Exponer todas las fases del Proceso de

Gestión de Riesgos Institucionales

.
 PROCESO DE GESTIÓN DE RIESGOS
ESTABLECER EL
CONTEXTO

IDENTIFICAR LOS
COMUNICACIÓN Y CONSULTA

RIESGOS

MONITOREO Y REVISIÓN
ANALIZAR LOS
RIESGOS

EVALUAR LOS
RIESGOS

GESTIONAR LOS
 FASE 2: IDENTIFICACIÓN DE RIESGOS

• La identificación de los riesgos debe

efectuarse utilizando un proceso
sistemático para incluir todos los riesgos
de la organización. La idea es generar una
lista de todos los eventos o circunstancias
que podrían afectar a la entidad para
luego a mayor detalle, identificar lo que
puede suceder.
 Técnicas de Identificación de Riesgos
Listas de Chequeo Diagramas de Flujo

Análisis Causa - Efecto

Lluvia de Ideas
Inventario o Diccionario de Riesgos
• Los servidores de las áreas de gestión de la
organización, con la especialidad temática y la
experiencia adquirida en cada sector o
contexto en el que se desenvuelven,
efectuarán un inventario de los riesgos.
 Formato 1: “Identificación de Riesgos”
NOMBRE DE LA ENTIDAD 1
IDENTIFICACIÓN DE RIESGOS

OBJETIVO ESTRATÉGICO: 1 2

ESTRATEGIA (S): 3

Factores externos Factores internos

6

Medioambientales

Políticos y Legales
OBJETIVO OPERATIVO O DESCRIPCIÓN DE RIESGOS

Infraestructura
EFECTOS/CONSECUENCIAS

Tecnológicos
RELACIONADO ESPECÍFICOS

Económicos

Tecnología
7

Procesos
4

Personal
Sociales
5
FASE 3:ANÁLISIS DE RIESGOS

El análisis de riesgos
consiste en determinar
la probabilidad de
ocurrencia de los riesgos
así como su impacto,
calificándolos con el fin
de establecer el nivel de
riesgo y las acciones que
se requieren implantar.
 Probabilidad, Impacto e Importancia
• Por impacto se entiende las consecuencias del riesgo
o la magnitud de sus efectos.
• La importancia del riesgo identificado está relacionada
con la relevancia del factor en la gestión institucional.
• Probabilidad es la posibilidad de ocurrencia del riesgo,
que puede ser medida con criterios de Frecuencia (por
ejemplo, número de veces en un tiempo determinado)
o Factibilidad, teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el
riesgo.
 Probabilidad
Valor Escala Concepto
3 Se espera que ocurra al menos una vez al año y ya ha ocurrido con anterioridad varias veces
Muy
Probable
2 Puede ocurrir alguna vez/ha ocurrido solo una vez
Probable

1 Improbable No ha ocurrido nunca pero podría ocurrir en los próximos años o en circunstancias excepcionales

Frecuencia:
 Impacto
Valor Escala Concepto

Las consecuencias amenazarán la supervivencia del programa, proyecto, actividad, proceso de la entidad. Las
3 consecuencias amenazarán la efectividad del programa o del cumplimiento de objetivos de la entidad.
Alto

Las consecuencias no amenazarán el cumplimiento del programa, proyecto, actividad, proceso, o de los
2 objetivos, pero requerirán cambios significativos o formas alternativas de operación.
Medio

Las consecuencias pueden solucionarse con algunos cambios o pueden manejarse mediante actividades de
1 rutina.
Bajo
 Importancia
Concepto (Factor de Riesgo)
Importancia

10 Muy importante en el contexto de la entidad, programa, proyecto, actividad o proceso

Factor de riesgo de importancia media o moderada en lagestiónde la entidad, programa,proyecto, actividad o proceso.
5

Factor de riesgo no significativo en la gestión de la entidad, programa, proyecto, actividad o proceso.

