Matrices de Riesgo

MATRIZ DE IDENTIFICACIÓN DE PELIGROS Y EVALUACIÓN DE RIESGOS (MIPER) 1.

INFORMACIÓN GENERAL 1.1. OBJETIVO: Este documento tiene como propósito general proporcionar una herramienta que permita unificar los criterios para fortalecer la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación del riesgo, que pueda afectar los productos y/o servicios generados para el cumplimiento de la misión y objetivos institucionales. 1.2. OBJETIVO ESPECIFICOS: -

Definir y aplicar un método que facilite identificar, analizar y valorar los riesgos de manera permanente.

-

Proteger y resguardar los recursos de la entidad, buscando su adecuada administración ante posibles riesgos que los puedan afectar.

-

Involucrar y comprometer a todos los colaboradores, en el proceso de Administración del Riesgo, y en la búsqueda de acciones encaminadas a prevenir y mitigar el riesgo.

-

Identificar los riesgos críticos, a fin de implementar las acciones de mitigación sobre aquellos que puedan causar mayor daño al momento de materializarse.

1.3. GLOSARIO: -

Aceptar el riesgo: Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.

-

Administración de Riesgos: Conjunto de elementos de control que al interrelacionarse, permiten a la entidad evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad autocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos.

-

Amenaza: situación externa que no controla la entidad y que puede afectar su operación

-

Análisis de riesgo: Elemento de control que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de

determinar la capacidad de la entidad para su aceptación y manejo. Se debe llevar a cabo un uso sistemático de la información disponible para determinar qué tan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias. -

Asumir el riesgo: se acepta la pérdida probable si el riesgo se materializa.

-

Autoevaluación del control: Elemento de control que, basado en un conjunto de mecanismos de verificación y evaluación, determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada área organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas. Se basa en una revisión periódica y sistemática de los procesos de la entidad para asegurar que los controles establecidos son aún eficaces y apropiados.

-

Causa: medios, circunstancias y/o agentes que generan riesgos.

-

Compartir el riesgo: Se asocia con la forma de protección para disminuir las pérdidas que ocurran luego de la materialización de un riesgo, es posible realizarlo mediante contratos, seguros, cláusulas contractuales u otros medios que puedan aplicarse.

-

Compartir o transferir el riesgo: se trasladan, total o parcialmente, las posibles pérdidas a otras organizaciones.

-

Control correctivo: acción orientada a eliminar las causas del riesgo materializado para evitar que vuelva a ocurrir.

-

Control preventivo: acción orientada a eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

-

Control: acción que minimiza la probabilidad de ocurrencia de un riesgo o el impacto o consecuencia producida ante su materialización.

-

Debilidad: situación interna que la entidad puede controlar y que puede afectar su operación.

-

Evaluación del riesgo: resultado del cruce cuantitativo de las calificaciones de probabilidad e impacto, para establecer la zona donde se ubicará el riesgo.

-

Evitar el riesgo: Tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas.

-

Identificación del riesgo: paso que establece el riesgo con sus causas y consecuencias.

-

Impacto: efecto de la materialización del riesgo.

2.

-

Matriz de riesgos: La matriz de riesgo de un proceso, es una descripción organizada y calificada de sus actividades, de sus riesgos y de sus controles, que permite registrar los mismos en apoyo al gerenciamiento diario de los riesgos.

-

Opciones de manejo: posibilidades disponibles para administrar el riesgo (evitar, reducir, transferir o asumir el riesgo residual).

-

Plan de contingencia: documento que contiene el conjunto de acciones inmediatas, recursos, responsables y tiempos establecidos para hacer frente a la materialización del riesgo y garantizar la continuidad del servicio.

-

Probabilidad: medida para estimar la ocurrencia del riesgo.

-

Procedimiento: formas específicas de llevar a cabo el proceso, en una secuencia lógica de actividades.

-

Proceso: conjunto de operaciones secuenciales interrelacionadas que transforman insumos (necesidades, recursos y controles) en bienes o servicios.

-

Reducir el riesgo: Implica tomar medidas encaminadas a disminuir la probabilidad (medidas de prevención). “La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles”

-

Riesgo inherente o puro: eventualidad a la que se enfrenta una organización en ausencia de controles.

