ACUERDO 423 DE 2007 Diario Oficial No. 46.743 de …ACUERDO 423 DE 2007 (agosto 14) Diario Oficial No. 46.743 de 6 de septiembre de 2007 INSTITUTO DE SEGUROS SOCIALES Por medio del

ACUERDO 423 DE 2007

(agosto 14)

Diario Oficial No. 46.743 de 6 de septiembre de 2007

INSTITUTO DE SEGUROS SOCIALES

Por medio del cual se aprueba el Manual de Políticas y Metodología para la Administración delRiesgo –Manual SARO– en el ISS.

EL CONSEJO DIRECTIVO DEL INSTITUTO DE SEGUROS SOCIALES,

en uso de las facultades legales, en especial las conferidas en los numerales 1 y 8 del artículo 12del Decreto 461 de 1994, y

CONSIDERANDO:

Que mediante Circular Externa número 48 del 22 de diciembre de 2006, la SuperintendenciaFinanciera de Colombia impartió a las entidades vigiladas las instrucciones relativas para laadopción de un Sistema de Administración de Riesgo Operativo (SARO), fijando las bases ylineamientos mínimos que deben implementarse para el desarrollo del SARO;

Que la Circular antes enunciada, adicionó el Capítulo XXII a la Circular Externa 100 de 1995,que se aplica en materia exclusiva a la administración de riesgo operativo;

Que el numeral 3.2.4.1 de la Circular Externa 048 de 2006, dispone que sin perjuicio de lasfunciones asignadas al órgano directivo, deberá además establecer las políticas generalesrelativas al SARO, aprobar el manual de riesgo operativo y sus actualizaciones;

Que en mérito de lo expuesto,

ACUERDA:

ARTÍCULO 1o. Aprobar el Manual de Políticas y Metodología para la Administración delRiesgo –Manual SARO– en el ISS, cuyo contenido es el siguiente:

“MANUAL DE POLÍTICAS Y METODOLOGÍA PARA LA ADMINISTRACIÓN DERIESGOS EN EL ISS

INSTITUTO DE SEGUROS SOCIALES

Bogotá, D. C., agosto de 2007

PRESENTACION

El Instituto de Seguros Sociales, desde marzo de 2003, ha venido trabajando en el desarrollo dela cultura de la Gestión del Riesgo, los primeros pasos se dieron con la sensibilización que laOficina de Control Interno realizó sobre el tema y la adopción de una matriz de riesgocomplementada a la sugerida por el Departamento Administrativo de la Función Pública,aprovechando la fortalezas de algunas personas especializadas en el tema, que lo direccionaroncon los parámetros generales de este organismo.

Esta guía pretende oficializar y estandarizar la metodología a aplicar para adelantar una efectiva

gestión del riesgo en los procesos de la institución y convertirla en elemento fundamental paragarantizar las metas y objetivos a través de la dinámica de autocontrol y auto evaluación,generando así su aplicación por cada líder de proceso y cada servidor de la entidad.

INTRODUCCION

El manejo de los riesgos, es un tema que se ha venido estudiando desde hace varios años en elmundo de los negocios, las grandes empresas y proyectos, con el fin de lograr eficientemente elcumplimiento de las metas y los objetivos planteados. La forma de abordar el tema es variadadependiendo de la complejidad y tipo de operaciones que se desarrollen.

La administración o gestión del riesgo como disciplina en el quehacer empresarial e inclusopersonal, se basa en una serie de estrategias que permiten mitigar, dispersar o prevenir laocurrencia de hechos que puedan obstaculizar el logro de los objetivos o el cumplimiento de lasfunciones.

En la administración pública la Administración del Riesgo nace como obligación a partir delDecreto 1537 de 2001, como gestión de riesgo corporativo; aunque el enfoque de riesgo como rolde las Oficinas de Control Interno ya existía dentro de la práctica de las normas de auditoríasnacionales e internacionales.

Los primeros pasos fueron presentados por el Departamento Administrativo de la FunciónPública, mediante la Guía de Administración del Riesgo expedida en diciembre de 2001, en suprimera versión y ajustada en julio de 2004; hoy encontramos esta guía actualizada en abril de2006 para una tercera edición, en la cual se realizó un ajuste para enfocarla al nuevo ModeloEstándar de Control Interno –MECI–, adoptado mediante el Decreto 1599 de 2005, el cualempalma el Control Interno al MODELO COSO de 1992, así como la racionalización de trámitesdel Departamento Administrativo de la Función Pública.

En las vigencias de 2006 y 2007, el Instituto ha propendido por dinamizar la práctica de lagestión por riesgos, para ello ha considerado importante tomar como base, los estándaresinternacionales en el tema, que además fueron adoptados por la Norma Técnica ColombianaNTC 5254:2004, actualizada recientemente, sobre los que además han sido base para loslineamientos de los entes de control de la institución como la Superintendencia Financiera deColombia a través de las Circulares Externas número 048 de diciembre de 2006 y número 041 dejunio de 2007.

Políticas institucionales que rigen la gestión del riesgo

Definición

Son mecanismos de control, que se materializan en criterios orientadores para la toma dedecisiones respecto al tratamiento de los riesgos al interior de la entidad pública; constituyen lasguías de acción que le permitan a la organización, coordinar y administrar los eventos quepuedan afectar su operación y el logro de sus objetivos.

Objetivos

Dotar al ISS de los parámetros que establezcan medidas de respuesta a los riesgos.

Definir, implementar, probar y mantener un proceso para administrar la continuidad del negocioque incluya elementos metodológicamente probados para identificar, analizar, valorar y tratar los

riesgos de acuerdo con priorización y economía en términos de costo/beneficio.

Permitir un seguimiento periódico de los perfiles de riesgo, de las exposiciones a pérdidas ysobre los avances en el tiempo en el tratamiento de los riesgos tanto operativos comoestratégicos, con informes periódicos de las diferentes instancias que participan en laAdministración del Riesgo en el ISS.

Políticas institucionales generales

La Administración del Riesgo dentro del Instituto de Seguros Sociales, hace parte esencial eintegral de la gestión administrativa y dentro de este propósito se busca el cumplimiento de sumisión, el cumplimiento de los objetivos y el alcance de metas, el fortalecimiento del ControlInterno, el mejoramiento de la actividad administrativa, el cumplimiento de los lineamientos y ellogro de los objetivos estratégicos, en aras de la transparencia y la probidad en las actuaciones,con fundamento en los principios señalados en el artículo 209 de la Constitución Política de1991.

La Administración del Riesgo, por sus características y beneficios será de obligatoria ejecución ycumplimiento; deberá incluirse dentro de la concertación de objetivos para la evaluación deldesempeño y dentro de los planes operativos anuales como compromiso institucional.

El Sistema de Administración del Riesgo deberá estar alineado con el plan estratégico, con losdemás sistemas de gestión del Instituto, como el Sistema de Gestión de la Calidad, el Sistema deDesarrollo Administrativo, y con los demás componentes del Sistema de Control Interno.

La identificación de los principales factores de riesgo debe estar asociada con el ejercicio de lasfunciones administrativas, tanto gerenciales como misionales; debe señalar cómo se manifiestanlos riesgos, su descripción y valoración, estableciendo la mejor manera de prevenirlos ycombatirlos, para lo cual se deberá:

a) Impulsar en el Instituto, la cultura en materia de Administración del Riesgo, para ello laentidad en cada uno de sus niveles mantendrá el control sobre el estado de los riesgos y lostratamientos relacionados con los procesos de que son responsables, desde el nivel nacional hastael seccional;

b) Verificar periódicamente el cumplimiento de las responsabilidades establecidas para cada unode los roles propuestos en este manual y demás funcionarios que participen en la Administracióndel Riesgo;

c) Asegurar el cumplimiento de las normas internas y externas relacionadas con laAdministración del Riesgo, aplicando para ello los estándares internacionales y las normaspromulgadas por los entes competentes en Colombia, sobre la materia;

d) Permitir la prevención de conflictos de interés en la obtención de información en las diferentesetapas de la Administración del Riesgo, especialmente para el registro de eventos de riesgo;

e) Permitir la identificación de los cambios en los controles y los perfiles de riesgo;

f) Generar el registro de eventos en el cual se garantice la integridad, oportunidad, confiabilidady disponibilidad de la información allí contenida;

g) Desarrollar e implementar planes de continuidad del negocio;

h) Implementar e instrumentar las diferentes etapas y elementos de la Administración del Riesgo;

i) Adoptar como media de seguimiento, la realización de una revisión semestral sobre el estadode la gestión de riesgos en la entidad;

j) Realizar y actualizar periódicamente este manual, así como divulgar los cambios para quepermita conocer oportunamente las modificaciones correspondientes;

k) Mantener la metodología para la identificación, medición y control frente a la Administracióndel Riesgo.

Responsables de la Administración del Riesgo en el ISS

Las instancias y sus funciones son las que para el efecto defina del Consejo Directivo medianteacuerdo y el Presidente mediante resolución conforme con sus atribuciones legales.

