Descargar

Mapa de riesgos y acciones de contingencias

  1. Metodología de implementación del mapa de riesgo
  2. Evaluación del riesgo
  3. Identificación de Riesgos en los Procesos y Procedimientos

COMITÉ MAPA DE RIESGOS:

SANDRA FUENTES

ROSA MARIA PADRON

SANDRA LUZ TRIANA

CATALINA ARANGO

EDGAR ALONSO FORERO C

COMITE COPASO

ESPERANZA CARREÑO

ADELA GORDILLO

YEBRAIL HERRERA

Metodología de implementación del mapa de riesgo

Presentación

La construcción del mapa de riesgos hace parte de todo el proceso de administración del riesgo. Entendido éste como todo aspecto o suceso que afecte el buen cumplimiento de la misión de los procesos o procedimientos de la institución. El objetivo es elevar la capacidad y la calidad en el funcionamiento de la institución, garantizando la eficiencia y la eficacia de los procesos.

  • Pasos para la identificación de los riesgos.

  • 1. Consolidar el comité de mapa de riesgos con los responsables de coordinar con sus áreas la identificación de los riesgos o eventos adversos inherentes a sus procesos y procedimientos.

Es muy importante el compromiso y respaldo de la alta dirección, de tal manera que se nombre un comité en representación de la entidad y se fomente en él un alto grado de participación en el proceso de construcción del mapa de riesgos y exista interacción y retroalimentación con la Oficina de Control Interno.

  • 2. Los integrantes del comité se deben capacitar en los conceptos básicos y en el manejo y diligenciamiento de formatos y en la recolección de información.

Es vital la identificación y Definición de lo que es un riesgo, cual es su probabilidad de ocurrencia y el impacto que puede generar en el caso de materializarse o cual es la consecuencia de la ocurrencia de un riesgo, qué es probabilidad de ocurrencia de un riesgo, impacto, análisis cuantitativo, análisis cualitativo y de todos aquellos conceptos fundamentales en el manejo de los riesgos a fin de unificar criterios.

  • 3. Cada integrante del comité debe tener, como responsabilidad principal, la de socializar los aspectos en los que se le capacite con todos los integrantes de la dependencia de las que hacen parte, por tanto se les denominará grupo coordinador y multiplicador del proceso de construcción del mapa de riesgos institucional.

  • 4. Es importante Establecer los temas y fechas de capacitación frente a la determinación, valoración y el manejo de los riesgos.

  • 5.  Se debe establecer el tiempo para recolectar toda la información concerniente a los riesgos.

  • 6. Es importante definir los riesgos que afectan los procesos de las áreas. Clasificándolos en misionales, de soporte y de gestión basándose en el mapa de procesos de la entidad.

Para éste efecto, el representante de cada área debe encontrarse en capacidad de leer y analizar los manuales de procesos y procedimientos que le corresponden, así como validar los riesgos consolidados en ellos. Éstos serán los primeros riesgos a establecer en el formato de identificación de riesgos –formato No 1-. Una vez se tengan validados y consolidados se debe establecer si en efecto son los únicos riesgos que existen en el desarrollo de cada uno de los procesos, en caso de no ser así, se deberá realizar el inventario de los riesgos adicionales y se consolidarán en el mismo formato.

De los manuales de procesos y procedimientos básicamente se extrae la siguiente información que satisface algunos aspectos del formato No 1: Proceso y/o procedimiento en el que se encuentra el riesgo, el representante del área en el comité de mapa de riesgos es quien debe tomar la decisión con el responsable del proceso o procedimiento si el riesgo es de carácter interno o externo y los controles existentes al respecto. Con relación a los controles existentes, en algunos casos es posible que éstos no se encuentren establecidos en los procesos, lo cual se debe indicar.

La descripción del riesgo y las posibles consecuencias que trae a la dependencia, a la institución, al logro del resultado, al procedimiento o al proceso deben ser resultado de la concertación entre el integrante del comité y el responsable del proceso o procedimiento.

El integrante del comité, bajo la asesoría de la Oficina de Control Interno, debe identificar los riesgos inherentes al desarrollo de las actividades que rutinariamente son desarrolladas en dicha área. Se debe por tanto identificar los resultados que diariamente deben lograr en cumplimiento de las actividades rutinarias y los riesgos que se interponen para alcanzar esos resultados.

Con el total diligenciamiento del formato No 1 se puede decir que los riesgos inherentes a los procesos se han identificado y establecido el estado actual.

