- Metodología de implementación del
mapa de riesgo - Evaluación del riesgo
- Identificación de Riesgos en los
Procesos y Procedimientos
COMITÉ MAPA DE
RIESGOS:
SANDRA FUENTES
ROSA MARIA PADRON
SANDRA LUZ TRIANA
CATALINA ARANGO
EDGAR ALONSO FORERO C
COMITE COPASO
ESPERANZA CARREÑO
ADELA GORDILLO
YEBRAIL HERRERA
Metodología de implementación
del mapa de riesgo
Presentación
La construcción del mapa de riesgos hace parte de
todo el proceso de administración del riesgo. Entendido
éste como todo aspecto o suceso que afecte el buen
cumplimiento de la misión de los procesos o procedimientos
de la institución. El objetivo es elevar la capacidad y la
calidad en el funcionamiento de la institución,
garantizando la eficiencia y la eficacia de los
procesos.
Pasos para la identificación de los
riesgos.
1. Consolidar el comité de mapa de
riesgos con los responsables de coordinar con sus
áreas la identificación de los riesgos o
eventos adversos inherentes a sus procesos y
procedimientos.
Es muy importante el compromiso y respaldo de la alta
dirección, de tal manera que se nombre un comité en
representación de la entidad y se fomente en él un
alto grado de participación en el proceso de
construcción del mapa de riesgos y exista
interacción y retroalimentación con la Oficina de
Control Interno.
2. Los integrantes del comité se deben
capacitar en los conceptos básicos y en el manejo y
diligenciamiento de formatos y en la recolección de
información.
Es vital la identificación y Definición de
lo que es un riesgo, cual es su probabilidad de ocurrencia y el
impacto que puede generar en el caso de materializarse o cual es
la consecuencia de la ocurrencia de un riesgo, qué es
probabilidad de ocurrencia de un riesgo, impacto, análisis
cuantitativo, análisis cualitativo y de todos aquellos
conceptos fundamentales en el manejo de los riesgos a fin de
unificar criterios.
3. Cada integrante del comité debe
tener, como responsabilidad principal, la de socializar los
aspectos en los que se le capacite con todos los integrantes
de la dependencia de las que hacen parte, por tanto se les
denominará grupo coordinador y multiplicador
del proceso de construcción del mapa de riesgos
institucional.4. Es importante Establecer los temas y fechas
de capacitación frente a la determinación,
valoración y el manejo de los riesgos.5. Se debe establecer el tiempo para
recolectar toda la información concerniente a los
riesgos.6. Es importante definir los riesgos que
afectan los procesos de las áreas.
Clasificándolos en misionales, de soporte y de
gestión basándose en el mapa de procesos de la
entidad.
Para éste efecto, el representante de cada
área debe encontrarse en capacidad de leer y analizar los
manuales de procesos y procedimientos que le corresponden,
así como validar los riesgos consolidados en ellos.
Éstos serán los primeros riesgos a establecer en el
formato de identificación de riesgos –formato
No 1-. Una vez se tengan validados y consolidados se
debe establecer si en efecto son los únicos riesgos que
existen en el desarrollo de cada uno de los procesos, en caso de
no ser así, se deberá realizar el inventario de los
riesgos adicionales y se consolidarán en el mismo
formato.
De los manuales de procesos y procedimientos
básicamente se extrae la siguiente información que
satisface algunos aspectos del formato No 1: Proceso y/o
procedimiento en el que se encuentra el riesgo, el representante
del área en el comité de mapa de riesgos es quien
debe tomar la decisión con el responsable del proceso o
procedimiento si el riesgo es de carácter interno o
externo y los controles existentes al respecto. Con
relación a los controles existentes, en algunos casos es
posible que éstos no se encuentren establecidos en los
procesos, lo cual se debe indicar.
La descripción del riesgo y las posibles
consecuencias que trae a la dependencia, a la institución,
al logro del resultado, al procedimiento o al proceso deben ser
resultado de la concertación entre el integrante del
comité y el responsable del proceso o
procedimiento.
El integrante del comité, bajo la asesoría
de la Oficina de Control Interno, debe identificar los riesgos
inherentes al desarrollo de las actividades que rutinariamente
son desarrolladas en dicha área. Se debe por tanto
identificar los resultados que diariamente deben lograr en
cumplimiento de las actividades rutinarias y los riesgos que se
interponen para alcanzar esos resultados.
