modulo riesgos vf
Post on 20-Jul-2015
1.331 Views
Preview:
TRANSCRIPT
INSTITUCIÓN UNIVERSITARIA
FESU
GESTIÓN DEL RIESGOS
FACILITADORA
JANETH GUTIERREZ DIAZ-
EMAIL:janethgutierrezdiaz@yahoo.es
Cel:311-398-80-90
INSTITUCIÓN UNIVERSITARIA
FESU
• Fortalecer la gestión del riesgo mediante la
capacitación en la aplicación de la metodología
para la identificación, análisis, valoración,
monitoreo y revisión de riesgos en los procesos,
según las directrices de la Guía 07 del DAFP
“Guía de Administración del Riesgo”
•
OBJETIVO
INSTITUCIÓN UNIVERSITARIA
FESU
Objetivos de la Gestión del Riesgo.
Enfoque de Gestión de Riesgos en la Gestión de la Calidad.
Marco Legal y conceptual.
Metodología según la Guía 07 del DAFP.
– Identificación del Riesgo
– Análisis del Riesgo
– Valoración del Riesgo
– Elaboración del mapa de riesgos por proceso y el Institucional.
– Monitoreo y revisión de los Riesgos.
CONTENIDO
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
NORMATIVIDAD GESTIÓN RIESGO
• Ley 87 de 1993- SCI-Proteger recursos-AR
• Ley 489 de 1998- Organización y funcionamiento admón. publica
• Decreto 2145 de 1999- Normas SCI
• Directiva Presidencial 09 de 1999-Anticorrupcion
• Decreto 1537 de 2001 Art 4- Todos Políticas AR
• Decreto 188 de 2004-Modificacion Estructura DAFP
• Decreto 1599 de 2005-Adopcion MECI
INSTITUCIÓN UNIVERSITARIA
FESU
CONSTITUCIÓN POLÍTICA
Artículo 209
La función administrativa está al servicio de los intereses generales y se desarrolla con
fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad,
imparcialidad y publicidad, mediante la descentralización, la delegación y la
desconcentración de funciones.
Las autoridades administrativas deben coordinar sus actuaciones para el adecuado
cumplimiento de los fines del Estado. La administración pública, en todos sus órdenes, tendrá
un control interno que se ejercerá en los términos que señale la ley.
NORMATIVIDAD GESTIÓN RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
CONSTITUCIÓN POLÍTICA .
ARTICULO 269. En las entidades públicas, las autoridades
correspondientes están obligadas a diseñar y aplicar, según la naturaleza de
sus funciones, métodos y procedimientos de control interno, de conformidad
con lo que disponga la Ley, la cual podrá establecer excepciones y autorizar la
contratación de dichos servicios con empresas privadas colombianas.
FUNDAMENTACIÓN LEGAL
INSTITUCIÓN UNIVERSITARIA
FESU
LEY 87 DE 1993. Normas para el ejercicio del control interno.
Artículo 2º Objetivos del sistema de Control Interno, literal f: “Definir y
aplicar medidas para prevenir riesgos, detectar y corregir las desviaciones que se
presenten en la organización y que puedan afectar el logro de sus objetivos”.
LEY 489 DE 1998: Normas sobre la organización y funcionamiento de las
entidades del orden nacional.
FUNDAMENTACIÓN LEGAL
INSTITUCIÓN UNIVERSITARIA
FESU
DECRETO 1537/01: Artículo 4to
ADMINISTRACIÓN DE RIESGOS. Como parte integral del fortalecimiento de los
sistemas de control interno en las entidades públicas, las autoridades correspondientes
establecerán y aplicarán políticas de administración del riesgo. Para tal efecto, la
identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la
administración y las oficinas de control interno o quien haga sus veces, evaluando los aspectos
tanto internos como externos que pueden llegar a representar amenaza para la
consecución de los objetivos organizacionales, con miras a establecer acciones
efectivas, representadas en actividades de control, acordadas entre los responsables de las
áreas o procesos y las oficinas de control interno e integradas de manera inherente a los
procedimientos.
