La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Guía para la administración del riesgo y el diseño de controles en entidades públicas – Departamento Administrativo de la Función Pública Versión 5.

Publicada porMaritza OSPINA Modificado hace 3 años

Presentaciones similares

Presentación del tema: "Guía para la administración del riesgo y el diseño de controles en entidades públicas – Departamento Administrativo de la Función Pública Versión 5."— Transcripción de la presentación:

1 Guía para la administración del riesgo y el diseño de controles en entidades públicas – Departamento Administrativo de la Función Pública Versión 5

2 Introducción En esta versión 5 se actualizaron y precisaron algunos elementos metodológicos para mejorar el ejercicio de identificación y valoración del riesgo. Es importante resaltar que se mantiene la estructura general bajo tres pasos principales, los cuales fundamentan la estructura metodológica que desde las primeras versiones de la guía se ha venido desarrollado: Paso 1 – política de administración del riesgo: se mantienen sus lineamientos, teniendo en cuanta que se trata de un paso esencial en cabeza de la alta dirección de las entidades, en tanto se constituye en la base para la gestión del riesgo en todos los niveles organizacionales. Paso 2 – identificación del riesgo: se propone una estructura para la redacción adecuada del riesgo, lo que facilita el análisis de la causa raíz y se proponen una serie de premisas básicas para evitar errores o generalizaciones del riesgo que dificultan la aplicación de los pasos siguientes definidos en la metodología. Paso 3 – valoración del riesgo: se establecen los criterios para el análisis de probabilidad e impacto del riesgo identificado y su respectivo nivel de severidad, en este apartado se propone la tabla para el análisis de probabilidad con un enfoque en la exposición al riesgo, análisis que le permite a los líderes 10 de proceso contar con elementos objetivos para su definición; en cuanto a la tabla de impacto, se consideran la afectación económica y reputacional como aspectos principales frente a la posible materialización de los riesgos, en tal sentido, se ajusta la matriz de calor de acuerdo con la escala de severidad definida en 5 zonas (baja, moderada, alta y extrema), elementos que, en su conjunto, plantean un análisis de mayor profundidad y más estricto, teniendo en cuenta el entorno cambiante en el cual se desenvuelven las entidades públicas del país. Este esquema permitirá una reducción sustancial en los pasos, además de poder establecer la eficiencia de los controles identificados, lo que le facilita a los responsables su aplicación, así como el seguimiento y evaluación por parte de las oficinas de control interno y de los organismos de control.

3 Conceptos importantes Nivel de Riesgo: combinación entre probabilidad e impacto. Apetito del riesgo: nivel de riesgo que la entidad puede aceptar, con relación a sus objetivos. Tolerancia del riesgo: máxima desviación admisible del nivel de riesgo, con respecto al valor del apetito del riesgo determinado por la entidad. Capacidad del riesgo: máximo valor del nivel de riesgo que una entidad puede soportar.

4 Diferencias metodológicas entre las guías V4 y V5 Paso 1- política de administración del riesgo: Versión 4: octubre de 2018 Fue actualizada y aprobada por el Comité de Coordinación de Control Interno, durante la vigencia 2020. Versión 5: diciembre de 2020 Deberá ser ajustada, con los conceptos de nivel de riesgo, apetito del riesgo, tolerancia del riesgo y capacidad del riesgo. Es responsabilidad de la alta dirección y deberá ser aprobada en Comité de Coordinación de Control Interno, para proceder con su socialización y publicación.

5 Diferencias metodológicas entre las guías V4 y V5 Paso 2 – identificación del riesgo: Versión 4: octubre de 2018 Los riesgos se establecen con base a los objetivos de proceso, estableciendo el contexto en el que opera la entidad. Se define como el antiobjetivo. Al momento de redactarlo, se debe evitar que inicie con las palabras “No”, “Que no”, “Ausencia de”, “Falta de”, ya que estas denotan un factor de riesgo. Versión 5: diciembre de 2020 Los riesgos que se identifiquen, deben tener impacto en el cumplimiento de los objetivos del proceso. Se deben identificar los puntos de riesgo, dentro de la cadena de valor de cada proceso, así como las áreas de impacto y las áreas de factores de riesgo. Para describir el riesgo se utilizará la frase “Posibilidad de…” y se utilizará la siguiente estructura, a fin de evitar la subjetividad en la redacción.

