ACUERDO 423 DE 2007 

(Agosto 14)

“Por medio del cual se aprueba el manual de políticas y metodología para la administración del riesgo, manual SARO, en el ISS”.

El Consejo Directivo del Instituto de Seguros Sociales,

en uso de las facultades legales, en especial las conferidas en los numerales 1º y 8º del artículo 12 del Decreto 461 de 1994, y

CONSIDERANDO:

Que mediante Circular Externa 48 del 22 de diciembre de 2006, la Superintendencia Financiera de Colombia impartió a las entidades vigiladas las instrucciones relativas para la adopción de un sistema de administración de riesgo operativo (SARO), fijando las bases y lineamientos mínimos que deben implementarse para el desarrollo del SARO;

Que la circular antes enunciada, adicionó el capítulo XXII a la Circular Externa 100 de 1995, que se aplica en materia exclusiva a la administración de riesgo operativo;

Que el numeral 3.2.4.1 de la Circular Externa 48 de 2006, dispone que sin perjuicio de las funciones asignadas al órgano directivo, deberá además establecer las políticas generales relativas al SARO, aprobar el manual de riesgo operativo y sus actualizaciones;

Que en mérito de lo expuesto,

ACUERDA:

ART. 1º—Aprobar el manual de políticas y metodología para la administración del riesgo, manual SARO, en el ISS, cuyo contenido es el siguiente:

“Manual de políticas y metodología para la administración de riesgos en el ISS

Instituto de Seguros Sociales 

Bogotá, D.C., agosto de 2007

Presentación

El Instituto de Seguros Sociales, desde marzo de 2003, ha venido trabajando en el desarrollo de la cultura de la gestión del riesgo, los primeros pasos se dieron con la sensibilización que la oficina de control interno realizó sobre el tema y la adopción de una matriz de riesgo complementada a la sugerida por el Departamento Administrativo de la Función Pública, aprovechando las fortalezas de algunas personas especializadas en el tema, que lo direccionaron con los parámetros generales de este organismo.

Esta guía pretende oficializar y estandarizar la metodología a aplicar para adelantar una efectiva gestión del riesgo en los procesos de la institución y convertirla en elemento fundamental para garantizar las metas y objetivos a través de la dinámica de autocontrol y autoevaluación, generando así su aplicación por cada líder de proceso y cada servidor de la entidad.

Introducción

El manejo de los riesgos, es un tema que se ha venido estudiando desde hace varios años en el mundo de los negocios, las grandes empresas y proyectos, con el fin de lograr eficientemente el cumplimiento de las metas y los objetivos planteados. La forma de abordar el tema es variada dependiendo de la complejidad y tipo de operaciones que se desarrollen.

La administración o gestión del riesgo como disciplina en el quehacer empresarial e incluso personal, se basa en una serie de estrategias que permiten mitigar, dispersar o prevenir la ocurrencia de hechos que puedan obstaculizar el logro de los objetivos o el cumplimiento de las funciones.

En la administración pública la administración del riesgo nace como obligación a partir del Decreto 1537 de 2001, como gestión de riesgo corporativo; aunque el enfoque de riesgo como rol de las oficinas de control interno ya existía dentro de la práctica de las normas de auditorías nacionales e internacionales.

Los primeros pasos fueron presentados por el Departamento Administrativo de la Función Pública, mediante la Guía de administración del riesgo expedida en diciembre de 2001, en su primera versión y ajustada en julio de 2004; hoy encontramos esta guía actualizada en abril de 2006 para una tercera edición, en la cual se realizó un ajuste para enfocarla al nuevo modelo estándar de control interno, MECI, adoptado mediante el Decreto 1599 de 2005, el cual empalma el control interno al modelo COSO de 1992, así como la racionalización de trámites del Departamento Administrativo de la Función Pública.

En las vigencias de 2006 y 2007, el instituto ha propendido por dinamizar la práctica de la gestión por riesgos, para ello ha considerado importante tomar como base, los estándares internacionales en el tema, que además fueron adoptados por la norma técnica colombiana NTC 5254:2004, actualizada recientemente, sobre los que además han sido base para los lineamientos de los entes de control de la institución como la Superintendencia Financiera de Colombia a través de las circulares externas 48 de diciembre de 2006 y 41 de junio de 2007.

Políticas institucionales que rigen la gestión del riesgo

Definición

Son mecanismos de control, que se materializan en criterios orientadores para la toma de decisiones respecto al tratamiento de los riesgos al interior de la entidad pública; constituyen las guías de acción que le permitan a la organización, coordinar y administrar los eventos que puedan afectar su operación y el logro de sus objetivos.

Objetivos

Dotar al ISS de los parámetros que establezcan medidas de respuesta a los riesgos.

Definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya elementos metodológicamente probados para identificar, analizar, valorar y tratar los riesgos de acuerdo con priorización y economía en términos de costo / beneficio.

Permitir un seguimiento periódico de los perfiles de riesgo, de las exposiciones a pérdidas y sobre los avances en el tiempo en el tratamiento de los riesgos tanto operativos como estratégicos, con informes periódicos de las diferentes instancias que participan en la administración del riesgo en el ISS.

Políticas institucionales generales

La administración del riesgo dentro del Instituto de Seguros Sociales, hace parte esencial e integral de la gestión administrativa y dentro de este propósito se busca el cumplimiento de su misión, el cumplimiento de los objetivos y el alcance de metas, el fortalecimiento del control interno, el mejoramiento de la actividad administrativa, el cumplimiento de los lineamientos y el logro de los objetivos estratégicos, en aras de la transparencia y la probidad en las actuaciones, con fundamento en los principios señalados en el artículo 209 de la Constitución Política de 1991.

La administración del riesgo, por sus características y beneficios será de obligatoria ejecución y cumplimiento; deberá incluirse dentro de la concertación de objetivos para la evaluación del desempeño y dentro de los planes operativos anuales como compromiso institucional.

El sistema de administración del riesgo deberá estar alineado con el plan estratégico, con los demás sistemas de gestión del instituto, como el sistema de gestión de la calidad, el sistema de desarrollo administrativo, y con los demás componentes del sistema de control interno.

La identificación de los principales factores de riesgo debe estar asociada con el ejercicio de las funciones administrativas, tanto gerenciales como misionales; debe señalar cómo se manifiestan los riesgos, su descripción y valoración, estableciendo la mejor manera de prevenirlos y combatirlos, para lo cual se deberá:

a) Impulsar en el instituto, la cultura en materia de administración del riesgo, para ello la entidad en cada uno de sus niveles mantendrá el control sobre el estado de los riesgos y los tratamientos relacionados con los procesos de que son responsables, desde el nivel nacional hasta el seccional;

b) Verificar periódicamente el cumplimiento de las responsabilidades establecidas para cada uno de los roles propuestos en este manual y demás funcionarios que participen en la administración del riesgo;

c) Asegurar el cumplimiento de las normas internas y externas relacionadas con la administración del riesgo, aplicando para ello los estándares internacionales y las normas promulgadas por los entes competentes en Colombia, sobre la materia;

d) Permitir la prevención de conflictos de interés en la obtención de información en las diferentes etapas de la administración del riesgo, especialmente para el registro de eventos de riesgo;

e) Permitir la identificación de los cambios en los controles y los perfiles de riesgo;

f) Generar el registro de eventos en el cual se garantice la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida;

g) Desarrollar e implementar planes de continuidad del negocio;

h) Implementar e instrumentar las diferentes etapas y elementos de la administración del riesgo;

i) Adoptar como media(sic) de seguimiento, la realización de una revisión semestral sobre el estado de la gestión de riesgos en la entidad;

j) Realizar y actualizar periódicamente este manual, así como divulgar los cambios para que permita conocer oportunamente las modificaciones correspondientes;

k) Mantener la metodología para la identificación, medición y control frente a la administración del riesgo.

Responsables de la administración del riesgo en el ISS

Las instancias y sus funciones son las que para el efecto defina del consejo directivo mediante acuerdo y el presidente mediante resolución conforme con sus atribuciones legales.

Objetivos y elementos de la administración del riesgo

Objetivo general

El sistema de administración del riesgo en el Instituto de Seguros Sociales tendrá como objetivo principal la fijación de políticas, procesos y procedimientos, criterios, registros, controles, estrategias y la estructura organizacional requeridos para eliminar, mitigar, trasladar o compartir los riesgos que puedan afectar el normal desarrollo de la misión institucional.