1
 Calificación del Riesgo
Importancia Probabilidad Impacto Total
10 Muy probable 3 Alto 3 90

Medio 2 60

Bajo 1 30
Probable 2 Alto 3 60

Medio 2 40

Bajo 1 20
Improbable 1 Alto 3 30

Medio 2 20

Bajo 1 10
5 Muy probable 3 Alto 3 45

Medio 2 30

Bajo 1 15
Probable 2 Alto 3 30

Medio 2 20

Bajo 1 10
Improbable 1 Alto 3 15

Medio 2 10

Bajo 1 5
1 Muy probable 3 Alto 3 9

Medio 2 6

Bajo 1 3
Probable 2 Alto 3 6

Medio 2 4

Bajo 1 2
Improbable 1 Alto 3 3

Medio 2 2

Bajo 1 1
Escala de Calificación del Riesgo

Calificación Final: Riesgo Color

De 1 a 10 BAJO Verde

De 11 a 30 MODERADO Naranja

De 31 a 90 ALTO Rojo

Ejemplo Práctico
Formato No. 2 Matriz de Análisis
y Calificación de Riesgos.xls
 FASE 4:EVALUACIÓN DE RIESGOS

• Involucra comparar el nivel de riesgo

Reportes KRI

detectado durante el proceso de análisis con

criterios de riesgo establecidos previamente
por la dirección, considerando el balance
entre los beneficios potenciales y resultados
adversos. (costo-beneficio)
 Valoración del Riesgo
La valoración del riesgo se obtiene al
Reportes Incidentes

comparar los resultados de la evaluación del

riesgo con los controles existentes o
establecidos en los diferentes procesos
Datos Datos pérdida
pérd. ext

por parte de la entidad.

interna

Los controles pueden ser preventivos o

Análisis
escenarios

correctivos.
Análisis datos pérdida
 Controles
• Controles Correctivos son aquellos que permiten el
restablecimiento de la actividad después de haber
detectado un evento no deseable; también
permiten la modificación de las acciones que
propiciaron su ocurrencia. La importancia del riesgo
identificado está relacionada con la relevancia del
factor en la gestión institucional.
• Controles Preventivos son aquellos que actúan para
eliminar las causas del riesgo, para prevenir su
ocurrencia o materialización.
 Procedimiento de Valoración del Riesgo

1
• Los controles están documentados?
Se están aplicando en la actualidad?
• Se
dad?están aplicando en la actualidad?

• Son efectivos para minimizar el riesgo?

• Realice la valoración2
del riesgo frente a los
controles existentes.
• Ubique el estado final 3
del riesgo, de acuerdo
a los resultados obtenidos en la valoración.
 Criterios – Valoración del Riesgo
CRITERIOS VALORACIÓN DEL RIESGO
No existen controles Se mantiene el resultado de la evaluación
antes de controles

Los controles existentes no son efectivos Se mantiene el resultado de la evaluación

antes de controles

Los controles existentes son efectivos pero Cambia el resultado a una casilla inferior de
no están documentados la matriz de evaluación antes de controles (el
desplazamiento depende de si el control
afecta el impacto, la probabilidad e
importancia)

Los controles son efectivos y están Pasa a escala inferior (el desplazamiento
documentados depende de si el control afecta el impacto, la
probabilidad e importancia)
 Ejemplos de controles existentes
Controles de Gestión
 
 
 
 
 
 
 
Políticas claras aplicadas
Seguimiento al plan estratégico y
operativo
Indicadores de gestión
Tableros de control Gestión Operativos Legales
Seguimiento al Cronograma
Evaluación del desempeño
Informe de Gestión
Monitoreo de riesgos Gestión Tablero de Comando

Controles Operativos Conciliaciones

  Consecutivos
  Verificación de firmas
 
Listas de chequeo
 
  Registro controlado
  Segregación de funciones
  Niveles de autorización
  Custodia apropiada
 
Procedimientos formales aplicados
 
  Pólizas
  Seguridad física
  Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad

Controles Legales Normas claras aplicadas

  Control de Términos
 El Riesgo Residual
• El riesgo residual es el que permanece
después de que la dirección desarrolla sus
respuestas al riesgo inherente, refleja si
se han implantado o no las actividades y
controles para disminuir o mitigar el
mismo.
Ejemplo de la Fase: Formato No. 3 Matriz de Evaluación de Riesgos.xls
 Priorización y Representación Gráfica de los
Riesgos
• Para la priorización de los riesgos se procederá
a listarlos con el criterio de mayor a menor
Auto-evaluaciones

puntaje, con lo cual se dispondrá de una base

para decidir sobre la prelación del tratamiento
 FASE 5: TRATAMIENTO DE LOS RIESGOS

• El tratamiento de los riesgos consiste en

identificar las opciones para mitigarlos, su
valoración y la implementación del plan para
llevarlas a cabo.

