GESTIÓN DEL RIESGO

INTRODUCCIÓN
Todas las organizaciones enfrentan factores e influencias internas y externas que crean incertidumbre sobre si es posible alcanzar o no los objetivos. El efecto que esta incertidumbre tiene sobre los objetivos de una organización es el riesgo. Las organizaciones gestionan el riesgo mediante su identificación y análisis y luego identificando si el riesgo se debe modificar por medio de algún tratamiento.

QUE PERMITE LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES?
Aumentar la probabilidad de alcanzar los objetivos Fomentar la gestión proactiva Ser consientes de la necesidad de identificar y tratar los riesgos en toda la organización. Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas internacionales. Mejorar la presentación de informes obligatorios y voluntarios Mejorar la confianza y honestidad de las partes involucradas

así como la protección ambiental Mejorar la prevención de perdidas y la gestión de incidentes Minimizar las perdidas Mejorar el aprendizaje organizacional Mejorar la flexibilidad organizacional .Establecer una base confiable para la toma de decisiones y la planificación Mejorar los controles Asignar y usar eficazmente los recursos para el tramite del riesgo Mejorar la eficacia y eficiencia operativa Incrementar el desempeño de la salud y la seguridad.

MODELOS PARA LA GESTIÓN DEL RIESGO NTC 5254:2006 Guía de administración del riesgo DAFP. NTC 31000:2011 .

C 5254 2006 El Riesgo es inherente a todo lo que hacemos.ADMINISTRACIÓN DEL RIESGO N.T. es el de no cumplir con sus objetivos y metas. . el riesgo más común que las Instituciones enfrentan. aunque no estemos conscientes de ello. convivimos con él todos los días. Aunque siempre pensamos en desastres.

5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA 4.NUMERALES DE LA ISO 31000 OBJETO 2.4 IMPLEMENTACIÓN DE LA GESTIÓN DEL RIESGO 4. . PRINCIPIOS 4.2 DIRECCIÓN Y COMPROMISO 4. TÉRMINOS Y DEFINICIONES 3.6 MEJORA CONTINUA DEL MARCO DE REFERENCIA 1. MARCO DE REFERENCIA 4.3 DISEÑO DEL MARCO DE REFERENCIA PARA LA GESTIÓN DEL RIESGO 4.1 GENERALIDADES 4.

4 VALORACIÓN DEL RIESGO 5.1 GENERALIDADES 5. .2 COMUNICACIÓN Y CONSULTA 5.7 REGISTRO DEL PROCESO PARA LA GESTIÓN DEL RIESGO 5.NUMERALES DE LA ISO 31000 PROCESO 5.6 MONITOREO Y REVISIÓN 5.3 ESTABLECIMIENTO DEL CONTEXTO 5.5 TRATAMIENTO DEL RIESGO 5.

monitorear. Marco de referencia para la gestión del riesgo: conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar. . Actitud hacia el riesgo: Enfoque de la organización para evaluar y eventualmente buscar. Plan para la gestión del riesgo: esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque.2. Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. implementar. DEFINICIONES ISO 31000:2011 Riesgo: efecto de la incertidumbre sobre los objetivos. Política para la gestión del riesgo: declaración de la dirección y las intensiones generales de una organización con respecto a la gestión del riesgo. los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo. revisar y mejorar continuamente la gestión del riesgo. retener. tomar o alejarse del riesgo.

DEFINICIONES ISO 31000:2011 Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo. natural y competitivo. económico. Proceso para la gestión del riesgo: Aplicación sistemática de las políticas. monitoreo y revisión del riesgo. Establecimiento del contexto: Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona un riesgo. establecimiento del contexto y la identificación. Ambiente cultural. financiero.2. análisis. Contexto externo: Ambiente externo en el cual la organización busca alcanzar sus objetivos. regional o local. político. consulta. . y establecimiento del alcance y los criterios del riesgo para la política para la gestión del riesgo. nacional. tratamiento. Impulsores clave y tendencias que tienen impacto en los objetivos de la organización Relaciones con las partes involucradas y sus percepciones y valores. evaluación. bien sea internacional. legal. tecnológico. procedimientos y las practicas de gestión a las actividades de comunicación. social.

procesos. DEFINICIONES ISO 31000:2011 Contexto interno: Ambiente interno en el cual la organización busca alcanzar sus objetivos. flujos de información y procesos para la toma de decisiones Relaciones con las partes involucradas internas y sus percepciones y valores La cultura de la organización Normas. personas. Gobierno. compartir u obtener información e involucrarse en un dialogo con las partes involucradas. tiempo. estructura organizacional. . directrices y modelos adoptados por la organización Forma y extensión de las relaciones contractuales Comunicación y consulta: procesos continuos y reiterativos que una organización lleva a cabo para suministrar. objetivos y estrategias implementadas para lograrlos Las capacidades entendidas en términos de recursos y conocimiento (capital. sistemas y tecnologías) Sistemas de información.2. funciones y responsabilidades Política.

