Está en la página 1de 40

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 1 de 19

INTRODUCCION

La Contralora General de la Repblica mediante la Resolucin No 016 del 23 de febrero de 2004, adopta la Gua para la elaboracin de Indicadores y Mapas de Riesgos, versin 1.0 como la metodologa para realizar la administracin del riesgo en la entidad, con base en la traduccin y adaptacin del modelo Neozelands para administrar los riesgos1. Posteriormente, la Oficina de Control Interno promovi la estructuracin y ajustes de los Mapas de Riesgos existentes, aplicando la Gua mencionada, experiencia que se adelant mediante la estructuracin de talleres para desarrollar la parte operativa de la Gua. Con la expedicin del Decreto 1599 de 2005, por el cual se adopta el Modelo Estndar de Control Interno MECI, para el Estado Colombiano y la expedicin de la Resolucin 142 del 8 de marzo de 2006, por la cual se adopta el Manual de Implementacin del MECI 1000:2005, en el Estado Colombiano; el Departamento Administrativo de la Funcin Pblica DAFP, para adecuarse a estas nuevas normativas, public en abril de 2006, la tercera edicin de la Gua de Administracin del Riesgo con el fin de apoyar a las entidades del Estado en la implementacin del componente Administracin de Riesgos del MECI. La administracin de riesgos como uno de los componente del subsistema de control estratgico del MECI, se fundamenta en los elementos del componente ambiente de control, porque acuerdos; compromisos o protocolos ticos; polticas y prcticas de desarrollo del talento humano y un estilo de direccin alineados a la misin constitucional ayudan a prevenir los riesgos asociados a comportamientos de los servidores pblicos contrarios a la tica institucional. As mismo, utiliza los resultados generados por el componente direccionamiento estratgico para el anlisis de riesgos de los procesos y la definicin de las polticas institucionales para su tratamiento. Mediante Resolucin Reglamentaria 0052, del 27 de abril de 2007, la CGR adopta el MECI 1000:2005 y el Manual de Implementacin, por lo que la metodologa objeto de este documento, es el resultado de una fusin de los conceptos de MECI con los de la Gua para disear indicadores y Mapas de Riesgos versin 1.0 de la CGR y la experiencia acumulada por la Oficina de Control Interno en la construccin de talleres para su aplicacin, y que adems incorpora los conceptos de tercera edicin de la Gua de Administracin del Riesgo del DAFP. Esta combinacin, se ha logrado en la prctica gracias a las valiosas experiencias y buenas prcticas alcanzadas por los servidores de la CGR en la aplicacin de los arriba citados instrumentos durante: la conformacin de los Mapas de Riesgos de la CGR, en el proceso de capacitacin de Formador de Formadores MECI y en la capacitacin y asistencia tcnica que la CGR ha procurado a otras Entidades del Estado para la implementacin del MECI. La administracin de riesgos como parte esencial de la gestin estratgica de la CGR es el proceso mediante el cual se tratan los riesgos relacionados con los objetivos institucionales y sus procesos, con el fin de obtener un
1

Norma AS/NZS 4360.1999

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 2 de 19

beneficio sostenido en cada uno de ellos y en su conjunto, de tal forma que se potencie la capacidad institucional para cumplirlos satisfactoriamente. Basados en que una administracin de riesgos eficaz se centra en la identificacin temprana y tratamiento de estos riesgos, su implementacin debe enfocarse a agregar el mximo valor sostenible a los procesos de la entidad, mediante la introduccin de una visin compartida de aquellos factores que pueden afectarla negativamente y las acciones que se deben a emprender para manejarlos si llegaran a materializarse. De esta forma se aumenta la probabilidad de xito y reduce tanto la probabilidad de fallo como la incertidumbre acerca de la consecucin de los objetivos institucionales. La gestin de riesgos debe ser un proceso continuo y en constante desarrollo que se lleve a cabo en toda la Contralora y en su aplicacin debe tratar tcnicamente todos los riesgos que rodeen a las actividades pasadas, presentes y, sobre todo, futuras. Por esta razn, se integrar a la cultura organizacional a travs de una poltica y un programa dirigidos por la alta direccin en el cual se clarifiquen las responsabilidades en toda la entidad, de tal forma que cada servidor involucre la gestin de riesgos como una actividad habitual de su trabajo. Con el presente manual se estandariza y facilita la identificacin, anlisis, valoracin y manejo permanentemente del riesgo, partiendo de un contexto estratgico y plasmando en la poltica de administracin de riesgos las directrices generales que incrementen la capacidad de la CGR para cumplir sus objetivos institucionales, asegurar razonablemente la supervivencia y fortalecer continuamente su credibilidad e imagen ante el ciudadano. 2 OBJETIVOS

