GESTIÓN DEL RIESGO
INTRODUCCIÓN Todas las organizaciones enfrentan factores e influencias internas y externas que crean incertidumbre sobre si es posible alcanzar o no los objetivos. El efecto que esta incertidumbre tiene riesgo. Las organizaciones gestionan el riesgo mediante su identificación y análisis y luego identificando si el riesgo se debe modificar por medio de algún tratamiento.
QUE PERMITE LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES?
Aumentar la probabilidad de alcanzar los objetivos Fomentar la gestión proactiva Ser consientes de la necesidad de identificar y ra ar os os r esgos en o a a organ zac n. Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas internacionales. Mejorar la presentación de informes obligatorios y voluntarios Mejorar la confianza y honestidad de las partes involucradas
Establecer una base confiable para la toma de decisiones y la planificación Mejorar los controles Asignar y usar eficazmente los recursos para el tramite del riesgo Mejorar la eficacia y eficiencia operativa
seguridad, así como la protección ambiental Mejorar la prevención de perdidas y la gestión de incidentes Minimizar las perdidas Mejorar el aprendizaje organizacional Mejorar la flexibilidad organizacional
MODELOS PARA LA GESTIÓN DEL RIESGO
NTC 5254:2006 Guía de administración del riesgo DAFP. NTC 31000:2011
ADMINISTRACIÓN DEL RIESGO N.T.C 5254 2006 El Riesgo es inherente a todo lo que hacemos, convivimos con él todos los días, aunque no estemos conscientes de ello. Aunque siempre pensamos en desastres, el riesgo más común que las Instituciones enfrentan, es el de no cumplir con sus objetivos y metas.
NUMERALES DE LA ISO 31000 1. OBJETO 2. TÉRMINOS Y DEFINICIONES 3. PRINCIPIOS 4. MARCO DE REFERENCIA 4.1 GENERALIDADES 4.2 DIRECCIÓN Y COMPROMISO 4.3 DISEÑO DEL MARCO DE REFERENCIA PARA LA GESTIÓN DEL RIESGO 4.4 IMPLEMENTACIÓN DE LA GESTIÓN DEL RIESGO 4.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA 4.6 MEJORA CONTINUA DEL MARCO DE REFERENCIA
NUMERALES DE LA ISO 31000 5. PROCESO 5.1 GENERALIDADES 5.2 COMUNICACIÓN Y CONSULTA 5.3 ESTABLECIMIENTO DEL CONTEXTO 5.4 VALORACIÓN DEL RIESGO 5.5 TRATAMIENTO DEL RIESGO 5.6 MONITOREO Y REVISIÓN 5.7 REGISTRO DEL PROCESO PARA LA GESTIÓN DEL RIESGO
2. DEFINICIONES ISO 31000:2011
Riesgo: efecto de la incertidumbre sobre los objetivos. Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Marco de referencia para la gestión del riesgo: conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear, revisar y mejorar cont nuamente a gest n e r esgo.
Política para la gestión del riesgo: declaración de la dirección y las intensiones generales de una organización con respecto a la gestión del riesgo.
Actitud hacia el riesgo: Enfoque de la organización para evaluar y eventualmente buscar, retener, tomar o alejarse del riesgo.
Plan para la gestión del riesgo: esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo.
2. DEFINICIONES ISO 31000:2011
Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo.
Proceso para la gestión del riesgo: Aplicación sistemática de las políticas, procedimientos y las practicas de gestión a las actividades de comunicación, consulta, establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, monitoreo y revisión del riesgo. y externos que se han de tomar en consideración cuando se gestiona un riesgo, y establecimiento del alcance y los criterios del riesgo para la política para la gestión del riesgo.
Contexto externo: Ambiente externo en el cual la organización busca alcanzar sus objetivos.