FUNDAMENTACIÓN LEGAL
INSTITUCIÓN UNIVERSITARIA
FESU
@ Decreto 1599 de 2005, por el cual se adopta el Modelo Estándar de
Control Interno para el Estado Colombiano y se presenta el anexo técnico del
MECI 1000:2005.
@ Decreto 4485 de 2009 por medio del cual se adopta la la actualización de
la Norma Técnica de Calidad en la Gestión Pública a la versión 2009.
FUNDAMENTACIÓN LEGAL
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
QUE ES UN
RIESGO?
Posibilidad de que suceda un evento que tendrá un impacto sobre los objetivos institucionales o del proceso
INSTITUCIÓN UNIVERSITARIA
FESU
Programas
Proyectos
Planes RIESGOS
RIESGOS
RIESGOS
RIESGOS
RIESGOS RIESGOS
RIESGOS RIESGOS
RIESGOS
RIESGOS
RIESGOS
RIESGOS
RIESGOS
RIESGOS
RIESGOS
RIESGOS
RIESGOS
INSTITUCIÓN UNIVERSITARIA
FESU
QUE ES LA
ADMINISTRACION DEL RIESGO?
La Administración de Riesgos es la
responsabilidad que tiene una
entidad para controlar y manejar la
presencia de los Riesgos
INSTITUCIÓN UNIVERSITARIA
FESU
EVITAR
INSTITUCIÓN UNIVERSITARIA
FESU
OBJETIVO
ADMINISTRACION DE RIESGOS
• Fortalecer la implementación y desarrollo de
la política de la administración del riesgo a
través del adecuado tratamiento de los
riesgos para garantizar el cumplimiento de la
misión y objetivos institucionales de las
entidades de la Administración Pública.
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
•PLANES Y PROGRAMAS.
•MODELO DE OPERACIÓN POR PROCESOS.
•ESTRUCTURA ORGANIZACIONAL.
•CONTEXTO ESTRATÉGICO.
•IDENTIFICACIÓN DE RIESGOS.
•ANÁLISIS DE RIESGOS.
•VALORACIÓN DE RIESGOS.
•POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS.
•ACUERDOS, COMPROMISOS O PROTOCOLOS
ÉTICOS.
•DESARROLLO DEL TALENTO HUMANO.
•ESTILO DE DIRECCIÓN.
1.
SUBSISTEMA DE
*CONTROL
ESTRATÉGICO
1.1. AMBIENTE DE CONTROL.
1.2. DIRECCIONAMIENTO
ESTRATÉGICO
1.3. ADMINISTRACIÓN DE
RIESGOS.
2.
SUBSISTEMA DE
CONTROL DE
GESTIÓN
2.1. ACTIVIDADES DE CONTROL.
2.2. INFORMACIÓN
2.3. COMUNICACIÓN PÚBLICA
•POLÍTICAS DE OPERACIÓN.•PROCEDIMIENTOS.
•CONTROLES.
•INDICADORES.
•MANUAL DE OPERACIÓN.
•INFORMACIÓN PRIMARIA.
•INFORMACIÓN SECUNDARIA.
•SISTEMAS DE INFORMACIÓN.
•COMUNICACIÓN ORGANIZACIONAL.•COMUNICACIÓN INFORMATIVA.
•MEDIOS DE COMUNICACIÓN.
3.3. PLANES DE
MEJORAMIENTO.
•PLAN DE MEJORAMIENTO INSTITUCIONAL.•PLAN DE MEJORAMIENTO FUNCIONAL.
•PLAN DE MEJORAMIENTO INDIVIDUAL.
3.
SUBSISTEMA DE
*CONTROL DE
EVALUACIÓN
3.1. AUTOEVALUACIÓN
3.2. EVALUACIÓN
INDEPENDIENTE
•AUTOEVALUACIÓN DEL CONTROL•AUTOEVALUACIÓN DE GESTIÓN.
•EVALUACIÓN DEL SISTEMA DE CONTROL* INTERNO.
•AUDITORÍA INTERNA.
SUBSISTEMAS COMPONENTES ELEMENTOS
•PLANES Y PROGRAMAS.
•MODELO DE OPERACIÓN POR PROCESOS.
•ESTRUCTURA ORGANIZACIONAL.
