Metologia para la administracion del riesgo en las instituciones

METODOLOGÍA PARA LA ADMINISTRACIÓN DEL 2009
RIESGO EN EL IPSFA

INDICE
PRELIMINARES 4

METODOLOGÍA PARA LA ADMINISTRACION DEL RIESGO EN EL IPSFA 4

1. OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO 5

GENERAL 5

ESPECIFICOS 5

2. MARCO NORMATIVO 5

3. MARCO CONCEPTUAL 6

4. METODOLOGÍA 7

LINEAS GENERALES 8

Compromiso Gerencial 8

Conformación de un equipo de trabajo 8

Capacitación en la metodología 8

4.1 PLANIFICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO 8

4.2 VALORACIÓN DEL RIESGO 9

4.2.1 Identificación del riesgo 9

Formato de identificación de riesgos 10

Clasificación del riesgo 10

4.2.2 Análisis del riesgo 11

Análisis cualitativo 12

Análisis cuantitativo 12

RIESGO
ES NECESARIO INTRODUCIR LA ADMINISTRACION DEL RIESGO EN EL
INSTITUTO COMO HERRAMIENTA DE TRABAJO GERENCIAL Página 1

RIESGO EN EL IPSFA

Evaluación de los riesgos 14

4.2.3 Determinación del nivel del riesgo 16

Calificación de los controles 16

Criterios para evaluar la efectividad de los controles 16

Criterios para evaluar el nivel del riesgo 17

Resultado Nivel de riesgo 17

4.3 MANEJO DEL RIESGO 18

4.3.1 Consideración de Acciones 18

Evitar el riesgo 18

Reducir el riesgo 18

Dispersar y atomizar el riesgo 19

Transferir el riesgo 19

Asumir el riesgo 19

4.3.2 Elaboración del Mapa de Riesgos 19

MAPA DE RIESGOS 20

Descripción del Mapa de riesgos 20

4.3.3 Implementación de acciones 21

4.5 MONITOREO 21

5. DIAGRAMAS DE LA ADMINISTRACION DEL RIESGO 22

ETAPA DE PLANIFICACION 23

RIESGO

RIESGO EN EL IPSFA

EATAPA DE VALORACION DEL RIESGO 23

ETAPA DE MANEJO DEL RIESGO 24

ETAPA DE MONITOREO 25

6. DEFINICIÓN DE TÉRMINOS 26

RIESGO

RIESGO EN EL IPSFA

PRELIMINARES
El riesgo esta relacionado con todo el quehacer de la especie humana, de
manera que no hay actividad de la vida, los negocios o de cualquier asunto que no
incluya el riesgo, es por ello que el ser humano desde sus inicios buscó maneras
de protegerse contra las eventualidades y desarrolló modos de sortear, disminuir o
asumir riesgos a través de acciones preventivas.
Así mismo, la administración pública y en especial el Instituto de Previsión
Social de la Fuerza Armada no son ajenas al riesgo y deben buscar como
manejarlos partiendo de la base de su razón de ser y su compromiso con el
Estado; por esto, se debe tener en cuenta que los riesgos no sólo son de carácter
económico y están directamente relacionados con entidades financieras,
aseguradoras o con lo que se ha denominado riesgos profesionales, sino que
hacen parte de cualquier gestión que se realice.
La Auditoría Interna del IPSFA en ejercicio de su competencia de la
evaluación del Sistema de Control Interno del Instituto y aún más el de contribuir
en desarrollo de su Cultura ha estimado necesario compilar la presente
información, tomada de otros Estados que han tenido un desarrollo importante en
esta área, y la presenta en forma de guía metodológica de forma tal que pueda ser
utilizada como referencia en el empeño gerencial de lograr desarrollar la
ADMINISTRACION DEL RIESGO en el Instituto.
Es importante advertir, que en lo relativo al manejo de los indicadores en el
área de la Administración del Riesgo, la presente guía metodológica la limita a una
modesta mención, toda vez que la misma merece que sea atendida por separado,
cuando se trate lo relativo a las técnicas construcción de los indicadores de
gestión, validos también para la Administración del Riesgo.
METODOLOGÍA PARA LA ADMINISTRACION DEL RIESGO EN EL IPSFA
La Administración del Riesgo se presenta como una herramienta que le
permita a la administración hacer un manejo adecuado del mismo desde la
planificación, por lo cual, se aspira que el usuario de ella, pueda identificar,
analizar y manejar permanentemente el riesgo, garantizando el cumplimiento de
los objetivos institucionales, la supervivencia de la entidad y fortaleciendo
continuamente la credibilidad de la misma ante el afiliado.
Para efectos de esta metodología, se va a considerar el riesgo, como toda
posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal
desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

