La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

BIENVENIDOS 1.

Publicada porFernándo Alviar Modificado hace 10 años

Presentaciones similares

Presentación del tema: "BIENVENIDOS 1."— Transcripción de la presentación:

1 BIENVENIDOS 1

2 ADMINISTRACIÓN DEL RIESGO
2

3 Objetivos Destacar la importancia de la administración del riesgo en la gestión pública. Presentar las diferentes fases que deben desarrollarse para una efectiva administración del riesgo.

4 "Retroceder ante el peligro da por resultado cierto aumentarlo.“
Gustave Le Bon

5 Normas Ley 87 - 1993 Art. 209 Constitución Política 1991 Art. 269
Decreto Ley Decreto Constitución Política 1991 Art. 209 Art. 269 Ley ART. 209 PRINCIPIOS ADMÓN PÚBLICA: Igualdad Moralidad Eficacia Celeridad Imparcialidad Publicidad Valoración costos ambientales ART. 269: Obligatoriedad de contar con métodos y procedimientos de Control Interno. LEY 489 DE 1998: Reitera que bajo los principios arriba mencionados la función administrativa busca satisfacer las necesidades generales de los habitantes. LEY 87 DE 1993: Trata temas como: Definición de control interno Objetivos de control interno Campo de aplicación Responsabilidad del control interno De las of. De control interno Designación del jefe de control interno DECRETO 2145 DE 1999: Trata sobre el Sistema Nacional de Control Interno, sus instancias de articulación, facilitadores, evaluadores DECRETO 1537 DE 2001: reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativo que fortalezcan el sistema de control interno de las entidades y organismos del Estado: PROCESOS, PROCEDIMIENTOS, OF. DE CONTROL INTERNO, POLÍTICAS DE CONTROL INTERNO EMITIDAS POR EL DAFP Y ESPECIFICAMENTE EL ART. 4 TRATA EL TEMA DE ADMON DEL RIESGO. Decreto 5

6 Normas técnicas y estándares internacionales
MODELO COSO Relación entre los objetivos de la entidad y los componentes de Admón. del Riesgo AS/NZS4360 Gestión del Riesgo Modelo Australiano (1999) ICONTEC NTC5254 Norma Técnica Colombiana de Gestión de Riesgo

7 1. Principios y Directrices. Técnicas para el manejo del riesgo
NTC5254 1. NTC31000 2. GTC137 NTC31010 ANULADA 1. Principios y Directrices. 2. Vocabulario Técnicas para el manejo del riesgo

8 Estatuto anticorrupción
“En aquellas entidades donde se tenga implementado un sistema integral de administración de riesgos, se podrá validar la metodología de este sistema con la definida por el Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción”. CAPÍTULO VI Políticas institucionales y pedagógicas Artículo 73. Plan Anticorrupción y de Atención al Ciudadano. Cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la atención al ciudadano. El Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción señalará una metodología para diseñar y hacerle seguimiento a la señalada estrategia. Parágrafo. En aquellas entidades donde se tenga implementado un sistema integral de administración de riesgos, se podrá validar la metodología de este sistema con la definida por el Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción.

9 Importancia La Administración del riesgo garantiza hoy la supervivencia de las entidades en entornos complejos e inciertos. marini-cieloytierra.blogspot.com 720 × en un camino difícil :. marini-cieloytierra.blogspot.com 720 × en un camino difícil :. La Administración del riesgo garantiza hoy la supervivencia de las entidades en entornos complejos e inciertos. Los escenarios donde la certidumbre en el comportamiento de los ambientes permitía predecir con mucha precisión lo que iba a pasar, quedaron en el pasado. El proceso de adaptación incluye un ajuste permanente de los mecanismos de gestión que permite a los responsables de la organización (directivos, líderes de proceso y equipos operativos) trabajar, en ambientes inciertos en estado de alerta. La habilidad de permanecer atento a los cambios es la base de la Administración del Riesgo; por lo tanto, las entidades del Distrito requieren de esta para desarrollar una gestión pública que responda a las necesidades y expectativas cambiantes de la ciudadanía. La gestión organizacional ha pasado “de ambientes estables y poco complejos a ambientes complejos e inciertos”. VEEDURÍA DISTRITAL. Guía para la implementación del Modelo Estándar de Control Interno (MECI) con Enfoque Sistémico. Bogotá: Equilátero, p. 125.

10 Reflexión al enfoque tradicional
El riesgo concebido como generador de daños. El modelo tradicional solo contemplaba la preparación para mitigar el riesgo. La identificación del riesgo se hacía de manera fragmentada Los controles tenían una evaluación subjetiva El riesgo tradicionalmente se ha concebido como generador de daños; al contrario, la identificación y tratamiento adecuado del riesgo es una fuente de oportunidades de mejora. El modelo tradicional de Administración de Riesgo solo contemplaba la planificación y la preparación para mitigar el riesgo. Hoy la Administración del Riesgo analiza el riesgo de manera integral: antes, durante y después de la ocurrencia de un siniestro. Los riesgos se trataban individualmente, identificando sus causas de manera separada. El resultado de ese enfoque generaba duplicidad en la identificación de fuentes, tratamientos y controles. Ahora los riesgos están relacionados, se pueden presentar y materializar al mismo tiempo (concurrencia de siniestros) y algunos son generadores de otros riesgos. La identificación del riesgo se hacía de manera fragmentada y no existía coherencia entre causa riesgo y consecuencia, al punto de confundir unas con otras. Ahora, cobra vigencia la utilización de técnicas, para evitar esa confusión y definir articuladamente todos los factores asociados al riesgo. Los controles, que se identificaban en la etapa de valoración del riesgo, tenían una evaluación subjetiva lo cual generaba una evaluación posterior del riesgo irreal. Ahora, se incorporan parámetros para disminuir la subjetividad, lo cual permite identificar las opciones correctas de manejo.

11 Características Proceso permanente e interactivo. Evaluación dinámica.
Enfoque en los objetivos. Integración de los controles a los procesos. La Administración del Riesgo en las organizaciones distritales implica: Proceso permanente e interactivo entre la Administración, compuesta por directivos, representante de la Alta Dirección, líderes de procesos y oficina de control interno (jefe, asesor o coordinador y su equipo de trabajo). Evaluación dinámica del ambiente y los aspectos que afectan de manera positiva o negativa la gestión de la institución, dado que el riesgo se presenta en un entorno cambiante, por modificaciones normativas, rotación del personal y/o cambios tecnológicos, presencia de nuevos riesgos, impactos calculados que pueden no ser los reales, controles establecidos insuficientes o demasiado severos, engorrosos y/o costosos. Enfoque en los objetivos, con énfasis en el análisis de los factores internos y externos que pueden afectar el cumplimiento de los objetivos organizacionales. Priorizar permite acciones concretas, evidenciables y realizables para prevenir y/o mitigar los riesgos, sobre la base del compromiso de los responsables para su ejecución. Integración de los controles a los procesos, procedimientos y actividades.

12 Conformación de los equipos y contextualización
Primera etapa Conformación de los equipos y contextualización gestion075.jpg gestion.org 600 × Los equipos de trabajo

13 Representante de la Dirección
Agentes El éxito de la administración del riesgo depende de la participación de los directivos y funcionarios. Representante de la Dirección Alta Dirección Equipo MECI/SIG OCI Alta Dirección: establece las directrices para la Administración del Riesgo en la organización. Es preciso resaltar que la Alta Dirección es la responsable del fortalecimiento de la política de administración del Riesgo. Representante de la Dirección: coordina y lidera el proceso de Administración del Riesgo y debe asegurar su desarrollo armónico y cabal. Equipo MECI / SIG: identifica, analiza, evalúa y valora los riesgos de la organización. El equipo se conforma, según las orientaciones de la Alta Dirección. El equipo MECI está conformado por un delegado de cada proceso, pero esto no quiere decir que el proceso de administración de riesgos este solo bajo su responsabilidad. Al contrario, cada líder se encarga de garantizar que en el proceso a su cargo se definan los riesgos que le competen, se establezcan las estrategias para tratarlos y, sobre todo, que se llegue a cada funcionario que trabaja en dicho proceso. No se debe olvidar que son las personas que trabajan en cada uno de los procesos los que mejor conocen los riesgos existentes en el desarrollo de sus actividades. La Oficina de Control Interno o quien haga sus veces: asesora, apoya y acompaña a todos los responsables del proceso; hace evaluación y seguimiento a la política, los procedimientos y los controles propios de la Administración de Riesgos. Hay que recordar que en cumplimiento del principio de la independencia los funcionarios de la OCI no participan en los procesos, mediante autorizaciones o refrendaciones.

14 ¿Cómo está la organización respecto a la Administración del riesgo?
Contexto ¿Cómo está la organización respecto a la Administración del riesgo? ¿Cuáles serán las acciones para seguir con base en los resultados anteriores? ¿Cómo está la organización respecto a la Administración del riesgo, según la autoevaluación del control y la evaluación independiente al Sistema de Control Interno? ¿Cuáles serán las acciones para seguir con base en los resultados anteriores?

15 Política de Administración
Orientaciones o directrices, documentadas y formalizadas, de la Alta Dirección para ser tenidas en cuenta en la gestión de la organización y que tienen como propósito evitar la materialización del riesgo. ¿Cómo está la organización respecto a la Administración del riesgo, según la autoevaluación del control y la evaluación independiente al Sistema de Control Interno? ¿Cuáles serán las acciones para seguir con base en los resultados anteriores?

16 Componentes de la Política
Justificación y fundamentos Obligaciones y responsabilidades Forma de dirimir los intereses en conflicto Compromiso disposición de recursos para la gestión del riesgo. Rendición de cuentas Forma para medir y reportar la gestión del riesgo. Compromiso de revisar periódicamente y mejorar la política de gestión del riesgo Medios para comunicar la política Justificación de la organización y fundamentos para la gestión del riesgo. Obligaciones y responsabilidades para gestionar el riesgo. Forma de dirimir los intereses en conflicto de los gestores público frente a terceros. Compromiso para poner a disposición los recursos necesarios que los responsables requieren para la gestión del riesgo. Rendición de cuentas de la gestión del riesgo. Forma en la cual se va a medir y a reportar el desempeño de la gestión del riesgo. Compromiso de revisar periódicamente y mejorar la política de gestión del riesgo, en respuesta a un evento o cambio de las circunstancias. Determinación de los medios para comunicar la política a todos los integrantes de la organización.

17 Segunda etapa Ejecución sinergia.jpg eduardo-nieto.com
400 × La Sinergia y el Trabajo en Equipo. Todos quienes de una u otra

18 Pasos para la ejecución
1. Contexto estratégico 2. Identificación 3. Clasificación 4. Análisis 5. Valoración 6. Plan de Contingencia 7. Mapa de riesgos 8. Autoevaluación

19 1. Contexto estratégico Observación, distinción y análisis de circunstancias internas y externas que generan oportunidades o que afectan el cumplimiento de la función, misión y objetivos institucionales. mirando+en+la+ventana.jpg paolisimo.blogspot.com 400 × ¿o simplemente a la sombra de unas forestas?  Paso 1. Identificación de factores internos y externos. El contexto estratégico es el “Elemento de control, que permite establecer el lineamiento estratégico que orienta las decisiones de la entidad pública, frente a los riesgos que pueden afectar el cumplimiento de sus objetivos producto de la observación, distinción y análisis del conjunto de circunstancias internas y externas que puedan generar eventos que originen oportunidades o afecten el cumplimiento de su función, misión y objetivos institucionales”. La Alta Dirección, en relación con el contexto estratégico, debe definir la misión institucional, los objetivos que permiten ponerla en práctica y garantizar su permanencia en el tiempo, según la visión acordada. Esta responsabilidad requiere una mirada sistemática de la gestión de la organización que articule cada uno de los procesos de manera que se satisfagan las necesidades de la ciudadanía. Cuando se determina el contexto (interno y externo), la organización articuladamente define sus objetivos los cuales se deben tener en cuenta al administrar el riesgo. La Norma ISO 31000:2009 establece que antes de definir los lineamientos de la Administración de Riesgos y aplicarlos, es importante evaluar y entender tanto el contexto externo como el interno de la organización. anexo técnico del Decreto 1599 de 2005, apartado COLOMBIA. DEPARTAMENTO …..Decreto 1537 (XX, mes, 2001). Por el cual……. Bogotá., d. c. El Departamento.. año. artículo 4. Xx p. El contexto estratégico, externo e interno, es la base para definir los riesgos en los procesos y actividades. Dicho contexto permite administrarlo de manera organizada y enfocada en aspectos ya establecidos por la Alta Dirección. Resultados esperados del contexto estratégico. Este paso, como lo establece el DAFP, permite: Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la entidad. Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el análisis de los componentes Ambiente de Control, Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad. Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo. Conocidos los factores generadores de riesgo y dado por entendido que la Administración del Riesgo es un trabajo en equipo liderado y motivado constantemente por la Alta Dirección, se continúa con la identificación del riesgo. Departamento Administrativo de la Función Pública. Cartillas de Administración Pública. 7 Guía de Administración del Riesgo. Pág. 28

20 Contexto externo Entorno donde la organización interactúa y analiza amenazas y oportunidades. Sociales Culturales Legales Regulatorios Financieros Tecnológicos Ambientales Competencia Políticos El contexto externo. Es el entorno donde la organización interactúa y en el cual se analizan amenazas y oportunidades. La evaluación de contexto externo de la organización debe incluir: Los aspectos que pueden ser sociales, culturales, legales, regulatorios, financieros, tecnológicos, económicos, naturales, ambientales, competitivos, así como las relaciones, las percepciones y las políticas, en los ámbitos internacionales, nacionales, regionales o locales. Aspectos

21 Contexto interno Ámbito de acción, para alcanzar objetivos y analizar debilidades y fortalezas. Cultura Administración, estructura organizacional Funciones y responsabilidades Capacidades (recursos y conocimiento) Sistemas de información y comumicación Normas, directrices y modelos Forma y alcance relaciones contractuales Políticas, objetivos y estrategias El contexto interno. Es el ámbito donde se realizan las acciones para alcanzar los objetivos y en el cual se analizan las debilidades y fortalezas. La evaluación de contexto interno de la organización debe incluir: La cultura de la organización. La administración, la estructura organizacional, las funciones y las responsabilidades. Las políticas, los objetivos y las estrategias que existen para su realización. Las capacidades, entendida en términos de recursos y de conocimiento (de capital, tiempo, personas, infraestructura, procesos, sistemas y tecnologías). Los sistemas de información y comunicación, flujos de información formales e informales y toma de decisiones. Las normas, directrices y modelos adoptados por la organización. La forma y el alcance de las relaciones contractuales. Aspectos