•CONTEXTO ESTRATÉGICO.
•IDENTIFICACIÓN DE RIESGOS.
•ANÁLISIS DE RIESGOS.
•VALORACIÓN DE RIESGOS.
•POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS.
•ACUERDOS, COMPROMISOS O PROTOCOLOS
ÉTICOS.
•DESARROLLO DEL TALENTO HUMANO.
•ESTILO DE DIRECCIÓN.
1.
SUBSISTEMA DE
*CONTROL
ESTRATÉGICO
1.1. AMBIENTE DE CONTROL.
1.2. DIRECCIONAMIENTO
ESTRATÉGICO
1.3. ADMINISTRACIÓN DE
RIESGOS.
•PLANES Y PROGRAMAS.
•MODELO DE OPERACIÓN POR PROCESOS.
•ESTRUCTURA ORGANIZACIONAL.
•PLANES Y PROGRAMAS.
•MODELO DE OPERACIÓN POR PROCESOS.
•ESTRUCTURA ORGANIZACIONAL.
•CONTEXTO ESTRATÉGICO.
•IDENTIFICACIÓN DE RIESGOS.
•ANÁLISIS DE RIESGOS.
•VALORACIÓN DE RIESGOS.
•POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS.
•CONTEXTO ESTRATÉGICO.
•IDENTIFICACIÓN DE RIESGOS.
•ANÁLISIS DE RIESGOS.
•VALORACIÓN DE RIESGOS.
•POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS.
•ACUERDOS, COMPROMISOS O PROTOCOLOS
ÉTICOS.
•DESARROLLO DEL TALENTO HUMANO.
•ESTILO DE DIRECCIÓN.
•ACUERDOS, COMPROMISOS O PROTOCOLOS
ÉTICOS.
•DESARROLLO DEL TALENTO HUMANO.
•ESTILO DE DIRECCIÓN.
1.
SUBSISTEMA DE
*CONTROL
ESTRATÉGICO
1.1. AMBIENTE DE CONTROL.
1.2. DIRECCIONAMIENTO
ESTRATÉGICO
1.3. ADMINISTRACIÓN DE
RIESGOS.
1.
SUBSISTEMA DE
*CONTROL
ESTRATÉGICO
1.1. AMBIENTE DE CONTROL.1.1. AMBIENTE DE CONTROL.
1.2. DIRECCIONAMIENTO
ESTRATÉGICO
1.2. DIRECCIONAMIENTO
ESTRATÉGICO
1.3. ADMINISTRACIÓN DE
RIESGOS.
1.3. ADMINISTRACIÓN DE
RIESGOS.
2.
SUBSISTEMA DE
CONTROL DE
GESTIÓN
2.1. ACTIVIDADES DE CONTROL.
2.2. INFORMACIÓN
2.3. COMUNICACIÓN PÚBLICA
•POLÍTICAS DE OPERACIÓN.•PROCEDIMIENTOS.
•CONTROLES.
•INDICADORES.
•MANUAL DE OPERACIÓN.
•INFORMACIÓN PRIMARIA.
•INFORMACIÓN SECUNDARIA.
•SISTEMAS DE INFORMACIÓN.
•COMUNICACIÓN ORGANIZACIONAL.•COMUNICACIÓN INFORMATIVA.
•MEDIOS DE COMUNICACIÓN.
2.
SUBSISTEMA DE
CONTROL DE
GESTIÓN
2.1. ACTIVIDADES DE CONTROL.2.1. ACTIVIDADES DE CONTROL.
2.2. INFORMACIÓN2.2. INFORMACIÓN
2.3. COMUNICACIÓN PÚBLICA2.3. COMUNICACIÓN PÚBLICA
•POLÍTICAS DE OPERACIÓN.•PROCEDIMIENTOS.
•CONTROLES.
•INDICADORES.
•MANUAL DE OPERACIÓN.
•POLÍTICAS DE OPERACIÓN.•PROCEDIMIENTOS.
•CONTROLES.
•INDICADORES.
•MANUAL DE OPERACIÓN.
•INFORMACIÓN PRIMARIA.
•INFORMACIÓN SECUNDARIA.
•SISTEMAS DE INFORMACIÓN.
