Compañeros militares en situacion de retiro, con la verdad ni ofendo ni temo
Administración de riesgos
1. Página 1
Auditoría Interna del IPSFA
A D M I N I S T R A C I O N D E L R I E S G O
¿ Q u é E S L A E T A P A S mismos, que no son otra cosa
EL RIESGO que los riesgos que se pueden
A D M I N I S T R A
C I O N D E L presentar en el desarrollo de
Posibilidad de ocu- R I E S G O ?
A.IDENTIFICACIÓN DE RIESGO estos y que afectan negativamen-
rrencia de aquella si- te los resultados de su gestión.
Es el proceso realizado por la (Descripción, causas y conse-
tuación que pueda dependencia que tiene como cuencias).
B.ANÁLISIS DE LOS RIESGOS
entorpecer el normal propósito : A N A L I S I S
desarrollo de las fun-
RIESGO
DESCRIPCION
CAUSA
ACTIVIDAD
CONSECUENCIA
Identificar los riesgos a que
C.PLANIFICACIÓN DE ACCIONES
ciones de la entidad y esta expuesta en el desarrollo
le impidan el logro de de sus actividades.
sus objetivos. Analizar los distintos factores D.SEGUIMIENTO
que puedan provocarlos.
Definir las estrategias que
permitan controlarlos. I D E N T I F I -
C A C I Ó N
D E R I E S G O D E L O S
La etapa principal en la adminis- R I E S G O S
tración del riesgo es la identifica- El objetivo del análisis es estable-
ción de los riesgos a los cuales cer una valoración y priorización
se expone la entidad, los proce- de los riesgos con base en la
Los propósitos de la admi- sos, el producto y/o servicios; información obtenida en el forma-
to de identificación de riesgos
debe ser el resultado de un ejer-
nistración de riesgos contri- cicio participativo en la entidad. elaborados en la etapa de identifi-
cación, con el fin de obtener da-
buyen al logro de las metas El conocimiento previo de la
dependencia nos acercara más
tos para establecer el nivel de
riesgo y las acciones que se van
y objetivos de la entidad de a la situación real de la misma,
para conocer sus verdaderas
a implementar.
Consiste en:
una forma razonable debilidades y fortalezas.
Evaluar el impacto que pueda
Con tal dominio se determinará
como primera medida los proce- provocar en caso de materializar-
CONTENIDO:
sos que debe seguir la depen- se.
El Riesgo 1
dencia para desarrollar todas Determinar la probabilidad de que
sus actividades. ocurra el riesgo.
¿Qué es la administración del 1
Una vez definida la organización Evaluación del riesgo.
lógica de los procedimientos, se
Etapas 1 Tomar en cuenta el contexto de
procede a determinar las causas
los controles existente.
o motivos que impiden el buen
Identificación del Riesgo 1 desarrollo y ejecución de los Determinación del nivel del ries-
go.
Análisis de loa Riesgos 1
Nivel de impacto 1
IMPACTO VALOR CARÁCTER
FRECUENCIA VALOR CARACTER
Nivel de probabilidad 1 Alto 7-8-9-10 Afecta la
operación Baja 1-2-3 Ha ocurrido una
segura del (1) vez en los
proceso y/o últimos cinco
Evaluación del Riesgo 2 (5) años.
involucra el
incumplimien- Media 4-5-6 Ha ocurrido al
Controles existentes 2 NIVEL DE IMPACTO to de regula- menos una (1)
ciones exis- vez en los ú l t i
IMPACTO VALOR CARÁCTER
tentes. mos dos (2)
Determinación del nivel del riesgo 2 Bajo 1-2-3 No afecta la
años
operación del
proceso ni su NIVEL DE PROBABILIDAD Alta 7-8-9-10| Ha ocurrido al
desempeño. menos una (1)
Planificación de las acciones para vez en el último
2-3
enfrentar los Riesgos Medio 4-5-6 Permite la semestre
operación del
proceso, pero
Plan de Riesgos 3
bajo condicio-
nes de de -
Seguimiento 4
sempeño redu
cido.