22 2. Identificación del riesgo
Posibilita conocer los eventos, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. reduccion_riesgos.jpg decisionejecutiva.com 580 × Identificación de riesgos personales, en vehículos, en el hogar, ... Paso 2. Identificación del riesgo. Es el “elemento de control que posibilita conocer los eventos potenciales, estén o no bajo el control de la entidad pública, que ponen en riesgo el logro de su misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia”. En este paso se identifican los riesgos institucionales y por procesos que la organización debe gestionar. Esta identificación se realiza con base en el contexto estratégico, definido en el paso anterior. Los riesgos por procesos parten del análisis del objetivo del proceso para identificar los eventos que puedan afectar su cumplimiento y los riesgos institucionales parten de la identificación que hace la Alta Dirección de posibles eventos que si se materializan, ponen en peligro el cumplimiento de la misión o la existencia misma de la organización. Estos eventos se identifican, mediante un análisis integral del contexto estratégico previamente definido. La formulación del mapa de riesgos institucional debe tener en cuenta los mapas de riesgos por procesos, pero la suma de los riesgos de estos no constituye el mapa institucional.

23 Contexto estratégico (interno/externo) ¿Qué? (Evento o incidente)
Instrumentos 1. Preguntas del riesgo ORGANIZACIÓN/PROCESO: MISIÓN/OBJETIVO: Contexto estratégico (interno/externo) ¿Qué? (Evento o incidente) ¿Dónde? ¿Cuándo? ¿Por qué? ¿Cómo? Consecuencia Evento Externo-Peligroso-Fenómeno climático. Inundación Bodega Noviembre Época de lluvias En época de lluvias por un mal diseño en la bodega se da una inundación que inicia en su parqueadero y recorre la bodega hacia el fondo. Costos de reproceso Instrumentos para la identificación. La participación activa de los diferentes agentes definidos y el registro de las acciones realizadas (instrumento, método, alcance, participantes, fuentes de información y riesgos identificados) permitirán una adecuada identificación de los riesgos. Tal como se planteó en las reflexiones al enfoque tradicional la identificación del riesgo se hacía de manera fragmentada y no existía coherencia entre causa riesgo y consecuencia, al punto de confundir unas con otras, ahora cobra vigencia la utilización de técnicas, para evitar esa confusión y definir articuladamente todos los factores asociados al riesgo. Se presentan algunos instrumentos a continuación: Preguntas del Riesgo. En la identificación del riesgo se debe dar respuesta a cinco preguntas esenciales: ¿Qué puede suceder? ¿Dónde puede suceder? ¿Cuándo puede suceder? ¿Por qué puede suceder? ¿Cómo puede suceder? Estas preguntas proporcionan los elementos básicos de identificación del riesgo, sus fuentes, causas, eventos generadores, escenarios, etc., que lo caracteriza. Para tener más claridad, al momento de identificar los riesgos en la organización, se puede diligenciar una matriz como la siguiente:

24 2. Retrospectiva para la identificación
Experiencias pasadas Riesgos materializados recientemente o no Problemas generados en la organización/proceso Informes presentados Informes de la empresa de seguros Experiencias personales Conceptos de expertos Listas de chequeo Retrospectiva para la identificación. La información existente en la organización/proceso permite aprovechar las experiencias de la gestión, para detectar posibles situaciones de riesgo y no incurrir en errores del pasado. Esta información se puede adquirir mediante: Experiencias pasadas. Riesgos materializados recientemente o no. Problemas generados en la organización/proceso. Informes presentados. Informes de la empresa de seguros. Experiencias personales. Conceptos de expertos. Listas de chequeo. Posterior a la recopilación de la información se pueden utilizar técnicas, como lluvia de ideas, para definir la lista de posibles riesgos. Posterior a la recopilación de la información se pueden utilizar técnicas, como lluvia de ideas, para definir la lista de posibles riesgos.

25 Metalenguaje del riesgo
Conector o enlace Causa Riesgo Efecto / Consecuencia Debido al uso de un calendario tributario obsoleto puede ocurrir que se presente una declaración de impuestos extemporánea lo cual podría - generar una sanción pecuniaria para la entidad. - generar una sanción disciplinaria para un(os) funcionario(s). Metalenguaje del riesgo. Un método apropiado para la definición de los riesgos consiste en usar el Metalenguaje del Riesgo (véase cuadro 2) para proveer una identificación del riesgo estructurada en tres partes: Debido a <una o más causas>, podría ocurrir <un riesgo>, lo que podría llevar a <uno o más efectos>. El metalenguaje del riesgo pretende asegurar que se identifiquen correctamente causas, riesgos y consecuencias, sin confundir unas con otras; de no ser así, los pasos posteriores quedan viciados de error.

26 3. Clasificación del riesgo
Estratégicos Financieros Operativos Cumplimiento Tecnología Imagen decorailumina.com 325 × evitar perder el cuidado de tu apariencia.

