GUÍA PARA LA ADMINISTRACIÓN DE RIESGOS

Transcripción

1 GUÍA PARA LA 1

2 1. Objetivo Establecer la metodología para la administración de riesgos de Empresas Públicas de Cundinamarca S.A. E.S.P en el marco del Sistema Integrado de Gestión. 2. Alcance Aplica para identificación, medición, control y monitoreo de los riesgos empresariales en el marco del Sistema Integrado de Gestión. 3. Normatividad aplicable NTC ISO 9001:2008 NTC GP 1000:2009 Decreto 943 del 21 de mayo de Definiciones Aceptar el riesgo: Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular. Administración de Riesgos: Conjunto de elementos de control que al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pública auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos. Asumir un riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el responsable del proceso simplemente acepta la perdida residual probable y elabora planes de contingencia para su manejo. Compartir el riesgo: Se asocia con la forma de protección para disminuir las pérdidas que ocurran luego de la materialización de un riesgo, es posible realizarlo mediante contratos, seguros, cláusulas contractuales u otros medios que puedan aplicarse. Consecuencia: Es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso. 2

3 Controles correctivos: Aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también la modificación de las acciones que propiciaron su ocurrencia. Controles preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Compartir o transferir el riesgo: Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Evento: Incidente o situación que ocurre en un lugar determinado durante un periodo de tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie. Evitar el riesgo: Tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Identificación del riesgo: elemento de control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la entidad pública, que ponen en riesgo el logro de su misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. se puede entender como el proceso que permite determinar qué podría suceder, por qué sucedería y de qué manera se llevaría a cabo. Monitorear: Comprobar, Supervisar, observar, o registrar la forma en que se lleva a cabo una actividad con el fin de identificar sus posibles cambios. Pérdida: Consecuencia negativa que trae consigo un evento. Probabilidad: grado en el cual es probable que ocurra de un evento, este se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir. Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Riesgo: Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias. Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. Riesgo residual: Nivel resultante del riesgo después de aplicar los controles. 3

4 Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Riesgos estratégicos: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgos operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias. 5. Etapas de la administración de riesgos Etapa II Etapa IV Identificación Medición Control Monitoreo Etapa I Etapa III 4

5 6. Desarrollo de la metodología Etapa I Etapa Identificación I Identificación Esta etapa tiene una frecuencia anual y su ejecución es responsabilidad de los Líderes de los procesos. Esta etapa se debe desarrollar con la Matriz de Administración de riesgos por proceso en su Etapa I Identificación, la cual se encuentra publicada en la Intranet. Cómo diligenciar el formato para la identificación de riesgos? 1. N: Ingresar el número consecutivo. 2. Proceso: Diligencie el proceso objeto de análisis. En este paso se debe revisar el objetivo del proceso en análisis, asegurando la correcta identificación y descripción del riesgo asociado. 3. Riesgo: Describir el riesgo asociado al proceso, iniciando con la frase "Es posible que". Ejemplo: Es posible que la información asociada al sistema integrado de gestión se encuentre desactualizada 4. Causa: Determinar la causa del riesgo, iniciando con la frase "Debido a que". Ejemplo: Debido a que no se revisan los procedimientos y demás documentos del proceso. 5. Factor: Clasificar la causa dependiendo del factor generador sea Interno o externo. 6. Consecuencia: Determinar la consecuencia o efecto que tendría la Empresa si se materializa el riesgo, iniciando con la frase Lo que ocasionaría. Ejemplo: Lo que ocasionaría reprocesos de las actividades, errores en el proceso y sus productos, asignación inadecuada de cargas de trabajo y falta de control 7. Categoría: Determinar la categoría a la que pertenece el riesgo. Se refiere a la actividad o elemento crítico al que está asociado el riesgo. Ejemplo: Informes a partes interesadas. 8. Tipo de riesgo: Determinar el tipo de riesgo de acuerdo a las categorías de Estratégico, imagen, operativo, financiero, cumplimiento o tecnológico. 9. La matriz lo asigna automáticamente. Corresponde a las iniciales del proceso, número del proceso (de acuerdo al orden en el mapa de procesos) y al consecutivo asignado. Ejemplo: Riesgo 1 del proceso de Gestión financiera = GF9.1. 5

6 Etapa II Medición Esta etapa tiene una frecuencia anual y su ejecución es responsabilidad de los Líderes de los Procesos. Esta etapa se debe desarrollar con la Matriz de Administración de riesgos por proceso en su Etapa II Medición, la cual se encuentra publicada en la Intranet. Cómo diligenciar el formato para la medición de riesgos? 1. Probabilidad: Determinar el grado en el cual es probable que ocurra el riesgo identificado de acuerdo al siguiente estándar: (E) Raro 0,1 (D) Improbable 0,3 (C) Moderado 0,5 (B) Probable 0,7 (A) Casi certeza 0,9 2. Impacto: Determinar el grado en el que se afectaría la organización dada la materialización del riesgo, de acuerdo al siguiente estándar: Insignificante (0,05) Menor (0,1) Moderado (0,2) Mayor (0,4) Catastrófico (0,8) 3. Calificación del riesgo: Determinar la calificación del riesgo, multiplicando el valor asignado a la probabilidad y al impacto. Ejemplo: Probabilidad X Impacto = calificación del riesgo (D) Improbable 0,3 X Moderado (0,2) = 0,06 6