6 Otros conceptos Impacto: consecuencias de la materialización del riesgo. Causa Inmediata: circunstancias o situaciones más evidentes sobre las cuales se presenta el riesgo. No constituyen la causa raíz. Causa Raíz: causa principal o básica. Razones por las cuales se presenta el riesgo. Son la base para la definición de los controles. Para un mismo riesgo pueden ser una o varias causas raíz.

7 EJEMPLO: Si el objetivo del proceso es: “adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su continua operación”. Posibilidad de afectación económica, por multa y sanción del ente regulador, debido a la adquisición de bienes y servicios fuera de los requerimientos normativos. ¿Qué? ¿Cómo? ¿Por qué?

8 Importante No describir como riesgos, las omisiones ni desviaciones del control. No describir causas como riesgos. No describir riesgos como la negación de un control. No existen riesgos transversales, sino causas transversales.

9 Diferencias metodológicas entre las guías V4 y V5 Paso 3 – valoración del riesgo: En ambas versiones, el objetivo es establecer la probabilidad de ocurrencia del riesgo y el nivel de consecuencia o impacto con el fin de estimar la zona de riesgo inicial (riesgo inherente). Versión 4: octubre de 2018 El nivel de probabilidad se medía bajo criterios de frecuencia o factibilidad, con un rango que iba desde rara vez (1), improbable (2), posible (3), probable (4) y casi seguro (5), dependiendo en gran parte de los datos históricos con que contaba la entidad. Para evaluar el impacto, los criterios podían ser cuantitativos o cualitativos y se tomaba como base el mayor nivel de afectación. El rango de calificación iba desde insignificante, menor, moderado, mayor, hasta catastrófico, según el nivel de consecuencia respecto a la materialización del riesgo. Versión 5: diciembre de 2020 La probabilidad de ocurrencia se asocia a la exposición al riesgo del proceso que se analiza, se define como el número de veces que se pasa por el punto de riesgo en el periodo de 1 año. Para determinar el impacto, se definen los aspectos económicos y reputacionales como variables principales. Cuando se presenten ambos impactos para un riesgo, con diferentes niveles, se deberá tomar el más alto.

10 Escalas de probabilidad e impacto

11 EJEMPLO: Riesgo identificado: “Posibilidad de afectación económica, por multa y sanción del ente regulador, debido a la adquisición de bienes y servicios fuera de los requerimientos normativos”. No. de veces que se ejecuta la actividad: la actividad de contratos de bienes y servicios se lleva a cabo 10 veces en el mes = 120 contratos al año. Probabilidad Inherente: MEDIA (60%) según tabla 4 Cálculo de afectación: de llegar a materializarse, la afectación económica se calcula en 500 SMMLV. Impacto Inherente: MAYOR (80%) según tabla 5

12 A continuación, procedemos con la aplicación de la matriz de calor:

13 Diferencias metodológicas entre las guías V4 y V5 Paso 3.1 – valoración de controles: La identificación de los controles se debe realizar a cada riesgo, a través de las entrevistas con los líderes de proceso, o servidores expertos en su quehacer. Los responsables de implementar y monitorear los controles, son los líderes de proceso con el apoyo de su equipo de trabajo. Versión 4: octubre de 2018 Se debían identificar y establecer 6 variables, en la redacción del control: responsable, periodicidad, propósito, cómo se realiza la actividad de control, indicar qué pasaba con las desviaciones y dejar evidencia de la ejecución del control. A cada una de ellas se le asignaba un peso y según el resultado, se establecía tanto el rango de diseño del control, como la calificación de la ejecución. Versión 5: diciembre de 2020 Se propone una estructura en la que se identifican 3 variables, para posteriormente analizar la tipología del control y proceder con su análisis. Responsable de ejecutar el control: estableciendo el cargo del servidor. Acción: identificar los verbos que indican las acciones a realizar como parte del control. Complemento: son los detalles que permiten identificar claramente el objeto del control.

14 EJEMPLO: Riesgo identificado: “Posibilidad de afectación económica, por multa y sanción del ente regulador, debido a la adquisición de bienes y servicios fuera de los requerimientos normativos”. Control 1:

15 Diferencias metodológicas entre las guías V4 y V5 Paso 3.2 – tipología de los controles: Versión 4: octubre de 2018 Una vez se establecía la solidez del conjunto de controles, se procedía a aplicar los desplazamientos del caso en la matriz de calor, teniendo en cuenta si el control le apuntaba directa o indirectamente a disminuir la probabilidad o el impacto. Esta calificación se consideraba muy subjetiva. Versión 5: diciembre de 2020 Se debe tomar como base el ciclo de los procesos, para establecer cuándo se activa un control y por tanto, establecer su tipología con mayor precisión, según se define en la Figura 16. Posteriormente se analizan los atributos para el diseño del control, siguiendo los parámetros de la Tabla 6.