Con el total diligenciamiento del formato No 1 se puede
decir que los riesgos inherentes a los procesos se han
identificado y establecido el estado actual.
Una vez se tienen identificados todos los riesgos
existentes en la Supersolidaria –por dependencia o
área – se debe pasar a su análisis. Dentro de los
tiempos establecidos; las fases mencionadas a continuación
serán objeto de trabajo durante el año.
Análisis del riesgo
El objetivo del análisis es el de establecer una
valoración y priorización de los riesgos con base
en la información ofrecida por los mapas elaborados en la
etapa de identificación, con el fin de clasificar los
riesgos y proveer información para establecer el nivel de
riesgo y las acciones que se van a implementar. El
análisis del riesgo dependerá de la
información sobre el mismo, de su origen y la
disponibilidad de los datos. Para adelantarlo es necesario
diseñar escalas que pueden ser cuantitativas o
cualitativas o una combinación de las dos.
Se han establecido dos aspectos para realizar el
análisis de los riesgos identificados:
Probabilidad: la posibilidad de
ocurrencia del riesgo; esta puede ser medida con criterios de
frecuencia o teniendo en cuenta la presencia de factores internos
y externos que pueden propiciar el riesgo, aunque éste no
se haya presentado nunca.
Impacto: consecuencias que puede
ocasionar a la entidad la materialización del riesgo en
caso de sucederse.
A continuación se presentan algunos ejemplos de
las escalas que pueden implementarse para analizar los
riesgos.
Análisis cualitativo: se refiere
a la utilización de formas descriptivas para presentar la
magnitud de consecuencias potenciales y la posibilidad de
ocurrencia. Se diseñan escalas ajustadas a las
circunstancias de acuerdo a las necesidades particulares o el
concepto particular del riesgo evaluado.
Escala de medida cualitativa de PROBABILIDAD: se deben
establecer las categorías a utilizar y la
descripción de cada una de ellas, con el fin de que cada
persona que aplique la escala mida a través de ella los
mismos ítems, por ejemplo:
ALTA: es muy factible que el hecho se
presente.
MEDIA: es factible que el hecho se
presente.
BAJA: es muy poco factible que el hecho se
presente.
Ese mismo diseño puede aplicarse para la escala
de medida cualitativa de IMPACTO, estableciendo las
categorías y la descripción, por
ejemplo:
ALTO: Si el hecho llegara a presentarse,
tendría alto impacto o efecto sobre la entidad
MEDIO: Si el hecho llegara a presentarse
tendría medio impacto o efecto en la entidad
BAJO: Si el hecho llegara a presentarse
tendría bajo impacto o efecto en la entidad
Análisis cuantitativo: este
análisis contempla valores numéricos; la calidad
depende de lo exactas y completas que estén las cifras
utilizadas. Básicamente se refiere a la
construcción de indicadores que reflejen tanto la
probabilidad de ocurrencia como el impacto que pueden causar. La
forma en la cual la probabilidad y el impacto son expresados y
las formas por las cuales ellos se combinan para proveer el nivel
de riesgo puede variar de acuerdo al tipo de riesgo.
Con base en los ejemplos anteriormente expuestos, el
comité de mapa de riesgos es el encargado de establecer la
metodología dentro de la cual se establecerán las
probabilidades y los impactos a cada uno de los riesgos y la
escala de valoración.
Con los planteamientos realizados hasta el momento se
debe por tanto establecer la información con la que se
diligenciara el formato No 2.
Priorización de los riesgos
Una vez realizado el análisis de los riesgos con
base en los aspectos de probabilidad e impacto, se recomienda
utilizar la matriz de priorización que permite determinar
cuales requieren de un tratamiento inmediato.
Esta matriz se realiza en primera instancia al interior
de cada una de las dependencias los resultados que de aquí
se deriven servirán para socializarlos con el
comité de mapa de riesgos.
Para su medición, se desarrollaron las siguientes
escalas:
ALTA: es muy factible que el hecho se
presente.
MEDIA: es factible que el hecho se
presente.
BAJA: es muy poco factible que el hecho se
presente.
IMPACTO: Son las consecuencias internas y
externas que pueden ocasionar a Supersolidaria la
materialización del evento adverso, afectando el logro de
los objetivos propuestos.