Objetivos y elementos de la del Riesgo

Objetivo general

El Sistema de Administración del Riesgo en el Instituto de Seguros Sociales tendrá comoobjetivo principal la fijación de políticas, procesos y procedimientos, criterios, registros,controles, estrategias y la estructura organizacional requeridos para eliminar, mitigar, trasladar ocompartir los riesgos que puedan afectar el normal desarrollo de la misión institucional.

Objetivos específicos

-- Crear una cultura de administración y evaluación de riesgos, consolidado en un ambiente decontrol adecuado para el Seguro Social.

-- Definir una orientación clara y planeada frente a la Administración del Riesgo.

-- Difundir los conocimientos base necesarios para la identificación y evaluación del riesgo.

-- Establecer dentro de los procesos y procedimientos las acciones de mitigación frente a laAdministración del Riesgo.

-- Generar la participación de los colaboradores del Seguro Social en la Prevención yAdministración del Riesgo.

-- Garantizar la promulgación y el cumplimiento de las políticas de Administración del Riesgopara el Seguro Social.

-- Integrar los diferentes procesos institucionales que conllevan a la efectiva Administración delRiesgo.

Aspectos a tener en cuenta para implementar la Gestión o Administración del Riesgo en el ISS

Para la implementación y mantenimiento de la Administración del Riesgo del Instituto deSeguros Sociales se deberá tener en cuenta:

a) Las políticas o lineamientos generales establecidos en el presente acuerdo;

b) Los procedimientos aplicables para la adecuada implementación y funcionamiento del Sistema

de Administración del Riesgo, constituida por este manual, los documentos y registros queevidencien la operación efectiva del Sistema y los informes al Consejo Directivo, Presidente,órganos de control y responsables de la implantación y seguimiento del Sistema;

c) El área definida como responsable para coordinar la implementación, puesta en marcha yseguimiento del Sistema de Administración del Riesgo;

d) Los registros de eventos del riesgo, que incluya como mínimo en los términos establecidos porla Superintendencia Financiera;

e) La plataforma tecnológica que se adquiera o desarrolle para garantizar la adecuadaAdministración del Riesgo;

f) La divulgación de la información interna y externa, en los términos establecidos por laSuperintendencia Financiera;

g) Los planes de capacitación sobre el Sistema de Administración del Riesgo, los cuales sedeberán diseñar, programar y coordinar de acuerdo con los parámetros establecidos por laSuperintendencia Financiera y deberán dirigirse a todas las áreas y funcionarios del Instituto, asícomo a las personas o entidades con las que el ISS contrate la realización de sus procesos.

Marco legal

h) Constitución política de Colombia. Artículos 209 y 269;

i) Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en lasentidades y organismos del Estado y se dictan otras disposiciones, artículo 2o, literal a).“Proteger los recursos de la organización, buscando su adecuada administración ante posiblesriesgos que los afectan”. (Artículo 2o, literal f). “Definir y aplicar medidas para prevenir losriesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedanafectar el logro de los objetivos”;

j) Ley 489 de 1998. Estatuto Básico de Organización y Funcionamiento de la AdministraciónPública;

k) Decreto 1826 - 1994 Reglamentan Ley 87 de 1993;

l) Decreto 2145 de 1999, por el cual se dictan normas sobre el Sistema Nacional de ControlInterno de las Entidades y Organismos de la Administración Pública del Orden Nacional yTerritorial y se dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 del2000;

m) Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto aelementos técnicos y administrativos que fortalezcan el Sistema de Control Interno de lasentidades y organismos del Estado que en el parágrafo del artículo 4o señala los objetivos delSistema de Control Interno (...) define y aplica medidas para prevenir los riesgos, detectar ycorregir las desviaciones...y en su artículo 3o establece el rol que deben desempeñar las Oficinasde Control Interno (...) que se enmarca en cinco tópicos (...) valoración de riesgos. Así mismoestablece en su artículo 4o la Administración del Riesgo, como parte integral del fortalecimientode los Sistemas de Control Interno en las entidades públicas (...);

n) Decreto 188 de 2004, por el cual se modifica la estructura del Departamento Administrativo

de la Función Pública y se dictan otras disposiciones;

o) Decreto 1599 de 2005, por el cual se adopta el Modelo Estándar de Control Interno para elEstado colombiano y se presenta el Anexo Técnico del MECI 1000:2005;

p) Directiva Presidencial 09 de 1999, lineamientos para la implementación de la política de luchacontra la corrupción;

q) Circular Externa número 048 de 2006 - Superintendencia Financiera de Colombia;

r) Circular Externa número 041 de 2007 - Superintendencia Financiera de Colombia.

Elementos principales de la Administración del Riesgo

Los elementos principales que conforman el proceso de Administración del Riesgo son:

-- Establecimiento del contexto.

-- Identificación de riesgos.

-- Análisis de riesgos.

-- Evaluación de riesgos.

-- Tratamiento de riesgos.

-- Comunicación y consulta.

-- Monitoreo y revisión

La relación entre estos elementos se representan en la siguiente gráfica:

Gráfico No. 1

Establecimiento del contexto

Es la definición de la relación entre la organización y su entorno, identificando las fortalezas,debilidades, oportunidades y amenazas de la organización. El contexto incluye los aspectos

financieros, operativos, competitivos, políticos (percepciones públicas/imagen), sociales, declientes, culturales y legales de las funciones de la organización.

Consiste en entender la organización, sus objetivos, estrategias, capacidades y habilidades, asícomo identificar todos aquellos objetos (áreas procesos, proyectos) de la organización a lascuales podría aplicar un análisis de riesgo.

Permite a través del conocimiento del entorno y de la organización, establecer las políticas ycriterios generales que serán utilizados para implementar el enfoque de Administración delRiesgo en cualquier área de la organización.

Se debe establecer el contexto externo e interno del ISS, así como el contexto específico queaplica para cada proceso o parte de la entidad, antes de continuar con el desarrollo de loselementos de identificación, análisis, evaluación, tratamiento y monitoreo de riesgos.

Contexto externo o estratégico

Define los parámetros básicos dentro de los cuales los riesgos serán administrados, y el alcancedel resto del proceso de Administración del Riesgo.

Permite entender el entorno en el que opera el Instituto, definiendo las relaciones de la entidadcon su ambiente externo de negocios para identificar oportunidades y amenazas, incluyendo losaspectos financieros, operativos, competitivos, políticos (percepción pública y de imagen),sociales, de clientes, culturales y legales.

Es necesario identificar las partes externas interesadas o stakeholders externos, considerando susobjetivos, expectativas y percepciones, para establecer las políticas de comunicación con ellos.

Contexto interno u organizacional

Consiste en conocer la entidad y sus capacidades, sus metas y objetivos y las estrategias vigentespara lograrlos.

Permite identificar fortalezas y debilidades, teniendo en cuenta aspectos tales como la capacidaddirectiva, financiera, operativa, tecnológica, competitiva y de talento humano.

Es necesario identificar las partes internas interesadas o stakeholders internos, considerando susobjetivos, expectativas y percepciones, para establecer las políticas de comunicación con ellos.Definir el contexto interno antes de comenzar el estudio de Administración del Riesgo esimportante por las siguientes razones:

-- La Administración del Riesgo se desarrolla en el contexto de los objetivos, metas y estrategiasde la organización.

-- Los eventos que impidan o dificulten el logro de las metas o el cumplimiento de los objetivosdel Instituto, son los principales riesgos que deben ser administrados.

-- Las políticas y metas de la organización ayudan a definir los criterios mediante los cuales sedecide si un riesgo es aceptable o no, y constituye la base para las opciones de tratamientos.

-- Los objetivos específicos y los riesgos de los procesos, actividades y proyectos críticos, debenser considerados a la luz de los objetivos del Instituto como un todo.

Contexto específico

Corresponde al contexto del área, actividad, proceso o parte de la entidad sobre la cual seaplicará el proceso de Administración del Riesgo.

Debido a que el Instituto ha adoptado un enfoque de operación basado en procesos, para cadauno de los procesos se deben tener en cuenta los siguientes aspectos:

-- Establecer los objetivos generales y específicos del proceso (deben tomarse de las definicionescontenidas en el manual de cada proceso).

-- Establecer la interrelación del proceso con los demás de la Entidad (identificación de losstakeholders del proceso).

-- Delimitar la actividad de inicio y de finalización del proceso.

-- Realizar desagregación del proceso en actividades macro.

-- Identificar las debilidades y fortalezas del proceso.

-- Definir el responsable o responsables del proceso.

Identificación de riesgos

Definición de Riesgo: Para efectos de la aplicación de este Manual se tendrá en cuenta ladefinición del Departamento Administrativo de la Función Pública, que lo define como “todaposibilidad de ocurrencia de una situación que pueda entorpecer el normal desarrollo de lasfunciones de la Entidad y le impidan el logro de sus objetivos” concordante con la normaaustraliana AS/NZS 4360 sobre gestión del riesgo, retomada por Colombia en la Norma NTC-5254, que lo define como “la posibilidad de que suceda algo que tendría impacto en losobjetivos. Se mide en términos de consecuencia y posibilidad de ocurrencia”.

La Identificación del Riesgo, por su parte, consiste en identificar los hechos como base paraposterior análisis mediante el establecimiento de un marco de acción específico que permitaentender el objeto sobre el cual se aplicará el proceso de Administración del Riesgo. Consisteademás en definir los criterios específicos del análisis de riesgos y determinar el nivel deaceptación del riesgo que la institución está dispuesta aceptar para este proceso.