2.1 Objetivos de la Gua 2.1.1 Objetivo General Establecer los elementos de referencia y los procedimientos para efectuar una adecuada Administracin de Riesgos en la Contralora General de la Repblica, de conformidad con MECI 1000:2005. 2.1.2 Objetivos Especficos a) Establecer la metodologa que permita determinar el contexto estratgico, la identificacin, el anlisis, la valoracin y el establecimiento de polticas para la adecuada administracin del riesgo. b) Garantizar la estandarizacin y unidad de criterio para el adecuado manejo de los riesgos que surjan en cada proceso. c) Coadyuvar a la gestin institucional en el contexto estratgico del manejo de los riesgos.

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 3 de 19

2.2 Objetivos de la Administracin del Riesgo 2.2.1 Objetivo General Disear los procedimientos para la implementacin y desarrollo de la poltica de administracin de los riesgos, que le permitan a la Contralora General de la Repblica CGR, generar un proceso estructurado, consistente y continuo implementado a travs de toda la entidad para administrar los riesgos mediante la contextualizacin, identificacin, anlisis, valoracin y la expedicin de polticas; el manejo de los riesgos institucionales, que orienten a los responsables acerca de las opciones y acciones para su manejo en forma diligente con el fin de minimizar su ocurrencia y afectacin al logro de los objetivos establecidos para cumplir la misin constitucional y proteger los recursos que se encuentren bajo su custodia y administracin. 2.2.2 Objetivos Especficos a) Generar una visin sistmica acerca de la administracin y evaluacin de riesgos a partir de un Ambiente de Control y un Direccionamiento Estratgico adecuados, que fundamenten el desarrollo de las Actividades de Control. b) Proteger los recursos del Estado, resguardndolos contra la materializacin de los riesgos. c) Introducir dentro de los procesos y procedimientos las acciones de control resultado de la administracin del riesgo. d) Involucrar y comprometer a todos los servidores de la CGR, en la bsqueda de acciones encaminadas a prevenir y administrar los riesgos. e) Garantizar la confiabilidad y oportunidad de la informacin. 3 CONTENIDO

3.1 Marco Legal En Colombia desde la expedicin de la Ley 87 de 1993, se gesta el concepto de riesgos, al establecer como uno de los objetivos del control interno en el artculo 2 literal a) proteger los recursos de la organizacin, buscando su adecuada administracin ante posibles riesgos que los afectan. Tambin el literal f) expresa: definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organizacin y que puedan afectar el logro de los objetivos. El Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993, en cuanto a elementos tcnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado establece: Artculo 3. De las Oficinas de Control Interno. En desarrollo de las funciones sealadas en el artculo 9 de la Ley 87 de 1993, el rol que deben desempear las oficinas de control interno, o quien haga sus veces, dentro de los organizaciones pblicas, se enmarcan en cinco tpicos, a saber: valoracin de riesgos, acompaar y asesorar, realizar evaluacin y seguimiento, fomentar la cultura de control, y relacin con entes externos.

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 4 de 19

Articulo 4. Administracin de Riesgos. Como parte Integral del fortalecimiento de los sistemas de control interno en las entidades pblicas, las autoridades correspondientes establecern y aplicarn polticas de administracin del riesgo. Para tal efecto, la identificacin y anlisis del riesgo debe ser un proceso permanente e interactivo entre la administracin y las oficinas del control interno o quien haga sus veces evaluando los aspectos tanto internos como externos que pueden llegar a representar amenaza para la consecucin de los objetos organizacionales con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las reas y las oficinas de control interno e integradas de manera inherente a los procedimientos. El Decreto 1599 de 2005, por el cual se adopta el Modelo Estndar de Control Interno para el Estado Colombiano, del que hace parte el componente de administracin del riesgo. La circular 003 del 27 de septiembre de 2005, expedida por el Departamento Administrativo de la Funcin Pblica, establece los lineamientos generales para la implementacin del Modelo Estndar de Control Interno para el Estado colombiano MECI 1000:2005. La Resolucin 142 del 8 de marzo de 2006, del Departamento Administrativo de la Funcin Pblica, por la cual se adopta el Manual de Implementacin del Modelo Estndar de Control Interno MECI 1000:2005, en el Estado colombiano. La Circular 1000-05 del 8 de marzo de 2006, expedida por el Departamento Administrativo de la Funcin Pblica, por la cual se adopta el Manual de Implementacin del Modelo Estndar de Control Interno MECI 1000:2005. La Resolucin Reglamentaria 0052 del 27 de abril de 2007, expedida por la Contralora General de la Repblica Por medio de la cual se adopta en la Contralora General de la Repblica el Modelo Estndar de Control Interno MECI 1000:2005, su Manual de Implementacin, se dictan otras disposiciones y se modifica parcialmente la Resolucin 5156 del 22 de noviembre de 2000 El anexo tcnico del MECI, parte integral del Decreto 1599 de 2005, en el cual se ha definido el riesgo como la posibilidad de ocurrencia de un suceso que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan o limiten el logro de sus objetivos. 3.2 Desarrollo A continuacin se presentan los elementos y procedimientos definidos por la CGR para la adecuada Administracin de Riesgos, que tomando como base la estructura conceptual contenida en el Modelo Estndar de Control Interno MECI 1000:2005, se ha definido como el conjunto de Elementos de Control que al interrelacionarse, permiten a la entidad evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales, as:

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 5 de 19

Contexto Estratgico Identificacin de Riesgos Anlisis de Riesgos Valoracin de Riesgos Polticas de Administracin de Riesgos

La metodologa que se desarrolla a continuacin se aplicara a los procesos, actividades y tareas de la CGR, con el objeto de establecer la poltica de administracin de riesgos para la CGR. 3.2.1 Contexto Estratgico El elemento Contexto Estratgico, como su nombre lo indica, es una mirada global de la organizacin como un todo, esta mirada sirve como punto de partida para identificar las fuentes que pueden dar origen a los riesgos en los procesos y actividades de una Entidad; este elemento se construye a partir del conocimiento de los aspectos del entorno de la entidad tales como: los sociales, econmicos, culturales, orden pblico, polticos, legales y cambios tecnolgicos, entre otros; e incluye tambin los resultados del anlisis de la situacin interna actual de la entidad, la cual puede constituirse mediante la revisin del estado de cada uno de los 29 elementos que conforman el Sistema de Control Interno. Para la construccin de este elemento de control es conveniente emplear diversas herramientas y tcnicas de anlisis e igualmente, consultar diferentes fuentes de informacin de la entidad, tales como registros histricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de aos anteriores, los cuales puedan proporcionar informacin importante, la tcnica utilizada para recolectar la informacin depender de las necesidades y naturaleza de la entidad. La definicin de las herramientas de diagnstico y las fuentes de informacin a utilizar para la construccin de este elemento en la CGR, hacen parte del proceso Formulacin de Polticas y Directrices de la CGR, especficamente en las actividades obtener, analizar, y seleccionar la informacin de importancia significativa cuyos resultados se plasman en el registro Diagnstico Estratgico Institucional, del cual se pueden obtener los siguientes insumos para la construccin del Contexto Estratgico en la administracin de riesgos: a) Los factores externos que pueden limitar o impedir el logro de los objetivos, lo anterior con base en el anlisis de la informacin externa confrontada con los objetivos propuestos y los planes y programas de la entidad para cumplirlos. b) Los factores internos que pueden limitar o impedir el logro de los objetivos con base en el anlisis de los Subsistemas, Componentes y Elementos del Sistema de Control Interno, as como de los dems aspectos de la organizacin que puedan afectar la gestin institucional. c) Informacin necesaria para dinamizar, facilitar y enriquecer las dems etapas de la administracin de riesgos.