• Son las acciones que la entidad toma para

prevenir o corregir los impactos de eventos
que afectarían el logro de los objetivos
 Alternativas de Mitigación
• Prevenir , control de calidad, mantenimiento
preventivo.
• Disminuir, optimización de procedimientos,
implementación de controles
• Transferir, las pérdidas a otras organizaciones,
contratos a riesgo compartido, seguros, etc.
• Asumir el riesgo residual luego que ha sido
reducido o transferido
 Proceso de Tratamiento de los Riesgos
Riesgo Evaluado

Riesgo
SI Se acepta
aceptable?
Comunicar y consultar

Monitorear y Revisar
Reducir la Reducir las Transferir completo
Evitar
probabilidad consecuencias o parte

Considerar factibilidad costos y beneficios

Recomendar estrategias de tratamiento

Seleccionar estrategia de tratamiento

Preparar planes de tratamiento

Reducir la Reducir las Transferir completo

Evitar
probabilidad consecuencias o parte

Parte retenida Parte transferida

Riesgo
SI Retener
aceptable?
 Ejemplos de respuesta al riesgo
Evitar
 Prescindir de las actividades de una unidad de negocio, agencia
regional o subsidiaria.
 Suspender la producción de una línea de servicio o producto.
 Terminar con las actividades de un programa, proyecto o sistema.
 Decidir no emprender nuevas iniciativas/actividades que podrían dar
lugar a riesgos.
Reducir
 Diversificar las ofertas de servicios y productos.
 Establecer límites en la ejecución del presupuesto por región o
unidad.
 Establecer procesos de negocio eficaces.
 Aumentar la implicación de la dirección en la toma de decisiones y el
seguimiento.
 Reasignar los recursos presupuestarios entre las unidades operativas.
Compartir
 Adoptar seguros contra pérdidas inesperadas significativas.
 Establecer acuerdos con otros servicios o entidades públicas o privadas.
 Protegerse contra los riesgos utilizando instrumentos del mercado de capital a
largo plazo, cuando se tenga autorización para ello.
 Externalizar procesos de negocio riesgosos siempre que no correspondan al
ejercicio mismo de sus facultades.
 Distribuir el riesgo mediante acuerdos contractuales con entidades que actúen
como clientes, proveedores u otros interesados.
Aceptar
 Provisionar las posibles pérdidas.
 Confiar en las compensaciones naturales existentes dentro de una cartera.
 Aceptar el riesgo si se adapta al nivel máximo preestablecido.
 Confiar en las compensaciones naturales existentes dentro de un portafolio.
 Aceptar el riesgo si se adapta a las tolerancias al riesgo existente.
Planes de Tratamiento o Mitigación
Plan de Mitigación o Tratamiento de los Riesgos

Cronograma

Responsables
Actividades Recursos Indicadores
(Cargo)
Duración Fecha Inicio Fecha Termino

             

             

             

             

             

Ejemplo Práctico Formato No. 4 Matriz de Mitigación o Tratamiento de Riesgos v1.xlsm

 Taller 2.1

• El propósito del taller es formular un mapa

y un plan de tratamiento de los riesgos
identificados, evaluados y calificados en
todas las fases del proceso.
 Resumiendo…

• La Identificación de Riesgos, es un proceso

sistemático que requiere la participación del
personal de todos los niveles y diferentes áreas de
gestión, quienes con la aplicación de técnicas y
herramientas administrativas como: listas de
chequeo, diagramas de flujo, lluvia de ideas,
análisis causa-efecto, etc. tienen la responsabilidad
de obtener un listado o diccionario de todos los
riesgos y las posibles consecuencias en la
realización de las actividades y cumplimiento de los
objetivos institucionales.
 Resumiendo…

• El análisis de riesgos consiste en determinar la

probabilidad, impacto e importancia, usando
métodos cualitativos o cuantitativos para
obtener el cálculo del riesgo inherente y
separar los riesgos utilizando una escala de
calificación de: bajos, moderados y altos
representados por los colores verde, naranja
y rojo, respectivamente.
 Resumiendo…El tratamiento de los riesgos consiste en
identificar las opciones para mitigarlos, su valoración
y la implementación del plan para llevarlas a cabo.
Son las acciones que la entidad toma para prevenir o
corregir los impactos de eventos que afectarían el
logro de los objetivos

El tratamiento o mitigación de los riesgos consiste en identificar

las opciones de para evitar, reducir, compartir o asumir la
ocurrencia de los mismos, a través de la aplicación de estrategias
y planes de acción formalmente establecidos que incluyan: las
actividades propuestas, los responsables, los recursos necesarios,
el tiempo y cronograma de ejecución, así como los indicadores a
través de los cuales se medirá y evaluará su cumplimiento.