La Identificación de Riesgos le permitirá al ISS, poder describir el riesgo, definir suscaracterísticas, los agentes generadores, las causas y los efectos para los Macroprocesos,Procesos/Subprocesos y Actividades de la Entidad, permitiendo, de esta forma, establecer unmarco de acción específico para entender el objeto sobre el cual se aplicará el proceso deAdministración del Riesgo. Consiste además en definir los criterios específicos del análisis deriesgos y determinar el nivel de aceptación del riesgo que la institución está dispuesta a aceptarpara este proceso.

Mediante el establecimiento de un marco de acción específico que permita entender el objetosobre el cual se aplicará el proceso de Administración del Riesgo.

La identificación responde al ¿QUÉ?, ¿COMO? ¿Y PORQUÉ? se pueden originar los hechoscomo base para posterior análisis.

Los pasos para la identificación del riesgo, son los siguientes:

-- Identificar áreas de impacto.

-- Identificar fuentes de riesgo.

-- Realizar la identificación detallada de los riesgos.

-- Documentar los riesgos.

Identificación de áreas de impacto

Dentro del proceso de identificación de riesgos, el primer paso consiste en identificar las áreas deimpacto para cada uno de los procesos analizados.

Se entiende como área de impacto todo objeto en riesgo que corresponde a un recurso, bien uoportunidad a la cual la organización le debe asignar un valor, y cuya afectación podríacomprometer el cumplimiento de sus objetivos y metas. Por este motivo, las áreas de impactodeben ser protegidas o maximizadas.

A continuación se presenta una clasificación de las áreas de impacto. Esta clasificación tambiénse conoce con el nombre de “áreas de impacto genéricas”:

-- Activos y recursos básicos.

-- Costos de actividades.

-- Desempeño.

-- Intangibles.

-- Ingresos y derechos.

-- Personas o Comunidad.

-- Programación de Actividades.

-- Clima Organizacional.

-- Recursos de tecnología de la información.

Como puede observarse, los recursos de tecnología de la información se presentan aparte, a pesarde estar comprendidos dentro de los activos y recursos básicos, debido a sus característicasparticulares.

Gráfico No. 3

Para identificar las áreas de impacto, se debe tomar cada una de las áreas de impacto genéricas ydeterminar las que se dan en el proceso analizado, personalizándolas de acuerdo con losprocedimientos internos de la Entidad.

Todas las áreas de impacto se deben tener en cuenta. Cualquier área descartada por alguna razón,debe ser registrada para asegurar que luego no sea omitida u olvidada.

Ejemplo: Si se toma el proceso Activos Fijos, algunas de las áreas de impacto identificadasserían: Bienes en servicio, Software SCAF e Información incluida en el sistema.

A continuación se detallan un poco más las áreas de impacto genéricas:

Activos y recursos básicos

-- Activos: (Bienes físicos y derechos de la Institución tales como cuentas por cobrar, patentes,licencias, derechos de autor).

-- Pasivos: Deudas con terceros.

-- Capital: Es la deuda de la Entidad con sus dueños.

-- Recursos de Tecnología de Información (TI):

-- Recurso o Talento Humano: Empleados, Contratistas civiles.

Costos de actividades

Costos directos, Costos indirectos, Costo de reposición y/o Reconstrucción, Indemnizaciones.Sanciones.

Desempeño

Productividad, calidad.

Intangibles

Conocimiento, reputación, good will, confianza, seguridad.

Ingresos y derechos

Ventas, comisiones, intereses, regalías.

Personas o comunidad

Afiliados, vecinos o transeúntes, localidad, ciudad, país, balance social.

Programación de Actividades

Nuevos productos, inversiones de oportunidad, innovación tecnológica.

Clima Organizacional

Valores éticos, moral empleados, accountability (contabilización adecuada), estabilidad.

Activos de Tecnología de Información

Información, archivos de datos y bases de datos, documentación de sistemas, manuales deusuarios, archivos de imágenes, innovación tecnológica, documentación sistemas,documentación procedimientos operacionales y soporte, documentación planes de contingencia.

Software: Aplicativos, software operacional, de comunicaciones, de desarrollo y utilitarios.

Activos físicos: Equipos de computación y telecomunicaciones, medios magnéticos, unidades desuministro de energía, aire acondicionado, instalaciones físicas.

Documentos en papel: Contratos, guías, documentación de la empresa, documentación deresultados importantes para el negocio.

Comerciales: Reputación e imagen de la empresa.

Identificación de las fuentes de riesgo

El segundo paso para identificar los riesgos, consiste en identificar la fuente de riesgo es decir,todo individuo, grupo humano, entidad, elementos físicos o fenómeno del entorno de los cualesse pueden derivar eventos que podrían afectar las áreas de impacto (objetos en riesgo del SegurosSocial cuya ocurrencia se puede evitar (minimizar o maximizar) para incrementar la posibilidaddel logro de los objetivos y metas.

A continuación se presenta una clasificación de fuentes de riesgo, basadas en el estándarinternacional AS/NZS: 4360. Esta clasificación también se conoce con el nombre de “fuentes deriesgo genéricas”:

-- Relaciones comerciales y legales.

-- Comportamiento del talento o recurso humano.

-- Circunstancias políticas y legislativas.

-- Actividades y controles gerenciales.

-- Circunstancias económicas (internas y externas).

-- Eventos naturales.

-- Aspectos tecnológicos y técnicos (internas y externos).

-- Actividades individuales.

Gráfico No. 4

Para identificar las fuentes de riesgo se debe tomar cada una de las fuentes de riesgo genéricas ydeterminar las que pueden presentarse en el proceso analizado, personalizándolas de acuerdo conlos procedimientos internos de la Entidad.

Todas las fuentes de riesgo se deben tener en cuenta. Cualquier fuente de riesgo descartada poralguna razón se debe registrar para asegurar que luego no sea omitida u olvidada.

Para el proceso Activos Fijos que se tomó como ejemplo se tendría entonces:

Áreas de Impacto: Bienes en servicio, Software SCAF, información incluida en el sistema.

Fuentes de Riesgo: Responsable a cargo de los bienes en servicio, funcionario responsable de ladigitación de documentos en el sistema.

A continuación se detallan un poco más las fuentes de riesgo genéricas:

Relaciones comerciales y legales

-- Competencia.

-- Proveedores de bienes o servicios de la Entidad.

-- Entidades financieras.

-- Afiliados (cotizantes y sus beneficiarios, empleadores, pensionados).

Comportamiento del talento o recurso humano

-- Sindicatos.

-- Asociaciones de usuarios, agremiaciones de empleados.

-- Grupos de presión y manifestaciones.

-- Afiliados (cotizantes y sus beneficiarios, empleadores).

Circunstancias políticas y legislativas

-- Presencia de guerrilla o grupos armados fuera de la ley.

-- Organos legislativos.

-- Inseguridad o incertidumbre jurídica.

Actividades individuales y gerenciales (intencionales o no intencionales)

-- Directivos y empleados (errores o delitos).

-- Allegados o familiares de Directivos y empleados.

-- Personas ajenas a la institución como bandas o mafias organizadas, hackers (intrusos sin malasintenciones, curiosidad, ataques no específicos); crakers (intrusos con malas intenciones oataques premeditados).

Circunstancias económicas

-- Banca y organismos de economía mundial.

-- Banco Emisor y reguladores locales como Superintendencia Nacional de Salud,Superintendencia Financiera de Colombia.

-- Fenómenos macroeconómicos como la inflación, el desempleo y Macroeconómicos como lasolidez, la liquidez, la demanda del aseguramiento en los tres negocios en la institución, etc.

-- Mercado de valores.

Eventos naturales

-- Fenómenos climáticos.

-- Fenómenos eléctricos.

-- Fenómenos sísmicos.

-- Fenómenos marítimos.

Aspectos Tecnológicos y Técnicos (internos o externos)

-- Datos.

-- Aplicativos.

-- Plataforma tecnológica (software operativo, hardware, equipos de soporte,telecomunicaciones.

-- Instalaciones (estructurales, eléctricas, hidráulica, equipos de refrigeración, telefónicas).

Realizar la identificación detallada de los riesgos

Gráfico No. 5

Técnicas para identificar los Riesgos:

Matriz de fuentes y Áreas Impacto

Escenario: Proceso / Actividad / Proyecto / Localidad.. (3) Dónde ?

Dentro del elemento “Establecer el Contexto” se identificó el proceso, su objetivo, metas, susáreas de impacto y fuentes de riesgo. Ahora es necesario continuar con la identificación detalladadel riesgo.

Para hacer la identificación detallada del riesgo se toma el área de Impacto y se pregunta QUÉLE PODRÍA OCURRIR (consecuencia o efecto) por la actuación una fuente de riesgodeterminada.