Ambiente cultural, social, político, legal, financiero, tecnológico, económico, natural y competitivo, bien sea internacional, nacional, regional o local. Impulsores clave y tendencias que tienen impacto en los objetivos de la organización Relaciones con las partes involucradas y sus percepciones y valores.
2. DEFINICIONES ISO 31000:2011
Contexto interno: Ambiente interno en el cual la organización busca alcanzar sus objetivos.
Gobierno, estructura organizacional, funciones y responsabilidades Política, objetivos y estrategias implementadas para lograrlos Las capacidades entendidas en términos de recursos y conocimiento (capital, tiempo, personas, procesos, sistemas y tecnologías) , decisiones Relaciones con las partes involucradas internas y sus percepciones y valores La cultura de la organización Normas, directrices y modelos adoptados por la organización Forma y extensión de las relaciones contractuales
Comunicación y consulta: procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un dialogo con las partes involucradas.
2. DEFINICIONES ISO 31000:2011
Parte involucrada: persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o actividad.
Valoración del riesgo: proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo.
Identificación del riesgo: proceso para encontrar, reconocer y escr r e r esgo. mp ca a ent cac n e as uentes e r esgo, los eventos, sus causas y sus consecuencias potenciales. Puede involucrar datos históricos, análisis teóricos, opiniones informadas y expertas y las necesidad de las partes involucradas.
Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo.
Evento: Presencia o cambio de un conjunto particular de circunstancias.
Consecuencia: Resultado de un evento que afecta los objetivos.
2. DEFINICIONES ISO 31000:2011
Probabilidad: Oportunidad de que algo suceda. Perfil del Riesgo: Descripción de cualquier conjunto de riesgos . Análisis del Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel del riesgo.
Criterios del Riesgo: Termino de referencia frente a los cuales se evalúa la importancia de un riesgo.
Nivel del Riesgo : Magnitud de un riesgo o de una combinación de riesgos , expresada en términos de la combinación de las consecuencias y su probabilidad.
Evaluación del Riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo , su magnitud o ambos son aceptables o tolerables.
Tratamiento del Riesgo: Proceso para modificar el riesgo. Control: Medida que modifica al riesgo. Riesgo Residual: Riesgo remanente después del tratamiento del riesgo.
2. DEFINICIONES ISO 31000:2011
Monitoreo:
Revisión: Acción que se emprende para determinar la idoneidad,
Verificación, supervisión, observación critica o determinación continua del estado con el fin de identificar cambio con respecto al nivel de desempeño exigido o esperado. conveniencia y eficacia de la materia en cuestión para lograr los objetivos establecidos.
3. PRINCIPIOS
La gestión del riesgo crea y protege el valor. La gestión del riesgo es una parte integral de todos los procesos de la organización. La gestión del riesgo es parte de la toma de . La gestión del riesgo aborda explícitamente la incertidumbre. La gestión del riesgo es sistemática, estructurada y oportuna. La gestión del riesgo se basa en la mejor información disponible.
3. PRINCIPIOS
La gestión del riesgo esta adaptada. La gestión del riesgo toma los factores humanos y culturales. La gestión del riesgo es transparente e inclusiva. , receptiva al cambio. La gestión del riesgo facilita la mejora continua de la organización.
4. MARCO DE REFERENCIA
Brinda las bases y las disposiciones que se introducirán en todos los procesos de la organización. Garantiza que la información se reporte de manera adecuada y se utilice como base para la toma de decisiones y la rendición de cuentas en todos los niveles de la organización.