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 6 de 19

En sntesis, de este registro se utilizan el listado de debilidades y amenazas identificadas, los resultados del contexto estratgico as construido se validarn durante la realizacin del elemento Identificacin de Riesgos, asociando los diversos factores internos y externos identificados, con las causas de los riesgos en los diferentes procesos. Para construir y documentar este elemento se seguirn los procedimientos establecidos en el Anexo 1, (Taller No. 1 Contexto Estratgico) 3.2.2 Identificacin de Riesgos Elemento de control, que posibilita conocer los eventos potenciales, estn o no bajo el control de la entidad pblica, y ponen en riesgo el logro de la misin, estableciendo las causas y los efectos de su ocurrencia. Identificar es la accin de individualizar o distinguir de otros, la identificacin es un aspecto clave para la administracin de riesgos; es una actividad permanente, interactiva e integrada a la planeacin a travs del contexto estratgico, que requiere como insumo entre otros la claridad de los objetivos estratgicos y de los procesos de la entidad para la obtencin de resultados. Para interpretar este elemento, es necesario conocer con ms detalle los siguientes conceptos: Causas (asociadas directamente a los factores internos o externos): son las razones o motivos por los cuales se genera u origina un riesgo; su determinacin es necesaria pues ellas influyen directamente en la probabilidad de ocurrencia de los eventos y por lo tanto, tienen incidencia en el establecimiento de polticas para su disminucin o eliminacin. Descripcin: Determinacin, declaracin y enumeracin de todas las circunstancias y particularidades de un riesgo. Efectos: constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daos fsicos y fallecimiento, sanciones, prdidas econmicas, de informacin, de bienes, de imagen, de credibilidad y de confianza, interrupcin del servicio y dao ambiental. Una vez examinado el objetivo y comprobada su validez tcnica para efectuar la identificacin de los riesgos asociados, el procedimiento es el siguiente: Negar totalmente el objetivo: ese sera el riesgo ms extremo, menos probable, pero tambin el ms impactante o devastador si llegara a materializarse. Negar parcialmente el objetivo: para lo cual se usarn los diferentes atributos del objetivo.

El mayor riesgo que enfrentara la entidad frente a sus procesos ser el no cumplir con los objetivos propuestos para los mismos.

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 7 de 19

Al nombrar o identificar riesgos es usual definir asuntos como la carencia de recursos o tiempo, as como la influencia o intervencin de entes o factores externos, todas estas son causas, los riesgos para la entidad son las situaciones que pueden llegar a impedir el cumplimiento de los objetivos. En el proceso de identificacin se encuentra que por ejemplo para la CGR, los riesgos que enfrenta el proceso Control Fiscal Micro, son los mismos indistintamente si se desarrolla en el nivel central o desconcentrado, lo que cambia son las causas asociadas a factores internos o externos como las condiciones sociales, de seguridad o tecnologa, que vive cada rea o dependencia responsable de adelantar el citado proceso. Para construir y documentar este elemento se seguirn los procedimientos establecidos en el Anexo 2 (Taller No. 2 Identificacin de Riesgos) 3.2.3 Anlisis de Riesgos Una vez concluida la etapa de identificacin, se debe proceder al anlisis de los riesgos identificados calificndolos mediante el establecimiento de la probabilidad de ocurrencia y el impacto de sus consecuencias y luego evalundolos con el propsito de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar. El anlisis de riesgos depender de la informacin obtenida en el formato de identificacin de riesgos y la disponibilidad de datos histricos y aportes de los funcionarios de la entidad. Para adelantar el anlisis del riesgo se deben tener en cuenta los siguientes aspectos: La Calificacin del Riesgo: Se logra a travs de la estimacin de la probabilidad de su ocurrencia y el impacto que puede causar la materializacin del riesgo. La primera variable representa el nmero de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse y la segunda variable se refiere a la magnitud de sus efectos si llegara a presentarse. La Evaluacin del Riesgo: Resulta de comparar los resultados de su calificacin, con los criterios definidos para establecer el grado de exposicin de la entidad al riesgo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento. Para el anlisis de los riesgos, se utiliza la matriz de Calificacin, Evaluacin y Respuesta a los Riesgos, la cual utiliza formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Tomando las siguientes categoras: leve, moderada y catastrfica en relacin con el impacto y alta, media y baja respecto a la probabilidad. As mismo, presenta un anlisis cuantitativo, que contempla valores numricos que contribuyen a facilitar la calificacin y evaluacin de los riesgos. Para distinguir las calificaciones de las dos variables para el impacto se han determinado valores mltiplos de 5, mientras que para la probabilidad se utilizan valores de 1 a 3. La forma en la cual