16 Diferencias metodológicas entre las guías V4 y V5 Paso 3.2 – tipología de los controles:

17 Diferencias metodológicas entre las guías V4 y V5 Paso 3.2 – tipología de los controles: Control preventivo: control accionado en la entrada del proceso y antes que se realice la actividad originadora del riesgo, se busca establecer las condiciones que aseguren el resultado final esperado. Control detectivo: control accionado durante la ejecución del proceso. Estos controles detectan el riesgo, pero generan reprocesos. Control correctivo: control accionado en la salida del proceso y después de que se materializa el riesgo. Estos controles tienen costos implícitos.

18 Diferencias metodológicas entre las guías V4 y V5 Paso 3.2 – tipología de los controles:

19 EJEMPLO: Riesgo identificado: “Posibilidad de afectación económica, por multa y sanción del ente regulador, debido a la adquisición de bienes y servicios fuera de los requerimientos normativos”. El profesional del área de contratos, verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. Los contratos que cumplen son registrados en el sistema de información de contratación. Control 1 El jefe de área de contratos verifica en el sistema de información de contratación, la información registrada por el profesional asignado y aprueba el proceso, para firma del ordenador del gasto. En el sistema de información queda el registro correspondiente, en caso de encontrar inconsistencias, devuelve el proceso al profesional de contratos asignado. Control 2

20 Aplicación tabla atributos al ejemplo:

21 Diferencias metodológicas entre las guías V4 y V5 Paso 3.3 – cálculo del nivel de riesgo residual: Nota: en caso de no contar con controles correctivos, el impacto residual es el mismo que el inherente, por tanto no se moverá la matriz en dicho eje.

22 A continuación se socializa el formato ajustado para el registro de los Mapas de Riesgos de Gestión, propuesto para la Alcaldía de Pereira.

Descargar ppt "Guía para la administración del riesgo y el diseño de controles en entidades públicas – Departamento Administrativo de la Función Pública Versión 5."

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
«No me escogieron ustedes a mi, sino que yo los escogí a ustedes y los comisioné para que vayan y den fruto, un fruto que perdure»

«No me escogieron ustedes a mi, sino que yo los escogí a ustedes y los comisioné para que vayan y den fruto, un fruto que perdure»
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.

Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.
Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.

Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.
1 TALLER MAPEO DE PROCESOS 1a. Parte: Aspectos teóricos del mapeo de procesos.

1 TALLER MAPEO DE PROCESOS 1a. Parte: Aspectos teóricos del mapeo de procesos.
No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.

No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.
DIPLOMADO EN GESTIÓN Y REDUCCIÓN DEL RIESGO DE DESASTRES

DIPLOMADO EN GESTIÓN Y REDUCCIÓN DEL RIESGO DE DESASTRES
Proceso de Implantación y Aceptación del Sistema de Información (IAS)

Proceso de Implantación y Aceptación del Sistema de Información (IAS)
Metodología de Administración de Riesgos

Metodología de Administración de Riesgos
Alan Guillermo Zamora Téllez

Alan Guillermo Zamora Téllez
UNIDAD DE GESTIÓN DE POSTGRADOS

UNIDAD DE GESTIÓN DE POSTGRADOS
Sistemas de Gestión.

Sistemas de Gestión.
Proceso de Mejora Continuo: CMM y CMMI

Proceso de Mejora Continuo: CMM y CMMI
SISTEMAS DE GESTIÓN Y CONTROL Los Sistemas de Gestión y Control que se pueden encontrar en las Entidades son los siguientes: 1. Sistema de Control Interno.

SISTEMAS DE GESTIÓN Y CONTROL Los Sistemas de Gestión y Control que se pueden encontrar en las Entidades son los siguientes: 1. Sistema de Control Interno.
FOMENTO DE LA CULTURA DE AUTOCONTROL

FOMENTO DE LA CULTURA DE AUTOCONTROL
Orientaciones para entrega del proyecto final

Orientaciones para entrega del proyecto final
LAS VERIFICACIONES, LAS listas de CONTROL y LOS mapas de Riesgos

LAS VERIFICACIONES, LAS listas de CONTROL y LOS mapas de Riesgos
Mejores Prácticas en Proyectos de Desarrollo de Software

Mejores Prácticas en Proyectos de Desarrollo de Software

Presentaciones similares

Anuncios Google