7 4. Nivel de riesgo inherente: De acuerdo al valor generado por la calificación del riesgo, determinar el nivel de riesgo inherente teniendo en cuenta la siguiente tabla: Calificación Nivel 0,005 Zona de riesgo Baja (B) 0,015 Zona de riesgo Baja (B) 0,025 Zona de riesgo Baja (B) 0,035 Zona de riesgo Moderada (M) 0,045 Zona de riesgo Alta (A) 0,01 Zona de riesgo Baja (B) 0,03 Zona de riesgo Baja (B) 0,05 Zona de riesgo Moderada (M) 0,07 Zona de riesgo Alta (A) 0,09 Zona de riesgo Alta (A) 0,02 Zona de riesgo Moderada (M) 0,06 Zona de riesgo Moderada (M) 0,1 Zona de riesgo Alta (A) 0,14 Zona de riesgo Alta (A) 0,18 Zona de riesgo Extrema (E.) 0,04 Zona de riesgo Alta (A) 0,12 Zona de riesgo Alta (A) 0,2 Zona de riesgo Extrema (E.) 0,28 Zona de riesgo Extrema (E.) 0,36 Zona de riesgo Extrema (E.) 0,08 Zona de riesgo Alta (A) 0,24 Zona de riesgo Extrema (E.) 0,4 Zona de riesgo Extrema (E.) 0,56 Zona de riesgo Extrema (E.) 0,72 Zona de riesgo Extrema (E.) Mapa de riesgo inherente: Una vez se ha efectuado la medición de cada uno de los riesgos, se puede consultar el Mapa de riesgo inherente el cual se genera automáticamente para cada proceso. 7

8 Etapa III Control Esta etapa tiene una frecuencia semestral y su ejecución es responsabilidad de los Líderes de los Procesos. Esta etapa se debe desarrollar con la Matriz de Administración de riesgos por proceso en su Etapa III Control, la cual se encuentra publicada en la Intranet. Cómo diligenciar el formato para el control de riesgos? 1. Opciones de manejo: Las opciones de manejo están estandarizadas de acuerdo al Nivel de riesgo, tal y como se muestra en la siguiente tabla: Nivel de riesgo Opciones de manejo Nivel de riesgo Baja (B) Asumir el riesgo Nivel de riesgo Moderada Asumir el riesgo (M) Reducir el riesgo Nivel de riesgo Alta (A) Reducir el riesgo Evitar el riesgo Compartir o transferir el riesgo Nivel de riesgo Extrema Reducir el riesgo (E). Evitar el riesgo Compartir o transferir el riesgo 2. Controles: Determinar si existen o no controles asociados al riesgo. Si existen controles asociados al riesgo, se deben describir e identificar con la letra C y un número consecutivo. Ejemplo: C1. Descripción del control 1 C2. Descripción del control 2 3. Evaluación de los controles: Para la evaluación de los controles se deben determinar los siguientes componentes: Preventivo, Correctivo (P/C): Determinar si el control identificado es correctivo o preventivo. Ingresar P o C según corresponda. Probabilidad, Impacto (P/I): Determinar si el control identificado afecta a la probabilidad o al impacto. Ingresar P o I según corresponda. 8

9 El control está documentado? (D): Determinar si el control está o no documentado en el marco de las políticas, normas y procedimientos organizacionales. Ingresar 1 (uno) si se encuentra documentado o en su defecto ingresar o (cero) cuando no se encuentra documentado. El control está implementado? (IM): Determinar si el control está o no implementado en el marco de las políticas, normas y procedimientos organizacionales. Ingresar 1 (uno) si se encuentra implementado o en su defecto ingresar o (cero) cuando no se encuentra implementado. El control ha sido efectivo en el pasado? (E): Determinar si la implementación del control ha sido efectiva en el pasado, entendiéndose como la disminución en la probabilidad o impacto del riesgo asociado. Ingresar 1 (uno) si ha sido efectivo o en su defecto ingresar o (cero) cuando no ha sido efectivo en el pasado. 4. Probabilidad: De acuerdo con la evaluación de los controles establecidos la Matriz de Administración de riesgos por proceso, se calcula automáticamente la probabilidad asociada al riesgo de acuerdo a la siguiente ponderación: Evaluación del control Ponderación El control está documentado? 0,1 El control está implementado? 0,3 El control ha sido efectivo en el pasado? 0,6 Una vez se ha ingresado la evaluación de los controles, la Matriz de Administración de Riesgos calcula un promedio ponderado de los controles que afectan la probabilidad y así establece la nueva medición de ésta variable. Si los controles evaluados permiten reducir, evitar, mitigar, compartir o transferir el riesgo se evidenciará un desplazamiento automático de la probabilidad asociada. 5. Impacto: De acuerdo con la evaluación de los controles establecidos, la Matriz de Administración de Riesgos calcula el impacto asociado al riesgo de acuerdo a la siguiente ponderación: Evaluación del control Ponderación El control está documentado? 0,1 El control está implementado? 0,3 El control ha sido efectivo en el pasado? 0,6 9