27 Riesgos estratégicos Mercados Clientes Competidores Globalización
Alianzas estratégicas Sector económico Desarrollo de nuevos bienes o servicios rgprofesional.org 425 × Como se sabe la aplicación de la planeación estratégica data de la década ... Riesgos estratégicos. Son los relacionados con la misión y el cumplimiento de los objetivos estratégicos, la definición de políticas, diseño y conceptualización de la entidad por parte de la Alta Gerencia. Por ejemplo: - Mercados. - Clientes. - Competidores. - Globalización. - Alianzas estratégicas. - Sector económico. - Desarrollo de nuevos bienes o servicios.

28 Riesgos financieros Transferencias Facturación Tesorería
Comercialización Inversión Flujos de efectivo Capital de trabajo Reportes financieros mercado‑financiero.jpg bolsadelima.pe 400 × El Sistema Financiero está formado por el conjunto de Riesgos financieros. Son los relacionados con la gestión financiera de la organización que pueden surgir de: - Transferencias. - Facturación - Tesorería. - Comercialización. - Inversión. - Flujos de efectivo. - Capital de trabajo. - Reportes financieros.

29 Riesgos operativos Flujos de información y comunicación.
Operación de los procesos y su interrelación. Debilidad interna en la infraestructura, dotación, talento humano. La desarticulación entre procesos/dependencias. ejecutivos‑979992_1.jpg deia.com 614 × Varios ejecutivos de banca, trabajando en su oficina. Riesgos operativos. Son los relacionados con la parte operativa y técnica de la entidad que pueden surgir de: Flujos de información y comunicación. Operación de los procesos y su interrelación. Debilidad interna en la infraestructura, dotación, talento humano. La desarticulación entre procesos/dependencias.

30 Riesgos de cumplimiento
Regulativos Legales Contractuales Conducta de negocios Ético Fiduciarios Calidad jueces.jpg culturayanarquismo.blogspot.com 300 × Jueces buenos, jueces malos. A propósito de Garzón Riesgos de cumplimiento. Son los relacionados con la capacidad de la organización para cumplir con los requisitos. Por ejemplo: Regulativos. Legales. Contractuales. De conducta de negocios. De Ética. Fiduciarios. De calidad.

31 Riesgos de tecnología Software: compatibilidad, configuración.
Hardware: capacidad, desempeño, obsolescencia. Sistemas: diseño, complejidad, especificaciones. ImgArticulo_T1_103189_ _ jpg semana.com 420 × ¿Qué nos ofrecerá la tecnología en 2012? 9vAPM&imgurl= Riesgos de tecnología. Son los relacionados con la capacidad de la organización, para que la tecnología disponible y proyectada satisfaga las necesidades actuales y futuras y soporte de la organización. Por ejemplo: Software: compatibilidad, manejo de configuración, etcétera. Hardware: capacidad, desempeño, obsolescencia. Sistemas: diseño, complejidad, especificaciones.

32 Riesgos de imagen Conocimiento de prácticas corruptas.
Manejo desacertado de las comunicaciones. Insatisfacción ciudadana. Incumplimiento de la planeación. corrupcion.jpg elgirones.com 352 × corrupción y promover la transparencia en los gobiernos territoriales. Riesgos de imagen. Son los relacionados con la percepción y la confianza por parte de la ciudadanía hacia la organización. Por ejemplo: Conocimiento de prácticas corruptas. Manejo desacertado de los medios de comunicación. Insatisfacción ciudadana por el mal servicio. Incumplimiento de planes, programas y proyectos.

33 4. Análisis del riesgo Establece la probabilidad de ocurrencia y el impacto, calificándolos y evaluándolos, para determinar la capacidad de aceptación y manejo que tiene la entidad.

34 Calificación del riesgo
Estimación de la probabilidad de ocurrencia del riesgo y el impacto que puede causar su materialización. Probabilidad Medida para estimar la ocurrencia del riesgo Impacto Consecuencias que tiene para la organización la materialización del riesgo Calificación del riesgo. Se logra mediante la estimación de la probabilidad de ocurrencia del riesgo y el impacto que puede causar su materialización. Probabilidad es la medida para estimar la ocurrencia del riesgo y puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo número de veces en un tiempo determinado) o de factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. (Véase Cuadro 3). Un factor importante para calificar el nivel de probabilidad del riesgo lo determina la frecuencia. Impacto: son las consecuencias que puede ocasionar a la organización la materialización del riesgo. (Véase Cuadro 4). Un factor importante para estimar la calificación lo determina el tipo de impacto.

35 Calificación de la probabilidad
NIVEL CONCEPTO DESCRIPCIÓN FRECUENCIA 1 Raro Puede que no se haya presentado u ocurrir sólo en circunstancias excepcionales. Nunca o no se ha presentado en los últimos 5 años 2 Improbable Pudo ocurrir en algún momento, es poco común o frecuente Al menos una vez en los últimos 5 años 3 Posible Puede ocurrir en algún momento Al menos una vez en los últimos 2 años 4 Probable Ocurrirá en la mayoría de las circunstancias. Al menos una vez en el último año 5 Casi Seguro Se espera que ocurra en la mayoría de las circunstancias Más de una vez al año Fuente: Basado en el esquema del DAFP Las tablas de calificación de probabilidad e impacto se pueden modificar o ajustar según la naturaleza y características de la organización. La calificación inicial de probabilidad e impacto, corresponde al riesgo inherente; es decir, previo a la identificación de los controles.