DEFINICIONES ISO 31000:2011 Parte involucrada: persona u organización que puede afectar. Evento: Presencia circunstancias. sus causas y sus consecuencias potenciales. Puede involucrar datos históricos. verse afectada o percibirse a sí misma como afectada por una decisión o actividad. análisis del riesgo y evaluación del riesgo. reconocer y describir el riesgo. . análisis teóricos.2. Identificación del riesgo: proceso para encontrar. o cambio de un conjunto particular de Consecuencia: Resultado de un evento que afecta los objetivos. los eventos. Valoración del riesgo: proceso global de identificación del riesgo. (Implica la identificación de las fuentes del riesgo. Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo. opiniones informadas y expertas y las necesidad de las partes involucradas.

Evaluación del Riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo. DEFINICIONES ISO 31000:2011 Probabilidad: Oportunidad de que algo suceda. su magnitud o ambos son aceptables o tolerables. Análisis del Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel del riesgo. Riesgo Residual: Riesgo remanente después del tratamiento del riesgo. Control: Medida que modifica al riesgo.2. Criterios del Riesgo: Termino de referencia frente a los cuales se evalúa la importancia de un riesgo. Tratamiento del Riesgo: Proceso para modificar el riesgo. para determinar si el riesgo . expresada en términos de la combinación de las consecuencias y su probabilidad. Nivel del Riesgo : Magnitud de un riesgo o de una combinación de riesgos . . Perfil del Riesgo: Descripción de cualquier conjunto de riesgos .

.2. supervisión. observación critica o determinación continua del estado con el fin de identificar cambio con respecto al nivel de desempeño exigido o esperado. Revisión: Acción que se emprende para determinar la idoneidad. DEFINICIONES ISO 31000:2011 Monitoreo: Verificación. conveniencia y eficacia de la materia en cuestión para lograr los objetivos establecidos.

. La gestión del riesgo se basa en la mejor información disponible. estructurada y oportuna. PRINCIPIOS La gestión del riesgo crea y protege el valor.3. La gestión del riesgo aborda explícitamente la incertidumbre. La gestión del riesgo es sistemática. La gestión del riesgo es una parte integral de todos los procesos de la organización. La gestión del riesgo es parte de la toma de decisiones.

La gestión del riesgo facilita la mejora continua de la organización. PRINCIPIOS La gestión del riesgo esta adaptada. La gestión del riesgo es transparente e inclusiva. reiterativa y receptiva al cambio. . La gestión del riesgo es dinámica. La gestión del riesgo toma los factores humanos y culturales.3.

. MARCO DE REFERENCIA Brinda las bases y las disposiciones que se introducirán en todos los procesos de la organización.4. Garantiza que la información se reporte de manera adecuada y se utilice como base para la toma de decisiones y la rendición de cuentas en todos los niveles de la organización.

4.5) .5) Establecer mecanismos para la comunicación interna y la presentación de informes (4.3.7) Mejora continua del marco de referencia (4.1) Implementar el proceso (4.1) Establecer la política para la gestión del riesgo (4.3) Entender a la organización y su contexto (4. MARCO DE REFERENCIA Dirección y compromiso (4.2) Diseño del marco de referencia para la gestión del riesgo (4.3) Integración de los procesos de la organización (4.4.3.3.3.4.2) Rendición de cuentas (4.3.6) Establecer mecanismos para la comunicación externa y la presentación de informes (4.2) Monitorear y revisar el marco de referencia (4.6) Implementar el marco (4.4) Recursos (4.3.3.

Garantizar la asignación de recursos necesarios. Determinar indicadores de desempeño para el riesgo alineados con los de desempeño de la organización. .4. Garantizar la adecuación y actualización del marco de referencia. Alinear los objetivos de la gestión del riesgo con los objetivos y estrategias de la organización. Asignar obligaciones y responsabilidades. Comunicar los beneficios a todas las partes involucradas.2 DIRECCIÓN Y COMPROMISO la organización debería: Definir y aprobar la política para la gestión del riesgo. Garantizar que la cultura de la organización y la política para la gestión del riesgo están alineadas. Garantizar la conformidad legal y reglamentaria.

