ADMINISTRACIÓN DEL - invima.gov.co · un Mapa de Riesgos por Procesos e ... Control Interno en la...

ADMINISTRACIÓN DEL

RIESGO

“Taller Práctico de Construcción de

un Mapa de Riesgos por Procesos e

Institucional”

Respetar

OBJETIVO DE LA CONFERENCIA

Capacitar conceptual y

metodológicamente a los

asistentes al IV Congreso de

Control Interno en la Metodología

de Administración del Riesgo,

ajustada a las nuevas directrices

del DAFP (Guía de Septiembre

de 2011, oficializada en Marzo de

2012), de tal forma que mejoren

sus competencias técnicas en la

materia y puedan construir con

éxito los Mapas de Riesgos por

Procesos e Institucional.

¿Qué es el Riesgo?

Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.

1. Riesgo Estratégico

Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

2. Riesgos de

Imagen

Se Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

3. Riesgos

Operativos

Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.

4. Riesgos

Financieros

Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.

5. Riesgos de

Cumplimiento

Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

6. Riesgos de Tecnología

Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

7. Riesgo de

Corrupción

Se entiende por Riesgo de Corrupción la posibilidad que por

acción u omisión mediante el uso indebido del poder, de los

recursos o de la información, se lesionen los intereses de

una entidad y en consecuencia del Estado, para obtención de

un beneficio particular.

¿Qué Comprende la Administración

del Riesgo?

La administración del Riesgo comprende el conjunto de Elementos de Control y sus interrelaciones, para que la institución evalúe e intervenga aquellos eventos, tanto internos como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos institucionales. La administración del riesgo, contribuye a que la entidad consolide su Sistema de Control Interno y a que se genere una Cultura de Autocontrol y Autoevaluación al interior de la misma.

Contexto Estratégico Organizacional

Identificación del Riesgo ¿Qué puede suceder?

¿Cómo puede suceder?

Análisis del Riesgo

Identificar Controles para el Riesgo Verificar la Efectividad de los Controles

Establecer Tratamiento

Determinar la Probabilidad Determinar las Consecuencias

Valoración del Riesgo

Determinar Nivel de Riesgo

Políticas de Administración del Riesgo

Mo

nit

ore

o y

Rev

isió

n

Co

mu

nic

ació

n y

Co

nsu

lta

Proceso para

la

Administración

del Riesgo

AS/NZS ISO

31000:2011

83

ENTIDAD

INFORME ESTRATÉGICO GRADO DE VULNERABILIDAD DE LA ENTIDAD

IDENTIFICACIÓN

EVENTOS ASOCIADOS

Proceso

Actividad

IDENTIFICACIÓN

EVENTOS ASOCIADOS

Proceso

Actividad

EXPOSICIÓN AL RIESGO

LAS SITUACIONES INTERNAS

Relacionadas con la Estructura, Cultura Organizacional, el Modelo de

Operación, el Cumplimiento de los Planes y Programas, los Sistemas de

Información, los Procesos y los Procedimientos y los Recursos

Humanos y Económicos

SITUACIONES DEL ENTORNO O EXTERNAS

De carácter Social, Cultural, Económico, Tecnológico, Político y Legal, bien sea Internacional,

Nacional o Regional

CONTEXTO

ESTRATÉGICO

OBJETIVOS

ProcedimRientiosesgos Externo- Plasnes y

Factores Internos

- Recursos Humanos

- Recursos Económicos

- Estructura.

- Cultura Organizacional - Modelo de

Operación

Programas - Sistemas de Información

- Procesos y Legal

Político

Social Cultural

Económico

Tecnólógico

Factores Externos

Ambiental

EJEMPLO APLICADO A LA METODOLOGÍA

CONTEXTO ESTRATÉGICO

PROCESO: ATENCIÓN AL USUARIO.

OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo

atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las

disposiciones legales vigentes.

FACTORES EXTERNOS CAUSAS FACTORES

INTERNOS CAUSAS

Nueva tecnología

disponible. No se realizan las

actualizaciones de hardware

y software.

Tecnología. No. equipos insuficientes y

algunos obsoletos.

Normatividad. Cambios normativos. Talento humano. - Desconocimiento de la

normatividad aplicada.