Modelo de Plan de Riesgo 4
Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA
2. A u d i t o r í a I n t e r na d e l I P S F A P á g i n a 2
F O R M A T O D E L A Es necesario tener certeza
E V A L U A C I O N R I E S G O sobre los puntos de control
EVALUACION DEL RIESGO
existentes en los diferentes
Es el resultado automático,
procesos, los cuales permiten
ACTIVIDAD
RIESGO
DESCRIPCION
CAUSAS
CONSECUENCIAS
IMPACTO
PROBABILIDAD
RIESGO
EVALUACION DEL
realizado mediante una formula
obtener información para
matemática que resulta de la
efectos de tomar decisiones.
relación entre el impacto y la
Los controles pueden ser:
probabilidad, el cual puede ser Preventivos: Actúan para
alto o bajo. Multiplicadas estas
eliminar las causas del riesgo
dos calificaciones, grado de
y prevenir su ocurrencia.
ocurrencia o frecuencia por la
Reducen la probabilidad o el
relevancia del riesgo, nos arro-
impacto.
ja una calificación o pondera- De detección: Actúan para
ción final por riesgo sobre una
descubrir riesgos que no
escala de 100 puntos donde se
fueron previstos y están afec-
establece que a una mayor
tando seriamente el proceso.
calificación mayor es el riesgo. CONTROLES EXISTENTES
Correctivos: Permiten el
restablecimiento de la activi-
dad después de detectar un
Son los mecanismos im- evento no deseable, o tam-
plementados que permi- bién la modificación de las
acciones causantes. Reducen
ten mitigar la presencia el impacto.
del riesgo
L A C E R T E Z A D E L C O N O C I M I E N T O D E L O S
C O N T R O L E S E N L O S D I F E R E N T E S P R O C E S O S
O P T I M I Z A N L A T O M A D E D E C I S I O N
DETERMINACION DEL NIVEL Cuando la evaluación de los controles
existentes es media:
DEL RIESGO
- Si la evaluación del riesgo es baja, el
Efectividad de los controles nivel del riesgo es medio VALORA-
Cuando no existen controles: - Si la evaluación del riesgo es media, el CONTROL EXISTENTE CION DEL
nivel del riesgo pudiera mantenerse en RIESGO
La probabilidad de la ocurrencia es alta medio si su referencia marcadora es la
Cuando los controles existentes no son probabilidad (Probabilidad alta - impacto
efectivos: bajo); si su referencia marcadora es el
impacto (impacto alto – probabilidad baja)
La probabilidad de la ocurrencia es alta
NIVEL DEL RIESGO
el nivel del riesgo pudiera ser alto.
EVALAUCION DEL
DOCUMENTADO
Cuando los controles existentes son - Si la evaluación del riesgo es alta, el nivel
efectivos, pero no están documenta-
EFECTIVO
CONTROL
del riesgo es alto.
APLICA
EXISTE
dos:
La probabilidad de ocurrencia es media. Cuando la evaluación de los controles
existentes es baja:
Cuando los controles son efectivos y Disminuye el nivel del riesgo
están documentados:
La probabilidad de ocurrencia es baja.
Nivel del Riesgo
Cuando la evaluación de los controles
es alta.
Aumenta el nivel del riesgo.
P L A N I F I C A C I O N D E L A S
A C C I O N E S P A R A E N F R E N T A R L O S
R I E S G O S
RIESGOS DE ATEN- Éstos deben ser reducidos o dad en la integración del Pro-
eliminados con un adecuado grama Anual de Trabajo.