RIESGO

RIESGO EN EL IPSFA

Es conveniente aclarar que la presente metodología resulta ser una
compilación de diversas instituciones de otros Estados que han avanzado
considerablemente en el modelo de Administración del riesgo, toda vez que en
Venezuela apenas estamos desarrollando nuestras primeras experiencias y aún
no se recibe información oficial sobre la materia. Sin embargo la misma no agota
la materia de Administración de Riesgo y menos invalida otros modelos de
administración existentes, información que no solo es aceptada por el compilador
del presente trabajo, sino por el contrario se estimula al desarrollo de la
investigación en esta área, de manera de complementar la información aquí
contenida.
1. OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO
GENERAL
Facilitar el cumplimiento de la misión y objetivos de la institución a través de
la prevención y administración de los riesgos.
ESPECIFICOS
Generar una visión sistémica acerca de la administración y evaluación de
riesgos.
Servir como herramienta de trabajo a la administración activa en su meta de
protección de los recursos del Estado.
Introducir dentro de los procesos y procedimientos la administración del
riesgo.
Involucrar y comprometer a todos los funcionarias y funcionarias del
instituto, en la búsqueda de acciones encaminadas a prevenir y administrar los
riesgos.
Propender porque cada entidad interactúe con otras, para fortalecer su
desarrollo.
Asegurar el cumplimiento de normas, leyes y regulaciones.
2. MARCO NORMATIVO
El Manual de Normas de Control Interno sobre un modelo Genérico de la
Administración Central y Descentralizada Funcionalmente (Gaceta Oficial No
38.282 del 28 de septiembre de 2005), dictado por la Superintendencia Nacional
de Auditoría Interna, órgano rector del sistema de control interno del sector
publico, de acuerdo a las previsiones del Artículo 5 de la Ley Orgánica de
Administración Financiera del Sector Público, en nombre del Estado venezolano

RIESGO

RIESGO EN EL IPSFA

reconoce la aplicación del Modelo COSO como herramienta de control de la
administración pública, con la cual se suma a la nueva filosofía de gobierno del
Control Fiscal (Sistema Nacional de Control Fiscal Venezolano). Con ello reconoce
la aplicación del componente del sistema denominado: “Administración y
Valoración del riesgo”, de esta manera da entrada en toda la administración
pública al “Riesgo” como herramienta para ser tomada en cuenta en la
planificación pública.
3. MARCO CONCEPTUAL
La administración pública al ocuparse de los fenómenos de organización y
gestión, no puede ser ajena a las herramientas disponibles y a las nuevas
tendencias en administración, para lo cual requiere estar en constante
actualización y estar abierta al cambio y a la aplicación de diferentes instrumentos
que le permitan a las entidades ser cada vez más eficientes, por lo que se hace
necesario tener en cuenta todos aquellos hechos o factores que puedan afectar en
un momento determinado el cumplimiento de los objetivos institucionales.
Por lo anterior, se hace necesario introducir el concepto de administración
del riesgo en el instituto, teniendo en cuenta que todas las organizaciones
independientemente de su naturaleza, tamaño y razón de ser están
permanentemente expuestos a diferentes riesgos que pueden poner en peligro su
existencia. Desde la perspectiva del control, el modelo COSO interpreta que la
eficiencia del control es la reducción de los riesgos, es decir: el propósito principal
del control es la eliminación o reducción de los riesgos, es lograr que el proceso y
sus controles garanticen, de manera razonable que los riesgos están minimizados
o se están reduciendo y por lo tanto, que los objetivos de la organización y en este
caso del instituto, van a ser alcanzados.
Para el caso particular del IPSFA, dada la diversidad y particularidad de las
dependencias en cuanto a sus funciones, estructura, manejo presupuestario,
contacto con la ciudadanía y compromiso social entre otros, es preciso identificar o
precisar las áreas, los procesos, los procedimientos, las instancias y controles
dentro de los cuales puede actuarse e incurrirse en riesgos que atentan contra la
buena gestión y la obtención de resultados para tener un adecuado manejo del
riesgo.
Igualmente, es importante tener en cuenta que los riesgos están
determinados por factores de carácter externo, también denominados del entorno
y factores de carácter interno.

RIESGO

RIESGO EN EL IPSFA

Entre los factores externos se destacan: la normatividad en la medida que
se hace parte de un Estado social de derecho; a manera de ejemplo se pueden
mencionar cambios constitucionales, legales, reglamentarios o cualquier otra
normativa superior al instituto de producirse; jurisprudenciales como los que se
expresan en sentencias que declaran sin efecto normas que venían aplicándose y
que en un momento determinado pueden afectar las funciones específicas del
instituto y por lo tanto sus objetivos. También pueden mencionarse las reformas a
la administración y los constantes recortes presupuestales que afectan la
capacidad de gestión de la entidad, lo cual sumado a la reducción o eliminación
total del presupuesto de inversión, obliga a considerar en todo momento el riesgo
que tendría el IPSFA de no poder cumplir con su objeto social.
Entre los factores internos se destacan: el manejo de los recursos, la
estructura organizacional, los controles existentes, los procesos y procedimientos,
la disponibilidad presupuestaria, la forma como se vinculan las personas a la
entidad, los intereses de los directivos, el nivel del talento humano, la motivación y
los niveles salariales, entre otros.
Es así como se hace necesario además de la identificación de factores y
riesgos en las entidades, su análisis, valoración e implementación de un plan de
manejo el cual se materialice en un mapa de Riesgos, al cual se le haga una
evaluación y monitoreo permanentes.
Para llevar a cabo dicho proceso se considera importante señalar el papel
de la Oficina de Coordinadora de Control Interno del instituto, coordinar para que
en las gerencias se implementen políticas de administración del riesgo y se
conformen equipos de trabajo que apoyen dicho proceso y propendan por que se
implementen mecanismos reales para la administración del riesgo.
Igualmente estimular para que la identificación y el análisis del riesgo sean
un proceso permanente e interactivo entre la administración y las coordinaciones
de control interno o quien haga sus veces con miras a establecer acciones
efectivas, representadas en actividades de control, acordadas entre los
responsables de las áreas o procesos y dichas oficinas.
4. METODOLOGÍA
El IPSFA al igual que el resto de entidades de la administración pública
tiene unos objetivos institucionales definidos por su norma de constitución y
demás normas que la involucran, los cuales debe desarrollar a través de
diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos se
puede ver afectado por la presencia de riesgos, razón por la cual se hace