-

Riesgo residual: eventualidad que permanece después de aplicar los controles al riesgo inherente.

-

Riesgo: eventualidad que tendrá un impacto negativo sobre los objetivos institucionales o del proceso.

-

Siniestro: materialización del riesgo.

¿QUE ES EL RIESGO?: El Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y Consecuencias. La tendencia más común, es la valoración del riesgo como una amenaza; en este sentido, los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia. Pero existe también la percepción del riesgo como una oportunidad, lo cual implica que su gestión está dirigida a maximizar los resultados que este genera.

3.

CLASES DE RIESGOS El riesgo está vinculado con todo el quehacer; se podría afirmar que no hay actividad de la vida, negocio o cualquier asunto que deje de incluirlos como una posibilidad.

4.

-

Riesgo Estratégico: Afecta directamente la Planeación Estratégica, las políticas establecidas por parte de la alta Dirección, la misión y el cumplimiento de los objetivos estratégicos.

-

Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la Entidad.

-

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.

-

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.

-

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

-

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

ADMINISTRACION DEL RIESGO: Esta acción le corresponde impulsarla a la Alta Dirección y es desarrollada por todos los colaboradores de la entidad, por ésta razón se señalan e implementan herramientas que permitan el manejo de los eventos que puedan afectar el logro de los objetivos institucionales por el surgimiento de diferentes tipos de riesgos, ocasionados por factores externos o internos, por esta razón implementará acciones encaminadas a administrarlos. La Matriz de Riesgos es una herramienta en donde se identifican y previenen los riesgos de gestión presentes en la entidad, por medio de alarmas, así como de la elaboración de mecanismos orientados a prevenirlos o evitarlos mediante las siguientes opciones de manejo de administración del riesgo: -

Contexto Estratégico. Identificación del Riesgo. Análisis y valoración del Riesgo. Políticas de la Administración del riesgo.

En el siguiente esquema se sintetiza el proceso que lleva a cabo cada uno de estos elementos para la Administración del Riesgo

5.

CONTEXTO EXTRATEGICO El contexto Estratégico es la base para la identificación de los riesgos internos y del entorno, al realizar esta etapa se busca obtener los siguientes resultados: -

Identificar los factores externos (AMENAZAS): Son los que pueden ocasionar la presencia de riesgos, para lograrlo se hace con base en el análisis de la información y de los procesos de la entidad, estos factores son:

Económicos, Medioambientales, Políticos, Sociales, Tecnológicos. -

identificar los factores internos (DEBILIDADES): Definidos como los que pueden ocasionar la presencia de riesgos teniendo en cuenta los factores de: Infraestructura, Personal, Medioambiental y Tecnología, con base en el análisis de los componentes:   

Ambiente de control.  Direccionamiento estratégico. Estudios de cultura organizacional y el clima laboral adelantados por la entidad.

Cada uno de estos factores puede constituirse en causa o consecuencia del riesgo a identificar.

6.

IDENTIFICACION DEL RIESGO: Para esta etapa del proceso hay que tener en cuenta que este es permanente e interactivo, y basado tanto en el resultado del análisis del Contexto Estratégico como en el proceso de planeación. Una vez definidas las causas con base a los factores internos y externos, se identifican los eventos (riesgos) que afecten el logro de los objetivos de los procesos, siendo ésta la base del análisis. Para definir un riesgo es necesario tener en cuenta las siguientes variables: o

Marco proceso: Nombre del Proceso.

o

Proceso o Subproceso: Nombre del Proceso

o

Objetivo del proceso o subproceso: Se debe transcribir el objetivo que se ha definido para el proceso o subproceso, al cual se le están identificando los riesgos.

o

Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.

o

Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.

o

Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo

o

Efectos (consecuencias): Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de

información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental. 6.1. METALENGUAJE DEL RIESGO

Un método apropiado para la definición de los riesgos consiste en usar el Metalenguaje del Riesgo estructurada en tres partes: Para para proveer una identificación del riesgo se debe tener en cuenta una estructura en tres partes: [CAUSA(S) ] –> [FACTOR DE RIESGO] –> [EFECTO(S)]. Ejemplo:

7.