Las escalas de medición del impacto del evento
adverso son las siguientes:
ALTO: Si el hecho llegara a presentarse,
tendría alto impacto o efecto sobre la entidad
MEDIO: Si el hecho llegara a presentarse
tendría medio impacto o efecto en la entidad
BAJO: Si el hecho llegara a presentarse
tendría bajo impacto o efecto en la entidad
MATRIZ PROBABILIDAD IMPACTO (Grafico X, Y
)
Evaluación
del riesgo
Para realizar la evolución del riesgo se debe
tener en cuenta la posición del riesgo en la matriz,
aplicando los siguientes criterios:
Riesgo inaceptable: (Cuadrante 3) Requiere
acciones inmediatas
Riesgo aceptable: (Cuadrante 7) El riesgo se
encuentra en un nivel que se puede aceptar, sin necesidad de
tomar otras medidas de control diferentes a las que se
poseen.
Si el riesgo se sitúa en cualquiera de las otras
zonas (Riesgo tolerable, moderado o importante) se deben
tomar medidas par llevar los riesgos a la zona Aceptable o
Tolerable en lo posible.
Una vez se tienen las diferentes matrices de
priorización, se deben extraer todos los riesgos que se
encuentren en el cuadrante 3 (Formato No 3) , las cuáles
por su impacto y probabilidad serán en un primer momento
el conjunto de riesgos sobre el que se deben emprender acciones
inmediatamente.
Determinación del nivel del
riesgo
La determinación del nivel de riesgo es el
resultado de confrontar el impacto y la probabilidad con los
controles existentes al interior de los diferentes procesos y
procedimientos que se realizan. Para adelantar esta etapa se
deben tener muy claros los puntos de control existentes en los
diferentes procesos, los cuales permiten obtener
información para efectos de tomar decisiones, estos
niveles de riesgo pueden ser:
De la matriz de priorización, debe resultar el
orden sistemático de los riesgos, enumerados de mayor a
menor de acuerdo a su probabilidad vs. impacto.
Ahora se deben determinar los controles que existen en
la institución para la eliminación o
disminución del riesgo. De donde se puede obtener
que:
Manejo del riesgo
Cualquier esfuerzo que emprenda la entidad en torno a la
valoración del riesgo llega a ser en vano, si no culmina
en un adecuado manejo y control de los mismos definiendo acciones
factibles y efectivas, tales como la implantación de
políticas, estándares, procedimientos y cambios
físicos entre otros, que hagan parte de un plan de
manejo.
Para el manejo del riesgo se pueden tener en cuenta
alguna de las siguientes opciones, las cuales pueden considerarse
cada una de ellas independientemente, interrelacionadas o en
conjunto.
Evitar el riesgo: es siempre la primera
alternativa a considerar. Se logra cuando al interior de los
procesos se genera cambios sustanciales de mejoramiento,
rediseño o eliminación, resultado de unos adecuados
controles y acciones emprendidas. Un ejemplo de esto puede ser el
control de calidad, manejo de los insumos, mantenimiento
preventivo de los equipos, desarrollo tecnológico,
etc.
Reducir el riesgo: si el riesgo no puede
ser evitado porque crea grandes dificultades operacionales, el
siguiente paso es reducirlo al más bajo nivel posible. La
reducción del riesgo es probablemente el método
más sencillo y económico para superar las
debilidades antes de aplicar medidas más costosas y
difíciles. Se consigue mediante la optimización de
los procedimientos y la implementación de controles.
Ejemplo: Planes de contingencia.
Dispersar y atomizar el riesgo: Se logra
mediante la distribución o localización del riesgo
en diversos lugares. Es así como por ejemplo, la
información de gran importancia se puede duplicar y
almacenar en un lugar distante y de ubicación segura, en
vez de dejarla concentrada en un solo lugar.
Transferir el riesgo: Hace referencia a
buscar respaldo y compartir con otro parte del riesgo como por
ejemplo tomar pólizas de seguros; se traslada el riesgo a
otra parte o físicamente se traslada a otro lugar. Esta
técnica es usada para eliminar el riesgo de un lugar y
pasarlo a otro o de un grupo a otro. Así mismo, el riesgo
puede ser minimizado compartiéndolo con otro grupo o
dependencia.
Asumir el riesgo: Luego de que el riesgo
ha sido reducido o transferido puede quedar un riesgo residual
que se mantiene, en este caso el dueño del proceso
simplemente acepta la pérdida residual probable y elabora
planes de contingencia para su manejo.
Una vez establecidos cuales de los anteriores manejos
del riesgo se van a concretar, estos deben evaluarse con
relación al beneficio-costo para definir, cuales son
susceptibles de ser aplicadas y proceder a elaborar el plan de
manejo de riesgo, teniendo en cuenta, el análisis
elaborado para cada uno de los riesgos de acuerdo con su impacto,
probabilidad y nivel de riesgo.