10 Una vez se ha ingresado la evaluación de los controles, la Matriz de Administración de Riesgos calcula un promedio ponderado de los controles que afectan el impacto, y así establece la nueva medición de ésta variable. Si los controles evaluados permiten reducir, evitar, mitigar, compartir o transferir el riesgo se evidenciará un desplazamiento automático del impacto asociado. 6. Calificación del riesgo: De acuerdo con la probabilidad e impacto final, la Matriz de Administración de Riesgos recalcula automáticamente la calificación final del riesgo. 7. Nivel de riesgo inherente: De acuerdo con la calificación del riesgo calculada en el paso anterior, la Matriz de Administración de Riesgos determina automáticamente el nivel de riesgo residual teniendo en cuenta la siguiente tabla: Calificación Nivel 0,005 Zona de riesgo Baja (B) 0,015 Zona de riesgo Baja (B) 0,025 Zona de riesgo Baja (B) 0,035 Zona de riesgo Moderada (M) 0,045 Zona de riesgo Alta (A) 0,01 Zona de riesgo Baja (B) 0,03 Zona de riesgo Baja (B) 0,05 Zona de riesgo Moderada (M) 0,07 Zona de riesgo Alta (A) 0,09 Zona de riesgo Alta (A) 0,02 Zona de riesgo Moderada (M) 0,06 Zona de riesgo Moderada (M) 0,1 Zona de riesgo Alta (A) 0,14 Zona de riesgo Alta (A) 0,18 Zona de riesgo Extrema (E.) 0,04 Zona de riesgo Alta (A) 0,12 Zona de riesgo Alta (A) 0,2 Zona de riesgo Extrema (E.) 0,28 Zona de riesgo Extrema (E.) 0,36 Zona de riesgo Extrema (E.) 0,08 Zona de riesgo Alta (A) 10

11 Calificación Nivel 0,24 Zona de riesgo Extrema (E.) 0,4 Zona de riesgo Extrema (E.) 0,56 Zona de riesgo Extrema (E.) 0,72 Zona de riesgo Extrema (E.) Mapa de riesgo residual: Una vez se ha hecho la evaluación de cada uno de los controles se puede consultar el Mapa de riesgo residual el cual se genera automáticamente para cada proceso. Etapa IV Monitoreo Esta etapa tiene una frecuencia Semestral y su ejecución es responsabilidad del Director de Control Interno. Esta etapa se debe registrar en el formato EPC-SIGC-FT-178. Monitoreo de riesgos, el cual se encuentra publicado en la Intranet. Cómo diligenciar el formato para monitorear los riesgos? 1. Responsable del monitoreo: Ingresar el nombre del responsable de realizar el monitoreo. 2. Cargo: Ingresar el cargo del responsable de realizar el monitoreo. 3. Fecha de seguimiento: Ingresar la fecha de seguimiento 4. Código del riesgo: Ingresar el código de riesgo asignado en el EPC-SIGC-FT Grado de implementación de los controles: Determinar el grado de implementación de los controles establecidos para cada riesgo. Esta valoración del grado de implementación se debe hacer en una escala porcentual, siendo 0% el menor valor y 100% la implementación completa del control. 6. Verificación de la eficacia del control: Se debe determinar si los controles establecidos para cada riesgo han sido eficaces para reducir, evitar, mitigar, compartir o transferir el riesgo. 7. Plan de acción: Cuando los controles establecidos para cada riesgo no han sido eficaces es necesario formular un plan de acción orientado a la disminución del nivel de riesgo asociado. 8. Observaciones: Puede ser utilizado para incluir comentarios referentes al monitoreo de cada riesgo. 11

12 Bibliografía Departamento Administrativo de la Función Pública, Guía para la administración del riesgo, Septiembre de Superintendencia Financiera de Colombia, Circular 041 capitulo XXIII, Project Management Institute, Guía de los Fundamentos para la Administración de Proyectos (cuarta edición). CONTROL DE CAMBIOS VERSIÓN FECHA DESCRIPCIÓN DEL CAMBIO 0 04/06/2015 Versión inicial 1 23/07/2015 Se ajustó error de edición en la página 9 y se integraron los numerales 2 y 3 de la etapa I Identificación. 2 Cambio Imagen Corporativa Elaboró: Cargo: Apoyo Dirección de Planeación Nombre: Jairo Velasco Revisó: Cargo: Apoyo Dirección de Planeación Nombre: Vivian Ortegón Aprobó: Cargo: Director de Planeación Nombre: Manuel Sandoval 12