CION INMEDIATA
balanceo de controles preventi-
Los riesgos de este cuadrante
vos y de detección, enfatizando
son clasificados como relevan-
los primeros.
tes y de alta prioridad. Son
Por lo anterior, es necesaria la
riesgos críticos que amenazan
evaluación de los sistemas o
el logro de las metas y objeti-
procesos de control interno
vos Institucionales y por lo
establecidos para el manejo de
tanto pueden ser significativos
tales riesgos.
por su grado de impacto y alta
Asimismo, éstos tendrán priori-
probabilidad de ocurrencia.
Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA
3. A u d i t o r í a I n t e r na d e l I P S F A P á g i n a 3
P L A N I F I C A C I O N D E L A S A C C I O N E S P A R A
E N F R E N T A R L O S R I E S G O S ( C o n t . . . )
RIESGOS DE ATENCION le otorgue al sistema de control Institucionales y representan
PERIODICA del proceso de que se trate). El áreas de oportunidad para los
Los riesgos que se ubican dentro conocimiento y experiencia lo- responsables y la coordinación ES NECESARIO
de este cuadrante son significati- grados de las auditorías y revi- de control interno de la gerencia
vos, pero su grado de impacto siones de control realizadas en , en el sentido de que agrega INTRODUCIR LA
es menor que los correspondien- el transcurso del tiempo, propor- valor a la gestión pública si son
cionarán una base adecuada debidamente comunicados al ADMINISTRACION
tes al cuadrante anterior. Para
asegurar que estos riesgos man- para la asignación de recursos mando directivo. Los riesgos DEL RIESGO
tengan una probabilidad baja y en este tema. ubicados en los cuadrantes I y II
sean administrados por la enti- Los controles deben ser evalua- deben recibir prioridad alta en EN EL INSTITUTO
dad o dependencia adecuada- dos y mejorados para asegurar los Programas Anuales de Tra-
que este tipo de riesgos de alta bajo, para su oportuna atención. COMO
mente, los sistemas de control
correspondientes deberán ser probabilidad de ocurrencia sean HERRAMIENTA
evaluados sobre la base de in- detectados antes de que se
tervalos regulares de tiempo materialicen. Estos riesgos, con- DE TRABAJO
(v.gr. una o dos veces al año, juntamente con los de atención GERENCIAL
dependiendo de la “confianza o inmediata son relevantes para el
grado de razonabilidad” que se logro de las metas y objetivos
RIESGOS DE SEGUIMIENTO RIESGOS CONTROLADOS
Los riesgos de este cuadrante son me-
nos significativos pero tienen un alto
grado de impacto. Los sistemas de con- Estos riesgos son al mismo tiempo poco pro-
trol que enfrentan este tipo de riesgos bables y de bajo impacto.
deben ser revisados una o dos veces al
año, para asegurarse que están siendo
administrados correctamente y que su
importancia no ha cambiado debido a Ellos requieren de un seguimiento y control
modificaciones en las condiciones inter- mínimo, a menos que una evaluación de ries-
nas o externas de la dependencia o gos posterior muestre un cambio sustancial, y
entidad. éstos se trasladen hacia un cuadrante de
mayor impacto y probabilidad de ocurrencia.
PLAN DE RIESGOS
El mapa de riesgos es una herra- ACCIONES DE CON- RESPONSABLES INDICADORES
mienta sistemática gerencial
cuya entrada resultan ser los TROL Son una variable que permiten
mayores riesgos a los cuales Aplicaciones del manejo del medir el funcionamiento, grado
está expuesto un determinado Riesgo que permite reducir o de ejecución y la evolución de
proceso o la entidad propiamente prevenir Mecanismos Futuros las acciones de control imple-
dicha y que propone desarrollar que generan cambio por mejora- mentadas por los responsables
las respuestas ante ellos, ten- miento, rediseño o eliminación y de las dependencias para reducir
dientes a evitar, reducir, transfe- optimización de los procedimien- el riesgo.
rir o asumir el riesgo, mediante la tos. CRONOGRAMAS
Señalan la situación real de cum-
aplicación de acciones, el moni-
plimiento de las ACCIONES DE
toreo de las mismas, además del
CONTROL QUE SE PROPUSIE-
cronograma y los indicadores
RON IMPLEMENTAR para evitar
o disminuir el riesgo.