RIESGO

RIESGO EN EL IPSFA

necesario contar con una metodología para administrar los mismos dentro de la
organización.
En este sentido y partiendo de la razón de ser de la entidad, la
administración del riesgo debe ser una política institucional definida, respaldada
por la Gerencia, de tal forma que se comprometa a manejar el tema dentro de la
misma.
LINEAS GENERALES
Las etapas sugeridas para una adecuada Administración del Riesgo son las
siguientes:
Compromiso Gerencial:
Para el éxito en la Implementación de una adecuada administración del
riesgo, es indispensable el compromiso de la alta gerencia como encargada, en
primera instancia, de definir las políticas y en segunda instancia de estimular la
cultura de la identificación y prevención del riesgo. Para lograrlo es importante la
definición de canales directos de comunicación y el apoyo a todas las acciones
emprendidas en este sentido, propiciando los espacios y asignando los recursos
necesarios.
Conformación de un equipo de trabajo:
Es importante conformar un equipo de trabajo que junto con la Coordinación
de Control Interno se encargue de liderar el proceso de administración del riesgo
dentro de la gerencia y cuente con un canal directo de comunicación con la alta
dirección. Dicho equipo lo deben integrar personas de diferentes áreas que
conozcan muy bien la entidad y la dependencia en particular, el funcionamiento de
los diferentes procesos para que se facilite la administración del riesgo y la
construcción de los mapas de riesgos institucionales.
Capacitación en la metodología:
Definido el equipo o equipos de trabajo, la Gerencia y la Coordinación de
Control interno deben velar por la capacitación de sus integrantes en la
metodología de la administración del riesgo, para lo cual se podrá contar con el
apoyo de las diferentes instituciones del estado en materia de Control Fiscal
incluyendo la Auditoría interna del IPSFA.
4.1 PLANIFICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO
Como cualquier otro proceso, la administración del riesgo debe planificarse
y programarse de manera que haga parte de todo el quehacer de la entidad.
Para el diseño de esta planificación es fundamental tener claridad en la misión de
la entidad, en sus objetivos y tener una visión sistémica de manera que no se
RIESGO

RIESGO EN EL IPSFA

perciba la administración del riesgo como algo aislado. Igualmente es necesario
conocer sobre el tema de riesgos y la metodología propuesta.
Dicha planificación debe contener: ¿Cuándo va a empezar a manejarse el
tema dentro de la entidad?, ¿Quiénes van a participar directamente en el
proceso?, ¿Cuándo van a realizarse las capacitaciones y a quién van a ir
dirigidas? y ¿Cómo se va a articular el tema dentro de la planificación y con los
procesos?, ¿Cómo se conducir el seguimiento?, entre otros.
4.2 VALORACIÓN DEL RIESGO
La valoración del riesgo consta de tres etapas: la identificación, el análisis y
la determinación del nivel del riesgo. Estas etapas son de singular interés para
desarrollar con éxito la administración del riesgo e implementar una política al
respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor
cantidad de datos disponibles y contar con la participación de las personas que
ejecutan los procesos para lograr que las acciones determinadas alcancen los
niveles de efectividad esperados.
4.2.1 Identificación del riesgo
El proceso de la identificación del riesgo debe ser permanente e interactivo
integrado al proceso de planificación y debe partir de la claridad de los objetivos
estratégicos de la entidad para la obtención de resultados.
Previa la identificación de los riesgos es importante tener en cuenta tal
como se mencionó anteriormente, los factores que pueden incidir en la aparición
de los mismos, los cuales pueden ser externos e internos y llegar a afectar la
organización en cualquier momento.
Debe considerarse además de los factores previamente citados, factores
externos relacionados con la entidad como son: económicos, sociales, de orden
público, políticos, legales y cambios tecnológicos, entre otros y como factores
internos: la naturaleza de las actividades de la entidad, la estructura
organizacional, los sistemas de información, los procesos y procedimientos y los
recursos económicos.
Para la identificación se recomienda la aplicación de varias herramientas y
técnicas como por ejemplo: entrevistas estructuradas con expertos en el área de
interés, reuniones con directivos y con personas de todos los niveles en la entidad,
evaluaciones individuales usando cuestionarios, lluvias de ideas con los servidores
de la entidad, entrevistas e indagaciones con personas ajenas a la entidad, usar
diagramas de flujo, análisis de escenarios y hacer revisiones periódicas de
factores económicos y tecnológicos que puedan afectar la organización, entre
RIESGO

RIESGO EN EL IPSFA

otros. Igualmente pueden utilizarse diferentes fuentes de información de la
entidad, tales como registros históricos, experiencias significativas registradas,
opiniones de especialistas y expertos, informes de años anteriores, los cuales
pueden proporcionar información importante, la técnica utilizada dependerá de las
necesidades y naturaleza de la dependencia.
Una manera de visualizar los riesgos es a través de la utilización del
formato de identificación de riesgos el cual permite hacer un inventario de los
mismos, definiendo en primera instancia los riesgos, posteriormente presentando
una descripción de cada uno de estos, las causas y finalmente definiendo las
posibles consecuencias. Es importante centrarse en los riesgos más significativos
para la dependencia.
Formato de identificación de riesgos
POSIBLES
ACTIVIDAD RIESGO DESCRIPCIÓN CAUSAS
CONSECUENCIAS

Actividad: Paso del proceso al cual se le esta aplicando las técnicas de
Administración del Riesgo

Riesgo: Posibilidad de ocurrencia de aquella situación que pueda entorpecer el
normal desarrollo de las funciones de la entidad y le impidan el logro de sus
objetivos.