Una vez se tienen identificados todos los riesgos existentes en la Supersolidaria –por dependencia o área – se debe pasar a su análisis. Dentro de los tiempos establecidos; las fases mencionadas a continuación serán objeto de trabajo durante el año.

  • Análisis del riesgo

El objetivo del análisis es el de establecer una valoración y priorización de los riesgos con base en la información ofrecida por los mapas elaborados en la etapa de identificación, con el fin de clasificar los riesgos y proveer información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre el mismo, de su origen y la disponibilidad de los datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas o una combinación de las dos.

Se han establecido dos aspectos para realizar el análisis de los riesgos identificados:

Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya presentado nunca.

Impacto: consecuencias que puede ocasionar a la entidad la materialización del riesgo en caso de sucederse.

A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos.

Análisis cualitativo: se refiere a la utilización de formas descriptivas para presentar la magnitud de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas ajustadas a las circunstancias de acuerdo a las necesidades particulares o el concepto particular del riesgo evaluado.

Escala de medida cualitativa de PROBABILIDAD: se deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de ella los mismos ítems, por ejemplo:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.

Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las categorías y la descripción, por ejemplo:

ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad

MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad

BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad

Análisis cuantitativo: este análisis contempla valores numéricos; la calidad depende de lo exactas y completas que estén las cifras utilizadas. Básicamente se refiere a la construcción de indicadores que reflejen tanto la probabilidad de ocurrencia como el impacto que pueden causar. La forma en la cual la probabilidad y el impacto son expresados y las formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo.

Con base en los ejemplos anteriormente expuestos, el comité de mapa de riesgos es el encargado de establecer la metodología dentro de la cual se establecerán las probabilidades y los impactos a cada uno de los riesgos y la escala de valoración.

Con los planteamientos realizados hasta el momento se debe por tanto establecer la información con la que se diligenciara el formato No 2.

  • Priorización de los riesgos

Una vez realizado el análisis de los riesgos con base en los aspectos de probabilidad e impacto, se recomienda utilizar la matriz de priorización que permite determinar cuales requieren de un tratamiento inmediato.

Esta matriz se realiza en primera instancia al interior de cada una de las dependencias los resultados que de aquí se deriven servirán para socializarlos con el comité de mapa de riesgos.

Para su medición, se desarrollaron las siguientes escalas:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.

IMPACTO: Son las consecuencias internas y externas que pueden ocasionar a Supersolidaria la materialización del evento adverso, afectando el logro de los objetivos propuestos.

Las escalas de medición del impacto del evento adverso son las siguientes:

ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad

MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad

BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad

MATRIZ PROBABILIDAD IMPACTO (Grafico X, Y )

edu.red

Evaluación del riesgo

Para realizar la evolución del riesgo se debe tener en cuenta la posición del riesgo en la matriz, aplicando los siguientes criterios:

Riesgo inaceptable: (Cuadrante 3) Requiere acciones inmediatas

Riesgo aceptable: (Cuadrante 7) El riesgo se encuentra en un nivel que se puede aceptar, sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

Si el riesgo se sitúa en cualquiera de las otras zonas (Riesgo tolerable, moderado o importante) se deben tomar medidas par llevar los riesgos a la zona Aceptable o Tolerable en lo posible.

Una vez se tienen las diferentes matrices de priorización, se deben extraer todos los riesgos que se encuentren en el cuadrante 3 (Formato No 3) , las cuáles por su impacto y probabilidad serán en un primer momento el conjunto de riesgos sobre el que se deben emprender acciones inmediatamente.

  • Determinación del nivel del riesgo

La determinación del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad con los controles existentes al interior de los diferentes procesos y procedimientos que se realizan. Para adelantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones, estos niveles de riesgo pueden ser:

De la matriz de priorización, debe resultar el orden sistemático de los riesgos, enumerados de mayor a menor de acuerdo a su probabilidad vs. impacto.

Ahora se deben determinar los controles que existen en la institución para la eliminación o disminución del riesgo. De donde se puede obtener que:

  • Manejo del riesgo

Cualquier esfuerzo que emprenda la entidad en torno a la valoración del riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de los mismos definiendo acciones factibles y efectivas, tales como la implantación de políticas, estándares, procedimientos y cambios físicos entre otros, que hagan parte de un plan de manejo.

Para el manejo del riesgo se pueden tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto.

Evitar el riesgo: es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se genera cambios sustanciales de mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

Reducir el riesgo: si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Ejemplo: Planes de contingencia.

Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros; se traslada el riesgo a otra parte o físicamente se traslada a otro lugar. Esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia.

Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el dueño del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

Una vez establecidos cuales de los anteriores manejos del riesgo se van a concretar, estos deben evaluarse con relación al beneficio-costo para definir, cuales son susceptibles de ser aplicadas y proceder a elaborar el plan de manejo de riesgo, teniendo en cuenta, el análisis elaborado para cada uno de los riesgos de acuerdo con su impacto, probabilidad y nivel de riesgo.

Posteriormente se definen los responsables de llevar a cabo las acciones especificando el grado de participación de las dependencias en el desarrollo de cada una de ellas. Así mismo, es importante construir indicadores, entendidos como los elementos que permiten determinar de forma práctica el comportamiento de las variables de riesgo, que van a permitir medir el impacto de las acciones.

  • Plan de manejo de riesgos.

Para elaborar el plan de manejo de riesgos es necesario tener en cuenta si las acciones propuestas reducen la materialización del riesgo y hacer una evaluación jurídica, técnica, institucional, financiera y económica, es decir considerar la viabilidad de su adopción. La selección de las acciones más convenientes para la entidad se puede realizar con base en los siguientes factores:

  • Nivel del riesgo

  • Balance entre el costo de la implementación de cada acción contra el beneficio de la misma.

Una vez realizada la selección de las acciones más convenientes se debe proceder a la preparación e implementación del plan, identificando responsabilidades, programas, resultados esperados, medidas para verificar el cumplimiento y las características del monitoreo. El éxito de la implementación del plan requiere de un sistema gerencial efectivo el cual tenga claro el método que se va a aplicar.

  • Elaboración del mapa de riesgos

El mapa de riesgos puede ser entendido como la representación o descripción de los distintos aspectos tenidos en cuenta en la valoración de los riesgos que permite visualizar todo el proceso de la valoración del riesgo y el plan de manejo de estos. El mapa de riesgos debe contener las situaciones adversas que pueden afectar el plan estratégico institucional 2007-2010 "SUPERVISION INTEGRAL DESARROLLO PARA TODOS" identificando y definiendo los riesgos internos y externos que afecten su normal desarrollo, por cuanto el plan estratégico señala el camino que la entidad orientara en el cuatrienio en desarrollo de su misión.

  • Monitoreo

Una vez diseñado y validado el plan para administrar los riesgos, es necesario monitorearlo permanentemente teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización, el monitoreo es esencial para asegurar que dichos planes permanecen vigentes y que las acciones están siendo efectivas. Evaluando la eficiencia en la implementación y desarrollo de las acciones de control, es esencial adelantar revisiones sobre la marcha del plan de manejo de riesgos para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

El monitoreo debe estar a cargo de la Oficina de Control Interno y su finalidad principal será la de aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función determinará conjuntamente con las diferentes dependencias los aspectos que se encuentran débiles en cuanto al manejo de los riesgos y hará sugerencias para el mejoramiento y tratamiento de los riesgos detectados.

  • Autoevaluación

La evaluación del plan de manejo de riesgos se debe realizar con base en los indicadores de gestión diseñados para tal fin y los resultados de los monitoreos aplicados en diferentes períodos. Así mismo, se evaluará como ha sido el comportamiento del riesgo y de qué manera a través del tiempo se van presentado nuevos riesgos que deban ser administrados.

Identificación de Riesgos en los Procesos y Procedimientos

Formato #1

edu.red edu.red edu.red edu.red edu.red edu.red edu.red edu.red edu.red

Identificación de Riesgos en los Procesos y Procedimientos Formato No 2

edu.red edu.red edu.red edu.red edu.red edu.red

edu.red

edu.red edu.red edu.red edu.red edu.red edu.red

edu.red edu.red edu.red edu.red

Formato No3 (RIESGOS INACEPTABLES)

Riesgo inaceptable: Los riesgos o eventos adversos cuya probabilidad e impacto los ubican en el cuadrante numero tres (probabilidad Vs impacto alto riesgo inaceptable ) requieren de acciones inmediatas y efectivas que permitan que estos riesgos se controlen de manera tal que permitan bajar su probabilidad de ocurrencia e impacto en el caso de sucederse, por tal razón las acciones que se formulen deben permitir el control de riesgo ubicándolo en la matriz probabilidad impacto en un cuadrante de Riesgo tolerable, moderado o importante. El indicador establecido para estos riesgos debe permitir medir su comportamiento una vez se formulen las acciones tendientes a disminuir su probabilidad de ocurrencia e impacto.

edu.red edu.red edu.red edu.red

 

 

Autor:

Yenifer Ramos Lopez