ADMINISTRACION DE RIESGOS

OBLIGATORIEDAD DE APLICACIÓN DE LA NORMA

RIESGO Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.

PRINCIPIOS MECI Autocontrol Autogestión Autorregulación Capacidad de cada una de las organizaciones para desarrollar y aplicar en su interior métodos, normas y procedimientos que permitan el desarrollo, implementación y fortalecimiento continuo del Sistema de Control Interno, en concordancia con la normatividad vigente. Autogestión Capacidad que deben desarrollar todos y cada uno de los servidores públicos de la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos de manera oportuna para el adecuado cumplimiento de los resultados que se esperan en el ejercicio de su función Capacidad de toda organización pública para interpretar, coordinar, aplicar y evaluar de manera efectiva, eficiente y eficaz la función administrativa que le ha sido asignada por la Constitución, la ley y sus reglamentos.

ADMINISTRACIÓN DEL RIESGO Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.

OBJETIVOS ESPECIFICOS DE LA ADMINISTRACIÓN DEL RIESGO Contribuir a través de la administración de riesgos a mantener la estabilidad de la Gobernación de Boyacá no solo en el ámbito Regional si no Nacional. Generar una visión sistémica acerca de la administración, manejo y evaluación del riesgo mediante el desarrollo de procesos de formación y capacitación que posibiliten el conocimiento suficiente a los servidores para la ejecución eficiente de sus tareas. Identificar en los procesos los eventos que afecten el logro de los objetivos. Proteger los recursos del estado, asignados a la Gobernación de Boyacá, resguardándolos contra la materialización de los riesgos. Involucrar y comprometer a todos los servidores de la institución en la búsqueda de acciones efectivas encaminadas a prevenir y administrar los riesgos. Asegurar el cumplimiento de la Constitución Política, las leyes y demás regulaciones dentro de la Gobernación

ESTRUCTURA DEL COMPONENTE ADMINISTRACION DE RIESGOS 2.IDENTIFICACION DEL RIESGO. Análisis de los aspectos externos o internos que implican exposición al riesgo. Reconocimiento de situaciones de riesgo, o los riesgos que afectan el cumplimiento de los objetivos de la entidad. Contexto estratégico Identificación de Riesgos 1. POLITICAS DE ADMINISTRACION DEL RIESGO Incluye objetivos, estratégias y acciones a seguir para una buena administración de riesgo . Análisis de Riesgos Valoración de Riesgos Estimación del grado de exposición de la entidad ante los riesgos. Medidas de respuesta ante el riesgo identificado. 3. ANALISIS Y VALORACION DEL RIESGO

Primer Elemento El seguimiento y evaluación a su implementación y efectividad Objetivos que se esperan lograr Políticas de Administración de Riesgo Acciones a desarrollar (tiempo, recursos, responsables y talento humano requerido) Estrategias como se van a desarrollar a largo, mediano y corto plazo Los Riesgos que se van a controlar

CONTEXTO ESTRATÉGICO 2. ELEMENTO: IDENTIFICACION DEL RIESGO ENTIDAD FACTORES INTERNOS Ambiente de Control Estructura Organizacional Modelo de Operación Cumplimiento Planes y Programas Norma que regula la Entidad Proyectos Recursos Humanos y Económicos FACTORES EXTERNOS Entorno; Político - Económico Legal – Cultural Tecnológico – Ambiental – PQR Grupos de Interés – Competencia - catástrofes IDENTIFICACIÓN EVENTOS ASOCIADOS Proceso Actividad IDENTIFICACIÓN EVENTOS ASOCIADOS Proceso Actividad EXPOSICIÓN AL RIESGO ENTIDAD OBJETIVOS

IDENTIFICACION DE RIESGOS ENTIDAD FUNCION CONSTITUCIONAL Y LEGAL RIESGOS CUMPLIMIENTO MISION Y OBJETIVOS DEFINIR PROCESOS CONOCER OBJETIVO DEL PROCESO CAUSAS DESCRIBIRLOS EFECTOS ¿Que puede suceder? ¿Debido a?

CLASES DE RIESGOS Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Corrupción: Posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano, intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

Tercer Elemento Análisis y Valoración del Riesgos Pasos claves en el análisis de riesgos: - Determinar probabilidad - Determinar consecuencias - Calificación del Riesgo - Estimar el nivel del riesgo Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.

La Calificación del Riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. La primera representa el número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la magnitud de sus efectos. La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios definidos para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, o intolerables y fijar las prioridades de las acciones requeridas para su tratamiento.