Descripción: Se refiere a las características generales o las formas en que se
observa o manifiesta el riesgo identificado.
Causas: Identificar el agente generador del riesgo

Posibles consecuencias: Corresponde a los posibles efectos ocasionados por el
riesgo, los cuales se pueden traducir en daños de tipo económico, social,
administrativo, entre otros.
Clasificación del riesgo
Durante el proceso de identificación del riesgo se recomienda hacer una
clasificación de los mismos teniendo en cuenta los siguientes conceptos:
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo
del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el
cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia
RIESGO

RIESGO EN EL IPSFA

Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa
como técnica de la entidad, incluye riesgos provenientes de deficiencias en los
sistemas de información y comunicación, en la definición de los procesos, en la
estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a
ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos
institucionales.
Riesgos de Control: Están directamente relacionados con inadecuados o inexistentes
puntos de control y en otros casos, con puntos de controles obsoletos, inoperantes
o poco efectivos.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que
incluye, la ejecución presupuestal, la elaboración de los estados financieros, los
pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada
entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su
interacción con las demás áreas dependerá en gran parte el éxito o fracaso de
toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con
los requisitos legales, contractuales, de ética pública y en general con su
compromiso ante la comunidad.
Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la
tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y
soporten el cumplimiento de la misión.
4.2.2 Análisis del riesgo
El objetivo del análisis es el de establecer una valoración y evaluación de
los riesgos con base en la información obtenida en el formato de identificación de
riesgos elaborados en la etapa de identificación, con el fin de obtener información
para establecer el nivel de riesgo y las acciones que se van a implementar. El
análisis del riesgo dependerá de la información sobre el mismo, de su causa y la
disponibilidad de datos. Para adelantarlo es necesario diseñar escalas que pueden
ser cuantitativas o cualitativas. Se han establecido dos aspectos para realizar el
análisis de los riesgos identificados:
Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de frecuencia o teniendo en cuenta la presencia de factores internos y
externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Impacto: consecuencias que puede ocasionar a la organización la materialización
del riesgo.
RIESGO

RIESGO EN EL IPSFA

A continuación se presentan algunos ejemplos de las escalas que pueden
implementarse para analizar los riesgos.
Análisis cualitativo:
Se refiere a la utilización de formas descriptivas para presentar la magnitud
de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas
ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada
organización o el concepto particular del riesgo evaluado.
Escala de medida cualitativa de PROBABILIDAD: se deben establecer las
categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada
persona que aplique la escala mida a través de ella los mismos ítems, por
ejemplo:
ALTA: es muy factible que el hecho se presente.
MEDIA: es factible que el hecho se presente.
BAJA: es muy poco factible que el hecho se presente.
Ese mismo diseño puede aplicarse para la escala de medida cualitativa de
IMPACTO, estableciendo las categorías y la descripción, por ejemplo:
ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la
entidad.
MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la
entidad.
BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la
entidad.
Con base en los ejemplos anteriormente expuestos, los equipos de trabajo
en coordinación con los encargados de adelantar los procesos pueden construir
sus propias escalas de acuerdo a la naturaleza de la entidad y a las características
de los procesos y procedimientos, de forma que estas escalas se ajusten al
análisis de los riesgos identificados.
Análisis cuantitativo:
Este análisis contempla valores numéricos para los cuales se pueden
construir tablas; la calidad depende de lo exactas y completas que estén las cifras
utilizadas. La forma en la cual la probabilidad y el impacto son expresada y las

RIESGO

RIESGO EN EL IPSFA

formas por las cuales ellos se combinan para proveer el nivel de riesgo puede
variar de acuerdo al tipo de riesgo.
Ejemplo de escala de impacto:

IMPACTO VALORACÍON CARACTERISTICA

Bajo 1, 2, 3 No afecta la operación del proceso ni su desempeño.

Permite la operación del proceso, bajo condiciones de
Medio 4, 5, 6
desempeño reducido.

Afecta la operación segura del proceso y/o involucra el
Alto 7, 8, 9, 10
incumplimiento de regulaciones existentes.

Ejemplo de escala de probabilidad:

FRECUENCIA VALORACÍON CARACTERISTICA

Ha ocurrido al menos 1 vez en los últimos cinco (5)
Baja 1, 2, 3
años.

Ha ocurrido al menos 1 vez en los últimos dos (2)
Media 4, 5, 6
años.

Alta 7, 8, 9, 10 Ha ocurrido al menos 1 vez en el último semestre.