Continuando con el ejemplo de activos fijos, debe preguntarse QUÉ LE PODRÍA OCURRIR(consecuencia o efecto) al área de impacto “bienes en servicio” por la falta de cuidado oconservación del responsable de estos (fuente de riesgo). Teniendo en cuenta que el objetivo delproceso Activos Fijos es el registro, identificación, ubicación y conservación de estos para elcabal desarrollo de las funciones de la Entidad, se puede encontrar que el BIEN EN SERVICIOpodría perderse por robo o por sustracción, sufrir deterioro o desmantelamiento debido a la faltade cuidado o de diligencia del responsable, ya sea intencional o no intencional. En este caso,algunos de los riesgos identificados serían: pérdida de activos, deterioro, desmantelamiento.

Para optimizar la identificación detallada de riesgos se debe:

-- Descomponer los procesos a los niveles mínimos de desagregación requerida e identificar los

riesgos del negocio en los procesos de mayor nivel.

-- Excluir los subprocesos y actividades propias de control (Excepto si en el subproceso sematerializan riesgos inherentes relevantes).

-- Utilizar los subprocesos de menor nivel, solo como referencia para ubicar los puntos de origeny materialización de las causas.

-- Analizar cada área de impacto con relación a todas las fuentes de riesgo iniciando por la demayor impacto en los objetivos y metas (o viceversa).

-- Revaluar las áreas de impacto y fuentes de riesgo previamente identificadas.

-- Identificar todos los riesgos reales o potenciales posibles, estén o NO, aparentemente bajo elcontrol de la organización.

-- Identificar solo los riesgos que se materialicen dentro del contexto específico.

-- Describir en detalle cada riesgo con todos sus componentes.

-- Procurar no describir desviaciones del control como riesgos o causas.

-- Integrar riesgos con la misma área de impacto y cuyas causas y sus posibles controles seansimilares.

-- Integrar riesgos con diversas áreas de impacto, cuyas causas sean similares.

-- Verificar que ningún riesgo esté antecedido por las palabras: ausencia de, falta de, poco(a),escaso(a) o que corresponda a deficiencias de control. En caso de que esto ocurra se debeeliminar, ya que no está correctamente identificado o analizar si es una causa.

-- Tener en cuenta que un riesgo puede tener más de un efecto o consecuencia, tales como:lesiones, fallecimientos, sanciones, daño de la información, pérdidas económicas, daño debienes-interrupción de servicios, daño de imagen, daño al ambiente, pérdida de mercado.

-- Verificar que ningún riesgo sea igual a un efecto. En caso que esto ocurra, se debe eliminar elriesgo o replantearlo.

Las CONSECUENCIAS o IMPACTOS sobre las áreas de impacto pueden ser cuantificables ono cuantificables:

Consecuencias cuantificables:

-- Pérdida de activos/ Pasivos/Capital (quiebra).

-- Pérdida de vidas (Comunidad).

-- Pérdida de Mercado (Clientes/prospectos).

-- Costos por reposición o reconstrucción.

-- Pérdida de Ingresos (Por Aportes/Recobros/Rendimientos).

-- Pérdida de Ingresos por Derechos de Autor.

-- No aprovechamiento de oportunidades/fortalezas.

-- Sanciones legales (Nacionales o Internacionales).

-- Indemnizaciones.

-- Costos excesivos.

Consecuencias no cuantificables - intelectuales (Soft Loss):

-- Talento Humano (Conocimiento).

-- Propiedad Intelectual.

-- Tecnología Innovadora.

-- Servicios.

-- Reputación.

-- Investigación y Desarrollo.

-- Pérdida de Imagen.

-- Pérdida de Good Hill.

-- Pérdida de Confianza.

-- Seguridad.

-- Estabilidad

-- Beneficios a la Comunidad.

Las CAUSAS (que responden al PORQUÉ, QUÉ y CÓMO lo hace la fuente de riesgo) puedenser intencionales (deliberadas) o no intencionales (accidentales):

-- Obtener ventajas competitivas deshonestas (Competencia).

-- Inviabilidad económica de los proveedores (Proveedores).

-- Precios superiores a la competencia (Costos/competencia).

-- Acceso accidental o doloso a sistemas, aplicativos o a información sensible por parte deempleados o terceros (Hackers).

-- Iliquidez (Costos/Carga impositiva/Acceso a Bancos).

-- Recursos no disponibles cuando se requieren (Proveedores).

-- Tiempo suspensión servicio de TI (total - parcial) (Errores).

-- Desmotivación (Decisiones Gerenciales).

-- Pérdida de pertenencia (Decisiones Gerenciales).

-- Resistencia al cambio (Recursos Humanos).

Documentar los riesgos

La documentación de un riesgo implica la definición de cada uno de los siguientes elementos:

-- Area: Función asignada con el riesgo (unidad, proceso, actividad, transacción).

-- Descripción: corta y detallada: (qué, por qué, cómo, cuándo, dónde).

-- Categoría: según naturaleza/área de impacto/fuente/regulación/etc.

-- Propietario: Responsable de administrarlo.

-- Controles: que mitigan el riesgo.

-- Valoraciones del riesgo: (absoluta/con controles/con tratamiento).

-- Escalas de consecuencias/probabilidades a ser consideradas.

-- Criterios de aceptación de alta gerencia (tolerancia al riesgo).

-- Eventos de pérdida históricos.

-- Objetivos del negocio que podrían ser afectados y cómo podrían ser afectados.

-- Tratamientos en procesos (evaluación/implementación).

Resumen del proceso de identificación de riesgos

A continuación se resume gráficamente el proceso de identificación de riesgos, utilizando comoejemplo el proceso de adquisiciones:

Gráfico No. 6

Gráfico No. 7

Categorización de los riesgos

Los organismos nacionales e internacionales, según su especialidad, han dividido los riesgos encategorías para un mejor entendimiento, algunas son:

Riesgo estratégico

Se asocia con la forma en que se administra el ISS. El manejo del riesgo estratégico se enfoca aasuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, laclara definición de políticas, diseño y conceptualización de la Entidad por parte de la altagerencia.

Riesgo operativo

Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas oinadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por laocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal de custodia yreputacional, asociados a tales factores.

Riesgo legal o de cumplimiento

Es la posibilidad de pérdida en que incurre la Entidad al ser sancionada, multada u obligada aindemnizar daños como resultado del incumplimiento de normas o regulaciones y obligacionescontractuales.

Riesgo de custodia

Es la posibilidad de pérdida en que se incurre por la pérdida de los valores mantenidos bajocustodia debido a la insolvencia, negligencia o a una acción fraudulenta del custodio.

Es la posibilidad de pérdida en que se incurre por desprestigio, mala imagen, publicidadnegativa, cierta o no, respecto de la Institución y sus prácticas de negocios, que cause pérdida declientes, disminución de ingresos o procesos judiciales.

Riesgo financiero

Se relaciona con el manejo de los recursos, que incluye, la ejecución presupuestal, la elaboración

de los estados financieros, los pagos, manejo de excedentes de tesorería y el manejo sobre losbienes de la Entidad. De la eficiencia y transparencia en el manejo de los recursos, así como suinteracción con las demás áreas dependerá en gran parte el éxito o fracaso de esta.

Riesgo de tecnología

Se asocian con la capacidad para que la tecnología disponible satisfaga las necesidades actuales yfutura de la Entidad y soporte el cumplimiento de la misión.

Análisis de riesgos

En esta etapa se busca obtener el entendimiento y conocimiento de los riesgos identificados detal manera que se pueda recopilar información que permita el cálculo del nivel de riesgo al cualestá expuesto el objeto en la actualidad, identificar los controles existentes implementados paramitigar el impacto ante la ocurrencia de los riesgos, permitiendo de esta manera valorar losniveles de riesgo, la efectividad de los controles.

El objetivo del análisis de riesgo es llegar a determinar el Nivel de Riesgo, para ello debenidentificarse las gestiones, sistemas técnicos y procedimientos para controlar el riesgo y evaluarlas fortalezas y debilidades de cada uno; se puede realizar a través de herramientas y técnicascomo las listas de chequeo, lluvia de ideas, análisis de sistemas, análisis de escenarios. Esta partedel análisis es denominada Valoración de Riesgos con Controles; como se muestra en elsiguiente gráfico.

Gráfico No. 8

Análisis / Valoración de Riesgo: Estimación

Consecuencia o Impacto

Es el resultado de un evento (Causa) expresado cualitativa o cuantitativamente, sea este unapérdida, perjuicio, desventaja o ganancia.

Podría haber más de una Consecuencia derivada de un evento.

-- Las Consecuencias son consideradas en relación con las áreas de Impacto (Objetos a Riesgo)que podrían afectar el logro de los objetivos y metas.

-- Los eventos pueden tener una simple ocurrencia o una serie de ocurrencias.

Tabla No. 1

Consecuencia ValorCatastrófica 5Mayor 4Moderada 3Menor 2Insignificante 1

Para evitar subjetividades es fundamental establecer para cada calificación de laCONSECUENCIA los criterios de calificación de CATASTROFICA (calificación 5), MAYOR(calificación 4), MODERADA (calificación 3), MENOR (calificación 2) e INSIGNIFICANTE(calificación 1); pero las consecuencias, independientemente pueden ser de diferente tipo, para lametodología que se adopta se clasifican en tres: de RECURSO HUMANO, ECONOMICAS y deREPUTACION, de acuerdo con la siguiente tabla:

Tabla No. 2

RANGOCONSECUENCIA

RECURSOSHUMANOS

PÉRDIDASECONOMICAS

PÉRDIDA DEREPUTACION

VALOR

CATASTROFICO Pérdida de la vidahumana oincapacidad total

Pérdida mayores a$200.000millones.