Impulsores clave y tendencias que tienen impacto en los objetivos de la organización. reglamentario. cultural. Las relaciones con las partes externas y sus percepciones y valores. . bien sea internacional. financiero. tecnológico. natural y competitivo.3. político. regional o local.1 ENTENDER LA ORGANIZACIÓN Y SU CONTEXTO CONTEXTO EXTERNO Ambiente social. legal.3 DISEÑO DEL MARCO DE REFERENCIA 4. económico.4.

funciones y obligaciones.3. estructura organizacional.4. objetivos y estrategias implementados. Normas. La cultura de la organización. directrices y modelos. Capacidades.1 ENTENDER LA ORGANIZACIÓN Y SU CONTEXTO CONTEXTO INTERNO Gobierno. Forma y extensión de las relaciones contractuales . flujos de información y procesos de toma de decisiones. Relaciones con las partes involucradas internas y sus percepciones y valores. Políticas. (Recursos y conocimiento) Sistemas de información.

Vínculos entre los objetivos y políticas de la organización y la política para la gestión del riesgo. Forma en la cual se va a medir y reportar el desempeño Compromiso para revisar y mejorar periódicamente la política y el marco de la gestión del riesgo. Obligaciones y responsabilidades para gestionar el riesgo.3. Compromiso para dispones recursos para la gestión del riesgo.2 ESTABLECER LA POLÍTICA PARA LA GESTIÓN DEL RIESGO Debería establecer los objetivos y compromiso con la gestión del riesgo. . Forma de tratar los conflictos de intereses.4. debería incluir aspectos como: Justificación para gestionar el riesgo.

4.3. Identificando otras responsabilidades y estableciendo mecanismos para la medición del desempeño y reporte externo e interno. Debería existir un plan para la gestión del riesgo que puede estar integrado dentro de otros planes como dentro del plan estratégico.3 RENDICIÓN DE CUENTAS Identificación de los propietarios del riesgo y quienes deben dar cuentas por la implementación y el mantenimiento del marco para la gestión del riesgo. .4.4 INTEGRACIÓN DE LOS PROCESOS DE LA ORGANIZACIÓN La gestión del riesgo debería estar incluida en todos los proceso y practicas de la organización.3.

5 RECURSOS La organización debería asignar los recursos necesarios para la gestión del riesgo.3. 4.6 ESTABLECER MECANISMOS DE COMUNICACIÓN INTERNA Y LA PRESENTACIÓN DE INFORMES Para garantizar que: Los componentes clave y las modificaciones son comunicadas Existe un reporte interno del marco. su referencia y resultados La información derivada de la gestión del riesgo esta disponible en los niveles y momentos convenientes Existen procesos para la consulta con las partes interesadas .4.3.

Brindar retroalimentación e informes sobre la comunicación y las consultas. Usar la información para crear confianza en la organización. reglamentarios y del gobierno.3. Comunicarse con las partes involucradas en el evento de una crisis o contingencia .7 ESTABLECER MECANISMOS DE COMUNICACIÓN EXTERNA Y LA PRESENTACIÓN DE INFORMES La organización debería implementar un plan de comunicación con las partes involucradas externas.4. Reporte externo para cumplir con requisitos legales. debería incluir: Involucrar apropiadamente las partes interesadas externas y garantizar un intercambio efectivo de la información.

4.2 IMPLEMENTAR EL PROCESO PARA LA GESTIÓN DEL RIESGO Implementar el proceso de acuerdo con el numeral 5. .4. cumplir con requisitos legales. política. garantizar la toma de decisiones y la comunicación.4.4 IMPLEMENTAR LA GESTIÓN 4. 4.1 IMPLEMENTAR EL MARCO DE REFERENCIA Implementar todo el marco de referencia construido: estrategias.

que deben ser revisados periódicamente. . Revisar la eficacia del marco de referencia 4.6 MEJORA CONTINUA DEL MARCO DE REFERENCIA De acuerdo con los resultados de monitoreo y las revisiones se deben tomar decisiones sobre mejoras al marco de referencia.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA Medir el desempeño frente a los indicadores. Revisar periódicamente la adecuación del plan. la política y el marco de referencia.4. Medir el progreso frente al plan y las desviaciones. la política y el plan para la gestión del riesgo.