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 8 de 19

la probabilidad y el impacto son expresados y combinados en la matriz provee la evaluacin del riesgo. Calificacin del Riesgo Se deben calificar los Riesgos de acuerdo con los criterios de la matriz: Probabilidad Alta se califica con 3, Probabilidad Media con 2 y Probabilidad Baja con 1, de acuerdo con el nmero de veces que se presenta o puede presentarse el riesgo. Y el Impacto si es Leve con 5, si es Moderado con 10 y si es Catastrfico con 20. MATRIZ DE CALIFICACIN, EVALUACION Y RESPUESTA A LOS RIESGOS Probabilidad Valor 30 60 15 Alta 3 Zona de riesgo Zona de riesgo importante Zona de riesgo Reducir el riesgo moderado inaceptable
Evitar el riesgo 10 Evitar el riesgo Compartir o transferir

Media

Zona de riesgo tolerable

20

Zona de riesgo moderado


Reducir el riesgo Evitar el riesgo Compartir o transferir

Asumir el riesgo Reducir el riesgo

Zona de riesgo importante

Evitar el riesgo Reducir el riesgo Compartir o transferir 40 Reducir el riesgo Evitar el riesgo Compartir o transferir 20

Baja

Zona de riesgo aceptable

10

Zona de riesgo tolerable


Reducir el riesgo Compartir o transferir

Asumir el riesgo

Zona de riesgo moderado

Reducir el riesgo Compartir o transferir

Impacto Valor

Leve 5

Moderado 10

Catastrfico 20

Fuente: Gua de Administracin del Riesgo del DAFP, Tercera Edicin

La determinacin de las calificaciones para las dos variables definidas en la metodologa debe ser el consenso de las opiniones de los participantes en el taller, pero siempre sustentadas en hechos que evidencien las percepciones manifestadas en la votacin, pero no debe desconocerse que en cualquier caso, acuerdo total o parcial, la calificacin es totalmente subjetiva, la asignacin de una cifra a cada calificativo es solo una manera de facilitar el manejo de la informacin recopilada. Para fundamentar la calificacin subjetiva en hechos reales es necesario designar personal con amplio conocimiento de las tareas y la dependencia que las ejecuta. Para hacer ms dinmico este proceso es importante que la calificacin individual de cada participante se consigne de forma annima en medio fsico o magntico, obtener un promedio de estas votaciones iniciales, para finalmente hacer una revisin y discusin de dicho promedio, teniendo en cuenta

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 9 de 19

especialmente las votaciones extremas o alejadas en gran medida del promedio. Con la votacin annima individual se busca prevenir la posibilidad de sesgos en la calificacin los cuales se pueden presentar al hacerla discutiendo directamente la propuesta de un solo participante, porque de esta forma generalmente se dejan de expresar opiniones bien sea por timidez, por evitar una discusin con un superior o cualquier otra razn personal. Evaluacin del Riesgo Este paso en el anlisis de riesgos es un poco mas mecnico que la calificacin, pues se cuenta con un instrumento que facilita la labor la Matriz de calificacin evaluacin y respuesta a los riesgos. Para realizar la Evaluacin del Riesgo se debe tener en cuenta la posicin del riesgo de las diferentes zonas de riesgo en la Matriz, segn la celda que ocupa al combinar impacto y probabilidad, aplicando los siguientes criterios: Si la Probabilidad es baja (1) y del Impacto es leve (5), el riesgo se ubica en la Zona de Riesgo Aceptable (calificacin 5), lo cual de acuerdo con la matriz permitira a la Entidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen. Si la Probabilidad es alta (3) y el Impacto catastrfico (20), el riesgo se ubica en la Zona de Riesgo Inaceptable (calificacin 60), para esta calificacin la matriz recomienda acciones como eliminar la actividad que genera el riesgo, siempre que esto sea posible, de lo contrario se deben implementar controles de prevencin para disminuir la Probabilidad del riesgo y de Proteccin para menguar el Impacto y finalmente es posible compartir o transferir el riesgo, mediante plizas de seguros u otras opciones disponibles para este fin. Si el riesgo se sita en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el riesgo, as: los Riesgos de Impacto leve y Probabilidad alta se previenen; los Riesgos con Impacto moderado y Probabilidad leve, se reduce o se comparte el riesgo, si es posible; tambin es viable combinar estas medidas con evitar el riesgo cuando ste presente una Probabilidad alta y media, y el Impacto sea moderado o catastrfico. Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un anlisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo. Cuando el riesgo tenga una Probabilidad baja y un Impacto catastrfico se deben buscar acciones que permitan a la entidad compartir el riesgo con el fin de minimizar el dao en caso de que ste se presente. Siempre que el riesgo sea calificado con Impacto catastrfico la Entidad debe disear planes de