Afectación de laimagen a nivelnacional.

5

MAYOR Pérdida demiembrossuperiores.Incapacidad entre 3y 6 meses

Pérdida entre$10.000 y$200.000millones.

Afectación de laimagen a nivel dedepartamentos tipo Ao internamente entoda la organización.

4

MODERADO Pérdida demiembrosinferiores oincapacidad entre 2y 3 meses

Pérdida entre$1.000 y $10.000millones.

Afectación de laimagen a nivel dedepartamentos tipo B.

3

MENOR Pérdida parcial demiembrosinferiores osuperiores, oincapacidad entre 1y 2 meses.

Pérdida entre 50 y1.000 millones.

Afectación de laimagen a nivel dedepartamentos tipo C.

2

INSIGNIFICANTE Incapacidad menora un mes.

Pérdida menor a$50 millones.

Afectación de laimagen a nivel de unárea.

1

Al calificar el IMPACTO O CONSECUENCIA del riesgo, debe tenerse en cuenta que debehacerse por el tipo de esta que prevalezca, es decir, de Recurso Humano, Pérdida Económica oPérdida de Reputación.

Probabilidad

Se utiliza como una descripción general de probabilidad, frecuencia o posibilidad.

Probabilidad: Es la posibilidad de un evento específico o resultado, medido por la rata de eventosespecíficos o resultados sobre el número total de posibles eventos o resultados. (rango entre 0 y 1o porcentaje).

Frecuencia: Es una medida del coeficiente de ocurrencia de un evento expresado como lacantidad de ocurrencias de un evento en un tiempo dado (una vez cada día, una vez cada semana,una vez cada 15 días, una vez cada mes, etc.).

Posibilidad: Expresión cualitativa de la probabilidad.

Para efectos de la metodología explicada en el presente manual, se utilizará la siguiente tablapara su medición:

Tabla No. 3

Probabilidad ValorCasi Cierta 5Muy probable 4Moderada 3Poco Probable 2Rara 1

Tipos generales de probabilidad

Tabla No. 4

RANGOPROBABILIDAD

POSIBILIDAD PROBABILIDADMATEMATICA

FRECUENCIA VALOR

CASICIERTA Ocurra la mayoría deveces

Mayor o igual 0.5 ymenor o igual que1.0

Error cada 2operaciones

5

MUY PROBA Posiblemente ocurrevarias veces

Mayor o igual 0.1 ymenor que 0.5


4

MODERADA Alguna posibilidadde que el eventoocurra

Mayor o igual que0.02 y menor que 0.1


3

POCO Insignificanteposibilidad de que elevento ocurra

Mayor o igual que0.01 y menor que0.02

Error cada 1.000operaciones

2

RARA Puede ocurrir encircunstanciasexcepcionales

Menor que 0.001 Error cada 10.000operaciones

1

La calificación de la PROBABILIDAD en cada uno de los rangos: CASI CIERTA (Calificación5), MUYPROBABLE (Calificación 4), MODERADA (Calificación 3), POCO PROBABLE(Calificación 2), RARA (calificación 1); puede medirse en términos MATEMATICOS (0 a 1) yde FRECUENCIA según el número de errores por determinado número de operaciones como semuestra en la tabla anterior.

Nivel de severidad

El nivel de severidad se obtiene al multiplicar el impacto por la probabilidad. El resultado sereflejará en una matriz como la que se muestra a continuación:

Grafico No. 9

Tabla No. 5

Para la consecuencia y la probabilidad se adopta una calificación en 5 categorías, así para cadapara dar origen a 4 Niveles de Severidad, como sigue:

Determinación de Niveles de Severidad:

Cuadrantes en que se originan los Niveles de Severidad

Gráfico No. 10

Se consideran cuatro niveles de severidad, los cuales se reflejan en la matriz resultante demultiplicar Consecuencia por probabilidad, como se observa en seguida:

DEFINICIÓN DE CADA NIVEL DE SEVERIDAD

Tabla No. 6

EXTREMA Riesgo extremo, se requiere acción inmediata. Planes de tratamientorequeridos, implementados y reportados a la Junta de Directores y alPresidente.

ALTA Riesgo Alto, requiere atención de la alta gerencia. de tratamientorequeridos, implementados y reportados a los gerentes de unidades.

MODERADA Riesgo Moderado, la responsabilidad gerencial debe ser especificada.Riesgo aceptable – Administrado con procedimientos normales de control.

BAJA Riesgo Bajo, se administra con procedimientos rutinarios. insignificante nose requiere ninguna acción.

La Matriz de Evaluación y Respuesta a los Riesgos, de acuerdo con el análisis del significado dela posición del riesgo en la Matriz, según la celda que ocupa, aplicando los siguientes criterios:

-- Si el riesgo se ubica en la Zona de Riesgo Aceptable, significa que su probabilidad ofrecuencia es baja y su consecuencia o impacto es leve, lo cual permite a la Entidad aceptarlo, esdecir, el riesgo se encuentra en un nivel que puede asumirse sin necesidad de tomar otrasmedidas de control diferentes a las que se poseen.

-- Si el riesgo se ubica en la Zona de Riesgo Inaceptable, su probabilidad o frecuencia es alta y sugravedad catastrófica, por tanto, es aconsejable eliminar la actividad que genera el riesgo en lamedida que sea posible, de lo contrario se deben implementar controles de Prevención parareducir la probabilidad del riesgo, de Protección para disminuir la gravedad o Compartir el riesgosi es posible a través de pólizas de seguros u otras opciones que estén disponibles.

-- Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante)se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible.Las medidas dependen de la celda en la cual se ubica el riesgo, así: los Riesgos de consecuencialeve y probabilidad alta se previenen; los Riesgos con consecuencia moderada y probabilidadleve, se protege la entidad y se comparte el riesgo, si es posible; también es posible combinarestas medidas con prevención cuando el riesgo presente una probabilidad alta y media, y elconsecuencia sea moderada o catastrófica.

-- En los casos en los cuales se comparte la pérdida ocasionada por un riesgo a través de loscontratos de seguros, la Entidad debe tener en cuenta que asume la parte del riesgo que el segurono cubre.

-- Cuando la probabilidad del riesgo sea media y su consecuencia leve, se debe realizar unanálisis del costo-beneficio con el que se pueda decidir entre prevenir el riesgo, asumirlo ocompartirlo.

-- Cuando el riesgo tenga una probabilidad baja y consecuencia catastrófica se debe tratar decompartir el riesgo y proteger la Entidad en caso de que este se presente.

-- Siempre que el riesgo sea calificado con consecuencia catastrófica la Entidad debe diseñarplanes de emergencia, contingencia y recuperación, para protegerse en caso de su ocurrencia.

Valoración de Riesgo Absoluto

“Es el máximo riesgo sin los efectos mitigantes de la Administración del Riesgo” –DAFP–.

“Es la evaluación de la consecuencia y probabilidad que ignora los controles que están vigentes,excepto los controles inherentes, tales como el comportamiento racional por parte de losempleados” Estándares internacionales.

'Es la máxima pérdida posible. “Es la pérdida derivada del peor escenario posible”. –otrasfuentes–.

Grafico No. 11

< GRÁFICA NO INCLUIDA. VER ORIGINAL EN D.O. No.46.743 - SEP.06-2007 EN LACARPETA “ANEXOS” O EN LA PÁGINA WEB www.imprenta.gov.co>

Factores de Riesgo que inciden en la calificación de la Consecuencia o de la Probabilidad.

Teniendo en cuenta que Factor de Riesgo es toda característica o condición o conjunto decondiciones proveniente del ambiente o del contexto general de control de cada organizacióncuya presencia o comportamiento incide en una mayor o menor consecuencia o probabilidad dematerialización de una o varias causas asociadas a un riesgo o conjunto de riesgos, algunos de losfactores son los siguientes:

Factor de riesgo de vulnerabilidad

Es toda característica o condición proveniente del contexto o del ambiente general de control decada organización, cuya presencia o comportamiento incide en una mayor o menor consecuenciao probabilidad de materialización de una o varias causas asociadas a un riesgo o conjunto deriesgos.

Ejemplo de factores de riesgo que inciden en la valoración de la consecuencia o de laprobabilidad:

Ambiente de Control:

-- Valores Ciudadanos.

-- Nivel de Seguridad del entorno.

-- Estabilidad Social, Política y Económica.

-- Calidad de la comunicación Externa/Interna.

-- Grado supervisión Alta Gerencia (Gobernabilidad Corporativa).

-- Grado monitoreo independiente (Auditoría Externa/Interna).

-- Conciencia de control de la gerencia.

-- Presión en el cumplimiento de objetivos y metas excesivas.

-- Idoneidad del Personal.

-- Moral y Valores éticos del personal.

-- Rotación del personal.

-- Ambiente de Control General de TI.

Ambiente de Negocios (Externo/Interno)

-- Rápido Crecimiento.

-- Nuevos Productos.

-- Mercados Desconocidos.

-- Productos o actividades ajenas a la actividad principal del negocio.

Características del Proceso Actividad/Transacciones

-- Complejidad.

-- Grado de Manualidad o de Automatización.

-- Grado de Cambios.

-- Calidad de Documentación.

-- Negociabilidad objetos financieros (efectivo, títulos valores, activos fijos).

-- Concentración (funciones, decisiones, operaciones, transacciones).

Materialidad

-- Valor en Riesgos de Activos.

-- Valor en Riesgos de Capital.

-- Valor en Riesgos de Pasivos.

-- Valor en Riesgos de Ingresos.

-- Valor en Riesgos de Egresos.

Legales

-- Estabilidad/Inestabilidad de las leyes.

-- Orden Jurídico.

-- Oportunidad fallos jurídicos.

Ambiente Físico e Instalaciones

-- Localización susceptible a inundaciones, químicos.

-- Susceptibilidad a variaciones de voltaje.

-- Susceptibilidad a variaciones de temperatura.

-- Susceptibilidad a variaciones de humedad, polvo, tierra.

-- Susceptibilidad a radiaciones electromagnéticas.

Comunicaciones

-- Pobre unión del cableado.

-- Líneas Dial - up (Conmutadas).

Software

-- Interfaces de usuario complicadas o poco amigables.

-- Divulgación de las debilidades de control del software.

-- Calidad Documentación.

Valoración del riesgo con controles

Qué es control.

Norma AS/NZ 4360 lo define como las políticas, procesos, dispositivos, prácticas u otrasacciones que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidadespositivas. Proveen una seguridad razonable relativa al logro de los objetivos.

La norma IIAes toda acción tomada por la gerencia para mejorar la probabilidad de que todos losobjetivos y metas establecidas sean alcanzados. El control es el resultado de la adecuadaplaneación, organización y dirección por la gerencia.

El procedimiento que se debe seguir para cada uno de los riesgos identificados se muestra en elsiguiente cuadro:

Grafico No. 12


Consideraciones para la identificación de controles existentes

-- Iniciar el proceso en orden descendente, iniciando por el riesgo de mayor severidad, tomando

como referencia cada una de las causas del riesgo.

-- No omitir ningún control existente dentro del proceso, para obviar duplicidades ysuperposiciones, con los controles planeados (tratamientos).

-- Diseñar o identificar primero los controles de mayor cobertura (que mitigan las causas demayor probabilidad o reducen significativamente las consecuencias) y que a su vez sean los demayor efectividad.

-- En los riesgos subsiguientes, antes de incluir nuevos controles, identificar y evaluar controlesya descritos y vinculados a los riesgos de mayor severidad.

-- Analizar primero si los controles actuales pueden ser optimizados, antes de planear nuevos.

Grafico No. 13

Cobertura individual del control

Es muy importante determinar si el control, si el impacto de cada control actúa o aplica sobre la“Consecuencia” o sobre la “probabilidad” de ocurrencia de las causas de cada riesgo que mitiga.La cobertura de un mismo control es diferente para cada riesgo.

Categorías de control

Para calificar el impacto de los controles es necesario establecer categorías de estos, para estemanual adoptáremos como categorías, según su Implementación, es decir Manual, Automático oCombinado.

Estado de control

Comprende la aplicación de la acción del control sobre las causas de riesgo identificado, para elManual se establecen los estados APLICA (Puntaje 2), NO APLICA (puntaje 1), NO DEFINIDO(Puntaje 0).

Evaluación del control

Es calificar la efectividad o efecto mitigante del control, para este Manual se utilizarán lascategorías siguientes:

-- Efectivo (Verificado), con calificación 5

-- Efectivo (No verificado), con calificación 4

-- No Efectivo (verificado), con calificación 3

-- No efectivo (No verificado), con calificación 2

-- No decidido, con calificación 1

-- No definido, con calificación 0

Medición del riesgo con controles

Gráfico No. 14


La valoración de los riesgos requiere de un análisis utilizando las siguientes fuentes deinformación las cuales representa un mayor grado de confianza en la incertidumbre que puedagenerar el proceso:

-- Juicio de grupo de expertos.

-- Propietarios de los procesos.

-- Registros históricos.

-- Experiencias relevantes.

-- Experiencias en el sector.

-- Literatura especializada.

-- Investigación de mercados.

-- Experimentos y Prototipos.

-- Modelos de simulación económicos, de ingeniería y otros.

Utilización y ajuste de los avances realizado por el ISS en la Identificación y Análisis del Riesgo

El ISS podrá utilizar la matriz de riesgos definida en la Guía para el mejoramiento de procesos,como herramienta complementaria o de apoyo para hacer control continuo al proceso, peroteniendo en cuenta que debe ajustarse a los elementos conceptuales de este manual, tal matrizbásica es la siguiente:

MATRIZ DE RIESGOS (Primera parte)

DEPENDENCIA: FECHA REVISION:

MACROPROCESO:

PROCESO: CODIGO:

SUBPROCESO:

Tabla No. 7

No NOMBREDEL

RIESGO

CAUSA DE(DESCRIPCION)

PROBABILIDAD IMPACTO CONTROLEXISTENTE

NIVELDE

RIESGO

Evaluación de riesgos

La evaluación de riesgos incluye comparar el nivel de riesgo encontrado durante el proceso deanálisis contra el criterio de riesgo establecido previamente y decidir si los riesgos pueden seraceptados.

Si el nivel establecido del riesgo es bajo, entonces el riesgo se puede considerar dentro de unacategoría aceptable y tratarlo puede no ser necesario.

El análisis de riesgo y los criterios contra los cuales los riesgos son comparados en la valoracióndeben ser considerados sobre la misma base, así: evaluaciones cualitativas incluyen lacomparación de un nivel cualitativo de riesgo contra criterios cualitativos y evaluacionescuantitativas involucran la comparación de niveles estimados de riesgo contra criterios quepueden ser expresados como números específicos de frecuencia, fatalidad o valores monetarios.

El producto de una evaluación de riesgo es una lista de riesgos con prioridades para una acciónposterior. Si los riesgos resultantes caen dentro de las categorías de riesgos bajo y moderadosdeberían ser monitoreados y revisados periódicamente para asegurar que se mantienen máximoen Moderado. Si los riesgos caen en Alto o Extremo deberían ser tratados utilizando una o másopciones incluidas dentro del tratamiento de los riesgos.

Tratamiento de riesgos

Después de valorar y priorizar los riesgos, y dependiendo del nivel de exposición, se debedeterminar la opción de tratamiento que más conviene aplicar en cada caso. El tratamiento deriesgos incluye la identificación de la gama de opciones de tratamiento del riesgo, la evaluaciónde las mismas, la preparación de planes de tratamiento de riesgos y su posterior implementación:es identificar, registrar, evaluar y elegir el conjunto de opciones para mejorar el control existente,hasta niveles aceptables.

Las opciones de tratamiento que se relacionan a continuación no son mutuamente excluyentes niserán apropiadas en todas las circunstancias.

Opciones para Tratar los Riesgos (No excluyentes)

IGNORAR/EVITAR No realizar la actividad que tiene la probabilidad de generar el riesgo.Debe tenerse en cuenta que la prevención del riesgo no seainapropiado por alguna aversión al riesgo porque se puede llevar a:1. Evitar o ignorar riesgos sin importar costos ni la informacióndisponible.2. Error en el tratamiento.3. Dejar que las decisiones las tomen otros.4. Aplazar o diferir la decisión que no puede evitar.

ACEPTAR Es asumir totalmente el riesgo, para ello se debe establecer plan parafinanciar el tratamiento. Aceptar la pérdida residual y elaborar losplanes de contingencia para su manejo.

REDUCIR Reducir o controlar la probabilidad de Ocurrencia. Implica tomarmedidas encaminadas a disminuir tanto la probabilidad como elimpacto.

Para disminuir la probabilidad pueden ser:1. Auditoría o programas de verificación de cumplimiento.2. Cambio de condiciones contractuales.3. Revisión formal de especificaciones, requerimientos, diseño.4. Inspección y procesos de control.5. Inversiones y Gestión de portafolio.6. Gestión de proyectos.7. Mantenimiento Correctivo.8. Aseguramiento de Calidad, Gestión y Normalización.9. Investigación y Desarrollo Tecnológico.10. Supervisión.11. Ensayos.12. Disposiciones organizacionales.13. Técnicas de control.

Para disminuir las consecuencias o impacto, pueden ser:1. Planes de contingencias.2. Arreglos contractuales.3. Condiciones contractuales.4. Planes de recuperación de desastres.5. Planes de control de fraudes.6. Reducción de exposición a fuentes de riesgo.7. Planeación del Portafolio8. Políticas de control de precios.9. Separación o reubicación de una actividad o de recursos.10. Relaciones públicas.

TRANSFERIR Reduce su efecto a través del traspaso de las pérdidas a otrasorganizaciones, como en el caso de los contratos de seguros o através o de otros medios que permiten distribuir una porción delriesgo con otra entidad, como en los contratos a riesgo compartido,pero es posible que el nivel general de riesgo no disminuya para laempresa.Cuando se transfiere total o parcialmente un riesgo nace un nuevoriesgo y es el que la organización ha transferido, no lo hagaefectivamente.