36 Calificación del impacto
TIPO DE IMPACTO INSIGNIFICANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5) Si el hecho llegara a presentarse tendría consecuencias o efectos mínimos sobre la organización. Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la organización. Si el hecho llegara a presentarse tendría medianas consecuencias o efectos sobre la organización. Si el hecho llegara a presentarse tendría altas consecuencias o efectos sobre la organización. Si el hecho llegara a presentarse tendría desastrosas consecuencias o efectos sobre la organización. Imagen (asociado con la pérdida de credibilidad) Afecta a un grupo de funcionarios del proceso. Afecta a todos los funcionarios de la organización. Afecta a los usuarios de la organización. Afecta a los usuarios del sector. Afecta a la ciudadanía. Seguridad de la información (pérdida o revelación de la información) Afecta a una persona o una actividad del proceso. Afecta a un grupo de trabajo o algunas actividades del proceso. Afecta el proceso. Afecta varios procesos de la organización. Afecta toda la organización. Fuente: Basado en el esquema del DAFP Las tablas de calificación de probabilidad e impacto se pueden modificar o ajustar según la naturaleza y características de la organización. La calificación inicial de probabilidad e impacto, corresponde al riesgo inherente; es decir, previo a la identificación de los controles.

37 Impacto legal (asociado con el cumplimiento normativo)
TIPO DE IMPACTO INSIGNIFICANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5) Si el hecho llegara a presentarse tendría consecuencias o efectos mínimos sobre la organización. Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la organización. Si el hecho llegara a presentarse tendría medianas consecuencias o efectos sobre la organización. Si el hecho llegara a presentarse tendría altas consecuencias o efectos sobre la organización. Si el hecho llegara a presentarse tendría desastrosas consecuencias o efectos sobre la organización. Impacto legal (asociado con el cumplimiento normativo) Genera un requerimiento. Genera investigaciones disciplinarias, y/o fiscales y/o penales. Genera interrupciones en la prestación del bien o servicio. Genera sanciones. Genera cierre definitivo de la organización. Operativo (asociados con la forma técnica y operativa de llevar a cabo las actividades) Genera ajustes a una actividad concreta. Genera ajustes en los procedimientos. Genera ajustes o cambios en los procesos. Genera intermitencia en el servicio. Genera paro total del proceso y/o de la organización. Financiero (asociada con impactos que generen pérdidas económicas) La pérdida financiera no afecta la operación normal de la entidad. La pérdida financiera afecta algunos servicios administrativos. La pérdida financiera afecta parcialmente la prestación del servicio. La pérdida financiera afecta considerablemente la prestación del servicio. La pérdida financiera afecta totalmente la prestación del servicio. Fuente: Basado en el esquema del DAFP Las tablas de calificación de probabilidad e impacto se pueden modificar o ajustar según la naturaleza y características de la organización. La calificación inicial de probabilidad e impacto, corresponde al riesgo inherente; es decir, previo a la identificación de los controles.

38 Evaluación del riesgo Comparación entre los resultados de la calificación (probabilidad e impacto) para establecer el grado de exposición de la organización al riesgo. “La calificación y evaluación inicial del riesgo inherente se deben hacer antes de la identificación de los controles”.

39 Evitar, reducir, compartir o transferir el riesgo
Evaluación por zonas PROBABILIDAD I M P A C T O 1 2 3 4 5 Insignificante Menor Moderado Mayor Catastrófico Raro B M Improbable A Posible E Probable Casi seguro Zona de Riesgo Opciones de manejo B Baja Asumir el riesgo M Moderada Reducir el riesgo A Alta Evitar, reducir, compartir o transferir el riesgo E Extrema

40 Evaluación por zonas PROBABILIDAD I M P A C T O 1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico Raro Improbable 6 8 10 Posible 9 12 15 Probable 16 20 Casi seguro 25 Rangos según resultado de la evaluación (Probabilidad por impacto) Zona de riesgo 1 a 3 Zona de riesgo baja 4 a 6 Zona de riesgo moderada 7 a 14 Zona de riesgo alta 15 a 25 Zona de riesgo extrema

41 Identificación de los controles Evaluación de los controles
5. Valoración del riesgo Es el producto de confrontar la evaluación del riesgo y los controles (preventivos o correctivos) de los procesos y procedimientos. Identificación de los controles Evaluación de los controles Valoración del riesgo Paso 5. Valoración del riesgo. Es el producto de confrontar la evaluación del riesgo y los controles (preventivos o correctivos) de los procesos y procedimientos. La Administración del Riesgo contribuirá a la gestión de la organización, en la medida en que los controles se identifiquen, documenten, apliquen y sean efectivos para prevenir o mitigar los riesgos. La valoración del Riesgo se debe realizar en dos momentos: primero identificando los controles (preventivos o correctivos) que pueden disminuir la probabilidad de ocurrencia o el impacto del riesgo; luego, se deben evaluar los controles.