4. MARCO DE REFERENCIA Dirección y compromiso (4.2)
Diseño del marco de referencia para la gestión del riesgo (4.3)
Entender a la organización y su contexto (4.3.1) Establecer la política para la gestión del riesgo (4.3.2) Rendición de cuentas (4.3.3) Integración de los procesos de la organización (4.3.4) . . Establecer mecanismos para la comunicación interna y la presentación de informes (4.3.6) Establecer mecanismos para la comunicación externa y la presentación de informes (4.3.7)
Mejora continua del marco de referencia (4.6)
Implementar el marco (4.4.1) Implementar el proceso (4.4.2) Monitorear y revisar el marco de referencia (4.5)
4.2 DIRECCIÓN Y COMPROMISO la organización debería: Definir y aprobar la política para la gestión del riesgo. Garantizar que la cultura de la organización y la política para la gestión del riesgo están alineadas. Determinar indicadores de desempeño para el riesgo alineados con los . Alinear los objetivos de la gestión del riesgo con los objetivos y estrategias de la organización. Garantizar la conformidad legal y reglamentaria. Asignar obligaciones y responsabilidades. Garantizar la asignación de recursos necesarios. Comunicar los beneficios a todas las partes involucradas. Garantizar la adecuación y actualización del marco de referencia.
4.3 DISEÑO DEL MARCO DE REFERENCIA 4.3.1 ENTENDER LA ORGANIZACIÓN Y SU CONTEXTO
CONTEXTO EXTERNO
, , , , reglamentario, financiero, tecnológico, económico, natural y competitivo, bien sea internacional, regional o local. Impulsores clave y tendencias que tienen impacto en los objetivos de la organización. Las relaciones con las partes externas y sus percepciones y valores.
4.3.1 ENTENDER LA ORGANIZACIÓN Y SU CONTEXTO
CONTEXTO INTERNO
Gobierno, estructura organizacional, funciones y obligaciones. Políticas, objetivos y estrategias implementados. . Sistemas de información, flujos de información y procesos de toma de decisiones. Relaciones con las partes involucradas internas y sus percepciones y valores. La cultura de la organización. Normas, directrices y modelos. Forma y extensión de las relaciones contractuales
4.3.2 ESTABLECER LA POLÍTICA PARA LA GESTIÓN DEL RIESGO
Debería establecer los objetivos y compromiso con la gestión del riesgo, debería incluir aspectos como: Justificación para gestionar el riesgo. Vínculos entre los objetivos y políticas de la organización y la . Obligaciones y responsabilidades para gestionar el riesgo. Forma de tratar los conflictos de intereses. Compromiso para dispones recursos para la gestión del riesgo. Forma en la cual se va a medir y reportar el desempeño Compromiso para revisar y mejorar periódicamente la política y el marco de la gestión del riesgo.
4.3.3 RENDICIÓN DE CUENTAS
Identificación de los propietarios del riesgo y quienes deben dar cuentas por la implementación y el mantenimiento del marco para la gestión del riesgo. Identificando otras responsabilidades y estableciendo mecanismos para la medición del desempeño y reporte externo e interno.
4.3.4 INTEGRACIÓN DE LOS PROCESOS DE LA ORGANIZACIÓN
La gestión del riesgo debería estar incluida en todos los proceso y practicas de la organización. Debería existir un plan para la gestión del riesgo que puede estar integrado dentro de otros planes como dentro del plan estratégico.
4.3.5 RECURSOS
La organización debería asignar los recursos necesarios para la gestión del riesgo.
4.3.6 ESTABLECER MECANISMOS DE COMUNICACIÓN INTERNA Y LA PRESENTACIÓN DE INFORMES Para garantizar que: Los componentes clave y las modificaciones son comunicadas Existe un reporte interno del marco, su referencia y resultados La información derivada de la gestión del riesgo esta disponible en los niveles y momentos convenientes Existen procesos para la consulta con las partes interesadas
4.3.7 ESTABLECER MECANISMOS DE COMUNICACIÓN EXTERNA Y LA PRESENTACIÓN DE INFORMES La organización debería implementar un plan de comunicación con las partes involucradas externas, debería incluir: Involucrar apropiadamente las partes interesadas externas y . Reporte externo para cumplir con requisitos legales, reglamentarios y del gobierno. Brindar retroalimentación e informes sobre la comunicación y las consultas. Usar la información para crear confianza en la organización. Comunicarse con las partes involucradas en el evento de una crisis o contingencia
4.4 IMPLEMENTAR LA GESTIÓN 4.4.1 IMPLEMENTAR EL MARCO DE REFERENCIA Implementar todo el marco de referencia construido: estrategias, política, cumplir con requisitos legales, garantizar a toma e ecisiones y a comunicaci n. 4.4.2 IMPLEMENTAR EL PROCESO PARA LA GESTIÓN DEL RIESGO Implementar el proceso de acuerdo con el numeral 5.