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 10 de 19

contingencia, para protegerse en caso de su ocurrencia. Con la construccin del elemento anlisis de riesgos se busca que la CGR obtenga los siguientes resultados: Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad institucional de la entidad, para cumplir su propsito. Medir el impacto de las consecuencias del riesgo sobre las personas, los recursos o la coordinacin de las acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los procesos. Establecer criterios de calificacin y evaluacin de los riesgos que permiten tomar decisiones pertinentes sobre su tratamiento.

Para construir y documentar este elemento se seguirn los procedimientos y se utilizaran los formatos establecidos en el anexo 3 (Taller No. 3 Anlisis de Riesgos). 3.2.4 Valoracin de Riesgos La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin del riesgo con los controles identificados en el elemento Controles, del Subsistema de Control de Gestin, con el objetivo de establecer prioridades para su manejo y fijacin de polticas. Para adelantar esta actividad es necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener informacin para apoyar la toma de decisiones. Previo a la evaluacin de los controles existentes es til establecer un listado de controles ideales o deseables, entendidos estos como las acciones tericas de control que seran necesarias para disminuir el impacto y/o probabilidad de cada riesgo hasta el punto de poder moverlos en la matriz hasta la zona de riesgo aceptable. Para establecer los controles ideales o deseables el primer paso es identificar la prioridad de las opciones de manejo, es decir precisar cual de las variables, probabilidad o impacto, tiene una mayor clasificacin y por ende requiere prioritariamente emprender acciones de control. Como la identificacin de los controles ideales o deseables es un ejercicio exploratorio no debe descartarse ninguna opcin, mecanismo de deteccin, o accin de control adecuada para el fin especfico deseado (preventivo o correctivo) y documentarla en el formato del Anexo 5 (Taller 4A Identificacin de controles ideales o deseables); posteriormente se realizar una evaluacin para establecer la viabilidad de la implementacin de cada una de ellas desde el punto de vista financiero, tecnolgico y humano. Con la identificacin de controles ideales o deseables la primera evaluacin de los controles existentes es

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 11 de 19

la de suficiencia, es decir determinar si los controles existentes son suficientes en numero por cada tipo de accin de control identificada, lo cual se puede realizar comparando el inventario de controles existentes con el listado de controles ideales o deseables previamente identificados, de all se establece una brecha entre la realidad y la situacin ideal de control. Una vez identificados los controles ideales o deseables y la brecha entre estos y la realidad, se puede proceder a realizar la evaluacin de cada uno de los controles existentes; antes de efectuar esta tarea es importante recordar que los controles se pueden clasificar en: Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin. Correctivos: aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia para volver al cumplimiento. Para evaluar los controles existentes es necesario describirlos, estableciendo si son preventivos o correctivos y responder a las siguientes preguntas: 1. 2. 3. El control est documentado? Se est aplicando en la actualidad? Es efectivo para minimizar el riesgo?

Lo ms importante es que el control sea efectivo aunque no este documentado, pues si bien el control no esta consignado en un documento puede existir una accin de control que se realiza en la practica, al hacer la evaluacin de controles se debe tener en cuenta que la cultura organizacional puede haber desarrollado costumbres que permiten el control de los riesgos, pero que no estn escritas en una norma o directriz institucional. Una vez se han evaluado los controles existentes respondiendo las preguntas anteriores se puede realizar una nueva valoracin, de los riesgos aplicando los siguientes pasos: Calificados y evaluados los riesgos analcelos frente a los controles existentes en cada riesgo. Establezca la nueva ubicacin de los riesgos en la matriz de calificacin, evaluacin y respuesta a los riesgos, con base en la calificacin de los controles existentes y teniendo en cuenta siempre las respuestas obtenidas para las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos), la nueva calificacin para la reubicacin de riesgos en la matriz, debe seguir las recomendaciones en la Tabla 1. Valoracin de riesgos con base en la evaluacin de controles.