Objetivos específicos

• Crear una cultura de administración y evaluación de riesgos, consolidado en un ambiente de control adecuado para el Seguro Social.

• Definir una orientación clara y planeada frente a la administración del riesgo.

• Difundir los conocimientos base necesarios para la identificación y evaluación del riesgo.

• Establecer dentro de los procesos y procedimientos las acciones de mitigación frente a la administración del riesgo.

• Generar la participación de los colaboradores del Seguro Social en la prevención y administración del riesgo.

• Garantizar la promulgación y el cumplimiento de las políticas de administración del riesgo para el Seguro Social.

• Integrar los diferentes procesos institucionales que conllevan a la efectiva administración del riesgo.

Aspectos a tener en cuenta para implementar la gestión o administración del riesgo en el ISS

Para la implementación y mantenimiento de la administración del riesgo del Instituto de Seguros Sociales se deberá tener en cuenta:

a) Las políticas o lineamientos generales establecidos en el presente acuerdo;

b) Los procedimientos aplicables para la adecuada implementación y funcionamiento del sistema de administración del riesgo, constituida por este manual, los documentos y registros que evidencien la operación efectiva del sistema y los informes al consejo directivo, presidente, órganos de control y responsables de la implantación y seguimiento del sistema;

c) El área definida como responsable para coordinar la implementación, puesta en marcha y seguimiento del sistema de administración del riesgo;

d) Los registros de eventos del riesgo, que incluya como mínimo en los términos establecidos por la Superintendencia Financiera;

e) La plataforma tecnológica que se adquiera o desarrolle para garantizar la adecuada administración del riesgo;

f) La divulgación de la información interna y externa, en los términos establecidos por la Superintendencia Financiera;

g) Los planes de capacitación sobre el sistema de administración del riesgo, los cuales se deberán diseñar, programar y coordinar de acuerdo con los parámetros establecidos por la Superintendencia Financiera y deberán dirigirse a todas las áreas y funcionarios del instituto, así como a las personas o entidades con las que el ISS contrate la realización de sus procesos.

Marco legal

h) Constitución Política de Colombia. Artículos 209 y 269;

i) Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones, artículo 2º, literal a). “Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan” (art. 2º, lit. f). “Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos”;

j) Ley 489 de 1998. Estatuto básico de organización y funcionamiento de la administración pública;

k) Decreto 1826 - 1994. Reglamentan Ley 87 de 1993;

l) Decreto 2145 de 1999, por el cual se dictan normas sobre el sistema nacional de control interno de las entidades y organismos de la administración pública del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 del 2000;

m) Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado que en el parágrafo del artículo 4º señala los objetivos del sistema de control interno (...) define y aplica medidas para prevenir los riesgos, detectar y corregir las desviaciones (...) y en su artículo 3º establece el rol que deben desempeñar las oficinas de control interno (...) que se enmarca en cinco tópicos (...) valoración de riesgos. Así mismo establece en su artículo 4º la administración del riesgo, como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas (...);

n) Decreto 188 de 2004, por el cual se modifica la estructura del Departamento Administrativo de la Función Pública y se dictan otras disposiciones;

o) Decreto 1599 de 2005, por el cual se adopta el modelo estándar de control interno para el Estado colombiano y se presenta el anexo técnico del MECI 1000:2005;

p) Directiva Presidencial 9 de 1999, lineamientos para la implementación de la política de lucha contra la corrupción;

q) Circular Externa 48 de 2006 - Superintendencia Financiera de Colombia;

r) Circular Externa 41 de 2007 - Superintendencia Financiera de Colombia.

Elementos principales de la administración del riesgo

Los elementos principales que conforman el proceso de administración del riesgo son:

• Establecimiento del contexto.

• Identificación de riesgos.

• Análisis de riesgos.

• Evaluación de riesgos.

• Tratamiento de riesgos.

• Comunicación y consulta.

• Monitoreo y revisión

La relación entre estos elementos se representan en la siguiente gráfica:

Gráfico Nº 1

 

Establecimiento del contexto

Es la definición de la relación entre la organización y su entorno, identificando las fortalezas, debilidades, oportunidades y amenazas de la organización. El contexto incluye los aspectos financieros, operativos, competitivos, políticos (percepciones públicas / imagen), sociales, de clientes, culturales y legales de las funciones de la organización.

Consiste en entender la organización, sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos (áreas procesos, proyectos) de la organización a las cuales podría aplicar un análisis de riesgo.

Permite a través del conocimiento del entorno y de la organización, establecer las políticas y criterios generales que serán utilizados para implementar el enfoque de administración del riesgo en cualquier área de la organización.

Se debe establecer el contexto externo e interno del ISS, así como el contexto específico que aplica para cada proceso o parte de la entidad, antes de continuar con el desarrollo de los elementos de identificación, análisis, evaluación, tratamiento y monitoreo de riesgos.

Contexto externo o estratégico

Define los parámetros básicos dentro de los cuales los riesgos serán administrados, y el alcance del resto del proceso de administración del riesgo.

Permite entender el entorno en el que opera el instituto, definiendo las relaciones de la entidad con su ambiente externo de negocios para identificar oportunidades y amenazas, incluyendo los aspectos financieros, operativos, competitivos, políticos (percepción pública y de imagen), sociales, de clientes, culturales y legales.

Es necesario identificar las partes externas interesadas o stakeholders externos, considerando sus objetivos, expectativas y percepciones, para establecer las políticas de comunicación con ellos.

Contexto interno u organizacional

Consiste en conocer la entidad y sus capacidades, sus metas y objetivos y las estrategias vigentes para lograrlos.

Permite identificar fortalezas y debilidades, teniendo en cuenta aspectos tales como la capacidad directiva, financiera, operativa, tecnológica, competitiva y de talento humano.

Es necesario identificar las partes internas interesadas o stakeholders internos, considerando sus objetivos, expectativas y percepciones, para establecer las políticas de comunicación con ellos. Definir el contexto interno antes de comenzar el estudio de administración del riesgo es importante por las siguientes razones:

• La administración del riesgo se desarrolla en el contexto de los objetivos, metas y estrategias de la organización.

• Los eventos que impidan o dificulten el logro de las metas o el cumplimiento de los objetivos del instituto, son los principales riesgos que deben ser administrados.

• Las políticas y metas de la organización ayudan a definir los criterios mediante los cuales se decide si un riesgo es aceptable o no, y constituye la base para las opciones de tratamientos.

• Los objetivos específicos y los riesgos de los procesos, actividades y proyectos críticos, deben ser considerados a la luz de los objetivos del instituto como un todo.

Contexto específico

Corresponde al contexto del área, actividad, proceso o parte de la entidad sobre la cual se aplicará el proceso de administración del riesgo.

Debido a que el instituto ha adoptado un enfoque de operación basado en procesos, para cada uno de los procesos se deben tener en cuenta los siguientes aspectos:

• Establecer los objetivos generales y específicos del proceso (deben tomarse de las definiciones contenidas en el manual de cada proceso).

• Establecer la interrelación del proceso con los demás de la entidad (identificación de los stakeholders del proceso).

• Delimitar la actividad de inicio y de finalización del proceso.

• Realizar desagregación del proceso en actividades macro.

• Identificar las debilidades y fortalezas del proceso.

• Definir el responsable o responsables del proceso.

Identificación de riesgos

Definición de riesgo: para efectos de la aplicación de este manual se tendrá en cuenta la definición del Departamento Administrativo de la Función Pública, que lo define como “toda posibilidad de ocurrencia de una situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos” concordante con la norma australiana AS/NZS 4360 sobre gestión del riesgo, retomada por Colombia en la norma NTC-5254, que lo define como “la posibilidad de que suceda algo que tendría impacto en los objetivos. Se mide en términos de consecuencia y posibilidad de ocurrencia”.

La identificación del riesgo, por su parte, consiste en identificar los hechos como base para posterior análisis mediante el establecimiento de un marco de acción específico que permita entender el objeto sobre el cual se aplicará el proceso de administración del riesgo. Consiste además en definir los criterios específicos del análisis de riesgos y determinar el nivel de aceptación del riesgo que la institución está dispuesta aceptar para este proceso.