RETENER Después de Reducir o Transferir el riesgo hay parte del riesgo que seha retenido, debe implementarsen planes para manejar susconsecuencias así como la identificación de un medio definanciación, puede ocurrir también la retención de un riesgo si se hafallado en su identificación.También existe el caso que un riesgo se retiene cuando hay una fallapara identificar o transferir apropiadamente el riesgo...

Evaluación de las opciones para tratamientos de riesgos

Deben evaluarse las opciones sobre la base de reducción del riesgo, ya sea en forma individual ocombinada, su costo debe ser proporcional a los beneficios obtenidos de tal suerte que debepreferirse la opción con mejor costo y mejores beneficios.

Preparación de planes de tratamiento

El tratamiento del riesgo puede actuar sobre un factor de riesgo, sobre un control actual oincrementando los controles existentes; para definir y hacer seguimiento del tratamiento hasta suimplementación, en concreto, se tendrá en cuenta la siguiente documentación

- DESCRIPCION: Definición y Características del Tratamiento.

- ELEMENTO/PROCESO: Asociado al Tratamiento 3.

- COBERTURA: Alta-Media-Baja.

- EFECTO MITIGADOR: Control/Factor de Riesgo (tanto del riesgo como del control).

- RIESGOS: Reducidos o mitigados por el tratamiento.

- PROPIETARIO: A quién se asignó el tratamiento.

- TIPO: Corto plazo, Plan Anual, Plan Estratégico.

- ESTADO: Registrado, Completado, en Seguimiento, Diferido o aplazado.

- FECHAS CLAVE: De Registro, de Terminado o de Seguimiento.

- PRIORIDAD: Alta, Media, Baja.

- RECURSO: Humanos, Técnicos, Financieros.

- PROGRESO: Documentación del estado en cada seguimiento.

- PLANES DE ACCION: Asociados al tratamiento.

Políticas para el tratamiento del riesgo en el ISS

Son mecanismos de Control, que se materializan en criterios orientadores para la toma dedecisiones respecto al tratamiento de los Riesgos al interior de la Entidad; constituyen las guíasde acción que le permitan a la organización, coordinar y administrar los eventos que puedanafectar su operación y el logro de sus objetivos.

Para fijarlas se toma como base el resultado de la calificación y evaluación obtenida en elelemento Análisis de Riesgos, y la Priorización de riesgos en los diferentes niveles, procesos dela Entidad. Se orientan a la fijación de parámetros que establezcan medidas de respuesta a losriesgos, de acuerdo con los objetivos institucionales y las características de la Entidad, para ellose tendrá en cuenta:

- El ámbito donde se realiza la identificación, valoración y adopción de medidas para manejar elriesgo (Macroprocesos. Procesos / Subprocesos y Actividades).

- El significado de las escalas de calificación de los Riesgos (tanto de la frecuencia como degravedad).

- Los lineamientos sobre las prioridades y parámetros, para establecer las siguientes medidas derespuesta o tratamiento del riesgo: Aceptar, evitar, reducir y compartir.

- De disminuir los mayores Riesgos actuando sobre los agentes generadores, las causas y losefectos identificados, a través de la priorización de los Riesgos más graves y la medición de susefectos en los Macroprocesos.

Implementación de planes de tratamiento de riesgos o planes de acción

Es la agrupación lógica de los tratamientos por objetivos, por responsables, por sectores, porprioridades u otra clasificación a fin de controlar su implementación y monitorear los resultados

esperados.

Requiere de un sistema de gestión efectivo que especifique los métodos seleccionados, asigneresponsabilidades y obligaciones individuales con respecto a las acciones y las monitoree conrespecto a los criterios especificados; después del tratamiento queda un riesgo residual y debetomarse la decisión si aceptarlo o retenerlo o volver hacer el proceso de tratamiento.

Debe documentarse teniendo en cuenta lo siguiente:

- PROPIETARIO: Responsable del Plan de Acción.

- ACCIONES PROPUESTAS: Compendio de Tratamientos.

- RECURSOS: Humanos, Financieros, Tecnológicos, etc.

- RESPONSABILIDADES: Asignaciones a responsables.

- CRONOGRAMA: Actividades y Compromisos.

- INFORMES: Mecanismos y frecuencia de revisión del Plan.

- MONITOREO: Estado de avance en cada seguimiento.

- FECHAS CLAVE: De registro, de terminación o de seguimiento.

Comunicación y Consulta

Es el proceso interactivo de intercambio de información y opiniones, que involucra múltiplesmensajes a cerca de la naturaleza del riesgo y la gestión del riesgo.

Comunicarse y consultar tanto con los stakeholders internos como externos en la medida que seaapropiado, en cada etapa del proceso de Administración del Riesgo, y en lo concerniente alproceso como un todo.

Se busca con la comunicación adecuada:

- Mejorar el entendimiento y preocupación de las personas sobre los riesgos y del proceso degestión del riesgo.

- Asegurar que las diferentes perspectivas de los stakeholders han sido consideradas.

- Asegurar que todos los participantes en el proceso de gestión del riesgo, son conscientes de susroles y responsabilidades.

- Aprender de los stakeholders o partes involucradas con la Entidad o con el proceso, tantointernos como externos, que pueden afectar o pueden verse afectados, tales como: JuntaDirectiva, Presidencia, Gerentes, funcionarios, sindicato, afiliados a las tres unidades de negocio,comunidad en general nacional o internacional, competencia, proveedores, entidades estatales yla competencia.

- Construir y mantener una cultura de gestión del riesgo.

Partes relacionadas o stakeholders

Se deben identificar los sujetos que son afectados con el proceso, área a la cual se le identificaranlos riesgos, estos pueden ser:

Junta Directiva

Presidencia

Vicepresidencias y Direcciones

Gerencia Seccional

Gerente de área

Afiliados (empresas o trabajadores o independientes y sus beneficiarios)

Sindicatos y gremios

Usuarios Internos

Contratistas y Proveedores

Medios de Comunicación

Competencia

Asociaciones de Usuarios

Entidades del sector o del Gobierno

Entes de control

Legisladores y Reguladores o de control Contraloría, Superintendencias.

Monitoreo y revisión

Es verificar, supervisar o medir el progreso de una actividad, acción o sistema de manera regulara fin de IDENTIFICAR CAMBIOS que puedan afectar el nivel de desempeño o los resultadosrequeridos o esperados.

Pocos riesgos permanecen estáticos, por lo tanto, riesgos y la efectividad de sus medidas decontrol necesitan ser monitoreados continuamente para asegurar que circunstancias cambiantesno alteren las prioridades.

Revisiones progresivas son esenciales para asegurar que los planes de la administraciónpermanecen relevantes. Los factores que afectan la probabilidad y la consecuencia de unresultado pueden cambiar al igual que los factores que afectan la viabilidad o el costo de lasopciones de tratamiento.

Existe diferentes opciones para realizar monitoreo, uno es a través de la AUTOEVALUACIONDEL CONTROL o CSA (siglas en inglés), o por la AUTOEVALUACION DEL RIESGO YELCONTROL o CRSA (Siglas en inglés).

Opción de monitoreo CRSA

“Es el proceso formal y documentado, en el cual la Presidencia o equipos de trabajo directamente

involucrados en una función del negocio, juzgan la efectividad (Control) del proceso ydeterminan, si la posibilidad de alcanzar alguno o todos los objetivos del negocio (Riesgos) estárazonablemente asegurada”. “Es la revisión sistemática de los procesos para asegurar que loscontroles son todavía efectivos y apropiados para mitigar los riesgos” AS/NZS: 4360 2004.

Opción de monitoreo a través del registro histórico de eventos de pérdida

Evento de pérdida es un “incidente o suceso, que ocurre en un determinado lugar” durante undeterminado “período de tiempo”, con una “consecuencia negativa”, financiera o de otra índole.Es la materialización del Riesgo: Causa /Evento.

Beneficios del registro de eventos de Pérdida


Indicadores para medir los eventos de pérdida

Es una colección de datos históricos por periodos de tiempo relacionados con algún evento cuyocomportamiento puede indicar una mayor o menor exposición a determinados riesgos. No indicala materialización del riesgo, pero puede indicar que algo esta mal y se debe investigar.

Documentación de los eventos de pérdida

Se seguirá para ello, como mínimo, las normas de la Superintendencia Financiera de Colombia,en tal sentido el registro de los eventos de pérdida debe ser único para la entidad y contener latotalidad de eventos que:

- Generan pérdidas y afectan el estado de resultados de la entidad.

- Generan pérdidas y no afectan el resultado de resultados de la entidad. En este caso suevaluación será cualitativa.

- No generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad. En este casola evaluación será cualitativa.

Debe contener la siguiente información.

Referencia:

Código interno que relacione el evento en forma secuencial.

Fecha de inicio del evento:

Fecha en que se inicia el evento, día, mes, año, hora.

Fecha de finalización del evento:

Fecha en que finaliza el evento, día, mes, año, hora.

Fecha del descubrimiento:

Día en que se descubre el evento, día, mes, año, hora.

Fecha de Contabilización:

Fecha en que se registra contablemente la pérdida por el evento, día, mes, año, hora.

Divisa:

Moneda extranjera en la que se materializa el evento.