Posteriormente se definen los
responsables de llevar a cabo las acciones
especificando el grado de participación de las
dependencias en el desarrollo de cada una de ellas. Así
mismo, es importante construir indicadores, entendidos como los
elementos que permiten determinar de forma práctica el
comportamiento de las variables de riesgo, que van a permitir
medir el impacto de las acciones.
Plan de manejo de
riesgos.
Para elaborar el plan de manejo de riesgos es necesario
tener en cuenta si las acciones propuestas reducen la
materialización del riesgo y hacer una evaluación
jurídica, técnica, institucional, financiera y
económica, es decir considerar la viabilidad de su
adopción. La selección de las acciones más
convenientes para la entidad se puede realizar con base en los
siguientes factores:
Nivel del riesgo
Balance entre el costo de la implementación
de cada acción contra el beneficio de la
misma.
Una vez realizada la selección de las acciones
más convenientes se debe proceder a la preparación
e implementación del plan, identificando
responsabilidades, programas, resultados esperados, medidas para
verificar el cumplimiento y las características del
monitoreo. El éxito de la implementación del plan
requiere de un sistema gerencial efectivo el cual tenga claro el
método que se va a aplicar.
Elaboración del mapa de
riesgos
El mapa de riesgos puede ser entendido como la
representación o descripción de los distintos
aspectos tenidos en cuenta en la valoración de los riesgos
que permite visualizar todo el proceso de la valoración
del riesgo y el plan de manejo de estos. El mapa de riesgos debe
contener las situaciones adversas que pueden afectar el plan
estratégico institucional 2007-2010 "SUPERVISION INTEGRAL
DESARROLLO PARA TODOS" identificando y definiendo los riesgos
internos y externos que afecten su normal desarrollo, por cuanto
el plan estratégico señala el camino que la entidad
orientara en el cuatrienio en desarrollo de su
misión.
Monitoreo
Una vez diseñado y validado el plan para
administrar los riesgos, es necesario monitorearlo
permanentemente teniendo en cuenta que estos nunca dejan de
representar una amenaza para la organización, el monitoreo
es esencial para asegurar que dichos planes permanecen vigentes y
que las acciones están siendo efectivas. Evaluando la
eficiencia en la implementación y desarrollo de las
acciones de control, es esencial adelantar revisiones sobre la
marcha del plan de manejo de riesgos para evidenciar todas
aquellas situaciones o factores que pueden estar influyendo en la
aplicación de las acciones preventivas.
El monitoreo debe estar a cargo de la Oficina de Control
Interno y su finalidad principal será la de aplicar los
correctivos y ajustes necesarios para asegurar un efectivo manejo
del riesgo. La Oficina de Control Interno dentro de su
función determinará conjuntamente con las
diferentes dependencias los aspectos que se encuentran
débiles en cuanto al manejo de los riesgos y hará
sugerencias para el mejoramiento y tratamiento de los riesgos
detectados.
Autoevaluación
La evaluación del plan de manejo de riesgos se
debe realizar con base en los indicadores de gestión
diseñados para tal fin y los resultados de los monitoreos
aplicados en diferentes períodos. Así mismo, se
evaluará como ha sido el comportamiento del riesgo y de
qué manera a través del tiempo se van presentado
nuevos riesgos que deban ser administrados.
Identificación de Riesgos en los
Procesos y Procedimientos
Formato #1
Identificación de Riesgos en
los Procesos y Procedimientos Formato No 2
Formato No3 (RIESGOS
INACEPTABLES)
Riesgo inaceptable: Los riesgos o eventos
adversos cuya probabilidad e impacto los ubican en el cuadrante
numero tres (probabilidad Vs impacto alto riesgo inaceptable )
requieren de acciones inmediatas y efectivas que permitan que
estos riesgos se controlen de manera tal que permitan bajar su
probabilidad de ocurrencia e impacto en el caso de sucederse, por
tal razón las acciones que se formulen deben permitir el
control de riesgo ubicándolo en la matriz probabilidad
impacto en un cuadrante de Riesgo tolerable, moderado o
importante. El indicador establecido para estos riesgos debe
permitir medir su comportamiento una vez se formulen las acciones
tendientes a disminuir su probabilidad de ocurrencia e
impacto.
Autor:
Yenifer Ramos Lopez