La identificación de riesgos le permitirá al ISS, poder describir el riesgo, definir sus características, los agentes generadores, las causas y los efectos para los macroprocesos, procesos / subprocesos y actividades de la entidad, permitiendo, de esta forma, establecer un marco de acción específico para entender el objeto sobre el cual se aplicará el proceso de administración del riesgo. Consiste además en definir los criterios específicos del análisis de riesgos y determinar el nivel de aceptación del riesgo que la institución está dispuesta a aceptar para este proceso.

Mediante el establecimiento de un marco de acción específico que permita entender el objeto sobre el cual se aplicará el proceso de administración del riesgo.

La identificación responde al ¿qué?, ¿cómo? ¿y por qué? se pueden originar los hechos como base para posterior análisis.

Los pasos para la identificación del riesgo, son los siguientes:

• Identificar áreas de impacto.

• Identificar fuentes de riesgo.

• Realizar la identificación detallada de los riesgos.

• Documentar los riesgos.

Identificación de áreas de impacto

Dentro del proceso de identificación de riesgos, el primer paso consiste en identificar las áreas de impacto para cada uno de los procesos analizados.

Se entiende como área de impacto todo objeto en riesgo que corresponde a un recurso, bien u oportunidad a la cual la organización le debe asignar un valor, y cuya afectación podría comprometer el cumplimiento de sus objetivos y metas. Por este motivo, las áreas de impacto deben ser protegidas o maximizadas.

A continuación se presenta una clasificación de las áreas de impacto. Esta clasificación también se conoce con el nombre de “áreas de impacto genéricas”:

• Activos y recursos básicos.

• Costos de actividades.

• Desempeño.

• Intangibles.

• Ingresos y derechos.

• Personas o comunidad.

• Programación de actividades.

• Clima organizacional.

• Recursos de tecnología de la información.

Como puede observarse, los recursos de tecnología de la información se presentan aparte, a pesar de estar comprendidos dentro de los activos y recursos básicos, debido a sus características particulares.

Gráfico Nº 3

 

Para identificar las áreas de impacto, se debe tomar cada una de las áreas de impacto genéricas y determinar las que se dan en el proceso analizado, personalizándolas de acuerdo con los procedimientos internos de la entidad.

Todas las áreas de impacto se deben tener en cuenta. Cualquier área descartada por alguna razón, debe ser registrada para asegurar que luego no sea omitida u olvidada.

Ejemplo: si se toma el proceso activos fijos, algunas de las áreas de impacto identificadas serían: bienes en servicio, software SCAF e información incluida en el sistema.

A continuación se detallan un poco más las áreas de impacto genéricas:

Activos y recursos básicos

• Activos: (bienes físicos y derechos de la institución tales como cuentas por cobrar, patentes, licencias, derechos de autor).

• Pasivos: deudas con terceros.

• Capital: es la deuda de la entidad con sus dueños.

• Recursos de tecnología de información (TI).

• Recurso o talento humano: empleados, contratistas civiles.

Costos de actividades

Costos directos, costos indirectos, costo de reposición y/o reconstrucción, indemnizaciones. Sanciones.

Desempeño

Productividad, calidad.

Intangibles

Conocimiento, reputación, good will, confianza, seguridad.

Ingresos y derechos

Ventas, comisiones, intereses, regalías.

Personas o comunidad

Afiliados, vecinos o transeúntes, localidad, ciudad, país, balance social.

Programación de actividades

Nuevos productos, inversiones de oportunidad, innovación tecnológica.

Clima organizacional

Valores éticos, moral empleados, accountability (contabilización adecuada), estabilidad.

Activos de tecnología de información

Información, archivos de datos y bases de datos, documentación de sistemas, manuales de usuarios, archivos de imágenes, innovación tecnológica, documentación sistemas, documentación procedimientos operacionales y soporte, documentación planes de contingencia.

Software: aplicativos, software operacional, de comunicaciones, de desarrollo y utilitarios.

Activos físicos: equipos de computación y telecomunicaciones, medios magnéticos, unidades de suministro de energía, aire acondicionado, instalaciones físicas.

Documentos en papel: contratos, guías, documentación de la empresa, documentación de resultados importantes para el negocio.

Comerciales: reputación e imagen de la empresa.

Identificación de las fuentes de riesgo

El segundo paso para identificar los riesgos, consiste en identificar la fuente de riesgo es decir, todo individuo, grupo humano, entidad, elementos físicos o fenómeno del entorno de los cuales se pueden derivar eventos que podrían afectar las áreas de impacto (objetos en riesgo del Seguro Social cuya ocurrencia se puede evitar (minimizar o maximizar) para incrementar la posibilidad del logro de los objetivos y metas.

A continuación se presenta una clasificación de fuentes de riesgo, basadas en el estándar internacional AS/NZS: 4360. Esta clasificación también se conoce con el nombre de “fuentes de riesgo genéricas”:

• Relaciones comerciales y legales.

• Comportamiento del talento o recurso humano.

• Circunstancias políticas y legislativas.

• Actividades y controles gerenciales.

• Circunstancias económicas (internas y externas).

• Eventos naturales.

• Aspectos tecnológicos y técnicos (internas y externos).

• Actividades individuales.

Gráfico Nº 4

 

Para identificar las fuentes de riesgo se debe tomar cada una de las fuentes de riesgo genéricas y determinar las que pueden presentarse en el proceso analizado, personalizándolas de acuerdo con los procedimientos internos de la entidad.

Todas las fuentes de riesgo se deben tener en cuenta. Cualquier fuente de riesgo descartada por alguna razón se debe registrar para asegurar que luego no sea omitida u olvidada.

Para el proceso activos fijos que se tomó como ejemplo se tendría entonces:

Áreas de impacto: bienes en servicio, software SCAF, información incluida en el sistema.

Fuentes de riesgo: responsable a cargo de los bienes en servicio, funcionario responsable de la digitación de documentos en el sistema.

A continuación se detallan un poco más las fuentes de riesgo genéricas:

Relaciones comerciales y legales

• Competencia.

• Proveedores de bienes o servicios de la entidad.

• Entidades financieras.

• Afiliados (cotizantes y sus beneficiarios, empleadores, pensionados).

Comportamiento del talento o recurso humano

• Sindicatos.

• Asociaciones de usuarios, agremiaciones de empleados.

• Grupos de presión y manifestaciones.

• Afiliados (cotizantes y sus beneficiarios, empleadores).

Circunstancias políticas y legislativas

• Presencia de guerrilla o grupos armados fuera de la ley.

• Órganos legislativos.

• Inseguridad o incertidumbre jurídica.

Actividades individuales y gerenciales (intencionales o no intencionales)

• Directivos y empleados (errores o delitos).

• Allegados o familiares de directivos y empleados.

• Personas ajenas a la institución como bandas o mafias organizadas, hackers (intrusos sin malas intenciones, curiosidad, ataques no específicos); crakers (intrusos con malas intenciones o ataques premeditados).

Circunstancias económicas

• Banca y organismos de economía mundial.

• Banco emisor y reguladores locales como Superintendencia Nacional de Salud, Superintendencia Financiera de Colombia.

• Fenómenos macroeconómicos como la inflación, el desempleo y macroeconómicos como la solidez, la liquidez, la demanda del aseguramiento en los tres negocios en la institución, etc.

• Mercado de valores.

Eventos naturales

• Fenómenos climáticos.

• Fenómenos eléctricos.

• Fenómenos sísmicos.

• Fenómenos marítimos.

Aspectos tecnológicos y técnicos (internos o externos)

• Datos.

• Aplicativos.

• Plataforma tecnológica (software operativo, hardware, equipos de soporte, telecomunicaciones).

• Instalaciones (estructurales, eléctricas, hidráulica, equipos de refrigeración, telefónicas).

Realizar la identificación detallada de los riesgos

Gráfico Nº 5

 

Dentro del elemento “Establecer el contexto” se identificó el proceso, su objetivo, metas, sus áreas de impacto y fuentes de riesgo. Ahora es necesario continuar con la identificación detallada del riesgo.

Para hacer la identificación detallada del riesgo se toma el área de impacto y se pregunta qué le podría ocurrir (consecuencia o efecto) por la actuación (sic) una fuente de riesgo determinada.