RIESGO

RIESGO EN EL IPSFA

Al igual que para determinar las escalas cualitativas, el diseño de las
escalas cuantitativas debe contar con la participación de las personas encargadas
de los procesos y con el grupo encargado de liderar la administración del riesgo.
Evaluación de los riesgos
Una vez realizado el análisis de los riesgos con base en los aspectos de
probabilidad e impacto, se recomienda utilizar la matriz de evaluación que permite
determinar cuales requieren de un tratamiento inmediato.
Matriz de evaluación de riesgos
Frecuencia

ALTA
A B
BAJA C D
Impacto
BAJO ALTO
Cuando se ubican los riesgos en la matriz se define cuáles de ellos
requieren acciones inmediatas, que en este caso son los del cuadrante B, es decir
los de alto impacto y alta probabilidad. Los que no requieren acciones
inmediatas (pero desde luego requieren que se formulen) son los ubicados en el
cuadrante C bajo impacto y baja probabilidad. Respecto a los ubicados en las
casillas A y D, es la entidad la que debe seleccionar de acuerdo a la naturaleza
del riesgo cuáles van a trabajar primero, los de alto impacto pero baja
probabilidad o los de alta probabilidad y bajo impacto, ya que estos pueden
ser peligrosos para el logro de los objetivos institucionales, por las consecuencias
que presentan en el caso de los ubicados en la casilla D, o por lo constante de su
presencia en el caso de la casilla A.
Cuantitativamente la evaluación del riesgo es el producto automático,
realizado mediante una formula matemática que resulta de la relación entre el
impacto y la probabilidad del riesgo evaluado.
Multiplicadas estas dos calificaciones, grado de ocurrencia o frecuencia por
la relevancia del riesgo, nos arroja una calificación o ponderación final por riesgo
sobre una escala de 100 puntos donde se establece que a una mayor calificación
mayor es el riesgo.

RIESGO

RIESGO EN EL IPSFA

La matriz de evaluación del riesgo cuando se trate de la realización de un
análisis cuantitativo se representará en el eje (x, y), donde los valores
representado en el eje de las abscisas (horizontal) corresponden a los valores del
nivel del impacto y los valores del eje de las coordenadas (vertical) representa los
valores del nivel de la probabilidad

La representación de la cuantificación obtenida en la matriz o grafico,
permite la observar el resultado de la evaluación del riesgo identificado, esta
información podrá ser registrada en el formato que se viene elaborando de la
siguiente forma:

PROBABILIDAD
POSIBLES CONSECUENCIAS

EVALUACION DEL RIESGO
IMPACTO
DESCRIPCIÓN
ACTIVIDAD

CAUSAS
RIESGO

VALOR

NIVEL

VALOR

NIVEL

RIESGO

RIESGO EN EL IPSFA

4.2.3 Determinación del nivel del riesgo (Valoración del Riesgo)
La determinación del nivel de riesgo es el resultado de confrontar el
impacto y la probabilidad (evaluación del riesgo obtenida) con los controles
existentes en los diferentes procesos y procedimientos que se realizan. Para
adelantar esta etapa se deben tener muy claros los puntos de control existentes
en los diferentes procesos, los cuales permiten obtener información para efectos
de tomar decisiones, estos niveles de riesgo pueden ser:
ALTO: Cuando el riesgo hace altamente vulnerable a la entidad o unidad.
(Impacto y probabilidad alta vs controles)
MEDIO: Cuando el riesgo presenta una vulnerabilidad media. (Impacto alto -
probabilidad baja o Impacto bajo – probabilidad alta vs controles).
BAJO: Cuando el riesgo presenta vulnerabilidad baja. (Impacto y probabilidad
baja vs controles).
Calificación de los controles:
Para la evaluación de los controles existentes de cada uno de los riesgos,
es necesario establecer si son preventivos o correctivos y responder las siguientes
preguntas:
¿Están documentados?
¿Se están aplicando en la actualidad?
¿Son efectivos en minimizar el riesgo?
Criterios para evaluar la efectividad de los controles existentes
• Cuando no existen controles,
La probabilidad de ocurrencia es alta.
• Cuando los controles existentes no son efectivos,
La probabilidad de ocurrencia es alta
• Cuando los controles existentes son efectivos, pero no están
documentados,
La probabilidad de ocurrencia es media

RIESGO

RIESGO EN EL IPSFA

• Cuando los controles son efectivos y están documentados,
La probabilidad de ocurrencia es baja
Criterios para evaluar el nivel del riesgo
• Cuando la evaluación de los controles es alta, aumenta el nivel del riesgo.
• Cuando la evaluación de los controles existentes es media:
Si la evaluación del riesgo es baja, el nivel del riesgo se ubica en medio.
Si la evaluación de riesgo es media, el nivel de riesgo pudiera mantenerse
en medio si su referencia marcadora es la probabilidad (probabilidad alta-
impacto bajo); si su referencia marcadora es el impacto (impacto alto-
probabilidad baja) el nivel del riesgo pudiera aumentar a alto.
Si la evaluación del riesgo es alta, el nivel de riesgo es alto.
• Cuando la evaluación de los controles existentes baja, disminuye el nivel de
riesgo
Un ejemplo de la determinación del nivel del riesgo y del grado de exposición al
mismo:
Riesgo: Perdida de información debido a la entrada de un virus en la red de
información de la entidad.
Probabilidad: Alta, porque todos los computadores de la entidad están
conectados a la red de Internet e intranet.
Impacto: Alto, porque la pérdida de información traería consecuencias graves
para el quehacer de la entidad.
Controles existentes: la entidad tiene establecidos controles semanales
haciendo Backus o copias de seguridad y vacunando todos los programas y
equipos; además guarda la información más relevante desconectada de la red en
un centro de información.
Resultado Nivel de riesgo:
Medio por los controles establecidos
Lo anterior significa que a pesar de que la probabilidad y el impacto son
altos confrontado con los controles, se puede afirmar que el nivel de riesgo es