42 Identificación de los controles
Características Objetivos Pertinentes Económicos Realizables Medibles Periódicos Efectivos Asignables Identificación de los controles Identificación y características de los controles. Todos los controles, existentes y por definir, deben estar orientados a atacar las causas del riesgo. Los controles deben ser: - Objetivos: no dependen del criterio de quien lo defina y/o ejecute, sino de los resultados que se esperan obtener. - Pertinentes: corresponden a las causas propias del riesgo. - Económicos: costos razonables de los recursos requeridos. - Realizables: se pueden llevar a cabo. - Medibles: permiten el establecimiento de indicadores - Periódicos: tienen frecuencia de aplicación en el tiempo. - Efectivos: producen impacto positivo. - Asignables: tienen responsables. “Todos los controles deben estar orientados a atacar las causas del riesgo”

43 Ejemplo Causa Riesgo Efecto/Consecuencia Control
Uso de un calendario tributario obsoleto. Declaración de impuestos extemporánea Sanciones pecuniarias para la entidad o disciplinaria para un(os) funcionario(s). El contador y/o el subdirector administrativo y financiero debe realizar la actualización y divulgación, en enero de cada año, de los calendarios tributarios, nacionales y distritales, en página Web, Intranet, físicos, etcétera. Objetivos Económicos Medibles Efectivos Pertinentes Realizables Periódicos Asignables

44 Evaluación de los controles
PREGUNTAS SI / NO Puntaje 1. ¿El control está documentado, incluye el responsable y la frecuencia de aplicación? 25% 2. ¿El control se está aplicando? 3. ¿El control es efectivo (sirve o cumple su función)? 50% TOTAL 100% Nota: en la primera pregunta cuando no se cumpla con algunos de los tres aspectos relacionados (documentado, responsable y frecuencia), se debe marcar la opción NO y el puntaje asignado será cero.

45 Evaluación del riesgo residual
RANGO Casillas a disminuir en la Probabilidad Casillas a disminuir en el Impacto 0-50 51-75 1 76-100 2 Nota: si existe más de un control asociado al riesgo, el resultado será el promedio de la sumatoria de estos, según el número de controles establecidos.

46 Evaluación del riesgo residual
El desplazamiento del riesgo en la(s) casilla(s) del cuadro de calificación y evaluación del riesgo depende de si el control afecta la probabilidad (prevención) o el impacto (protección). CUANDO LOS CONTROLES AFECTAN: DIRECCIÓN DEL DESPLAZAMIENTO Probabilidad + Probabilidad = Probabilidad Probabilidad + Impacto = Impacto Impacto + Impacto Probabilidad + Probabilidad + Impacto Probabilidad + impacto + Impacto

47 Ejemplos de desplazamiento
No hay desplazamiento RI RR Resultado de la evaluación en el rango 0-50

48 Cuando afecta probabilidad
RI RR Cuando afecta impacto Cuando afecta probabilidad Resultado de la evaluación en el rango 51-75

49 Cuando afecta probabilidad
RI RR Cuando afecta impacto Cuando afecta probabilidad Resultado de la evaluación en el rango

50 Opciones de manejo del riesgo
Zona de Riesgo Opciones de manejo B Baja Asumir el riesgo M Moderada Reducir (medidas para llevarlo a la zona baja), asumir el riesgo A Alta Evitar, reducir (medidas para llevarlo a la zona moderada), compartir o transferir el riesgo E Extrema Evitar (controles de prevención), reducir (controles de protección), compartir o transferir el riesgo (pólizas) Asumir Reducir Evitar Compartir o transferir - Asumir el riesgo: se acepta la pérdida probable si el riesgo se materializa. - Reducir el riesgo: se optimizan y mejoran los procesos y procedimientos. - Evitar el riesgo: se rediseñan o eliminan los procesos y procedimientos. - Compartir o transferir el riesgo: se trasladan, total o parcialmente, las posibles pérdidas a otras organizaciones.

51 Definición de acciones
Ubicado el riesgo, y según las opciones de manejo: formule las acciones orientadas al mejoramiento de las fallas de los controles. Acción Responsable Plazo de ejecución Formulación de las acciones Formulación de acciones para los controles asociados al riesgo. Una vez determinada la zona donde está ubicado el riesgo, y dependiendo de las opciones de manejo, se deben formular las acciones orientadas al mejoramiento de las fallas encontradas en los controles. Si la evaluación del riesgo residual, lo ubica en la zona baja no se deben formular acciones de manejo, sino fortalecer los controles previamente establecidos. Los riesgos ubicados en las zonas de riesgo moderada, alta o extrema, exigen realizar acciones que fortalezcan los puntos débiles identificados en la evaluación de los controles. Las acciones que se identifiquen deben establecer los responsables y el plazo de ejecución.

52 6. Plan de contingencia Acciones para corregir los efectos inmediatos de la materialización del riesgo y para evitar su recurrencia. Corrección Acción correctiva Plan de contingencia Formulación del Plan de Contingencia. El plan de contingencia define las acciones inmediatas que se deben tomar cuando el riesgo se materializa para corregir los efectos inmediatos de la materialización (correcciones) y formular acciones correctivas para evitar su recurrencia.