Cuantía:

El monto de dinero (moneda legal) a que asciende la pérdida.

Cuantía total recuperada:

El monto de dinero recuperado por acción directa de la entidad. Incluye las cuantías recuperadaspor seguros.

Cuantía recuperada por seguros:

Corresponde al monto de dinero recuperado por el cubrimiento a través de un seguro.

Clase de evento:

La clasificación de evento de pérdida se hará teniendo en cuenta la categorización de los riesgosdel numeral 5.2.6 de este manual (riesgo estratégico, operativo, legal o de cumplimiento, decustodia, reputacional, financiero, de tecnología), considerando, dentro de los riesgos financieros,la siguiente clasificación realizada por el Comité Basilea:

1. Fraude Interno

Actividades no autorizadas

Hurto y fraude.

2. Fraude Externo

Hurto y fraude

Seguridad de los Sistemas.

3. Relaciones laborales y seguridad en el puesto de trabajo

Relaciones laborales

Higiene y seguridad en el trabajo

Seguridad y discriminación.

4. Clientes, productos y prácticas empresariales.

Adecuación y divulgación de información y confianza

Prácticas empresariales o de mercadeo improcedente

Productos defectuosos

Selección, patrocinio y riesgos

Actividades de Asesoramiento.

5. Daño a activos materiales

Desastres y otros acontecimientos

Pérdidas humanas por causas externas (Terrorismo y vandalismo).

6. Incidencias en los negocios y fallos en los sistemas

Sistemas

7. Ejecución, entrega y gestión de procesos

Recepción, ejecución y mantenimiento de operaciones

Seguimiento y presentación de informes

Aceptación de clientes y documentación

Gestión de cuentas de clientes

Contrapartes comerciales

Distribuidores y proveedores.

Producto/servicio afectado:

Identifica el producto a servicio afectado.

Cuentas afectadas del Plan Unico de Cuentas –PUC–:

Identificar las cuentas del “Plan Unico de Cuentas” (PUC) afectadas, de acuerdo con el evento depérdida identificado.

Proceso:

Identifica el proceso afectado.

Tipo de pérdida:

Identifica el tipo de pérdida de acuerdo con la siguiente clasificación:

- Generan pérdidas y afectan el estado de resultados de la Entidad.

- Generan pérdidas y no afectan el estado de resultados de la Entidad.

- No generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad.

Descripción del evento:

Descripción detallada del evento.

Líneas Operativas:

Identificación según clasificación suministrada por la Superintendencia Financiera de Colombia.

GLOSARIO

Aceptación de riesgo

Una decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.

Administración del Riesgo

La cultura, procesos y estructuras que están dirigidas hacia la administración efectiva deoportunidades potenciales y efectos adversos.

Análisis árbol de eventos

Una técnica que describe el rango y secuencia posibles de los productos que podrían surgir de unevento iniciado.

Análisis árbol de fallas

Un método de ingeniería de sistemas para representar las combinaciones lógicas de variosestados del sistema y causas posibles que pueden contribuir a un evento especificado(denominado evento superior o “top event”).

Análisis de modos y efectos de fallas (FMEA)

Un procedimiento por el cual se analizan modos de fallas potenciales en un sistema técnico. Sepuede extender un FMEA para realizar lo que se denomina análisis de modo, efecto y criticidadde fallas (FMECA). En un FMECA, cada modo de falla identificado es ordenado de acuerdo a lainfluencia combinada de su probabilidad de ocurrencia y severidad de sus consecuencias.

Análisis de riesgo

Un uso sistemático de la información disponible para determinar cuan frecuentemente puedenocurrir eventos especificados y la magnitud de sus consecuencias.

Análisis de sensibilidad

Examina cómo varían los resultados de un cálculo o modelo a medida que se cambian lossupuestos o hipótesis individuales.

Azar de riesgo

Una fuente de daño potencial o una situación con potencial para causar pérdidas.

Consecuencia

Es el impacto o el producto de un evento expresado cualitativa o cuantitativamente, sea este unapérdida, perjuicio, desventaja o ganancia. Podría haber un rango de productos posibles asociadosa un evento.

Control de riesgos

La parte de Administración del Riesgo que involucra la implementación de políticas, estándares,

procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos.

Costo: actividades

Tanto directas como indirectas, involucrando cualquier impacto negativo, incluyendo pérdidas dedinero, de tiempo, de mano de obra, interrupciones, problemas de relaciones, políticas eintangibles.

Evaluación de riesgo

El proceso global de análisis de riesgo y evaluación de riesgo.

Evaluación de riesgos

El proceso utilizado para determinar las prioridades de Administración del Riesgo comparando elnivel de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos u otrocriterio.

Evento:

Un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempoparticular.

Evitar un riesgo

Una decisión informada de no verse involucrado en una situación de riesgo.

Financiamiento de riesgos

Los métodos aplicados para fondear el tratamiento de riesgos y las consecuencias financieras delos riesgos. (En algunas industrias financiamiento de riesgos se refiere sólo al fondeo de lasconsecuencias financieras de los riesgos).

Frecuencia

Una medida del coeficiente de ocurrencia de un evento expresado como la cantidad deocurrencias de un evento en un tiempo dado. Ver también Probabilidad.

Identificación de riesgos

El proceso de determinar qué puede suceder, por qué y cómo.

Ingeniería de riesgos

La aplicación de principios y métodos de ingeniería a la Administración del Riesgo.

Interesados

Aquella gente y organizaciones que pueden afectar, ser afectados por, o percibir ellos mismos serafectados, por una decisión o actividad. (El término puede incluir también partes interesadas talcomo lo define la ISO 14050:1998 y la AS/NZS ISO 14004:1996.

Monitoreo

Comprobar, supervisar, observar críticamente, o registrar el progreso de una actividad, acción o

sistema en forma sistemática para identificar cambios.

Organización

Una compañía, firma, empresa o asociación, u otra entidad legal o parte de ella, sea o noincorporada, pública o privada, que tiene sus propias funciones y administración.

Partes relacionadas o stakeholders

Son los sujetos afectados con el proceso o área a la cual se le identificaran los riesgos. Tambiénse conocen como partes involucradas o partes interesadas.

Pérdida

Cualquier consecuencia negativa, financiera o de otro tipo.

Probabilidad

La probabilidad de un evento específico o resultado, medido por el coeficiente de eventos oresultados específicos en relación a la cantidad total de posibles eventos o resultados. Laprobabilidad se expresa como un número entre 0 y 1, donde 0 indica un evento o resultadoimposible y 1 indica un evento o resultado cierto.

Proceso de Administración del Riesgo

La aplicación sistemática de políticas, procedimientos y prácticas de administración a las tareasde establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.

Reducción de riesgos

Una aplicación selectiva de técnicas apropiadas y principios de administración para reducir lasprobabilidades de una ocurrencia, o sus consecuencias, o ambas.

Retención de riesgos

Intencionalmente o sin intención retener la responsabilidad por las pérdidas, o la carga financierade las pérdidas dentro de la organización.

Riesgo residual

El nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo.

Riesgo

La posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se lo mide entérminos de consecuencias y probabilidades.

Transferir riesgos

Cambiar la responsabilidad o carga por las pérdidas a una tercera parte mediante legislación,contrato, seguros u otros medios. Transferir riesgos también se puede referir a cambiar un riesgofísico, o parte el mismo a otro sitio.

Tratamiento de riesgos

Selección e implementación de opciones apropiadas para tratar el riesgo.

BIBLIOGRAFIA

Norma AS/NZS 4360:1999, Estándar Australiano Administración del Riesgo.

ICONTEC, Norma Técnica Colombiana NTC 5254, mayo 2004.

Departamento Administrativo de la Función Pública, Guía de Administración del Riesgo, abril2006. G.I.T., Soluciones Integrales Ltda., Seminario Gestión del Riesgo.

Superintendencia Financiera de Colombia, Circulares Externas números 048/06 y 041/07.

ARTÍCULO 2o. Delegar en el Presidente del Instituto la reglamentación necesaria para eldesarrollo de los aspectos relativos al sistema de Administración del Riesgo que se requiera parasu operatividad.

ARTÍCULO 3o. Publicar el contenido de este acuerdo en el Diario Oficial, de conformidadcon lo previsto en el literal c) del artículo 119 de la Ley 489 de 1998.

ARTÍCULO 4o. El presente acuerdo rige a partir de la fecha de su expedición y deroga lasdisposiciones que le sean contrarias.

Comuníquese, publíquese y cúmplase.

Dado en Bogotá, D. C., a 14 de agosto de 2007.

El Presidente,

EDMUNDO CONDE ZAMORANO.

La Secretaria,

CLARA IVY GONZÁLEZ MARROQUÍN.

Disposiciones analizadas por Avance Jurídico Casa Editorial Ltda.Legislación ARP - Riesgos ProfesionalesISSN 2256-182XÚltima actualización: 30 de noviembre de 2019

Documents

ACUERDO 423 DE 2007 Diario Oficial No. 46.743 de …ACUERDO 423 DE 2007 (agosto 14) Diario Oficial No. 46.743 de 6 de septiembre de 2007 INSTITUTO DE SEGUROS SOCIALES Por medio del