RIESGO

RIESGO EN EL IPSFA

medio y por lo tanto las acciones que se implementen entrarán a reforzar los
controles existentes y a valorar la efectividad de los mismos.
Siguiendo con la elaboración del formato y partiendo de la evaluación del
Riesgo obtenido, se incluye lo relativo a la evaluación de controles existentes, la
identificación del control, si el mismo existe, si está documentado, si se aplica, si
es efectivo, y la correspondiente evaluación del control de acuerdo a la aplicación
de los criterios para evaluar la efectividad de los controles existentes, finalmente
la valoración del Riesgo de acuerdo a los criterios desarrollados para evaluar el
nivel del riesgo.

CONTROLES EXISTENTES
EVALUACION VALORACION
DOCUMEN EVALUACION DEL
DEL RIESGO CONTROL EXISTE TADO APLICA EFECTIVO DEL RIESGO
CONTROL

4.3 MANEJO DEL RIESGO
Cualquier esfuerzo que emprendan las entidades en torno a la valoración
del riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de
los mismos.
4.3.1 Consideración de Acciones
Para el manejo de los riesgos se deben analizar las posibles acciones a
emprender las cuales deben ser factibles y efectivas, tales como: la
implementación de políticas, definición de estándares, optimización de procesos y
procedimientos y cambios físicos entre otros.
Se pueden tener en cuenta alguna de las siguientes opciones, las cuales pueden
considerarse cada una de ellas independientemente, interrelacionadas o en
conjunto.

Evitar el riesgo:
Es siempre la primera alternativa a considerar. Se logra cuando en los
procesos se genera cambios sustanciales por mejoramiento, rediseño o
eliminación, resultado de unos adecuados controles y acciones emprendidas. Un
ejemplo de esto puede ser el control de calidad, manejo de los insumos,
mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

Reducir el riesgo:
Si el riesgo no puede ser evitado porque crea grandes dificultades
operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La

RIESGO

RIESGO EN EL IPSFA

reducción del riesgo es probablemente el método más sencillo y económico para
superar las debilidades antes de aplicar medidas más costosas y difíciles. Se
consigue mediante la optimización de los procedimientos y la implementación de
controles.
Ejemplo: Planes de contingencia.

Dispersar y atomizar el riesgo:
Se logra mediante la distribución o localización del riesgo en diversos
lugares. Es así como por ejemplo, la información de gran importancia se puede
duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla
concentrada en un solo lugar.

Transferir el riesgo:
Hace referencia a buscar respaldo y compartir con otro parte del riesgo
como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el
riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo
puede ser minimizado compartiéndolo con otro grupo o dependencia.

Asumir el riesgo:
Luego de que el riesgo ha sido reducido o transferido puede quedar un
riesgo residual que se mantiene, en este caso el gerente del proceso simplemente
acepta la pérdida residual probable y elabora planes de contingencia para su
manejo.
Una vez establecidas cuales de las anteriores opciones de manejo del
riesgo se van a concretar, estas deben evaluarse con relación al beneficio costo
para proceder a elaborar el mapa de riesgos, el cual permitirá visualizar todo el
proceso de valoración, análisis y manejo de los riesgos.
4.3.2 Elaboración del Mapa de Riesgos
Para la consolidación del Mapa de Riesgos, adicional a las consideraciones
expuestas, es necesario identificar las causas que los pueden ocasionar, lo cual
facilita el proceso de definición de acciones para mitigar los mismos.
La selección de las acciones más convenientes debe considerar la viabilidad
jurídica, técnica, institucional, financiera y económica y se puede realizar con base
en los siguientes factores:
a) El nivel del riesgo
b) El balance entre el costo de la implementación de cada acción contra el
beneficio de la misma.

RIESGO

RIESGO EN EL IPSFA

Así mismo en el Mapa de Riesgos se deben identificar los controles existentes, las
áreas o dependencias responsables de llevar a cabo las acciones, definir un
cronograma y unos indicadores que permitan verificar el cumplimiento para tomar
medidas correctivas cuando sea necesario. (Ver formato)
MAPA DE RIESGOS
Consecuencias

Evaluación del

Valoración del

Responsables
Probabilidad

Cronograma
Descripción

Indicadores
Controles
Actividad

Acciones
existente
Impacto
Causas
Riesgo

riesgo

riesgo
Descripción del Mapa de riesgos

Actividad: Paso del proceso al cual se le esta aplicando las técnicas de
Administración del Riesgo

Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el
normal desarrollo de las funciones de la entidad y le impidan el logro de sus
objetivos.
Descripción: Las características generales o las formas como se observa el
riesgo en la actividad

Consecuencias: Posibles efectos ocasionados por el riesgo, los cuales se
pueden traducir en daños de tipo económico, social administrativo, etc.

del riesgo.
Probabilidad entendida como la posibilidad de ocurrencia del riesgo; esta puede
ser medida con criterios de frecuencia o teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo aunque este no se
haya presentado nunca.
Control existente: especificar cuál es el control que la entidad tiene
implementado para combatir, minimizar o prevenir el riesgo.