ANALISIS Y VALORACION DEL RIESGO: Para esta etapa, el análisis del riesgo tiene como principal objetivo, establecer la probabilidad de ocurrencia de los riesgos (frecuencia) y el impacto de las consecuencias, este último aspecto puede orientar la clasificación del riesgo con el fin de obtener información para establecer el nivel del riego y las acciones que se van a implementar. Pasos claves para el análisis del riesgo    

Determinar probabilidad  Determinar impacto o consecuencia  Clasificación del riego  Estimar el nivel del riego 

Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Por impacto, consecuencia o severidad este se refiere al “resultado de un evento que afecta los objetivos” ocasionando la materialización del mismo.

Determinación de la probabilidad.

Determinación por impacto.

7.1. EVALUACIÓN DEL RIESGO: Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Las categorías relacionadas con el impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías relacionadas con la probabilidad son muy improbables, improbables, posibles, probables y casi seguras.

7.2. VALORACION DEL RIESGO:

Es el producto de confrontar la evaluación del riesgo y los controles (preventivos o correctivos) de los procesos y procedimientos. La Administración del Riesgo contribuirá a la gestión de la entidad, en la medida en que los controles se identifiquen, documenten, apliquen y sean efectivos para prevenir o mitigar los riesgos. La valoración del Riesgo se debe realizar en dos momentos: primero identificando los controles (preventivos o correctivos) que pueden disminuir la probabilidad de ocurrencia o el impacto del riesgo; segundo, se deben evaluar los controles.

Acciones fundamentales para valorar el Riesgo Identificar controles existentes Verificar efectividad de los controles Establecer prioridades de los controles Primero identificación de controles (preventivos o correctivos). 



Preventivos: aquellos que actúan para eliminar las causas del riesgo y previenen su ocurrencia o materialización.   Correctivos: aquellos que permiten tanto el restablecimiento de la actividad después de ser detectado un evento no deseable como la modificación de las acciones que propiciaron su ocurrencia. 

Segundo evaluación de controles.

De acuerdo a los resultados obtenidos de la calificación dada a cada uno de los criterios descritos en la tabla anterior, se tendrá en cuenta los siguientes rangos de calificación:

El resultado final del riesgo será presentado en la Matriz 5x5, de probabilidad e impacto la cual se usara para resaltar el estado de los riesgos. Los riesgos de mayor probabilidad y alto impacto requieren más atención, y por lo tanto, esta herramienta de evaluación será el mecanismo para que los responsables de procesos tengan control y responsabilidad sobre el resultado final de los riesgos.

8.

SEGUIMIENTO Y EVALUACION DEL RIESGO: Teniendo en cuenta que la dinámica en la cual se desenvuelve la administración del riesgo puede variar y en algunos casos sofisticarse, dificultando o incluso impidiendo su detección, es necesario que permanentemente se revisen las causas de los riesgos de corrupción y de gestión, para ello, la identificación, análisis, valoración y seguimiento de los riesgos a los cuales está expuesto el Departamento Administrativo del Servicio Civil Distrital- DACSD, estará liderado por los responsables de procesos Una vez hecho el ejercicio anterior, en el momento del seguimiento trimestral, cada responsable de proceso, conjuntamente con el líder operativo, debe volver a valorar las CAUSAS del riesgo, identificando si:

-

Se eliminaron Se redujeron Continúan Igual Se incrementaron Matriz de Riesgos por Proceso / Seguimiento y Evaluación SEGUIMIENTO Y EVALUACIÓN -->

Corte: 31 de agosto de 2014

AUTOEVALUACIÓN DEL PROCESO

Valoración Actual de las CAUSAS

Se eliminaron Se redujeron Continuan Igual Se incrementaron

VALORACIÓN CONTROL INTERNO

Nivel de Suficiencia de las

EVIDENCIAS

Evidencias para mitigar el Riesgo?

• Aplicación del procedimeinto para la Revisiòn y Actualizaciòn de la Plataforma • Lista de Asistencia a la Capacitación de los lideres operativos de los procesos en el • Lista de Asistencia a la Capacitación de los lideres operativos de los procesos en el

Medio

• Lista de Asistencia a la Capacitación de los lideres operativos de los procesos en el ejercicio de la

Ninguno

OBSERVACIONES Y RECOMENDACIONES

Alto

Bajo

Una vez identificado deberá relacionar las evidencias que consideren prueban la acción.