Continuando con el ejemplo de activos fijos, debe preguntarse qué le podría ocurrir (consecuencia o efecto) al área de impacto “bienes en servicio” por la falta de cuidado o conservación del responsable de estos (fuente de riesgo). Teniendo en cuenta que el objetivo del proceso activos fijos es el registro, identificación, ubicación y conservación de estos para el cabal desarrollo de las funciones de la entidad, se puede encontrar que el bien en servicio podría perderse por robo o por sustracción, sufrir deterioro o desmantelamiento debido a la falta de cuidado o de diligencia del responsable, ya sea intencional o no intencional. En este caso, algunos de los riesgos identificados serían: pérdida de activos, deterioro, desmantelamiento.

Para optimizar la identificación detallada de riesgos se debe:

• Descomponer los procesos a los niveles mínimos de desagregación requerida e identificar los riesgos del negocio en los procesos de mayor nivel.

• Excluir los subprocesos y actividades propias de control (excepto si en el subproceso se materializan riesgos inherentes relevantes).

• Utilizar los subprocesos de menor nivel, solo como referencia para ubicar los puntos de origen y materialización de las causas.

• Analizar cada área de impacto con relación a todas las fuentes de riesgo iniciando por la de mayor impacto en los objetivos y metas (o viceversa).

• Revaluar las áreas de impacto y fuentes de riesgo previamente identificadas.

• Identificar todos los riesgos reales o potenciales posibles, estén o no, aparentemente bajo el control de la organización.

• Identificar solo los riesgos que se materialicen dentro del contexto específico.

• Describir en detalle cada riesgo con todos sus componentes.

• Procurar no describir desviaciones del control como riesgos o causas.

• Integrar riesgos con la misma área de impacto y cuyas causas y sus posibles controles sean similares.

• Integrar riesgos con diversas áreas de impacto, cuyas causas sean similares.

• Verificar que ningún riesgo esté antecedido por las palabras: ausencia de, falta de, poco(a), escaso(a) o que corresponda a deficiencias de control. En caso de que esto ocurra se debe eliminar, ya que no está correctamente identificado o analizar si es una causa.

• Tener en cuenta que un riesgo puede tener más de un efecto o consecuencia, tales como: lesiones, fallecimientos, sanciones, daño de la información, pérdidas económicas, daño de bienes-interrupción de servicios, daño de imagen, daño al ambiente, pérdida de mercado.

• Verificar que ningún riesgo sea igual a un efecto. En caso que esto ocurra, se debe eliminar el riesgo o replantearlo.

Las consecuencias o impactos sobre las áreas de impacto pueden ser cuantificables o no cuantificables:

Consecuencias cuantificables:

• Pérdida de activos / pasivos / capital (quiebra).

• Pérdida de vidas (comunidad).

• Pérdida de mercado (clientes / prospectos).

• Costos por reposición o reconstrucción.

• Pérdida de ingresos (por aportes / recobros / rendimientos).

• Pérdida de ingresos por derechos de autor.

• No aprovechamiento de oportunidades / fortalezas.

• Sanciones legales (nacionales o internacionales).

• Indemnizaciones.

• Costos excesivos.

Consecuencias no cuantificables - intelectuales (Soft Loss):

• Talento humano (conocimiento).

• Propiedad intelectual.

• Tecnología innovadora.

• Servicios.

• Reputación.

• Investigación y desarrollo.

• Pérdida de imagen.

• Pérdida de good hill(sic).

• Pérdida de confianza.

• Seguridad.

• Estabilidad.

• Beneficios a la comunidad.

Las causas (que responden al por qué, qué y cómo lo hace la fuente de riesgo) pueden ser intencionales (deliberadas) o no intencionales (accidentales):

• Obtener ventajas competitivas deshonestas (competencia).

• Inviabilidad económica de los proveedores (proveedores).

• Precios superiores a la competencia (costos / competencia).

• Acceso accidental o doloso a sistemas, aplicativos o a información sensible por parte de empleados o terceros (hackers).

• Iliquidez (costos / carga impositiva / acceso a bancos).

• Recursos no disponibles cuando se requieren (proveedores).

• Tiempo suspensión servicio de TI (total - parcial) (errores).

• Desmotivación (decisiones gerenciales).

• Pérdida de pertenencia (decisiones gerenciales).

• Resistencia al cambio (recursos humanos).

Documentar los riesgos

La documentación de un riesgo implica la definición de cada uno de los siguientes elementos:

• Área: función asignada con el riesgo (unidad, proceso, actividad, transacción).

• Descripción: corta y detallada: (qué, por qué, cómo, cuándo, dónde).

• Categoría: según naturaleza / área de impacto / fuente / regulación / etc.

• Propietario: responsable de administrarlo.

• Controles: que mitigan el riesgo.

• Valoraciones del riesgo: (absoluta / con controles / con tratamiento).

• Escalas de consecuencias / probabilidades a ser consideradas.

• Criterios de aceptación de alta gerencia (tolerancia al riesgo).

• Eventos de pérdida históricos.

• Objetivos del negocio que podrían ser afectados y cómo podrían ser afectados.

• Tratamientos en procesos (evaluación / implementación).

Resumen del proceso de identificación de riesgos

A continuación se resume gráficamente el proceso de identificación de riesgos, utilizando como ejemplo el proceso de adquisiciones:

Gráfico Nº 6

 

Gráfico Nº 7

 

Categorización de los riesgos

Los organismos nacionales e internacionales, según su especialidad, han dividido los riesgos en categorías para un mejor entendimiento, algunas son:

Riesgo estratégico

Se asocia con la forma en que se administra el ISS. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

Riesgo operativo

Se entiende por riesgo operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal de custodia y reputacional, asociados a tales factores.

Riesgo legal o de cumplimiento

Es la posibilidad de pérdida en que incurre la entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

Riesgo de custodia

Es la posibilidad de pérdida en que se incurre por la pérdida de los valores mantenidos bajo custodia debido a la insolvencia, negligencia o a una acción fraudulenta del custodio.

Riesgo reputacional

Es la posibilidad de pérdida en que se incurre por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo financiero

Se relaciona con el manejo de los recursos, que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejo de excedentes de tesorería y el manejo sobre los bienes de la entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de esta.

Riesgo de tecnología

Se asocian con la capacidad para que la tecnología disponible satisfaga las necesidades actuales y futura de la entidad y soporte el cumplimiento de la misión.

Análisis de riesgos

En esta etapa se busca obtener el entendimiento y conocimiento de los riesgos identificados de tal manera que se pueda recopilar información que permita el cálculo del nivel de riesgo al cual está expuesto el objeto en la actualidad, identificar los controles existentes implementados para mitigar el impacto ante la ocurrencia de los riesgos, permitiendo de esta manera valorar los niveles de riesgo, la efectividad de los controles.

El objetivo del análisis de riesgo es llegar a determinar el nivel de riesgo, para ello deben identificarse las gestiones, sistemas técnicos y procedimientos para controlar el riesgo y evaluar las fortalezas y debilidades de cada uno; se puede realizar a través de herramientas y técnicas como las listas de chequeo, lluvia de ideas, análisis de sistemas, análisis de escenarios. Esta parte del análisis es denominada valoración de riesgos con controles; como se muestra en el siguiente gráfico.

Gráfico Nº 8

 

Consecuencia o impacto

Es el resultado de un evento (causa) expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia.

Podría haber más de una consecuencia derivada de un evento.

• Las consecuencias son consideradas en relación con las áreas de impacto (objetos a riesgo) que podrían afectar el logro de los objetivos y metas.

• Los eventos pueden tener una simple ocurrencia o una serie de ocurrencias.