RIESGO

RIESGO EN EL IPSFA

Nivel de riesgo: El resultado de la aplicación de la escala escogida para
determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo
en cuenta los controles existentes.
Causas: Son los medios, circunstancias y agentes que generan los riesgos.
Acciones: es la aplicación concreta de las opciones del manejo del riesgo que
entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del
riesgo.
Responsables: Son las dependencias o áreas encargadas de adelantar las
acciones propuestas.
Cronograma: son las fechas establecidas para implementar las acciones por
parte del grupo de trabajo.
Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo
de las acciones implementadas.
Finalmente, partiendo de que el fin último de la administración del riesgo es
propender por el cumplimiento de la misión y objetivos institucionales, los cuales
están consignados en la planeación anual de la entidad, se sugiere articular el
mapa de riesgos con la planeación de manera que no sean planes aislados sino
complementarios.
4.3.3 Implementación de acciones
Definido el Mapa de Riesgos con sus acciones, responsables y
cronogramas, es fundamental comenzar a ejecutar dichas acciones con el fin de
determinar su efectividad en el menor tiempo posible.
4.5 MONITOREO
Una vez diseñado y validado el plan para administrar los riesgos, en el
mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca
dejan de representar una amenaza para la organización.
El monitoreo es esencial para asegurar que las acciones se están llevando
a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre
la marcha para evidenciar todas aquellas situaciones o factores que pueden estar
influyendo en la aplicación de las acciones preventivas.
El monitoreo debe estar a cargo de los responsables de las diferentes áreas
con el apoyo de las Oficinas Coordinadora de Control Interno y su finalidad
principal será la de aplicar y sugerir los correctivos y ajustes necesarios para
RIESGO

RIESGO EN EL IPSFA

asegurar un efectivo manejo del riesgo. La Oficina Coordinadora de Control
Interno dentro de su función asesora comunicará y presentará luego del
monitoreo, sus resultados y propuestas de mejoramiento y tratamiento a las
situaciones detectadas.
5. DIAGRAMAS DE LA ADMINISTRACIÓN DEL RIESGO
A continuación se presenta un diagrama que consolida todo el proceso de
administración del riesgo y puede facilitar la comprensión del mismo al momento
de llevar a cabo la tarea de levantamiento del Mapa de Riesgos.

ETAPA DE PLANIFICACION

IDENTIFICAR LA MISION
CONOCIMIENTO GENERAL DE
LA INSTITUCION IDENTIFICAR LOS OBJETIVOS

IDENTIFICAR LOS PROCESOS

DEFINIR LOS OBJETIVOS EN MATERIA DE
DISEÑO DEL PLAN ADMINISTRACION DE RIESGOS

DISEÑO DE CRONOGRAMAS DE ACTIVIDADES

CAPACITACION EN LA METODOLOGIA

RIESGO

RIESGO EN EL IPSFA

ETAPA DE VALORACION DEL RIESGO

IDENTIFICACION DE LOS FACTORES INTERNOS Y
EXTERNOS
IDENTIFICACION DEL RIESGO
ELABORACION DEL FORMATO IDENTIFICACION
DEL RIESGO

CLASIFICACION DE LOS RIESGOS

MEDIR IMPACTO Y PROBALIDAD

JERARQUIZAR LOS RIESGOS ACORDE
CON LA ESCALA
EVALUACION DEL RIESGO DE MEDICIÓN DEFINIDA
(COMENZANDO POR LOS
DE MAYOR IMPACTO Y
PROBABILIDAD)

IDENTIFICAR LOS CONTROLES
EXISTENTES PARA CADA
UNO DE LOS RIESGOS
SELECCIONADOS

DETERMINACIÓN CONFRONTAR EL IMPACTO Y LA
DEL NIVEL DE PROBABILIDAD FRENTE A LOS
RIESGO CONTROLES EXISTENTES

SELECCIONAR LOS RIESGOS
DE MAYOR INCIDENCIA
PARA EL CUMPLIMIENTO
DE LOS OBJETIVOS

RIESGO

RIESGO EN EL IPSFA

ETAPA DE MANEJO DEL RIESGO

ESTUDIO DE POSIBLES
CONSIDERACIONES Y ACCIONES ACCIONES PARA MITIGAR
LOS RIESGOS

DEFINICIÓN DE LAS CAUSAS QUE
PROPICIAN LOS RIESGOS

DEFINICIÓN DE ACCIONES
PARA MITIGAR LOS RIESGOS
ELABORACION DEL MAPA DE
RIESGO ANÁLISIS COSTO BENEFICIO
DE LAS ACCIONES

PROCESAMIENTO DEL
FORMATO DE MAPA DE
RIESGOS

EJECUCIÓN DE LOS COMPROMISOS
IMPLEMENTACION DE LAS ADQUIRIDOS
ACCIONES SEGUIMIENTO A LAS ACCIONES
POR PARTE DE LOS
RESPONSABLES

RIESGO

RIESGO EN EL IPSFA

ETAPA DE MONITOREO

DEFINIR LOS RIESGOS A LOS CUALES
SE VA A HACER SEGUIMIENTO
ELABORACION DE UN PLAN DE
SEGUIMIENTO ELABORAR CRONOGRAMA
DE SEGUIMIENTO