•INFORMACIÓN PRIMARIA.
•INFORMACIÓN SECUNDARIA.
•SISTEMAS DE INFORMACIÓN.
•COMUNICACIÓN ORGANIZACIONAL.•COMUNICACIÓN INFORMATIVA.
•MEDIOS DE COMUNICACIÓN.
•COMUNICACIÓN ORGANIZACIONAL.•COMUNICACIÓN INFORMATIVA.
•MEDIOS DE COMUNICACIÓN.
3.3. PLANES DE
MEJORAMIENTO.
•PLAN DE MEJORAMIENTO INSTITUCIONAL.•PLAN DE MEJORAMIENTO FUNCIONAL.
•PLAN DE MEJORAMIENTO INDIVIDUAL.
3.
SUBSISTEMA DE
*CONTROL DE
EVALUACIÓN
3.1. AUTOEVALUACIÓN
3.2. EVALUACIÓN
INDEPENDIENTE
•AUTOEVALUACIÓN DEL CONTROL•AUTOEVALUACIÓN DE GESTIÓN.
•EVALUACIÓN DEL SISTEMA DE CONTROL* INTERNO.
•AUDITORÍA INTERNA.
3.3. PLANES DE
MEJORAMIENTO.
•PLAN DE MEJORAMIENTO INSTITUCIONAL.•PLAN DE MEJORAMIENTO FUNCIONAL.
•PLAN DE MEJORAMIENTO INDIVIDUAL.
3.3. PLANES DE
MEJORAMIENTO.
3.3. PLANES DE
MEJORAMIENTO.
•PLAN DE MEJORAMIENTO INSTITUCIONAL.•PLAN DE MEJORAMIENTO FUNCIONAL.
•PLAN DE MEJORAMIENTO INDIVIDUAL.
•PLAN DE MEJORAMIENTO INSTITUCIONAL.•PLAN DE MEJORAMIENTO FUNCIONAL.
•PLAN DE MEJORAMIENTO INDIVIDUAL.
3.
SUBSISTEMA DE
*CONTROL DE
EVALUACIÓN
3.1. AUTOEVALUACIÓN
3.2. EVALUACIÓN
INDEPENDIENTE
•AUTOEVALUACIÓN DEL CONTROL•AUTOEVALUACIÓN DE GESTIÓN.
•EVALUACIÓN DEL SISTEMA DE CONTROL* INTERNO.
•AUDITORÍA INTERNA.
3.
SUBSISTEMA DE
*CONTROL DE
EVALUACIÓN
3.1. AUTOEVALUACIÓN3.1. AUTOEVALUACIÓN
3.2. EVALUACIÓN
INDEPENDIENTE
3.2. EVALUACIÓN
INDEPENDIENTE
•AUTOEVALUACIÓN DEL CONTROL•AUTOEVALUACIÓN DE GESTIÓN.•AUTOEVALUACIÓN DEL CONTROL•AUTOEVALUACIÓN DE GESTIÓN.
•EVALUACIÓN DEL SISTEMA DE CONTROL* INTERNO.
•AUDITORÍA INTERNA.
•EVALUACIÓN DEL SISTEMA DE CONTROL* INTERNO.
•AUDITORÍA INTERNA.
SUBSISTEMAS COMPONENTES ELEMENTOS
INSTITUCIÓN UNIVERSITARIA
FESU
19
SU
BS
IS
TE
MA
D
E
CO
NT
RO
L E
ST
RA
TÉ
GIC
O
AMBIENTE DE CONTROL
• Acuerdos, Compromisos o Protocolos
Éticos.
• Desarrollo del Talento Humano.
• Estilo de Dirección.
• Planes y Programas.
• Modelo de Operación. • Estructura Organizacional.
• Contexto Estratégico.
• Identificación de Riesgos.
• Análisis de Riesgos.
• Valoración de Riesgos.
• Políticas de Administración de Riesgos.