CLASIFICACION DE PROBABILIDAD CLASIFICACION DEL IMPACTO NIVEL DESCRIPTOR DESCRIPCION FRECUENCIA 1 Raro El evento puede ocurrir solo en circunstancias excepcionales. No se ha presentado en los últimos 5 años. 2 Improbable El evento puede ocurrir en algún momento Al menos de 1 vez en los últimos 5 años. 3 Posible El evento podría ocurrir en algún momento Al menos de 1 vez en los últimos 2 años. 4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias Al menos de 1 vez en el último año. 5 Casi Seguro Se espera que el evento ocurra en la mayoría de las circunstancias Más de 1 vez al año    CLASIFICACION DEL IMPACTO   Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad. Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad. Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad. Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.

potenciales del riesgo identificado. Para determinar el impacto, se pueden utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado. Nivel Impacto de confidencialidad en la In   formación (1) Impacto de Credibilidad o Imagen (2) Impacto Legal (3) Impacto Operativo (4) 1 Personal Grupo de Funcionarios Multas Ajustes a una actividad concreta 2 Grupo de Trabajo Todos los funcionarios Demandas Cambios en Procedimientos 3 Relativa al Proceso Usuarios de una ciudad Investigaciones Disciplinarias Cambios en Interacción de los Procesos 4 Institucional Usuarios de una región Investigación Fiscal Intermitencia en el servicio 5 Estratégica Usuarios del País Intervención - Sanción Paro total del Proceso

Matriz de Calificación, Evaluación y Respuesta a los Riesgos

Este primer análisis del riesgo se denomina Riesgo Inherente y se define como aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto.

VALORACION DEL RIESGO Acciones fundamentales para valorar el riesgo:   Identificar controles existentes Verificar efectividad de los controles Establecer prioridades de tratamiento. Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en: Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica: Describirlos (estableciendo si son preventivos o correctivos). Revisarlos: para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado.

Algunos ejemplos de tipos de control Controles de Gestión Políticas claras aplicadas Seguimiento al plan estratégico y operativo Indicadores de gestión Tableros de control Seguimiento a cronograma Evaluación del desempeño Informes de gestión Monitoreo de riesgos Controles Operativos Conciliaciones Verificación de firmas Consecutivos Listas de chequeo Registro controlado Segregación de funciones Niveles de autorización Custodia apropiada Procedimientos formales aplicados Pólizas Seguridad física Contingencias y respaldo Personal capacitado Aseguramiento y Calidad Controles Legales Normas claras y aplicadas Control de términos

Seguimiento al control RANGOS DE CALIFICACIÓN DE LOS CONTROLES Cómo se valoran los Controles? PARAMETROS CRITERIOS TIPO DE CONTROL PUNTAJES PROBABILIDAD IMPACTO Herramientas para ejercer el control Posee una herramienta para ejercer el control.   15 Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva. 30 Seguimiento al control Están definidos los responsables de la ejecución del control y del seguimiento. La frecuencia de ejecución del control y seguimiento es adecuada. 25 100 RANGOS DE CALIFICACIÓN DE LOS CONTROLES DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS CUADRANTES A DISMINUIR EN LA PROBABILIDAD CUADRANTES A DISMINUIR EN EL IMPACTO Entre 0-50 Entre 51-75 1 Entre 76-100 2

Matriz de Calificación, Evaluación y Respuesta a los Riesgos El resultado obtenido a través de la valoración del riesgo, es denominado también tratamiento del riesgo, toda vez que el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la selección de las opciones de tratamiento del riesgo, así: Matriz de Calificación, Evaluación y Respuesta a los Riesgos   PROBABILIDA D VALOR IMPACTO 1 2 3 4 5 Insignificante Menor Moderado Mayor Catastrófico Raro Aceptable Tolerable Improbable Intolerable Posible Probable Casi Seguro Como se Interpreta Zona de Riesgo Grado de Aceptación del Riesgo Color que identifica el Riesgo Zona de Riesgo Baja Riesgo Aceptable Color Azul Zona de Riesgo Moderada Riesgo Tolerable Color Amarillo Zona de Riesgo Alta Riesgo Moderado Color Naranja Zona de Riesgo Extrema Riesgo Intolerable Color Rojo

OPCIONES DE TRATAMIENTO DE RIESGOS PARA LA GOBERNACION DE BOYACA Cuando Evitar el riesgo, Si el riesgo se ubica en la Zona de Riesgo Moderada o Intolerable, debe evitarse la actividad que genera el riesgo, de lo contrario debe implementarse controles de prevención, para reducir la probabilidad del riesgo, o controles de protección para disminuir la gravedad, o Transferir el riesgo a través de pólizas de seguros u otras opciones que estén disponibles. Cuando Aceptar el Riesgo Si el riesgo se ubica en la Zona de Riesgo Aceptable, permite a la entidad asumirlo, el riesgo se encuentra en un nivel que puede reducirse sin necesidad de tomarse otras Medidas de Control diferentes a las que posee, ya que la materialización de este tipo de riesgos, no representa un peligro elevado para la entidad, o partes interesadas. OPCIONES DE TRATAMIENTO DE RIESGOS PARA LA GOBERNACION DE BOYACA Compartir o Transferir el riesgo, Cuando el riesgo se encuentre en la Zona de Riesgo Intolerable, se debe tratar de transferir el riesgo y proteger a la entidad en caso de que éste se presente. Se trata entonces de un riesgo que necesitará Medidas de Control tal como corresponda de acuerdo al Plan de Manejo para el tratamiento del riesgo incluido en el Mapa de Riesgos Institucional y Mapa de Riesgos de corrupción. Cuando Reducir el riesgo, Si el riesgo se encuentra en la Zona de Riesgo tolerable, necesitará Medidas de Control para llevarlos a la Zona de Riesgo Aceptable, aplicando Acciones Preventivas y/o Correctivas, tal como corresponda de acuerdo al plan de manejo para el tratamiento del riesgo incluido en el Mapa de por procesos.

Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina riesgo residual, éste se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos.