ADMINISTRACION RIESGOS DE OBLIGATORIEDAD DE APLICACIÓN DE LA NORMA NORMA DEBES DE LA NORMA La entidad DEBE establecer (NTC GP 1000:2009) Numeral 4 controles sobre los riesgos Sistema de Gestión de la identificados y valorados que Calidad 4.1 Requisitos puedan afectar la satisfacción Generales Literal g) del cliente y el logro de los objetivos de la entidad. (NTC GP 1000:2009) Numeral 5. Revisión por la Dirección. 5.6.2 Información de entrada para la revisión. Literal h) La información de entrada para la revisión por la dirección DEBE incluir: h)los resultados de la gestión realizada sobre los riesgos identificados para la entidad, los cuales deben estar actualizados (NTC GP 1000:2009) 8.2.3 Seguimiento y medición de los procesos Como resultado del seguimiento de la medición y seguimiento de los procesos, DEBEN llevarse a cabo correcciones, acciones preventivas y/o correctivas, según sea conveniente. RIESGO Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias. Autorregulación Capacidad de cada una de las organizaciones para desarrollar y aplicar en su interior métodos, normas y procedimientos que permitan el desarrollo, implementación y fortalecimiento continuo del Sistema de Control Interno, en concordancia con la normatividad vigente. Autocontrol Autogestión Capacidad de toda organización pública para interpretar, coordinar, aplicar y evaluar de manera efectiva, eficiente y eficaz la función administrativa que le ha sido asignada por la Constitución, la ley y sus reglamentos. Capacidad que deben desarrollar todos y cada uno de los servidores públicos de la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo, detectar desviaciones y efectuar correctivos de manera oportuna para el adecuado cumplimiento de los resultados que se esperan en el ejercicio de su función ADMINISTRACIÓN DEL RIESGO Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. OBJETIVOS ESPECIFICOS DE LA ADMINISTRACIÓN DEL RIESGO Contribuir a través de la administración de riesgos a mantener la estabilidad de la Gobernación de Boyacá no solo en el ámbito Regional si no Nacional. Generar una visión sistémica acerca de la administración, manejo y evaluación del riesgo mediante el desarrollo de procesos de formación y capacitación que posibiliten el conocimiento suficiente a los servidores para la ejecución eficiente de sus tareas. Identificar en los procesos los eventos que afecten el logro de los objetivos. Proteger los recursos del estado, asignados a la Gobernación de Boyacá, resguardándolos contra la materialización de los riesgos. Involucrar y comprometer a todos los servidores de la institución en la búsqueda de acciones efectivas encaminadas a prevenir y administrar los riesgos. Asegurar el cumplimiento de la Constitución Política, las leyes y demás regulaciones dentro de la Gobernación ESTRUCTURA DEL COMPONENTE ADMINISTRACION DE RIESGOS 2.IDENTIFICACION DEL RIESGO. Reconocimiento de situaciones de riesgo, o los riesgos que afectan el cumplimiento de los objetivos de la entidad. Análisis de los aspectos externos o internos que implican exposición al riesgo. Contexto estratégico Identificación de Riesgos Análisis de Riesgos 1. POLITICAS DE ADMINISTRACION DEL RIESGO Valoración de Riesgos Estimación del grado de exposición de la entidad ante los riesgos. 3. ANALISIS Y VALORACION DEL RIESGO Incluye objetivos, estratégias y acciones a seguir para una buena administración de riesgo . Medidas de respuesta ante el riesgo identificado. Primer Elemento Objetivos que se esperan lograr El seguimiento y evaluación a su implementación y efectividad Políticas de Administración de Riesgo Estrategias como se van a desarrollar a largo, mediano y corto plazo Los Riesgos que se van a controlar Acciones a desarrollar (tiempo, recursos, responsables y talento humano requerido) 2. ELEMENTO: IDENTIFICACION DEL RIESGO CONTEXTO ESTRATÉGICO FACTORES INTERNOS Ambiente de Control Estructura Organizacional Modelo de Operación Cumplimiento Planes y Programas Norma que regula la Entidad Proyectos Recursos Humanos y Económicos IDENTIFICACIÓN EVENTOS ASOCIADOS Proceso Actividad FACTORES EXTERNOS Entorno; Político - Económico Legal – Cultural Tecnológico – Ambiental – PQR Grupos de Interés – Competencia - catástrofes EXPOSICIÓN AL RIESGO ENTIDAD OBJETIVOS IDENTIFICACIÓN EVENTOS ASOCIADOS Proceso Actividad VERSIÓN: 1 FORMATO CÓDIGO: DM-P14-F02 FECHA: 30/Oct/2014 CONTEXTO ESTRATÉGICO PROCESO: COMUNICACIÓN PUBLICA OBJETIVO: Generar estrategias eficaces de comunicación interna y externa, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental; a partir de la producción de mensajes institucionales emitidos a través de medios de RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO Económicos : Infraestructura : Bloqueo de Vias Políticos: Sociales : Tecnológicos : Problemas orden público dificultades para tramitar el combustible para los desplazamiento requeridos. Personal : FACTORES INTERNOS FACTORES EXTERNOS Medioambientales: FECHA DE REGISTRO 24 DE JUNIO DE 2015 Procesos : Tecnología : Dificultades en la gestión de documentos especialmente en las dinámicas de contratación asociadas a la unidad de criterio Falta de celeridad en la gestión de los recursos para cumplir con las actividades del proceso Falta de recursos de ultima tecnologia manejo de la emisora institucional Dificultad en el acceso de las comunicaciones FIRMA RESPONSABLE DE PROCESO: _______________________________________________________ para el IDENTIFICACION DE RIESGOS ENTIDAD RIESGOS CAUSAS ¿Debido a? DESCRIBIRLOS FUNCION CONSTITUCIONAL Y LEGAL CUMPLIMIENTO MISION Y OBJETIVOS DEFINIR PROCESOS CONOCER OBJETIVO DEL PROCESO EFECTOS ¿Que puede suceder? CLASES DE RIESGOS Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. •Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgos de Corrupción: Posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano, intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. VERSIÓN: 1 FORMATO CÓDIGO: DM-P14-F03 IDENTIFICACIÓN DE RIESGOS FECHA: 30/Oct/2014 PROCESO: COMUNICACIÓN PUBLICA OBJETIVO: Generar estrategias eficaces de comunicación interna y externa, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental; a partir de la producción de mensajes institucionales emitidos a través de medios de información institucional, comercial y alternativos de impacto regional y nacional. RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO CAUSA (Debido a) Falta de comunicación oportuna de la agenda del Gobernador RIESGO (Puede Suceder) Inoportunidad en a atención del cubrimiento de los eventos a los que el Gobernados asiste Falta de cumplimiento de los medios de Medios de comunicación sin pauta comunicación para allegar documentos publicitaria en las fechas asignadas FECHA DE REGISTRO: 24 DE JUNIO DE 2015 DESCRIPCION DEL RIESGO No tener en en cuenta ala oficina de prensa informada a tiempo para el correspondiente trámite de desplazamiento y puntualidad CONSECUENCIAS POTENCIALES (Lo que podría ocasionar) No informar oportunamente a los medios y comunidad en general. El no cumplimiento de las fechas No dar a conocer la gestión del establecidas para radicacion de los señor Gobernador en la zona de documentos, no permite la inscripción impacto de determinado medo. de medios FIRMA RESPONSABLE DE PROCESO ________________________________________________ Tercer Elemento Análisis y Valoración del Riesgos - Pasos claves en el análisis de riesgos: Determinar probabilidad Determinar consecuencias Calificación del Riesgo Estimar el nivel del riesgo Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Por Impacto se entienden las consecuencias que ocasionar a la organización la materialización del riesgo. puede La Calificación del Riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. La primera representa el número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la magnitud de sus efectos. La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios definidos para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, o intolerables y fijar las prioridades de las acciones requeridas para su tratamiento. CLASIFICACION DE PROBABILIDAD NIVEL DESCRIPTOR 1 Raro 2 Improbable 3 Posible 4 Probable 5 Casi Seguro DESCRIPCION FRECUENCIA El evento puede ocurrir solo en circunstancias excepcionales. El evento puede ocurrir en algún momento El evento podría ocurrir en algún momento El evento probablemente ocurrirá en la mayoría de las circunstancias Se espera que el evento ocurra en la mayoría de las circunstancias No se ha presentado en los últimos 5 años. Al menos de 1 vez en los últimos 5 años. Al menos de 1 vez en los últimos 2 años. Al menos de 1 vez en el último año. Más de 1 vez al año CLASIFICACION DEL IMPACTO NIVEL DESCRIPTOR 1 Insignificante 2 Menor 3 Moderado 4 Mayor 5 Catastrófico DESCRIPCION Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad. Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad. Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad. Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad. Para determinar el impacto, se pueden utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado. Nivel Impacto de confidencialidad en la In Impacto de Credibilidad o Imagen (2) Impacto Legal (3) Impacto Operativo (4) formación (1) 1 2 3 Personal Grupo Funcionarios Grupo de Trabajo Todos funcionarios Relativa al Usuarios de Proceso ciudad 4 Institucional 5 Estratégica de Multas los Demandas una Investigaciones Disciplinarias Usuarios de una Investigación región Fiscal Usuarios del País Intervención Sanción Ajustes a una actividad concreta Cambios en Procedimientos Cambios en Interacción de los Procesos Intermitencia en el servicio - Paro total del Proceso Matriz de Calificación, Evaluación y Respuesta a los Riesgos IMPACTO PROBABILIDAD VALOR 1 2 3 4 5 Insignificante Menor Moderado Mayor Catastrófico Raro 1 Aceptable Aceptable Tolerable Moderado Moderado Improbable 2 Aceptable Aceptable Tolerable Moderado Intolerable Posible 3 Aceptable Tolerable Moderado Intolerable Intolerable Probable 4 Tolerable Moderado Moderado Intolerable Intolerable Casi Seguro 5 Moderado Moderado Intolerable Intolerable Intolerable VERSIÓN: 1 FORMATO CÓDIGO: DM-P14-F04 ANÁLISIS DE RIESGOS FECHA: 30/Oct/2014 PROCESO: COMUNICACIÓN PUBLICA OBJETIVO: Generar estrategias eficaces de comunicación interna y externa, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental; a partir de la producción de mensajes institucionales emitidos a través de medios de información institucional, comercial y alternativos de impacto regional y nacional. RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO No de Riesgo 551 553 FECHA DE REGISTRO: 24 de Junio de 2015 Calificación Tipo de Riesgo Operativo Operativo Riesgo Inoportunidad en a atención del cubrimiento de los eventos a los que el Gobernados asiste Medios de comunicación sin pauta publicitaria Probabilidad Impacto Tipo Impacto Evaluacuión Zona de Medidas de Respuesta Riesgo Confidencialidad en la Información (4) Casi Seguro (5) Casi Seguro (5) Menor (2) Asumir el riesgo, reducir el riesgo, evitar Zona de Riesgo Alta el riesgo, compartir el (Impacto Moderado Credibilidad o Imagen riesgo, transferir el (4) riesgo Insignificante (1) Asumir el riesgo, reducir el riesgo, evitar Confidencialidad en Zona de Riesgo Alta el riesgo, compartir el la Información (2) (Impacto Moderado riesgo, transferir el riesgo FIRMA RESPONSABLE DE PROCESO ________________________________________________________ Este primer análisis del riesgo se denomina Riesgo Inherente y se define como aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto. VALORACION DEL RIESGO Acciones fundamentales para valorar el riesgo: Identificar controles existentes Verificar efectividad de los controles Establecer prioridades de tratamiento. Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en: Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica: Describirlos (estableciendo si son preventivos o correctivos). Revisarlos: para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado. Algunos ejemplos de tipos de control Políticas claras aplicadas Seguimiento al plan estratégico y operativo Indicadores de gestión Controles de Gestión Tableros de control Seguimiento a cronograma Evaluación del desempeño Informes de gestión Monitoreo de riesgos Conciliaciones Verificación de firmas Consecutivos Listas de chequeo Registro controlado Segregación de funciones Controles Operativos Niveles de autorización Custodia apropiada Procedimientos formales aplicados Pólizas Seguridad física Contingencias y respaldo Personal capacitado Aseguramiento y Calidad Controles Legales Normas claras y aplicadas Control de términos Cómo se valoran los Controles? PARAMETROS TIPO DE CONTROL PROBABILIDAD IMPACTO CRITERIOS PUNTAJES Posee una herramienta para ejercer el control. Existen manuales, instructivos o Herramientas para procedimientos para el manejo de la ejercer el control herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva. Están definidos los responsables de la ejecución del control y del seguimiento. La frecuencia de ejecución del control y Seguimiento al control seguimiento es adecuada. 