1 GENERALIDADES El proceso para la gestión del riesgo debería incluir: Ser parte integral de la gestión. entendimiento de consideración de los intereses de las partes interesadas.2 COMUNICACIÓN Y CONSULTA Con las partes involucradas externas e internas durante todas las etapas del proceso para la gestión del riesgo para garantizar un establecimiento adecuado del contexto. .5 PROCESO 5. Estar incluido en la cultura y el las practicas Estar adaptado a los procesos de la organización 5.

PROCESO PARA LA GESTIÓN DEL RIESGO ESTABLECIMIENTO DEL CONTEXTO (5.5) .4) TRATAMIENTO DEL RIESGO (5.6) ANÁLISIS DEL RIESGO(5.4) IDENTIFICACIÓN DEL RIESGO(5.4.3) COMUNICACIÓN Y CONSULTA(5.4.4.3) EVALUACIÓN DEL RIESGO(5.2) MONITOREO Y REVISIÓN (5.2) VALORACIÓN DEL RIESGO (5.

3. Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral. Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control.5. con base en el análisis de la información externa y los planes y programas de la Organización. Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo. ESTABLECER EL CONTEXTO Con la realización de esta etapa se busca: Identificar los factores externos que pueden ocasionar la presencia de riesgos. .

.

Contexto Estratégico •CONTEXTO ESTRATÉGICO •FACTORES INTERNOS •Ambiente de Control •Estructura Organizacional •Modelo de Operación •Cumplimiento Planes y Programas •Norma que regula la Norma Entidad •Proyectos •FACTORES EXTERNOS •Entorno. •Político .Económico •Legal – Cultural •Tecnológico – Ambiental – PQR Grupos de Interés – Competencia catástrofes •IDENTIFICACIÓN •EVENTOS ASOCIADOS •EXPOSICIÓN AL RIESGO •IDENTIFICACIÓN •EVENTOS ASOCIADOS •Proceso •Actividad •Proceso •Actividad •ENTIDAD •OBJETIVOS •INFORME ESTRATEGICO GRADO DE VULNERABILIDAD DE LA ENTIDAD CONTRATO 492 DE 2009 .

• Generación de políticas. . •Amenazas Naturales que pongan en riesgos la estructura de la empresa •Conflictos políticos •Mayores exigencias regulatorias. •Resistencia al Cambio. •Planeación Operacional. •Comunicación No efectiva. •Diversidad de aplicaciones informativas.MATRIZ DOFA AL INTERIOR DEBILIDADES AL EXTERIOR AMENAZAS •Falta De recursos adicionales.

5.5. usando un proceso bien estructurado y sistemático. es excluido en cualquier análisis posterior. Etapa crítica ya que el riesgo que no sea identificado. Riesgos . VALORACIÓN DEL RIESGO La valoración del riesgo es el proceso total de identificación del riesgo. análisis del riesgo y evaluación del riesgo.4.4.2. Se requiere una identificación comprensiva.Identificación del Esta etapa busca identificar los riesgos que deben ser gestionados.

Determinar la confiabilidad de la información. ¿ Dónde?. ¿ Cómo?. La identificación debe incluir los riesgos independientemente de que estén bajo control o no de la entidad. ¿ Cuándo?. .IDENTIFICAR LOS RIESGOS ¿ Qué puede suceder: Que No permita el cumplimiento de los Objetivos? Afecte la eficiencia en el logro de los Objetivos? Haga que la Dirección tome acción para evitar su influencia sobre el logro de los objetivos? ¿ Quién?. ¿ Porqué?.

Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. se pueden clasificar en cinco categorías: personas. Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. de bienes. las circunstancias y agentes generadores de riesgo. instalaciones y entorno.Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. de información. Causas (factores internos o externos): Son los medios. materiales. generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento. de credibilidad y de confianza. . comités. Efectos (consecuencias): Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad. interrupción del servicio y daño ambiental. sanciones. pérdidas económicas. de imagen.