Tabla Nº 1

ConsecuenciaValor
Catastrófica5
Mayor4
Moderada3
Menor2
Insignificante1

Para evitar subjetividades es fundamental establecer para cada calificación de la consecuencia los criterios de calificación de catastrófica (calificación 5), mayor (calificación 4), moderada (calificación 3), menor (calificación 2) e insignificante (calificación 1); pero las consecuencias, independientemente pueden ser de diferente tipo, para la metodología que se adopta se clasifican en tres: de recurso humano, económicas y de reputación, de acuerdo con la siguiente tabla:

Tabla Nº 2

Rango consecuenciaRecursos humanosPérdidas económicasPérdida de reputaciónValor
CatastróficoPérdida de la vida humana o incapacidad totalPérdidas mayores a $ 200.000 millonesAfectación de la imagen a nivel nacional5
MayorPérdida de miembros superiores. Incapacidad entre 3 y 6 mesesPérdidas entre $ 10.000 y $ 200.000 millonesAfectación de la imagen a nivel de departamentos tipo A o internamente en toda la organización4
ModeradoPérdida de miembros inferiores o incapacidad entre 2 y 3 mesesPérdidas entre $ 1.000 y $ 10.000 millonesAfectación de la imagen a nivel de departamentos tipo B3
MenorPérdida parcial de miembros inferiores o superiores, o incapacidad entre 1 y 2 mesesPérdidas entre $ 50 y $ 1.000 millonesAfectación de la imagen a nivel de departamentos tipo C2
InsignificanteIncapacidad menor a un mesPérdidas menores a $ 50 millonesAfectación de la imagen a nivel de un área1

Al calificar el impacto o consecuencia del riesgo, debe tenerse en cuenta que debe hacerse por el tipo de esta que prevalezca, es decir, de recurso humano, pérdida económica o pérdida de reputación.

Probabilidad

Se utiliza como una descripción general de probabilidad, frecuencia o posibilidad.

Probabilidad: es la posibilidad de un evento específico o resultado, medido por la rata de eventos específicos o resultados sobre el número total de posibles eventos o resultados. (Rango entre 0 y 1 ó porcentaje).

Frecuencia: es una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de ocurrencias de un evento en un tiempo dado (una vez cada día, una vez cada semana, una vez cada 15 días, una vez cada mes, etc.).

Posibilidad: expresión cualitativa de la probabilidad.

Para efectos de la metodología explicada en el presente manual, se utilizará la siguiente tabla para su medición:

Tabla Nº 3

ProbabilidadValor
Casi cierta5
Muy probable4
Moderada3
Poco probable2
Rara1

Tipos generales de probabilidad

Tabla Nº 4

Rango probabilidadPosibilidadProbabilidad matemáticaFrecuenciaValor
Casi ciertaOcurra la mayoría de vecesMayor o igual 0.5 y menor o igual que 1.0Error cada 2 operaciones5
Muy probablePosiblemente ocurre varias vecesMayor o igual 0.1 y menor que 0.5Error cada 10 operaciones4
ModeradaAlguna posibilidad de que el evento ocurraMayor o igual que 0.02 y menor que 0.1Error cada 100 operaciones3
Poco probableInsignificante posibilidad de que el evento ocurraMayor o igual que 0.01 y menor que 0.02Error cada 1.000 operaciones2
RaraPuede ocurrir en circunstancias excepcionalesMenor que 0.001Error cada 10.000 operaciones1

La calificación de la probabilidad en cada uno de los rangos: casi cierta (calificación 5), muy probable (calificación 4), moderada (calificación 3), poco probable (calificación 2), rara (calificación 1); puede medirse en términos matemáticos (0 a 1) y de frecuencia según el número de errores por determinado número de operaciones como se muestra en la tabla anterior.

Nivel de severidad

El nivel de severidad se obtiene al multiplicar el impacto por la probabilidad. El resultado se reflejará en una matriz como la que se muestra a continuación:

Gráfico Nº 9

 

Tabla Nº 5

 

Para la consecuencia y la probabilidad se adopta una calificación en 5 categorías, así para cada para dar origen a 4 niveles de severidad, como sigue:

Determinación de niveles de severidad

ConsecuenciaValorXProbabilidadValor= Severidad
Catastrófica5Casi cierta5
Mayor4Muy probable4
Moderada3Moderada3
Menor2Poco probable2
Insignificante1Rara1

Cuadrantes en que se originan los niveles de severidad

 

Se consideran cuatro niveles de severidad, los cuales se reflejan en la matriz resultante de multiplicar consecuencia por probabilidad, como se observa en seguida:

Definición de cada nivel de severidad

Tabla Nº 6

ExtremaRiesgo extremo, se requiere acción inmediata. Planes de tratamiento requeridos, implementados y reportados a la junta de directores y al presidente.
AltaRiesgo alto, requiere atención de la alta gerencia. Planes de tratamiento requeridos, implementados y reportados a los gerentes de unidades.
ModeradaRiesgo moderado, la responsabilidad gerencial debe ser especificada. Riesgo aceptable - administrado con procedimientos normales de control.
BajaRiesgo bajo, se administra con procedimientos rutinarios. Riesgo insignificante no se requiere ninguna acción.

La matriz de evaluación y respuesta a los riesgos, de acuerdo con el análisis del significado de la posición del riesgo en la matriz, según la celda que ocupa, aplicando los siguientes criterios:

• Si el riesgo se ubica en la zona de riesgo aceptable, significa que su probabilidad o frecuencia es baja y su consecuencia o impacto es leve, lo cual permite a la entidad aceptarlo, es decir, el riesgo se encuentra en un nivel que puede asumirse sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

• Si el riesgo se ubica en la zona de riesgo inaceptable, su probabilidad o frecuencia es alta y su gravedad catastrófica, por tanto, es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles de prevención para reducir la probabilidad del riesgo, de protección para disminuir la gravedad o compartir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles.

• Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los riesgos a la zona aceptable o tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el riesgo, así: los riesgos de consecuencia leve y probabilidad alta se previenen; los riesgos con consecuencia moderada y probabilidad leve, se protege la entidad y se comparte el riesgo, si es posible; también es posible combinar estas medidas con prevención cuando el riesgo presente una probabilidad alta y media, y la consecuencia sea moderada o catastrófica.

• En los casos en los cuales se comparte la pérdida ocasionada por un riesgo a través de los contratos de seguros, la entidad debe tener en cuenta que asume la parte del riesgo que el seguro no cubre.

• Cuando la probabilidad del riesgo sea media y su consecuencia leve, se debe realizar un análisis del costo-beneficio con el que se pueda decidir entre prevenir el riesgo, asumirlo o compartirlo.

• Cuando el riesgo tenga una probabilidad baja y consecuencia catastrófica se debe tratar de compartir el riesgo y proteger la entidad en caso de que este se presente.

• Siempre que el riesgo sea calificado con consecuencia catastrófica la entidad debe diseñar planes de emergencia, contingencia y recuperación, para protegerse en caso de su ocurrencia.

Valoración de riesgo absoluto

“Es el máximo riesgo sin los efectos mitigantes de la administración del riesgo” –DAFP–.

“Es la evaluación de la consecuencia y probabilidad que ignora los controles que están vigentes, excepto los controles inherentes, tales como el comportamiento racional por parte de los empleados” Estándares internacionales.

‘Es la máxima pérdida posible. “Es la pérdida derivada del peor escenario posible”. –otras fuentes–.

Gráfico Nº 11

 

Factores de riesgo que inciden en la calificación de la consecuencia o de la probabilidad.

Teniendo en cuenta que factor de riesgo es toda característica o condición o conjunto de condiciones proveniente del ambiente o del contexto general de control de cada organización cuya presencia o comportamiento incide en una mayor o menor consecuencia o probabilidad de materialización de una o varias causas asociadas a un riesgo o conjunto de riesgos, algunos de los factores son los siguientes:

Factor de riesgo de vulnerabilidad

Es toda característica o condición proveniente del contexto o del ambiente general de control de cada organización, cuya presencia o comportamiento incide en una mayor o menor consecuencia o probabilidad de materialización de una o varias causas asociadas a un riesgo o conjunto de riesgos.

Ejemplo de factores de riesgo que inciden en la valoración de la consecuencia o de la probabilidad:

Ambiente de control:

• Valores ciudadanos.

• Nivel de seguridad del entorno.

• Estabilidad social, política y económica.

• Calidad de la comunicación externa / interna.

• Grado supervisión alta gerencia (gobernabilidad corporativa).

• Grado monitoreo independiente (auditoría externa / interna).

• Conciencia de control de la gerencia.

• Presión en el cumplimiento de objetivos y metas excesivas.

• Idoneidad del personal.

• Moral y valores éticos del personal.

• Rotación del personal.

• Ambiente de control general de TI.

Ambiente de negocios (externo / interno)

• Rápido crecimiento.

• Nuevos productos.

• Mercados desconocidos.

• Productos o actividades ajenas a la actividad principal del negocio.

Características del proceso actividad / transacciones

• Complejidad.

• Grado de manualidad o de automatización.

• Grado de cambios.

• Calidad de documentación.