DEFINICIÓN DE RESPONSABLES
DEL SEGUIMIENTO

REVISIÓN DE LOS COMPROMISOS
ADQUIRIDOS PARA
MITIGAR LOS RIESGOS
EJECUCION DEL SEGUIMIENTO SELECCIONADOS

VERIFICACIÓN DE LA IMPLEMENTACIÓN
DE LAS
ACTIVIDADES

CONSOLIDACIÓN DE LA
INFORMACIÓN
PRESENTACIÓN DE
RESULTADOS Y PRESENTACIÓN DE SUGERENCIAS
PROPUESTAS Y RECOMENDACIONES

ELABORACIÓN DEL INFORME

RIESGO

RIESGO EN EL IPSFA

6. DEFINICIÓN DE TÉRMINOS
Administración de riesgos: Una rama de administración que aborda las
consecuencias del riesgo. Consta de dos etapas:
i El diagnóstico o valoración, mediante Identificación, Análisis y determinación del
Nivel, y
ii El manejo o la administración propiamente dicha, en que se elabora, ejecuta y
hace seguimiento al Plan de manejo que contiene las Técnicas de Administración
del Riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta
dirección.
• Análisis de Beneficio-Costo: Una herramienta de Administración de Riesgos
usada para tomar decisiones sobre las técnicas propuestas por el grupo para la
administración de los riesgos, en la cual se valoran y comparan los costos,
financieros y económicos, de implementar la medida, contra los beneficios
generados por la misma. Una medida de administración de riesgos será aceptada
siempre que el beneficio valorado supere al costo.
• Análisis de riesgos: Determinar el Impacto y la Probabilidad del riesgo.
• Causa: Son los medios, circunstancias y agentes que generan los riesgos.
• Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el
desempeño de las operaciones, evidenciando posibles desviaciones frente al
resultado esperado para la adopción de medidas preventivas. Los controles
proporcionan un modelo operacional de seguridad razonable en el logro de los
objetivos.
• Costo: Se entiende por costo las erogaciones, directas e indirectas en que
incurre la entidad en la producción, prestación de un servicio o manejo de un
riesgo.
• Factores de riesgo: Manifestaciones o características medibles u observables
de un proceso que indican la presencia de Riesgo o tienden a aumentar la
exposición, pueden ser internos o externos a la entidad.
• Identificación de riesgos: Establecer la estructura del riesgo; fuentes o
factores, internos o externos, generadores de riesgos; puede hacerse a cualquier
nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por
funciones; desde el nivel estratégico hasta el más humilde operativo.

RIESGO

RIESGO EN EL IPSFA

del riesgo.
• Indicador: es la valoración de una o más variables que informa sobre una
situación y soporta la toma de decisiones, es un criterio de medición y de
evaluación cuantitativa o cualitativa.
• Mapas de riesgos: herramienta metodológica que permite hacer un inventario
de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la
descripción de cada uno de estos y las posibles consecuencias
• Nivel de riesgo (determinación del): Es el resultado de confrontar el impacto y
la probabilidad, con los controles existentes.
• Plan de contingencia: Parte del plan de manejo de riesgos que contiene las
acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar
continuidad a los objetivos de la entidad.
• Plan de manejo de riesgos: Plan de acción propuesto por el grupo de trabajo,
cuya evaluación de beneficio costo resulta positiva y es aprobado por la gerencia.
• Plan de mejoramiento: Parte del plan de manejo que contiene las técnicas de
administración del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir
o asumir riesgos.
• Probabilidad: Una medida (expresada como porcentaje o razón) para estimar la
posibilidad de que ocurra un incidente o evento. Contando con registros, puede
estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de
mayor o menor complejidad.
• Responsables: Son las dependencias o áreas encargadas de adelantar las
acciones propuestas.
• Retroalimentación: Información sistemática sobre los resultados alcanzados en
la ejecución de un plan, que sirven para actualizar y mejorar la planeación futura.
• Riesgo: posibilidad de ocurrencia de toda aquella situación que pueda
entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro
de sus objetivos.
• Riesgo absoluto: el máximo riesgo sin los efectos mitigantes de la
administración del riesgo.

RIESGO

RIESGO EN EL IPSFA

Riesgo residual: es el riesgo que queda cuando las técnicas de administración
del riesgo han sido aplicadas.
• Seguimiento: Recolección regular y sistemática sobre la ejecución del plan, que
sirven para actualizar y mejorar la planeación futura.
• Sistema: Conjunto de cosas o partes coordinadas, ordenadamente relacionadas
entre sí, que contribuyen a un determinado objetivo.
• Técnicas para manejar el riesgo: Evitar o prevenir, reducir, dispersar, transferir
y asumir riesgos.
• Valoración del riesgo: Primera fase en la administración de riesgos, diagnóstico
que consta de la identificación, análisis y determinación del nivel de riesgo.

Rafael María Contreras Acevedo
CI 4208526

RIESGO

Metologia para la administracion del riesgo en las instituciones

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (18)

Similaire à Metologia para la administracion del riesgo en las instituciones

Similaire à Metologia para la administracion del riesgo en las instituciones (20)

Plus de Rafael Contreras

Plus de Rafael Contreras (17)

Metologia para la administracion del riesgo en las instituciones