•Riesgos de Cumplimiento: La capacidad de la entidad para cumplir su compromiso ante la Comunidad •Riesgos Operativos: Relacionados tanto con la parte operativa como técnica de la entidad. en la estructura de la entidad.TIPOS DE RIESGO •Riesgo Estratégico: La forma en que se administra la Entidad. •Riesgos Financieros: Se relacionan con el manejo de los recursos financieros . en la definición de los procesos. lo cual conduce a ineficiencias. oportunidades de corrupción e incumplimiento de los compromisos institucionales. la clara definición de políticas. •Riesgos de Tecnología: La capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades. diseño y conceptualización de la Entidad. la desarticulación entre dependencias. incluye riesgos provenientes de deficiencias en los sistemas de información. se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos.

Análisis del Riesgos El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias.5. El análisis del riesgo dependerá de la información obtenida en el formato de identificación de riesgos y de la disponibilidad de datos históricos y aportes de los servidores de la entidad. • La determinación de su impacto (consecuencias) potencial. .4.3. calificándolos y evaluándolos. Involucra: • Fuentes potenciales de riesgo • La posibilidad de que el riesgo suceda. con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

Análisis del Riesgos • Deben identificarse los factores que afectan las consecuencias y la probabilidad de ocurrencia. • Se hace un análisis preliminar para asociar riesgos similares o riesgo de bajo impacto que pueden ser excluidos.3.4. • Se debe hacer una lista de los riesgos que se excluyen.5. . • El riesgo se analiza mediante una combinación de consecuencias y su posibilidad de ocurrencia.

5. . Se debe evaluar sus fuerzas y debilidades de los controles.4. Evaluación del Riesgo Se deben identificar los controles existentes en los procesos y actividades que ayudan a minimizar los riesgos negativos o mejoran los riesgos positivos.4.

Cuales riesgos requieren ser tratados y la prioridad para su tratamiento. Evaluación del Riesgo • El propósito de la evaluación de riesgos es tomar decisiones basadas en los resultados del análisis de riesgos.4. .5. • La evaluación de riesgos involucra la comparación del nivel de riesgo contra los criterios establecidos cuando se consideró el contexto.4.

.

5. su evaluación. .5. la preparación e implementación de planes que minimicen el impacto de los riesgos. Tratamiento del Riesgo El manejo de riesgos involucra la Identificación del rango de opciones que se dispone para el tratamiento de los riesgos.

• Este proceso es relevante por que los factores asociados con los riesgos son cambiantes. • Implica la evaluación del desempeño real contra el considerado en los planes.6. Monitoreo y Revisión • Revisiones continuas durante el proceso asegura que los planes y productos del proceso de administración de riesgos se encuentren actualizados.5. RESULTADO FINAL .

.DEFINICIÓN DEL CONTEXTO ESTRATÉGICO Se recomienda la aplicación de varias herramientas y técnicas. entre otros. por ejemplo: entrevistas estructuradas con expertos en el área de interés. reuniones con directivos y con personas de todos los niveles en la entidad. usar diagramas de flujo. entrevistas e indagaciones con personas ajenas a la entidad. evaluaciones individuales usando cuestionarios. lluvias de ideas con los servidores de la entidad. análisis de escenarios y hacer revisiones periódicas de factores económicos y tecnológicos que puedan afectar a la organización.

pueden utilizarse diferentes fuentes de información de la entidad. La técnica utilizada dependerá de las necesidades y naturaleza de la entidad.DEFINICIÓN DEL CONTEXTO ESTRATÉGICO Igualmente. experiencias significativas registradas. opiniones de especialistas y expertos. . informes de años anteriores. los cuales pueden proporcionar información importante. tales como registros históricos.

DEFINICIÓN DEL CONTEXTO ESTRATÉGICO Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados: Identificar los factores externos que pueden ocasionar la presencia de riesgos. con base en el análisis de la información externa y los planes y programas de la entidad. Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control. Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. . Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.

. estrategias. alcance y parámetros para llevarla a cabo.DEFINICIÓN DEL CONTEXTO ESTRATÉGICO El Contexto Estratégico debe tener en cuenta el contexto organizacional en el cual se verifican los objetivos de la entidad y de los procesos para comprender hacia dónde va la entidad y cuál es su misión. De esta manera se logra centrar desde su inicio el proceso de Administración de Riesgos en la consecución de los objetivos que se ha planteado la entidad. estableciendo las metas. los objetivos. es necesario que en este punto la entidad se plantee cuál es el contexto en que se desarrolla la Administración del Riesgo. Así mismo. sino un medio para lograr el cumplimiento de los objetivos propuestos. teniendo en cuenta que esta no es un fin en sí misma.

Sign up to vote on this title
UsefulNot useful