- Resistencia al cambio.

- Desmotivación.

Relación con otras

entidades. Demoras en la respuesta de

comunicaciones enviadas a

otras entidades relacionadas.

Sistemas de información. - Proceso manual, que puede

generar registros erróneos o

falta de registros. - Información desactualizada

Necesidades de la

comunidad.

Incremento en el número de

solicitudes por alta demanda

de usuarios, desbordando la

capacidad instalada.

Procedimientos. Fallas en el seguimiento a los

procedimientos del proceso.

¿Cómo se Identifica el

Riesgo?

La identificación del riesgo se realiza a partir de las causas determinadas, con base en los factores internos y/o externos definidos para la entidad, y que pueden afectar el logro de los objetivos.


IDENTIFICACIÓN DEL RIESGO


OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,

permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de

acuerdo a las disposiciones legales vigentes.

CAUSAS RIESGO DESCRIPCIÓN CONSECUENCIAS

POTENCIALES

No. equipos insuficientes y

algunos obsoletos.

Incumplimiento en la

generación de respuestas

a los usuarios.

No se generan las

respuestas dentro de

los términos legales.

- Sanciones.

- Demandas.

No se realizan las

actualizaciones de hardware y

software.

- Proceso manual, que puede

generar registros erróneos o

falta de registros.

- Información desactualizada.

- Desconocimiento de la

normatividad aplicada.

- Resistencia al cambio.

- Desmotivación.

Generación de

respuestas inadecuadas o

erróneas a los usuarios.

Respuestas sin la

competencia técnica o

no acorde a lo

requerido.

Pérdida de imagen y

alto nivel de quejas por

parte de los usuarios.

Fallas en el seguimiento a los

procedimientos del proceso.

El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, éste último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

identificación de riesgos.

¿Cómo se Analiza el

Riesgo?

El análisis del riesgo depende de la

información obtenida en la fase de

Bajo el Criterio de Probabilidad, el Riesgo se

debe

medir a partir de las siguientes especificaciones:

ICONTEC HB141 Guía para la Financiación del Riesgo. Apéndice A. 2008

TABLA DE PROBABILIDAD

NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA

1. Raro. El evento puede ocurrir solo en

circunstancias excepcionales.

No se ha presentado en los últimos 5

años.

2. Improbable. El evento puede ocurrir en algún

momento.

Al menos 1 vez en los últimos 5 años.

3. Posible. El evento podría ocurrir en algún

momento.

Al menos 1 vez en los últimos 2 años.

4. Probable. El evento probablemente ocurrirá en la

mayoría de las circunstancias.

Al menos 1 vez en el último año.

5. Casi seguro. Se espera que el evento ocurra en la

mayoría de las circunstancias.

Más de 1 vez al año.

Bajo el Criterio de Impacto, el Riesgo se

debe medir a partir de las siguientes

especificaciones:

TABLA DE IMPACTO

NIVEL DESCRIPTOR DESCRIPCIÓN

1. Insignificante. Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre

la entidad.

2. Menor. Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.

3. Moderado. Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre

la entidad.

4. Mayor. Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la

entidad.

5. Catastrófico. Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos

sobre la entidad.

Para determinar el Impacto se pueden utilizar las

siguientes tablas que representan los temas en

que suelen impactar la ocurrencia de los riesgos y

se asocian con la clasificación del

riesgo previamente realizada, y se relaciona

con las consecuencias potenciales del riesgo

identificado.

Las tablas propuestas representan los impactos de mayor ocurrencia en las entidades del Estado, no obstante cada entidad puede incluir otros tipos de impacto según su particularidad.

IMPACTO DE CONFIDENCIALIDAD

DE LA INFORMACIÓN

El impacto de confidencialidad de la información se refiere a la pérdida o revelación de la misma. Cuando se habla de información reservada institucional se hace alusión a aquella que por la razón de ser de la entidad sólo puede ser conocida y difundida al interior de la misma; así mismo, la sensibilidad de la información depende de la importancia que esta tenga para el desarrollo de la misión de la entidad.