4.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA
Medir el desempeño frente a los indicadores, que deben ser revisados periódicamente. Medir el progreso frente al plan y las desviaciones. Revisar periódicamente la adecuación del plan, la política y el marco de referencia. Revisar la eficacia del marco de referencia
4.6 MEJORA CONTINUA DEL MARCO DE REFERENCIA
De acuerdo con los resultados de monitoreo y las revisiones se deben tomar decisiones sobre mejoras al marco de referencia, la política y el plan para la gestión del riesgo.
5 PROCESO 5.1 GENERALIDADES El proceso para la gestión del riesgo debería incluir:
Ser parte integral de la gestión. Estar incluido en la cultura y el las practicas Estar adaptado a los procesos de la organización
5.2 COMUNICACIÓN Y CONSULTA Con las partes involucradas externas e internas durante todas las etapas del proceso para la gestión del riesgo para garantizar un establecimiento adecuado del contexto, entendimiento de consideración de los intereses de las partes interesadas.
PROCESO PARA LA GESTIÓN DEL RIESGO ) 2 . 5 ( A T L U S O C Y N Ó I C A C I N U M O C
ESTABLECIMIENTO DEL CONTEXTO (5.3) VALORACIÓN DEL RIESGO (5.4) IDENTIFICACIÓN DEL RIESGO(5.4.2)
ANÁLISIS DEL RIESGO(5.4.3)
EVALUACIÓN DEL RIESGO(5.4.4)
TRATAMIENTO DEL RIESGO (5.5)
) 6 . 5 ( N Ó I S I V E R Y O E R O T I N O M
5.3. ESTABLECER EL CONTEXTO Con la realización de esta etapa se busca: Identificar
los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la Organización.
pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control, Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral. Aportar
información que facilite y enriquezca las demás etapas de la Administración del Riesgo.
Contexto Estratégico •CONTEXTO ESTRATÉGICO •FACTORES INTERNOS
•FACTORES EXTERNOS
•Ambiente de Control •Estructura
•Entorno;
Organizacional
•Político - Económico •Legal – Cultural
•Modelo de Operación •Cumplimiento Planes y
•Tecnológico – Ambiental
Pro ramas •Norma que regula la Entidad Pr •Proyectos
•IDENTIFICACIÓN •EVENTOS ASOCIADOS •Proceso •Actividad
– – Competencia catástrofes
•IDENTIFICACIÓN •EXPOSICIÓN AL RIESGO
•ENTIDAD
•EVENTOS ASOCIADOS •Proceso •Actividad
•OBJETIVOS •INFORME ESTRATEGICO GRADO DE VULNERABILIDAD CONTRATO 492 DE 2009DE LA ENTIDAD
MATRIZ DOFA AL INTERIOR
AL EXTERIOR
DEBILIDADES
AMENAZAS
•Falta De recursos . •Resistencia al Cambio. •Diversidad de aplicaciones informativas. •Comunicación No efectiva. •Planeación Operacional.
• Generación de políticas. • pongan en riesgos la estructura de la empresa •Conflictos políticos •Mayores exigencias regulatorias.
5.4. VALORACIÓN DEL RIESGO La valoración del riesgo es el proceso total de identificación del riesgo, análisis del riesgo y evaluación del riesgo.
