a continuación se presenta la Matriz de calificación, evaluación y respuesta a los riesgos, la cual contempla un análisis cualitativo y cuantitativo: Matriz de calificación, evaluación y respuesta a los riesgos

8 IMPACTO / CONSECUENCIAS PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico 1 Raro B B M A A 2 Improbable B B M A E 3 Moderado B M A E E 4 Posible M A A E E 5 Casi seguro A A E E E B M A E BAJA MODERADA ALTA EXTREMA Asumir el riesgo Asumir, reducir el riesgo Reducir, evitar, compartir o transferir el riesgo Evitar, reducir, compartir o transferir el riesgo EVALUACIÓN DEL RIESGO Para la evaluación del riesgo que permite comparar los resultados de su calificación con los criterios definidos para establecer el grado de exposición de la entidad al riesgo; se debe tener en cuenta la posición del riesgo en la matriz, según la celda que ocupa, aplicando los siguientes criterios: Si el riesgo se ubica en la Zona Baja, significa que su probabilidad es rara, improbable o posible y su impacto es insignificante o menor, lo cual permite a la entidad asumirlo. Es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen. Si el riesgo se ubica en la Zona de Riesgo Extrema, su probabilidad es posible, probable o casi certeza y su impacto moderado, mayor o catastrófico; por tanto, es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible. De lo contrario, se deben implementar controles de prevención para evitar la probabilidad del riesgo, de protección para disminuir el impacto o compartir o trasferir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles. Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo moderada o al alta), se deben tomar medidas para llevar en lo posible los riesgos a la zona moderada o baja. Siempre que el riesgo sea calificado con impacto catastrófico, la entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia. La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados en el Elemento de Control, denominado Controles, del Subsistema de Control de Gestión, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

9 Una vez se ha realizado la valoración del riesgo, se considera que este es inherente al cual se enfrenta el proceso en ausencia de controles para la mitigación del mismo. Si el proceso tiene herramientas o ha establecido actividades para mitigar la ocurrencia del riesgo, deben ser valorados para lo cual se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos los cuales permiten obtener información para efectos de tomar decisiones. Para el efecto se debe realizar la evaluación de dichos controles en cuanto a las herramientas que el proceso tiene para ejercer el control y el seguimiento que se realiza. Como se valoran los controles? A continuación se muestran los cuadros orientadores para ponderar de manera objetiva los controles y poder determinar el desplazamiento dentro de la matriz de calificación, evaluación y respuesta a los riesgos. PARÁMETROS CRITERIOS TIPO DE CONTROL Probabilidad Impacto PUNTAJES Posee una herramienta para ejercer el control 15 Herramientas para ejercer el control Existen manuales, instructivos, o procedimientos para el manejo de la herramienta 15 Seguimiento al control En el tiempo que lleva la herramienta ha demostrado ser efectiva Están definidos los responsables de la ejecución del control y del seguimiento La frecuencia de ejecución del control y del seguimiento es adecuada TOTAL Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles, se denomina riesgo residual, y el cual se define como aquel que permanece después que el proceso desarrolle sus respuestas a los riesgos.

10 RANGOS DE CALIFICACIÓN DE LOS CONTROLES DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS CUADRANTE S A DISMINUIR EN LA PROBABILIDAD CUADRANTE S A DISMINUIR EN EL IMPACTO Entre Entre Entre El resultado obtenido a través de la valoración, es equivalente al tratamiento del riesgo, ya que involucra la selección de una o más opciones para modificar los riesgos y la implementación de las acciones; así el desplazamiento para la nueva valoración del riesgo y su desplazamiento determinará finalmente la selección de la opción de tratamiento del riesgo. Con la información anterior, los líderes de los procesos deberán diligenciar el formato Mapa de riesgos y remitirlo a la oficina asesora de planeación para su consolidación y presentación al equipo de trabajo Institucional de MECI y Calidad para su revisión y aprobación. MAPA DE RIESGOS INSTITUCIONAL La oficina asesora de planeación coordinará la consolidación del mapa de riesgos institucional, como insumo para la consolidación del mapa, tomará los mapas de riesgos por proceso; de cada mapa de riesgos por proceso, registrará en el formato denominado Mapa de riesgos institucional la información relacionada con aquellos riesgos cuya valoración se encuentra en Zona de riesgo alta y Zona de riesgo extrema La anterior información deberá quedar registrada de manera ordenada en el formato, dando prioridad a los mayores riesgos residuales. Consolidada la información, Planeación deberá tramitar ante la Alta Dirección el mapa de riesgos para su revisión, aprobación, distribución y posterior análisis. RIESGO DESCRIPCIÓN CLASIFICACIÓN NUEVA CLASIFICACIÓN Evaluación CONTROLES Probabilidad Impacto Riesgo Probabilidad Impacto NUEVA EVALUACIÓN OPCIONES MANEJO ACCIONES RESPONSABLE INDICADOR