IMPACTO DE CONFIDENCIALIDAD DE LA INFORMACIÓN

NIVEL CONCEPTO

1. Personal

2. Grupo de Trabajo

3. Relativa al Proceso

4. Institucional

5. Estratégica

IMPACTO DE CREDIBILIDAD O IMAGEN

El impacto de credibilidad se refiere a la pérdida de la misma frente a diferentes actores sociales o dentro del a entidad.

IMPACTO DE CREDIBILIDAD O IMAGEN

NIVEL CONCEPTO

1. Grupo de Funcionarios

2. Todos los Funcionarios

3. Usuarios Ciudad

4. Usuarios Región

5. Usuarios País

IMPACTO LEGAL

El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su función administrativa, ejecución presupuestal y normatividad aplicable.

IMPACTO LEGAL

NIVEL CONCEPTO

1. Multas

2. Demandas

3. Investigación Disciplinaria

4. Investigación Fiscal

5. Intervención - Sanción

IMPACTO OPERATIVO

El impacto operativo aplica en la mayoría de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos dentro de la misma.

IMPACTO OPERATIVO

NIVEL CONCEPTO

1. Ajustes a una Actividad Concreta

2. Cambios en Procedimientos

3. Cambios en la Interacción de los Procesos

4. Intermitencia en el Servicio

5. Paro Total del Proceso

Matriz de Calificación, Evaluación y Respuesta a los Riesgos

PROBABILIDAD IMPACTO

Insignificante

(1)

Menor

(2)

Moderado

(3)

Mayor

(4)

Catastrófic

o

(5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

B: Zona de Riesgo Baja: Asumir el Riesgo.

M: Zona de Riesgo Moderada: Asumir el Riesgo, Reducir el riesgo.

A: Zona de Riesgo Alta: Reducir el Riesgo, Evitar, Compartir o

Transferir.

E: Zona de Riesgo Extrema: Reducir el Riesgo, Evitar, Compartir o

Transferir.


ANÁLISIS DEL RIESGO


OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas,

permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio

y de acuerdo a las disposiciones legales vigentes.

RIESGO CALIFICACIÓN Tipo

Impacto

Evaluación

Zona de Riesgo

Medidas de

Respuesta Probabilidad Impacto


generación de

respuestas a los

usuarios (Términos

establecidos por la

Ley).

4 3 Legal Zona Riesgo

Alta

Evitar, Reducir,

Compartir o

Transferir el

Riesgo


IMPACTO

PROBABILIDAD Insignificante

(1)

Menor

(2)

Moderado

(3)

Mayor

(4)

Catastrófico

(5)

Raro (1) B B M A A



Probable (4) M A AA E E


Este primer análisis del riesgo se denomina RIESGO

INHERENTE y se define como aquél al que se enfrenta una

Entidad en ausencia de acciones por parte de la Dirección

para modificar su Probabilidad o Impacto.

Acciones riesgo:

¿Cómo se Valora el

Riesgo?

fundamentales para valorar el

- Identificar controles existentes.

- Verificar efectividad de los controles.

- Establecer prioridades de tratamiento.

¿Qué es la Valoración del Riesgo?

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Tabla de Valoración de los Controles Existentes

Criterios Valoración del Riesgo Calificación

No existen controles o

existen pero no son

efectivos.

Se mantiene el resultado de

la evaluación antes de

controles

3.

Los controles

existentes son

efectivos, pero no

están documentados.

Cambia el resultado inferior

de la evaluación antes de

controles (el desplazamiento

queda a criterio de los

responsables).

2.

Los controles son

efectivos y están

documentados.

Pasa a escala inferior, según criterio de los responsables.

1.


PROBABILIDAD IMPACTO

Insignificante

(1)

Menor

(2)

Moderado

(3)

Mayor

(4)

Catastrófic

o

(5)

Raro (1) B B M A A








Transferir.


Transferir.

El resultado obtenido a través de la valoración del riesgo, es denominado también TRATAMIENTO DEL RIESGO, ya que se “involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales acciones”, así el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la selección de la opciones de tratamiento del riesgo, así:

NORMA TÉCNICA COLOMBIANA NTC – ISO 31000. Pág. 39 y 40.

Resultado de la Valoración del

Riesgo

Evitar el Riesgo

considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

Tomar las medidas encaminadas a prevenir su

materialización. Es siempre la primera alternativa a

Reducir el Riesgo

Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.