• Negociabilidad objetos financieros (efectivo, títulos valores, activos fijos).

• Concentración (funciones, decisiones, operaciones, transacciones).

Materialidad

• Valor en riesgos de activos.

• Valor en riesgos de capital.

• Valor en riesgos de pasivos.

• Valor en riesgos de ingresos.

• Valor en riesgos de egresos.

Legales

• Estabilidad / inestabilidad de las leyes.

• Orden jurídico.

• Oportunidad fallos jurídicos.

Ambiente físico e instalaciones

• Localización susceptible a inundaciones, químicos.

• Susceptibilidad a variaciones de voltaje.

• Susceptibilidad a variaciones de temperatura.

• Susceptibilidad a variaciones de humedad, polvo, tierra.

• Susceptibilidad a radiaciones electromagnéticas.

Comunicaciones

• Pobre unión del cableado.

• Líneas Dial-up (conmutadas).

Software

• Interfaces de usuario complicadas o poco amigables.

• Divulgación de las debilidades de control del software.

• Calidad documentación.

Valoración del riesgo con controles

Qué es control

Norma AS/NZ 4360 lo define como las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de los objetivos.

La norma IIA es toda acción tomada por la gerencia para mejorar la probabilidad de que todos los objetivos y metas establecidas sean alcanzados. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.

El procedimiento que se debe seguir para cada uno de los riesgos identificados se muestra en el siguiente cuadro:

Gráfico Nº 12

 

Consideraciones para la identificación de controles existentes

• Iniciar el proceso en orden descendente, iniciando por el riesgo de mayor severidad, tomando como referencia cada una de las causas del riesgo.

• No omitir ningún control existente dentro del proceso, para obviar duplicidades y superposiciones, con los controles planeados (tratamientos).

• Diseñar o identificar primero los controles de mayor cobertura (que mitigan las causas de mayor probabilidad o reducen significativamente las consecuencias) y que a su vez sean los de mayor efectividad.

• En los riesgos subsiguientes, antes de incluir nuevos controles, identificar y evaluar controles ya descritos y vinculados a los riesgos de mayor severidad.

• Analizar primero si los controles actuales pueden ser optimizados, antes de planear nuevos.

Gráfico Nº 13

 

Cobertura individual del control

Es muy importante determinar si el control, si el impacto de cada control actúa o aplica sobre la “consecuencia” o sobre la “probabilidad” de ocurrencia de las causas de cada riesgo que mitiga. La cobertura de un mismo control es diferente para cada riesgo.

Categorías de control

Para calificar el impacto de los controles es necesario establecer categorías de estos, para este manual adoptaremos como categorías, según su implementación, es decir manual, automático o combinado.

Estado de control

Comprende la aplicación de la acción del control sobre las causas de riesgo identificado, para el manual se establecen los estados aplica (puntaje 2), no aplica (puntaje 1), no definido (puntaje 0).

Evaluación del control

Es calificar la efectividad o efecto mitigante del control, para este manual se utilizarán las categorías siguientes:

• Efectivo (verificado), con calificación 5.

• Efectivo (no verificado), con calificación 4.

• No efectivo (verificado), con calificación 3.

• No efectivo (no verificado), con calificación 2.

• No decidido, con calificación 1.

• No definido, con calificación 0.

Medición del riesgo con controles

Gráfico Nº 14

 

La valoración de los riesgos requiere de un análisis utilizando las siguientes fuentes de información las cuales representan un mayor grado de confianza en la incertidumbre que pueda generar el proceso:

• Juicio de grupo de expertos.

• Propietarios de los procesos.

• Registros históricos.

• Experiencias relevantes.

• Experiencias en el sector.

• Literatura especializada.

• Investigación de mercados.

• Experimentos y prototipos.

• Modelos de simulación económicos, de ingeniería y otros.

Utilización y ajuste de los avances realizados por el ISS en la identificación y análisis del riesgo

El ISS podrá utilizar la matriz de riesgos definida en la Guía para el mejoramiento de procesos, como herramienta complementaria o de apoyo para hacer control continuo al proceso, pero teniendo en cuenta que debe ajustarse a los elementos conceptuales de este manual, tal matriz básica es la siguiente:

Matriz de riesgos (primera parte)
Dependencia: fecha revisión:
Macroproceso:
Proceso: código:
Subproceso:

Tabla Nº 7

Nombre del riesgoCausa de riesgo (descripción)ProbabilidadImpactoControl existenteNivel de riesgo
       
       
       
       

Evaluación de riesgos

La evaluación de riesgos incluye comparar el nivel de riesgo encontrado durante el proceso de análisis contra el criterio de riesgo establecido previamente y decidir si los riesgos pueden ser aceptados.

Si el nivel establecido del riesgo es bajo, entonces el riesgo se puede considerar dentro de una categoría aceptable y tratarlo puede no ser necesario.

El análisis de riesgo y los criterios contra los cuales los riesgos son comparados en la valoración deben ser considerados sobre la misma base, así: evaluaciones cualitativas incluyen la comparación de un nivel cualitativo de riesgo contra criterios cualitativos y evaluaciones cuantitativas involucran la comparación de niveles estimados de riesgo contra criterios que pueden ser expresados como números específicos de frecuencia, fatalidad o valores monetarios.

El producto de una evaluación de riesgo es una lista de riesgos con prioridades para una acción posterior. Si los riesgos resultantes caen dentro de las categorías de riesgos bajo y moderados deberían ser monitoreados y revisados periódicamente para asegurar que se mantienen máximo en moderado. Si los riesgos caen en alto o extremo deberían ser tratados utilizando una o más opciones incluidas dentro del tratamiento de los riesgos.

Tratamiento de riesgos

Después de valorar y priorizar los riesgos, y dependiendo del nivel de exposición, se debe determinar la opción de tratamiento que más conviene aplicar en cada caso. El tratamiento de riesgos incluye la identificación de la gama de opciones de tratamiento del riesgo, la evaluación de las mismas, la preparación de planes de tratamiento de riesgos y su posterior implementación: es identificar, registrar, evaluar y elegir el conjunto de opciones para mejorar el control existente, hasta niveles aceptables.

Las opciones de tratamiento que se relacionan a continuación no son mutuamente excluyentes ni serán apropiadas en todas las circunstancias.

Opciones para tratar los riesgos (no excluyentes)

Ignorar / evitarNo realizar la actividad que tiene la probabilidad de generar el riesgo.
Debe tenerse en cuenta que la prevención del riesgo no sea inapropiado por alguna aversión al riesgo porque se puede llevar a:
1. Evitar o ignorar riesgos sin importar costos ni la información disponible.
2. Error en el tratamiento.
3. Dejar que las decisiones las tomen otros.
4. Aplazar o diferir la decisión que no puede evitar.
AceptarEs asumir totalmente el riesgo, para ello se debe establecer plan para financiar el tratamiento. Aceptar la pérdida residual y elaborar los planes de contingencia para su manejo.
ReducirReducir o controlar la probabilidad de ocurrencia. Implica tomar medidas encaminadas a disminuir tanto la probabilidad como el impacto.
Para disminuir la probabilidad pueden ser:
1. Auditoría o programas de verificación de cumplimiento.
2. Cambio de condiciones contractuales.
3. Revisión formal de especificaciones, requerimientos, diseño.
4. Inspección y procesos de control.
5. Inversiones y gestión de portafolio.
6. Gestión de proyectos.
7. Mantenimiento correctivo.
8. Aseguramiento de calidad, gestión y normalización.
9. Investigación y desarrollo tecnológico.
10. Supervisión.
11. Ensayos.
12. Disposiciones organizacionales.
13. Técnicas de control.
Para disminuir las consecuencias o impacto, pueden ser:
1. Planes de contingencias.
2. Arreglos contractuales.
3. Condiciones contractuales.
4. Planes de recuperación de desastres.
5. Planes de control de fraudes.
6. Reducción de exposición a fuentes de riesgo.
7. Planeación del portafolio.
8. Políticas de control de precios.
9. Separación o reubicación de una actividad o de recursos.
10. Relaciones públicas.
TransferirReduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido, pero es posible que el nivel general de riesgo no disminuya para la empresa.
Cuando se transfiere total o parcialmente un riesgo nace un nuevo riesgo y es el que la organización ha transferido, no lo haga efectivamente.
RetenerDespués de reducir o transferir el riesgo hay parte del riesgo que se ha retenido, deben implementarse planes para manejar sus consecuencias así como la identificación de un medio de financiación, puede ocurrir también la retención de un riesgo si se ha fallado en su identificación.
También existe el caso que un riesgo se retiene cuando hay una falla para identificar o transferir apropiadamente el riesgo...