11 EVALUACIÓN Y SEGUIMIENTO A LOS MAPAS DE RIESGO POR PROCESO Los líderes de proceso serán responsables del seguimiento a las acciones de control determinadas en los mapas, conforme a las fechas establecidas. Como resultado de las acciones de control o por otras fuentes de información, los líderes de proceso deberán actualizar de manera inmediata su mapa de riesgos, en cuanto a revisar los riesgos existentes, sus controles, sus acciones; o a registrar nuevos riesgos, controles o acciones; y adelantar el trámite respectivo. Los Líderes de proceso deberán hacer seguimiento a los riesgos así: a. Riesgos valorados en la Zona de riesgo Extrema : Mensualmente. b. Riesgos valorados en la Zona de riesgo Alta : Bimestralmente o de acuerdo al cronograma. c. Riesgos valorados en la Zona de riesgo Moderado : Bimestralmente d. Riesgos valorados en la Zona de riesgo Baja : Semestralmente. Los resultados de los seguimientos anteriores serán reportados a la oficina de planeación y a la de control interno para los fines pertinentes. Así mismo, con base en la información anterior, la oficina asesora de planeación actualizará el mapa de riesgos institucional. Los líderes de proceso mensualmente deberán entregar a control interno un informe de seguimiento a los riesgos y proponer los cambios a que haya lugar. MONITOREO DE LOS MAPAS DE RIESGO La oficina de control interno acorde con la normatividad vigente y sus competencias, efectuará el seguimiento y monitoreo a los mapas de riesgo por proceso e institucional, este monitoreo es esencial para asegurar que las acciones se están llevando a cabo por parte de los líderes de los procesos y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicaciones de las acciones preventivas. La finalidad principal de la oficina de control interno será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. RESPONSABILIDADES: - La Dirección Ejecutiva y el Comité de Coordinación de Control Interno tiene el compromiso de establecer, definir y mantener actualizada la presente política.

12 - El asesor de planeación orientará la metodología utilizada para la identificación, análisis, calificación y valoración del riesgo. - Los Líderes de procesos y grupos propenderán por la divulgación y cumplimiento de los lineamientos establecidos en el presente documento. - Control Interno dentro de su función evaluadora presentará a la Dirección Ejecutiva los resultados de la evaluación a los mapas de riesgos con las propuestas de mejoramiento y tratamiento de las situaciones detectadas. - Los responsables de los procesos, actualizarán el mapa de riesgos por lo menos una vez al año desarrollando la metodología definida en la Guía de Administración del Riesgos, del Departamento Administrativo de la Función Pública y lo remitirán a planeación para su consolidación, y presentación al Equipo de Trabajo Institucional MECI-Calidad para su revisión y aprobación, por último se lleva al Comité de Coordinación de Control Interno para su aprobación. PLANES DE CONTINGENCIA CONTINGENCIA: Se define como la acción que debe seguirse al momento de materializarse el riesgo, con el fin de que se siga prestando el servicio o se pueda desarrollar las operaciones con el menor traumatismo posible. Para los riesgos calificados en el mapa de riesgos institucional en las Zonas Extrema y Alta, los líderes de proceso deberán establecer planes de contingencia, entendiéndose éstos como los planes que se realizan para minimizar o corregir un riesgo que se materializa. Los planes de contingencia deberán ser remitidos a planeación y control interno. Planeación los tramitará para revisión y aprobación de la Alta Dirección. Aprobados los planes de contingencia, éstos deben ser divulgados acorde con lo establecido. Los líderes de proceso deberán actualizar los planes en el momento en que sea necesario, siguiendo la metodología citada anteriormente. Los lineamientos enunciados en este documento son de obligatorio cumplimiento por parte de los responsables aquí señalados. De igual forma el cumplimiento de las acciones deberá verse reflejado en los acuerdos de gestión. Finalmente, los resultados de la gestión de la administración del riesgo deberán ser publicados en la página web de la entidad. Los planes de contingencia se consignarán en el siguiente formato para aquellos riesgos institucionales considerados en la zona extrema y zona alta, por parte de los líderes de los procesos en los cuales estén involucrados.

13 PLAN DE CONTINGENCIA PARA LOS RIESGOS INSTITUCIONALES DE LA CREG No. POSIBLES ZONA DE RIESGO TRATAMIENTO PLAN DE MITIGACIÓN ACCIÓN DURANTE (Contingencia) RIESGO DESCRIPCIÓN CAUSA CONSECUENCIAS RESPONSABLE (S) EN EL PROCESO ACCIÓN DESPUÉS (Recuperación) RESPONSABLE (S) DEL PROCESO