15 15 30 15 25 100 RANGOS DE CALIFICACIÓN DE LOS CONTROLES DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS CUADRANTES A CUADRANTES A DISMINUIR DISMINUIR EN EL EN LA PROBABILIDAD IMPACTO Entre 0-50 0 0 Entre 51-75 Entre 76-100 1 2 1 2 El resultado obtenido a través de la valoración del riesgo, es denominado también tratamiento del riesgo, toda vez que el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la selección de las opciones de tratamiento del riesgo, así: Matriz de Calificación, Evaluación y Respuesta a los Riesgos IMPACTO 1 2 3 4 5 VALOR Insignificante Menor Moderado Mayor Catastrófico Raro 1 Aceptable Aceptable Tolerable Moderado Moderado Improbable 2 Aceptable Aceptable Tolerable Moderado Intolerable Posible 3 Aceptable Tolerable Moderado Intolerable Intolerable Probable 4 Tolerable Moderado Moderado Intolerable Intolerable Casi Seguro 5 Moderado Moderado Intolerable Intolerable Intolerable PROBABILIDA D Como se Interpreta Zona de Riesgo Zona de Riesgo Baja Zona de Riesgo Moderada Zona de Riesgo Alta Zona de Riesgo Extrema Grado de Aceptación del Riesgo Riesgo Aceptable Color que identifica el Riesgo Riesgo Tolerable Color Amarillo Riesgo Moderado Color Naranja Riesgo Intolerable Color Rojo Color Azul Cuando Evitar el riesgo, Cuando Aceptar el Riesgo Si el riesgo se ubica en la Zona de Riesgo Aceptable, permite a la entidad asumirlo, el riesgo se encuentra en un nivel que puede reducirse sin necesidad de tomarse otras Medidas de Control diferentes a las que posee, ya que la materialización de este tipo de riesgos, no representa un peligro elevado para la entidad, o partes interesadas. Cuando Reducir el riesgo, Si el riesgo se encuentra en la Zona de Riesgo tolerable, necesitará Medidas de Control para llevarlos a la Zona de Riesgo Aceptable, aplicando Acciones Preventivas y/o Correctivas, tal como corresponda de acuerdo al plan de manejo para el tratamiento del riesgo incluido en el Mapa de por procesos. OPCIONES DE TRATAMIENTO DE RIESGOS PARA LA GOBERNACION DE BOYACA Si el riesgo se ubica en la Zona de Riesgo Moderada o Intolerable, debe evitarse la actividad que genera el riesgo, de lo contrario debe implementarse controles de prevención, para reducir la probabilidad del riesgo, o controles de protección para disminuir la gravedad, o Transferir el riesgo a través de pólizas de seguros u otras opciones que estén disponibles. Compartir o Transferir el riesgo, Cuando el riesgo se encuentre en la Zona de Riesgo Intolerable, se debe tratar de transferir el riesgo y proteger a la entidad en caso de que éste se presente. Se trata entonces de un riesgo que necesitará Medidas de Control tal como corresponda de acuerdo al Plan de Manejo para el tratamiento del riesgo incluido en el Mapa de Riesgos Institucional y Mapa de Riesgos de corrupción. Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina riesgo residual, éste se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos. VERSIÓN: 0 FICHA TECNICA CÓDIGO: CP-T-03 MAPA DE RIESGOS POR PROCESO FECHA: 01/Jul/2015 PROCESO: COMUNICACIÓN PUBLICA OBJETIVO: Generar estrategias eficaces de comunicación interna yexterna, orientadas a informar a la opinión pública sobre las acciones de gobierno emprendidas por la administración departamental;a partir de la producción de mensajes institucionales emitidos a través de medios de información institucional, comercial y alternativos de impacto regional y nacional. RESPONSABLE: JEFE OFICINA ASESORA DE COMUNICACIONES Y PROTOCOLO No. De RIESGO 551 553 CALIFICACION RIESGO Probabilidad Inoportunidad en a atención del cubrimiento de los eventos a los que Casi Seguro (5) el Gobernados asiste Medios de comunicación sin pauta publicitaria Casi Seguro (5) Impacto Menor (2) EVALUACION RIESGO FECHA DE REGISTRO: 24/Jun/2015 NUEVA CALIFICACION CONTROLES PROBABILIDA IMPACTO D Pagina Web Emisora de la Gobernación Boletines Diarios Zona de Riesgo Procedimiento CP-P-14 Alta "Gestión, producción y difusion Posible (3) (Impacto de piezas de comunicación Moderado Gobernación de Boyacá Formatos CP-P14-F01, CP-P14F02, CP-P14-F03 Menor (2) NUEVA EVALUACION RIESGO SEGÚN IMPACTO OPCIONES DE MANEJO ACCIONES FECHAS EXTREMAS RESPONSABLE INDICADOR Se realizarán consejos de Responsable de redacción semanalmente proceso y Zona de Riesgo donde se fijen los Riesgo Tolerable Reducir el Riesgo 02/Jul/2015-31/Dic/2015 profesionales Moderada compromisos según (Comunicadores) del agenda del gobernador y proceso fuentes a cubrir Envío correos a los Zona de Riesgo Procedimiento CP-P-07 "Registro Medios de medios recordando último Alta Zona de Riesgo Responsable de Insignificante (1) Posible (3) Insignificante (1) Riesgo Aceptable Aceptar el Riesgo plazo para inscripciones a 02/Jul/2015-31/Dic/2015 Comunicación" Baja Proceso (Impacto Formatos CP-P07-F01, CP-P07través del correo Moderado F02 institucional Elaboró: Revisó: JUAN FERNANDO ROMERO ESPAÑOL Aprobó: GERMAN RICARDO GARCIA BARRERA JUAN CARLOS GRANADOS BECERRA Publicación en página web de la gobernación y boletines diarios correspondientes a las fechas establecidas en el acta Correos enviados
© Copyright 2024