Evaluación de las opciones para tratamientos de riesgos

Deben evaluarse las opciones sobre la base de reducción del riesgo, ya sea en forma individual o combinada, su costo debe ser proporcional a los beneficios obtenidos de tal suerte que debe preferirse la opción con mejor costo y mejores beneficios.

Preparación de planes de tratamiento

El tratamiento del riesgo puede actuar sobre un factor de riesgo, sobre un control actual o incrementando los controles existentes; para definir y hacer seguimiento del tratamiento hasta su implementación, en concreto, se tendrá en cuenta la siguiente documentación:

• Descripción: definición y características del tratamiento.

• Elemento / proceso: asociado al tratamiento 3.

• Cobertura: alta-media-baja.

• Efecto mitigador: control / factor de riesgo (tanto del riesgo como del control).

• Riesgos: reducidos o mitigados por el tratamiento.

• Propietario: a quién se asignó el tratamiento.

• Tipo: corto plazo, plan anual, plan estratégico.

• Estado: registrado, completado, en seguimiento, diferido o aplazado.

• Fechas clave: de registro, de terminado o de seguimiento.

• Prioridad: alta, media, baja.

• Recurso: humanos, técnicos, financieros.

• Progreso: documentación del estado en cada seguimiento.

• Planes de acción: asociados al tratamiento.

Políticas para el tratamiento del riesgo en el ISS

Son mecanismos de control, que se materializan en criterios orientadores para la toma de decisiones respecto al tratamiento de los riesgos al interior de la entidad; constituyen las guías de acción que le permitan a la organización, coordinar y administrar los eventos que puedan afectar su operación y el logro de sus objetivos.

Para fijarlas se toma como base el resultado de la calificación y evaluación obtenida en el elemento análisis de riesgos, y la priorización de riesgos en los diferentes niveles, procesos de la entidad. Se orientan a la fijación de parámetros que establezcan medidas de respuesta a los riesgos, de acuerdo con los objetivos institucionales y las características de la entidad, para ello se tendrá en cuenta:

• El ámbito donde se realiza la identificación, valoración y adopción de medidas para manejar el riesgo (macroprocesos. Procesos / subprocesos y actividades).

• El significado de las escalas de calificación de los riesgos (tanto de la frecuencia como de gravedad).

• Los lineamientos sobre las prioridades y parámetros, para establecer las siguientes medidas de respuesta o tratamiento del riesgo: aceptar, evitar, reducir y compartir.

• De disminuir los mayores riesgos actuando sobre los agentes generadores, las causas y los efectos identificados, a través de la priorización de los riesgos más graves y la medición de sus efectos en los macroprocesos.

Implementación de planes de tratamiento de riesgos o planes de acción

Es la agrupación lógica de los tratamientos por objetivos, por responsables, por sectores, por prioridades u otra clasificación a fin de controlar su implementación y monitorear los resultados esperados.

Requiere de un sistema de gestión efectivo que especifique los métodos seleccionados, asigne responsabilidades y obligaciones individuales con respecto a las acciones y las monitoree con respecto a los criterios especificados; después del tratamiento queda un riesgo residual y debe tomarse la decisión si aceptarlo o retenerlo o volver hacer el proceso de tratamiento.

Debe documentarse teniendo en cuenta lo siguiente:

• Propietario: responsable del plan de acción.

• Acciones propuestas: compendio de tratamientos.

• Recursos: humanos, financieros, tecnológicos, etc.

• Responsabilidades: asignaciones a responsables.

• Cronograma: actividades y compromisos.

• Informes: mecanismos y frecuencia de revisión del plan.

• Monitoreo: estado de avance en cada seguimiento.

• Fechas clave: de registro, de terminación o de seguimiento.

Comunicación y consulta

Es el proceso interactivo de intercambio de información y opiniones, que involucra múltiples mensajes acerca de la naturaleza del riesgo y la gestión del riesgo.

Comunicarse y consultar tanto con los stakeholders internos como externos en la medida que sea apropiado, en cada etapa del proceso de administración del riesgo, y en lo concerniente al proceso como un todo.

Se busca con la comunicación adecuada:

• Mejorar el entendimiento y preocupación de las personas sobre los riesgos y del proceso de gestión del riesgo.

• Asegurar que las diferentes perspectivas de los stakeholders han sido consideradas.

• Asegurar que todos los participantes en el proceso de gestión del riesgo, son conscientes de sus roles y responsabilidades.

• Aprender de los stakeholders o partes involucradas con la entidad o con el proceso, tanto internos como externos, que pueden afectar o pueden verse afectados, tales como: junta directiva, presidencia, gerentes, funcionarios, sindicato, afiliados a las tres unidades de negocio, comunidad en general nacional o internacional, competencia, proveedores, entidades estatales y la competencia.

• Construir y mantener una cultura de gestión del riesgo.

Partes relacionadas o stakeholders

Se deben identificar los sujetos que son afectados con el proceso, área a la cual se le identificaran los riesgos, estos pueden ser:

Junta directiva

Presidencia

Vicepresidencias y direcciones

Gerencia seccional

Gerente de área

Afiliados (empresas o trabajadores o independientes y sus beneficiarios)

Sindicatos y gremios

Usuarios internos

Contratistas y proveedores

Medios de comunicación

Competencia

Asociaciones de usuarios

Entidades del sector o del gobierno

Entes de control

Legisladores y reguladores o de control contraloría, superintendencias.

Monitoreo y revisión

Es verificar, supervisar o medir el progreso de una actividad, acción o sistema de manera regular a fin de identificar cambios que puedan afectar el nivel de desempeño o los resultados requeridos o esperados.

Pocos riesgos permanecen estáticos, por lo tanto, riesgos y la efectividad de sus medidas de control necesitan ser monitoreados continuamente para asegurar que circunstancias cambiantes no alteren las prioridades.

Revisiones progresivas son esenciales para asegurar que los planes de la administración permanecen relevantes. Los factores que afectan la probabilidad y la consecuencia de un resultado pueden cambiar al igual que los factores que afectan la viabilidad o el costo de las opciones de tratamiento.

Existen diferentes opciones para realizar monitoreo, uno es a través de la autoevaluación del control o CSA (siglas en inglés), o por la autoevaluación del riesgo y el control o CRSA (siglas en inglés).

Opción de monitoreo CRSA

“Es el proceso formal y documentado, en el cual la presidencia o equipos de trabajo directamente involucrados en una función del negocio, juzgan la efectividad (control) del proceso y determinan, si la posibilidad de alcanzar alguno o todos los objetivos del negocio (riesgos) está razonablemente asegurada”. “Es la revisión sistemática de los procesos para asegurar que los controles son todavía efectivos y apropiados para mitigar los riesgos” AS/NZS: 4360 2004.

Opción de monitoreo a través del registro histórico de eventos de pérdida

Evento de pérdida es un “incidente o suceso, que ocurre en un determinado lugar” durante un determinado “período de tiempo”, con una “consecuencia negativa”, financiera o de otra índole. Es la materialización del riesgo: causa / evento.

 

Indicadores para medir los eventos de pérdida

Es una colección de datos históricos por periodos de tiempo relacionados con algún evento cuyo comportamiento puede indicar una mayor o menor exposición a determinados riesgos. No indica la materialización del riesgo, pero puede indicar que algo está mal y se debe investigar.

Documentación de los eventos de pérdida

Se seguirá para ello, como mínimo, las normas de la Superintendencia Financiera de Colombia, en tal sentido el registro de los eventos de pérdida debe ser único para la entidad y contener la totalidad de eventos que:

• Generan pérdidas y afectan el estado de resultados de la entidad.

• Generan pérdidas y no afectan el resultado de resultados (sic) de la entidad. En este caso su evaluación será cualitativa.

• No generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad. En este caso la evaluación será cualitativa.

Debe contener la siguiente información.

Referencia:

Código interno que relacione el evento en forma secuencial.

Fecha de inicio del evento:

Fecha en que se inicia el evento, día, mes, año, hora.