5.4.2.Identificación del s a e apa usca en car os riesgos que deben ser gestionados. Etapa crítica ya que el riesgo que no sea identificado, es excluido en cualquier análisis posterior. Se requiere una identificación comprensiva, usando un proceso bien estructurado y sistemático.
Riesgos
IDENTIFICAR LOS RIESGOS ¿ Qué puede suceder: Que No permita el cumplimiento de los Objetivos? Afecte la eficiencia en el logro de los Objetivos? Haga que la Dirección tome acción para evitar su influencia sobre el logro de los objetivos? ¿ Quién?, ¿ Cuándo?, ¿ Dónde?, ¿ Cómo?, ¿ Porqué?. Determinar la confiabilidad de la información. La identificación debe incluir los riesgos independientemente de que estén bajo control o no de la entidad.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. , generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo; se pueden clasificar en cinco categorías: personas, materiales, comités, instalaciones y entorno. Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. Efectos (consecuencias): Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
TIPOS DE RIESGO •Riesgo Estratégico: La forma en que se administra la Entidad. se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la Entidad. •Riesgos de Cumplimiento: La capacidad de la entidad para cumplir su compromiso ante la Comunidad •Riesgos Operativos: Relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales. •Riesgos de Tecnología : La capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades. •Riesgos Financieros: Se relacionan con el manejo de los recursos financieros
5.4.3. Análisis del Riesgos El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información obtenida en el formato de identificación de riesgos y de la disponibilidad de datos históricos y aportes de los servidores de la entidad. Involucra: • Fuentes potenciales de riesgo • La posibilidad de que el riesgo suceda. • La determinación de su impacto (consecuencias)
potencial.
5.4.3. Análisis del Riesgos • Deben identificarse los factores que afectan las consecuencias y la probabilidad de ocurrencia. • El riesgo se analiza mediante una combinación de consecuencias y • Se hace un análisis preliminar para asociar riesgos similares o riesgo de bajo impacto que pueden ser excluidos. • Se debe hacer una lista de los riesgos que se excluyen.
5.4.4. Evaluación del Riesgo Se deben identificar los controles existentes en los procesos y actividades que ayudan a minimizar los riesgos negativos o mejoran los riesgos positivos. Se debe evaluar sus fuerzas y debilidades de los controles.
5.4.4. Evaluación del Riesgo • El propósito de la evaluación de riesgos es tomar decisiones basadas en los resultados del análisis de riesgos. Cuales riesgos requieren ser tratados y la pr or a para su ra am en o. • La evaluación de riesgos involucra la comparación del nivel de riesgo contra los criterios establecidos cuando se consideró el contexto.
5.5. Tratamiento del Riesgo El manejo de riesgos involucra la Identificación del rango de opciones que se dispone para el tratamiento de los riesgos, su evaluación, la preparaci n e implementaci n de planes que minimicen el impacto de los riesgos.
5.6. Monitoreo y Revisión • Revisiones continuas durante el proceso asegura que los planes y productos del proceso de administración de riesgos se encuentren actualizados. • Este proceso es relevante por que los factores asociados con los riesgos son cambiantes. • Implica la evaluación del desempeño real contra el considerado en los planes. RESULTADO FINAL
DEFINICIÓN DEL CONTEXTO ESTRATÉGICO Se recomienda la aplicación de varias herramientas y técnicas; por ejemplo: entrevistas estructuradas con expertos en el área de nter s, reun ones con rect vos y con personas e to os los niveles en la entidad, evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar a la organización, entre otros.
DEFINICIÓN DEL CONTEXTO ESTRATÉGICO
Igualmente, pueden utilizarse diferentes fuentes de información de la entidad, tales como registros históricos, experiencias , especialistas y expertos, informes de años anteriores, los cuales pueden proporcionar información importante. La técnica utilizada dependerá de las necesidades y naturaleza de la entidad.
DEFINICIÓN DEL CONTEXTO ESTRATÉGICO
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados: Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la entidad. Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control, Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.