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 12 de 19

TABLA 1. VALORACIN DE RIESGOS CON BASE EN LA EVALUACIN DE CONTROLES CRITERIOS


No existen controles Los controles existentes no son efectivos. Los controles existentes, son efectivos pero no estn documentados Los controles existentes son efectivos y estn documentados

VALORACIN DEL RIESGO


Se mantiene el resultado de la evaluacin antes de controles. Se mantiene el resultado de la evaluacin antes de controles. Cambia el resultado a una casilla inferior de la matriz de evaluacin antes de controles (el desplazamiento final depende del criterio y el acuerdo de los participantes en el taller y s el control afecta el impacto o la probabilidad) Pasa a una escala inferior (el desplazamiento final depende del criterio y el acuerdo de los participantes en el taller y si el control afecta el impacto o la probabilidad)

Adaptado: de la Gua de Administracin del Riesgo del DAFP, Tercera Edicin.

Ubique en la Matriz de Calificacin, Evaluacin y Respuesta a los riesgos, el estado final de riesgo, de acuerdo a los resultados obtenidos en la valoracin del mismo. Con la realizacin de esta etapa se busca que la entidad obtenga los siguientes resultados: Identificacin de los controles existentes para los riesgos identificados y analizados. Priorizacin de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluacin del riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor dao a la entidad en caso de materializarse. Mapas de Riesgo por proceso

Para construir y documentar este elemento se seguirn los procedimientos y formatos establecidos en los Anexos 4,5 y 6 (Taller: 4 Valoracin de riesgos, Taller 4A Identificacin de Controles Ideales y Taller 4B Anlisis de Controles existentes) 3.2.5 Poltica de Administracin de Riesgos Para la formulacin de las Polticas de Administracin de Riesgos se deben tener en cuenta todos los elementos anteriormente desarrollados en el componente administracin de riesgos. Las polticas identifican las opciones institucionales para tratar y manejar los riesgos basndose en la

MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 13 de 19

valoracin de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administracin de riesgos, a su vez transmiten la posicin de la direccin y establecen las guas de accin necesarias a todos los servidores de la entidad. Para tratar y manejar los riesgos se deben tener en cuenta las siguientes opciones de manejo, las cuales pueden considerarse de manera independiente, interrelacionadas o en conjunto.

Evitar el riesgo, tomar las medidas encaminadas a prevenir su materializacin. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseo o eliminacin, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc.
Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevencin), como el impacto (medidas de proteccin). La reduccin del riesgo es probablemente el mtodo ms sencillo y econmico para superar las debilidades antes de aplicar medidas ms costosas y difciles. Se consigue mediante la optimizacin de los procedimientos y la implementacin de controles.

Compartir o Transferir el riesgo, reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como en el caso de los contratos de seguros o a travs de otros medios que permiten distribuir una porcin del riesgo con otra entidad, como en los contratos a riesgo compartido. Es as como por ejemplo, la informacin de gran importancia se puede duplicar y almacenar en un lugar distante y de r5(co8 10.9MCID 10.98s. )sud Td593bentidadu44 diurT2 1edud dtbi5eTJados2ta

ANEXOS MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 16 de 22

FORMATOS PARA APOYAR LA REALIZACION DE TALLERES

ANEXOS MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 17 de 22

ANEXO 7. FORMATO 1. TABLA PARA EL REGISTRO Y CONSOLIDACIN DE LA CALIFICACIN DE IMPACTO Y PROBABILIDAD - APOYA EL TALLER 3. IMPACTO
Funcionarios*

PROBABILIDAD
Riesgos Identificados en el proceso

Riesgos Identificados en el proceso

R1 F1 F2 F3 F4 F5 F6 F7 Fn

R2

R3

R4

R5

Rn

R1

R2

R3

R4

R5

Rn

ANEXOS MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 18 de 22

ANEXO 8.