DIRECCIONAMIENTO ESTRATÉGICO
ADMINISTRACIÓN DE RIESGOS
ELEMENTOS COMPONENTES
SUBSISTEMA DE
CONTROL
ESTRATÉGICO
INSTITUCIÓN UNIVERSITARIA
FESU
20
La Gestión de Riesgos es una Práctica
Corporativa y no de una sola área de la
organización
INSTITUCIÓN UNIVERSITARIA
FESU
•Representante de la Dirección
•Equipo MECI
•Oficina de Control Interno
RESPONSABLES
GESTIÓN RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
REPRESENTANTE
DIRECCION
•Formular, orientar, dirigir y coordinar AR
•Asegurar desarrollo cada una de las etapas AR
•Informar a la alta dirección AR
•Dirigir y coordinar Equipo MECI AR
•Coordinar con directivos o responsables
proceso
•seguimiento a las actividades diseño e
implementación AR
INSTITUCIÓN UNIVERSITARIA
FESU
EQUIPO MECI (SGI)
•Realizar Actividades diseño e implementación AR
•Capacitar a los servidores de la entidad MECI y
AR
•Asesorar a las áreas de la entidad AR
•Revisar, analizar y consolidar la información para
presentar propuestas de diseño e implementación
AR
INSTITUCIÓN UNIVERSITARIA
FESU
OFICINA CONTROL INTERNO
•Asesorar el proceso de identificación de los
riesgos institucionales
•Realizar recomendaciones preventivas y/o
correctivas con los responsables de los procesos.
• Hacer seguimiento a la evolución de los riesgos
y al cumplimiento de las acciones propuestas
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
PASOS GESTIÓN DEL
RIESGO
1. Definir contexto estratégico: Identificar factores externos e
internos que afectan mi proceso
2. Identificar Riesgos: Identificar eventos que afectan el logro de
mi objetivo (riesgos-efectos-causas)
3. Análisis de Riesgos :determinar la frecuencia eventos y la
magnitud de las consecuencias (Probabilidad vs
impacto=EAMB)
4. Valoración de Riesgo: Análisis de controles existentes para cada
riesgo
5. Políticas de Admón Riesgo: opciones para tratar y manejar los
riesgos
6. Monitoreo y revisión: Realizar seguimiento al desempeño
gestión riesgo
7. Comunicar : Plan de Comunicación Riesgos
INSTITUCIÓN UNIVERSITARIA
FESU
PROCESO PARA LA
ADMINISTRACIÓN DEL RIESGO
• Definir Políticas de Administración de riesgos
• Monitoreo y Revision
• Definir el contexto
• Identificar los riesgos
• Analizar los riesgos
• Valorar los riesgos
• Mejoramiento
• Comunicación
• Aprendizaje
A P
H V
INSTITUCIÓN UNIVERSITARIA
FESU
•Definir el contexto
estratégico
•Identificar los riesgos
•Analizar los riesgos
•Valorar los riesgos
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
A Que situaciones de Riesgo esta
expuesta La entidad?
SITUACIONES DE
RIESGO
GENERADAS POR
EL ENTORNO
SITUACIONES DE
RIESGO GENERADAS
AL INTERIOR DE LA ENTIDAD
DEFINIR CONTEXTO
ESTRATEGICO
P
INSTITUCIÓN UNIVERSITARIA
FESU
31
INSTITUCIÓN UNIVERSITARIA
FESU
• Factor Económico
• Factor Legal
• Factor Político
• Factor Social
• Factor tecnológico
• Factor Competitivo
• Factor Geográfico
• Factor Naturales
Factores Externos
• Capacidad Directiva
• Capacidad Financiera
• Capacidad tecnológica
• Capacidad Competitiva
• Capacidad de Talento Humano
• Capacidad Organizacional
Factores Internos
AMENAZA
DEBILIDAD
CONTEXTO ESTRATEGICO
El Contexto Estratégico, es producto de la observación, distinción y
análisis del conjunto de factores internos y externos que pueden generar
situaciones de riesgo
Cuales son las
amenazas que
ocasionan los
factores externos al
cumplimiento de
los objetivos?
Cuales son las
debilidades que
ocasionan los
factores internos al
cumplimiento de
los objetivos?
INSTITUCIÓN UNIVERSITARIA
FESU
OBJETIVO CONTEXTO
ESTRATEGICO
•Establecer las debilidades o fortalezas que la
entidad publica posee, a fin de enfrentar los
riesgos.