Fecha de finalización del evento:

Fecha en que finaliza el evento, día, mes, año, hora.

Fecha del descubrimiento:

Día en que se descubre el evento, día, mes, año, hora.

Fecha de contabilización:

Fecha en que se registra contablemente la pérdida por el evento, día, mes, año, hora.

Divisa:

Moneda extranjera en la que se materializa el evento.

Cuantía:

El monto de dinero (moneda legal) a que asciende la pérdida.

Cuantía total recuperada:

El monto de dinero recuperado por acción directa de la entidad. Incluye las cuantías recuperadas por seguros.

Cuantía recuperada por seguros:

Corresponde al monto de dinero recuperado por el cubrimiento a través de un seguro.

Clase de evento:

La clasificación de evento de pérdida se hará teniendo en cuenta la categorización de los riesgos del numeral 5.2.6 de este manual (riesgo estratégico, operativo, legal o de cumplimiento, de custodia, reputacional, financiero, de tecnología), considerando, dentro de los riesgos financieros, la siguiente clasificación realizada por el Comité Basilea:

1. Fraude interno.

Actividades no autorizadas.

Hurto y fraude.

2. Fraude externo.

Hurto y fraude.

Seguridad de los sistemas.

3. Relaciones laborales y seguridad en el puesto de trabajo.

Relaciones laborales.

Higiene y seguridad en el trabajo.

Seguridad y discriminación.

4. Clientes, productos y prácticas empresariales.

Adecuación y divulgación de información y confianza.

Prácticas empresariales o de mercadeo improcedente.

Productos defectuosos.

Selección, patrocinio y riesgos.

Actividades de asesoramiento.

5. Daño a activos materiales.

Desastres y otros acontecimientos.

Pérdidas humanas por causas externas (terrorismo y vandalismo).

6. Incidencias en los negocios y fallos en los sistemas.

Sistemas.

7. Ejecución, entrega y gestión de procesos.

Recepción, ejecución y mantenimiento de operaciones.

Seguimiento y presentación de informes.

Aceptación de clientes y documentación.

Gestión de cuentas de clientes.

Contrapartes comerciales.

Distribuidores y proveedores.

Producto / servicio afectado:

Identifica el producto a(sic) servicio afectado.

Cuentas afectadas del plan único de cuentas, PUC:

Identificar las cuentas del “plan único de cuentas” (PUC) afectadas, de acuerdo con el evento de pérdida identificado.

Proceso:

Identifica el proceso afectado.

Tipo de pérdida:

Identifica el tipo de pérdida de acuerdo con la siguiente clasificación:

• Generan pérdidas y afectan el estado de resultados de la entidad.

• Generan pérdidas y no afectan el estado de resultados de la entidad.

• No generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad.

Descripción del evento:

Descripción detallada del evento.

Líneas operativas:

Identificación según clasificación suministrada por la Superintendencia Financiera de Colombia.

Glosario

Aceptación de riesgo

Una decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.

Administración del riesgo

La cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos.

Análisis árbol de eventos

Una técnica que describe el rango y secuencia posibles de los productos que podrían surgir de un evento iniciado.

Análisis árbol de fallas

Un método de ingeniería de sistemas para representar las combinaciones lógicas de varios estados del sistema y causas posibles que pueden contribuir a un evento especificado (denominado evento superior o “top event”).

Análisis de modos y efectos de fallas (FMEA)

Un procedimiento por el cual se analizan modos de fallas potenciales en un sistema técnico. Se puede extender un FMEA para realizar lo que se denomina análisis de modo, efecto y criticidad de fallas (Fmeca). En un Fmeca, cada modo de falla identificado es ordenado de acuerdo a la influencia combinada de su probabilidad de ocurrencia y severidad de sus consecuencias.

Análisis de riesgo

Un uso sistemático de la información disponible para determinar cuán frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias.

Análisis de sensibilidad

Examina cómo varían los resultados de un cálculo o modelo a medida que se cambian los supuestos o hipótesis individuales.

Azar de riesgo

Una fuente de daño potencial o una situación con potencial para causar pérdidas.

Consecuencia

Es el impacto o el producto de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de productos posibles asociados a un evento.

Control de riesgos

La parte de administración del riesgo que involucra la implementación de políticas, estándares, procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos.

Costo: actividades

Tanto directas como indirectas, involucrando cualquier impacto negativo, incluyendo pérdidas de dinero, de tiempo, de mano de obra, interrupciones, problemas de relaciones, políticas e intangibles.

Evaluación de riesgo

El proceso global de análisis de riesgo y evaluación de riesgo.

Evaluación de riesgos

El proceso utilizado para determinar las prioridades de administración del riesgo comparando el nivel de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos u otro criterio.

Evento

Un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempo particular.

Evitar un riesgo

Una decisión informada de no verse involucrado en una situación de riesgo.

Financiamiento de riesgos

Los métodos aplicados para fondear el tratamiento de riesgos y las consecuencias financieras de los riesgos. (En algunas industrias financiamiento de riesgos se refiere solo al fondeo de las consecuencias financieras de los riesgos).

Frecuencia

Una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de ocurrencias de un evento en un tiempo dado. Ver también probabilidad.

Identificación de riesgos

El proceso de determinar qué puede suceder, por qué y cómo.

Ingeniería de riesgos

La aplicación de principios y métodos de ingeniería a la administración del riesgo.

Interesados

Aquella gente y organizaciones que pueden afectar, ser afectados por, o percibir ellos mismos ser afectados, por una decisión o actividad. (El término puede incluir también partes interesadas tal como lo define la ISO 14050:1998 y la AS/NZS ISO 14004:1996.

Monitoreo

Comprobar, supervisar, observar críticamente, o registrar el progreso de una actividad, acción o sistema en forma sistemática para identificar cambios.

Organización

Una compañía, firma, empresa o asociación, u otra entidad legal o parte de ella, sea o no incorporada, pública o privada, que tiene sus propias funciones y administración.

Partes relacionadas o stakeholders

Son los sujetos afectados con el proceso o área a la cual se le identificaran(sic) los riesgos. También se conocen como partes involucradas o partes interesadas.

Pérdida

Cualquier consecuencia negativa, financiera o de otro tipo.

Probabilidad

La probabilidad de un evento específico o resultado, medido por el coeficiente de eventos o resultados específicos en relación a la cantidad total de posibles eventos o resultados. La probabilidad se expresa como un número entre 0 y 1, donde 0 indica un evento o resultado imposible y 1 indica un evento o resultado cierto.

Proceso de administración del riesgo

La aplicación sistemática de políticas, procedimientos y prácticas de administración a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.

Reducción de riesgos

Una aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de una ocurrencia, o sus consecuencias, o ambas.

Retención de riesgos

Intencionalmente o sin intención retener la responsabilidad por las pérdidas, o la carga financiera de las pérdidas dentro de la organización.

Riesgo residual

El nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo.

Riesgo

La posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se lo mide en términos de consecuencias y probabilidades.

Transferir riesgos

Cambiar la responsabilidad o carga por las pérdidas a una tercera parte mediante legislación, contrato, seguros u otros medios. Transferir riesgos también se puede referir a cambiar un riesgo físico, o parte del mismo a otro sitio.

Tratamiento de riesgos

Selección e implementación de opciones apropiadas para tratar el riesgo.

Bibliografía

Norma AS/NZS 4360:1999, estándar australiano administración del riesgo.

Icontec, norma técnica colombiana NTC 5254, mayo 2004.

Departamento Administrativo de la Función Pública, Guía de administración del riesgo, abril 2006. GIT, Soluciones Integrales Ltda., seminario gestión del riesgo.

Superintendencia Financiera de Colombia, circulares externas 048/06 y 041/07.

ART. 2º—Delegar en el presidente del instituto la reglamentación necesaria para el desarrollo de los aspectos relativos al sistema de administración del riesgo que se requiera para su operatividad.

ART. 3º—Publicar el contenido de este acuerdo en el Diario Oficial, de conformidad con lo previsto en el literal c) del artículo 119 de la Ley 489 de 1998.

ART. 4º—El presente acuerdo rige a partir de la fecha de su expedición y deroga las disposiciones que le sean contrarias.

Comuníquese, publíquese y cúmplase.

Dado en Bogotá, D.C., a 14 de agosto de 2007.

_____________________________