FORMATO 2. IDENTIFICACIN DE ACCIONES DE CONTROL - APOYA EL TALLER 4


NIVEL DE RIESGO DETERMINADO DESPUS DE ANLISIS DE CONTROLES ACCIONES DE CONTROL PROPUESTAS PARA MANEJAR LAS CAUSAS O ATENUAR LAS CONSECUENCIAS

RIESGO

CAUSAS

CONSECUENCIAS

Contexto Estratgico

Identificar Factores Externos (Amenazas) Identificar Factores Internos (Debilidades) Elaborar Informe de Contexto Estratgico

Identificacin de riesgos
Nombrar Riesgos Establecer causas Determinar efectos

Anlisis de riesgos Informacin


Calificar Riesgos

Acordar Probabilidad

Acordar Impacto

de

Anlisis

Recaudo

Establecer Zona para cada Riesgo (Matriz) Identificar Medidas de Respuesta (ERCA)

Valoracin de Riesgos
Identificar Controles Ideales o Deseables Evaluar Controles existentes Establecer calificacin definitiva despus de control Diligenciar Mapa de Riesgos Identificar nuevas acciones de control Poner en marcha acciones de mejora

Poltica de Administracin de Riesgos


Establecer riesgos prioritarios Definir lineamientos generales para atender riesgos Precisar monitoreo y sus responsables Puntualizar periodicidad de la revisin

ANEXO 9.

Flujograma de la Administracin de Riesgos

Pgina 19 de 22

Supervisin

Evaluar Riesgos

Estimar nivel de riesgo

Monitoreo

ANEXOS MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 20 de 22

ANEXO 10. RESPONSABILIDADES DE LA ADMINISTRACIN DE RIESGOS EN LA CGR


ACTIVIDADES DOCUMENTO MECI 1000:2005 Manual para la Administracin de Riesgos en la CGR, Versin 2.0. VARIABLE A CONTROLAR - Factores Externos (Amenazas) Alta Direccin - Factores Internos (debilidades) Cuatrienal Revisin Anual Formato de Contexto Estratgico RESPONSABLE FRECUENCIA REGISTRO ACCIONES A TOMAR Ajustar Diagnstico Estratgico Institucional.

Definir Contexto Estratgico

Identificar Riesgos

MECI 1000:2005 Manual para la Administracin de Riesgos en la CGR, Versin 2.0.

- Coherencia de objetivos de los procesos con objetivos del Plan Estratgico. Responsables de proceso y funcionarios de cada Anual - Relacin de las causas con los dependencia. Factores Externos e Internos - Efectos - Calificacin de Riesgos - Evaluacin de Riesgos - Opciones de Respuesta Responsables de proceso y funcionarios de cada Anual dependencia

Ajustar Redaccin de los Objetivos. Formato Identificacin de Riesgos Alinear objetivos de Proceso y Objetivos Corporativos

Analizar Riesgos

MECI 1000:2005 Manual para la Administracin de Riesgos en la CGR, Versin 2.0. MECI 1000:2005 Manual para la Administracin de

Formato Calificacin y Evaluacin de Riesgos - Formato controles ideales o deseables para administrar el

Priorizacin de Riesgos y Opciones de Respuesta - Mantener controles efectivos - Implementar

Valorar Riesgos

- Identificar controles Responsables de proceso ideales y funcionarios de cada Anual - Evaluar Controles dependencia

ANEXOS MANUAL PARA LA ADMINISTRACIN DE RIESGOS EN LA CGR

VERSIN: 2.0

Pgina 21 de 22

Riesgos en la CGR. Versin 2.0.

existentes -Identificar nuevas acciones de Control - Diligenciar Mapa de Riesgos - Determinar nivel de exposicin de la CGR a los riesgos. - Analizar Mapa de Riesgos - Identificar riesgos prioritarios - Definir Acciones de Control - Emitir Poltica de Riesgos

riesgo - Formato evaluacin de controles existentes - Formato Mapa de riesgos

controles inexistentes - Ajustar controles inefectivos - Eliminar controles innecesarios o duplicados

- Poltica de Riesgos Alta Direccin con el apoyo de la Oficina de Control Interno y la Oficina de Planeacin Cuatrienal con revisin Anual - Registros de divulgacin y Socializacin de la Poltica de Riesgos

MECI 1000:2005 Emitir Poltica para Manual para la Administracin de Administracin de Riesgos Riesgos en la CGR, Versin 2.0.

- Ajustar Plan Estratgico - Definir o ajustar Polticas de Operacin

Implantar Acciones MECI 1000:2005. de Control

Identificar nuevos controles. Identificar mejoras a controles existentes Responsables de proceso Identificar controles a y funcionarios de cada Anual eliminar dependencia Anlisis de viabilidad de implementacin de nuevos controles.

-Registro evaluacin de viabilidad de implementacin de nuevos controles. Procedimientos incluyen controles viables.

Ajustar Procedimientos

También podría gustarte