53 Declaración de impuestos extemporánea
Ejemplo Riesgo Plan de contingencia Declaración de impuestos extemporánea Corrección Acciones Correctivas Proceder a la liquidación inmediata de la multa e informar a presupuesto y contabilidad. Establecer responsabilidades que llevaron a la declaración extemporánea. Revisar y reformular los tiempos internos de liquidación de los impuestos.

54 7. Mapas de riesgos Factores internos y externos de riesgo Causas
Consecuencias Clasificación del riesgo Calificación del riesgo inherente Evaluación del riesgo inherente Identificación de los controles Valoración de los controles Calificación del riesgo residual Evaluación del riesgo residual Acciones para los controles asociados al riesgo Plan de contingencia Consolidación de Mapas de Riesgos. Los mapas de riesgos son una representación gráfica que registra cada uno de los pasos, para la Administración del Riesgo. Aquellos deben contener como mínimo lo siguiente: Establecimiento de los factores internos y externos de riesgo. Definición de las causas del riesgo. El riesgo. Consecuencias del riesgo. Clasificación del riesgo. Calificación del riesgo inherente. Evaluación del riesgo inherente. Identificación de los controles asociados al riesgo. Valoración de los controles. Calificación del riesgo residual. Evaluación del riesgo residual. Formulación de acciones para los controles asociados al riesgo (cronograma y responsables). Plan de contingencia.

55 8. Autoevaluación del riesgo
Riesgos Controles Cumplimiento de las acciones Responsables Evaluación de los líderes de procesos Paso 8. Autoevaluación del riesgo. Los líderes de los procesos deben evaluar periódicamente los mapas de riesgos verificando: - Riesgos. - Controles. - Cumplimiento de las acciones. - Responsables

56 Evaluación, seguimiento y medición
Tercera etapa Evaluación, seguimiento y medición reglas.jpg jorgelorena.blogspot.com

57 Evaluación independiente
La metodología de administración del riesgo. La administración de los riesgos por proceso e institucionales. Evaluación independiente a la Administración del Riesgo. La Oficina de Control Interno debe evaluar el cumplimiento de las políticas, la efectividad de los controles y acciones tomadas, para asegurar que los riesgos institucionales y por procesos estén administrados apropiadamente. Los aspectos que se deben contemplar en esta evaluación son: La metodología de Administración del Riesgo (diseño y funcionamiento). La administración de los riesgos por proceso e institucionales (calificación y evaluación, efectividad de los controles y cumplimiento de las acciones formuladas). Los resultados de la evaluación y las observaciones de la Oficina de Control Interno deben ser presentados a la Alta Dirección, para que se tomen las decisiones pertinentes que garanticen la sostenibilidad de la Administración del Riesgo en la organización.

58 Seguimiento y medición
Los líderes de los procesos deben monitorear periódicamente su mapa de riesgos, garantizando la eficiencia, eficacia y efectividad de las acciones propuestas para su tratamiento.

59 GRACIAS 59

Descargar ppt "BIENVENIDOS 1."

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
ADMINISTRACIÓN DE RIESGOS

ADMINISTRACIÓN DE RIESGOS
Sistemas de Calidad / ISO 9001:2000

Sistemas de Calidad / ISO 9001:2000
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
CONCEPTOS ERRADOS DEL CONTROL INTERNO

CONCEPTOS ERRADOS DEL CONTROL INTERNO
M ODELO E STANDAR DE C ONTROL I NTERNO

M ODELO E STANDAR DE C ONTROL I NTERNO
Promotora de Proyectos

Promotora de Proyectos
Administración de los riesgos desde la perspectiva del Control Interno

Administración de los riesgos desde la perspectiva del Control Interno
ADMINISTRACION DE RIESGOS

ADMINISTRACION DE RIESGOS
CUENTAS CLARAS, ESTADO TRANSPARENTE

CUENTAS CLARAS, ESTADO TRANSPARENTE
Sistema de Control de Gestión.

Sistema de Control de Gestión.
Estructura Sistema de Control Interno

Estructura Sistema de Control Interno
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
GESTION DEL RIESGO – CLASIFICACION POR PROCESOS

GESTION DEL RIESGO – CLASIFICACION POR PROCESOS
SISTEMA DE DESARROLLO ADMINISTRATIVO -SISTEDA

SISTEMA DE DESARROLLO ADMINISTRATIVO -SISTEDA
Metodología Administración Riesgos

Metodología Administración Riesgos
MODELO ESTÁNDAR DE CONTROL INTERNO “MECI 1000:2005”

MODELO ESTÁNDAR DE CONTROL INTERNO “MECI 1000:2005”
Modelo Estándar de Control Interno Actualización Decreto 943 de 2014

Modelo Estándar de Control Interno Actualización Decreto 943 de 2014
MODELO ESTANDAR DE CONTROL INTERNO

MODELO ESTANDAR DE CONTROL INTERNO

Presentaciones similares

Anuncios Google