LA FORMULACION DE LOS INDICADORES PUEDE REALIZARSE EN FORMA CUALITATIVA O CUANTITATIVA,
PORCENTUAL O POR UNIDADES DE CUMPLIMIENTO
Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA
4. A u d i t o r í a I n t e r na d e l I P S F A P á g i n a 4
s e g u i m i e n t o
Integrado por dos componentes.
El monitoreo, que busca revisar en la organización como se esta realizando el manejo de los riesgos y la auto evaluación que lo realiza cada res-
ponsable de las acciones en procura de determinar cuán efectivas son las acciones que esta implementando con el fin de contrarrestar el riesgo.
1. Monitoreo
Luego de definido el plan de manejo de riesgos, se realizará monitoreo ya que estos representan amenaza permanente para la organización.
Para evaluar la eficiencia en la implementación y desarrollo de las acciones de control, se hacen revisiones del plan de manejo de riesgos para
establecer factores que influyan en la aplicación de las acciones preventivas.
Responsables del monitoreo: Cada responsable del área articulado con la Coordinación de Control Interno de la Gerencia.
Finalidad: Aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.
Resultado: Los responsables del proceso con asistencia de la Coordinación de Control Interno de la gerencia, comunicarán a los jefes o jefas de las
respectivas áreas los hallazgos y sugerencias para el mejoramiento y tratamiento de los riesgos detectados.
2. Auto evaluación
El plan de manejo de riesgos debe evaluarse con base en los indicadores de gestión diseñados para este fin y en los resultados del monitoreo apli-
cados.
La evaluación no es la última etapa del proceso, sino que a través de ella se obtiene información valiosa para:
- Reformular el plan de manejo de riesgos.
- Agregar las acciones para combatir los nuevos riesgos detectados.
- Generar dentro de las áreas un ambiente de compromiso, pertenencia y autocontrol.
- Posibilitar a través de la retroalimentación el mejoramiento en el logro de los objetivos institucionales.
MODELO DE PLAN DE RIESGOS
CONTROL INTERNO PAGINA:
MAPA DE RIESGOS
FECHA DE ACTUALIZACION:
PROCESO:
OBJETIVO DEL PROCESO:
CRONOGRAMA
DESCRIPCION
CONSECUENCIAS
EVALUACION DEL
VALORACION
RESPONSABLE
DEL RIESGO
Implementación
ACTIVIDAD
IMPACTO PROBABILIDAD
EXISTENTES
CONTROLES
CAUSAS
ACCIONES
RIESGO
RIESGO
Fecha de
NIVEL DE
NIVEL DE NIVEL DE
VALOR IMPACTO
VALOR PROBABILI VALOR
DAD EVALUACION
L
Descripción del Mapa de riesgos
Actividad: Paso del proceso al cual se le esta aplicando las técnicas de Administración del Riesgo
Riesgo: Posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro
de la realización de la actividad.
Causas: Identificar el agente generador del riesgo
Consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social administrati-
vo, etc.
Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo.
Probabilidad: Entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de Frecuencia, si se ha materiali-
zado (por ejemplo: Número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y
externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Evaluación del Riesgo: Resultado obtenido en la matriz de calificación y evaluación de riesgos.
Controles existentes: Especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo.
Valoración del Riesgo: Es el resultado de determinar la vulnerabilidad de la entidad al riesgo, luego de confrontar la evaluación del riesgo
con los controles existentes.
Acciones: Es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan
de manejo del riesgo.
Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas.
Cronograma: Son las fechas establecidas para implementar las acciones por parte del grupo de trabajo.
Indicadores: Se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas
Compilación hecha por el Cnel. Rafael Contreras Acevedo Auditor Interno interino del IPSFA