Compartir o Transferir el Riesgo

Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.

Asumir un Riesgo

Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

Relación Costo-Beneficio

Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto se deberá considerar aspectos como:

• Viabilidad Jurídica. • Viabilidad Técnica. • Viabilidad Institucional. • Viabilidad Financiera o económica. • Análisis de costo-beneficio.

Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina RIESGO RESIDUAL, éste se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos.

Riesgo Residual

Administración de Riesgos Corporativos. Técnicas de Aplicación Pricewaterhouse Coopers, Colombia 2005. Pág. 40.


IMPACTO

PROBABILIDAD Insignificante

(1)

Menor

(2)

Moderado

(3)

Mayor

(4)

Catastrófic

o

(5)

Raro (1) B B M A A

Improbable (2) B B A E







Transferir.


Transferir.

M

Para el ejemplo aplicado, el riesgo identificado pasó de la Zona

de Riesgo Alta a la Zona de Riesgo Moderado


NUEVA VALORACIÓN DEL RIESGO


OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes

interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro

de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.

RIESGO CALIFICACIÓN Tipo

Impacto

Evaluación

Zona de

Riesgo

Medidas de

Respuesta Probabilidad Impacto

Incumplimiento

en la

generación de

respuestas a los

usuarios

(Términos

establecidos por

la Ley).

2 3 Legal ZONA

RIESGO

MODERADO

Evitar,

Reducir,

Compartir o

Transferir el

Riesgo

El mapa de riesgos es una representación final de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa.

Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento, como se sugiere a continuación:

Administración de Riesgos Corporativos. Técnicas de Aplicación Pricewaterhouse Coopers, Colombia. 2005. Pág. 53

Elaboración del Mapa de Riesgos

Nombre del

proceso al que se

le están levantando

los riesgos

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES

MANEJO ACCIONES CRONOGRAMA RESPONSABLES INDICADOR

Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Objetivo del

proceso al cual se

le están levantando

los riesgos

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Representan la

posibilidad de

ocurrencia de un

suceso que pueda

afectar el

cumplimiento de

los objetivos de la

entidad

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Posibilidad de

ocurrencia del

riesgo.

Se mide con

criterios de

FRECUENCIA y de

FACTIBILIDAD

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Consecuencias

que puede

ocasionar la

materialización del

riesgo

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO CALIFICACIÓN EVALUACIÓN

RIESGO

CONTROLES NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES

MANEJO

ACCIONES CRONOGRAMA RESPONSABLES INDICADOR

Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Resultado

obtenido en la

matriz de

calificación,

evaluación y

respuesta a los

riesgos

MAPA DE RIESGOS

PROCESO:

OBJETIVO:


RIESGO

CONTROLES NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES

MANEJO


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Especificar cuál es

el control que la

entidad tiene

implementado para

combatir,

minimizar o

prevenir el riesgo

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Posibilidad de

ocurrencia del

riesgo.

Se mide con

criterios de

FRECUENCIA y de

FACTIBILIDAD

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Consecuencias

que puede

ocasionar la

materialización del

riesgo

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Resultado de

determinar la

vulnerabilidad de la

entidad al riesgo,

luego de confrontar

la evaluación del

riesgo con los

controles

existentes

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Opciones de

respuesta ante los

riesgos, tendientes

a EVITAR el

Riesgo, REDUCIR

el Riesgo,

COMPARTIR O

TRANSFERIR el

Riego o ASUMIR

un Riesgo Residual

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Aplicación

concreta de las

opciones de

manejo del riesgo

que entrarán a

PREVENIR o a

REDUCIR el riesgo

y harán parte del

Plan de Manejo del

Riesgo

MAPA DE RIESGOS

PROCESO:

OBJETIVO:


RIESGO

CONTROLES NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES

MANEJO


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Fechas

establecidas para

implementar las

acciones por parte

del grupo de

trabajo

MAPA DE RIESGOS

PROCESO:

OBJETIVO:


RIESGO

CONTROLES NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES

MANEJO


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Dueño del proceso

donde se van a

desarrollar las

acciones

propuestas

MAPA DE RIESGOS

PROCESO:

OBJETIVO:

RIESGO

CALIFICACIÓN

EVALUACIÓN

RIESGO CONTROLES

NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES


Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto

Se consignan los

indicadores

diseñados para

evaluar el

desarrollo de las

acciones

implementadas

Todas las acciones contempladas dentro del mapa, unido a la información reportada por los indicadores, suministrará la información requerida para el seguimiento respectivo a los mapas.


MAPA DE RIESGOS


OBJETIVO: Dar trámite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo

dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. RIESGO CALIFICACIÓN EVALUACIÓN

RIESGO

CONTROLES NUEVA

CALIFICACIÓN

NUEVA

EVALUACIÓN

OPCIONES

MANEJO

ACCIONES

Y CRONOGRAMA

RESPONSABLES INDICADOR

Prob

ab

ilid

ad

Imp

acto

Prob

ab

ilid

ad

Imp

acto


generación de

respuestas a los

usuarios (Términos

establecidos por la

Ley).

4 3 ZONA RIESGO

ALTA

Aplicativo que

permite mediante

alarmas controlar las

fechas límite para las

respuestas a los

usuarios sobre las

comunicaciones

escritas recibidas.

2 3 ZONA RIESGO

MODERADA

ASUMIR O

REDUCIR

EL RIESGO

Asignación de

identificaciones para

uso del software por

parte de los

servidores del área.

Establecimiento de

fechas para entrega

de informes

mensuales del

cumplimiento.

Líder Proceso

Tecnología.

Líder Proceso

Atención al

usuario.

No. solicitudes

contestadas en

términos /

Total de

Solicitudes

Reporte por

funcionario

entregado.

Plan de

capacitaciones a los

servidores, sobre la

normatividad vigente

y el manejo adecuado

del Sistema de

información

implementado.

Elaboración de

Cronograma de

capacitación por

grupos.

Ejecutar Evaluaciones

finales programadas

sobre

temas normativos.

Establecer

Resultados de las

evaluaciones por

funcionario.

Líder Proceso

Gestión Humana.

Reporte quejas

antes de la

capacitación

con evaluación

posterior a 6

Meses.

Para la consolidación de las Políticas de en Administración de Riesgos se deben tener

cuenta TODAS LAS ETAPAS desarrolladas.

anteriormente

Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la entidad.

Políticas de Administración del

Riesgo

FORMULACIÓN DE LAS POLÍTICAS

Está a cargo del Representante Legal de la

entidad Control riesgos política efectuar

y el Comité Interno y se

de Coordinación de basa de

la en el mapa el construido durante

señala qué debe proceso;

hacerse para el control y su en los planes estratégicos

seguimiento, basándose y los objetivos institucionales o por procesos.

• Los objetivos que se esperan lograr.

• Las estrategias para establecer cómo se va a desarrollar las políticas, a largo, mediano y corto plazo.

• Los riesgos que se van a controlar.

• Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido.

• El seguimiento y evaluación a la implementación y efectividad de las políticas.

¿Qué aspectos debe contener la Política

de Administración de Riesgos?

tener lugar durante todas las etapas (pasos dentro de la metodología) del proceso para la gestión del riesgo.

Esta comunicación es importante para garantizar que aquellos responsables de la implementación de las acciones dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones.

Comunicación y Consulta

La comunicación y consulta con las partes

involucradas tanto internas como externas debería

• Los Responsables de los Procesos y • La Oficina de Control Interno.

Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del seguimiento y evaluación sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.

El Monitoreo debe estar a

cargo de:

Una vez diseñado y validado el Plan para Administrar los Riesgos, en el Mapa de Riesgos, es necesario MONITOREARLO teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.

El MONITOREO es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia revisiones

en su implementación sobre la marcha para

adelantando evidenciar todas

estar aquellas situaciones o factores aplicación

que de las

pueden influyendo preventivas.

en la acciones

Monitoreo y Revisión

ADMINISTRACIÓN DEL - invima.gov.co · un Mapa de Riesgos por Procesos e ... Control Interno en la...

Documents

Transcript of ADMINISTRACIÓN DEL - invima.gov.co · un Mapa de Riesgos por Procesos e ... Control Interno en la...