INSTITUCIÓN UNIVERSITARIA
FESU
PROCEDIMIENTO CONTEXTO
ESTRATEGICO
•Identificar Factores externos e internos que
puedan ocasionar presencia de riesgos
•Descripción de Amenaza y debilidad
•El contexto estratégico debe tener en cuenta
los objetivos organizacionales y los objetivos
por proceso
•Elaborar un informe de Contexto estratégico
teniendo en cuenta los resultados obtenidos
INSTITUCIÓN UNIVERSITARIA
FESU
IDENTIFICACION CONTEXTO
ESTRATEGICO
35
Ejemplo Proceso Gestión Sistemas de Información
INSTITUCIÓN UNIVERSITARIA
FESU
36
TALLER 1-CONTEXTO ESTRATEGICO
1.Identificar factores internos o externos a la entidad que puedan generar
riesgo que afecte el cumplimiento de los objetivos institucionales
2.Realizar informe de contexto estratégico por proceso
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
P
INSTITUCIÓN UNIVERSITARIA
FESU
39
Por que puede suceder?
Cuales serian las consecuencias?
INSTITUCIÓN UNIVERSITARIA
FESU
40
Riesgo
• Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso.
Causas
• Razones o motivos por los cuales se genera un riesgo
• Causa ( factores externos e Internos)Las amenazas y debilidades
• 5 M: Metodo,Materiales (equipo),Medio (entorno),Mano obra ( personas)Medicion,
Efecto
• Consecuencias de la Ocurrencia del Riesgo .
• Daño ambiental, daño físico, perdida de credibilidad y confianza, perdidas económicas, disminución de calidad o interrupción de servicio, pérdida de bienes, sanciones, fallecimiento, perdidas de Informacion,enfermedades laborales
IDENTIFICACION DEL RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
LAS CAUSAS tienen incidencia en el establecimiento de políticas
para la disminución o eliminación de los riesgos
LAS CAUSAS Influyen directamente en la probabilidad de ocurrencia de los eventos
Razones o motivos por los cuales se genera un riesgo.
P
Tener claramente identificadas las CAUSAS nos
permite establecer los controles apropiados para
confrontar el riesgo
Por que puede Suceder?
INSTITUCIÓN UNIVERSITARIA
FESU
42
¿Qué persona, o acción puede originar la ocurrencia del evento riesgoso?
PERSONAS
Funcionarios
Externos
MATERIALES EQUIPOS E INSTALACIONES ENTORNO
CAUSAS
METODO MEDICION
INSTITUCIÓN UNIVERSITARIA
FESU
EFECTOS DEL RIESGO
•Daño ambiental
•Daño físico
•Pérdida de credibilidad y
confianza
•Perdidas económicas - Detrimento
del patrimonio
•Disminución de la Calidad o
interrupción del servicio
•Pérdida de Bienes
•Sanciones
•Fallecimiento
•Pérdidas de información.
•Enfermedades Laborales
•Perdida de imagen
Cual es la consecuencia de la Materialización del
Riesgo ?
INSTITUCIÓN UNIVERSITARIA
FESU
44
RIE
SG
O
Que eventos evitan, dificultan o retrasan el logro de nuestros objetivos ?
Se analiza en la caracterización cada actividad y se pregunta que puede suceder?
CA
US
A
Por que puede Suceder?
Realizar lluvia de ideas
Las amenazas y debilidades se convierten en causas
EF
EC
TO
Cuales serian las consecuencias al materializarse el riesgo?
IDENTIFICACION DEL
RIESGO
Virus Informático 1. Falta de normalización,
socialización y aplicación de las
políticas.
2. Obsolescencia tecnológica
(servidores, componentes de red,
estaciones de trabajo y software de
antivirus)
3. Falta de recurso humano para la
gestión tecnológica
Interrupción del servicio y pérdidas de
información.
INSTITUCIÓN UNIVERSITARIA
FESU
PROCEDIMIENTO
IDENTIFICACION RIESGO
•Identificar el riesgo que representa la
posibilidad de ocurrencia de un evento que
pueda afectar el cumplimiento de los
objetivos de la entidad o del proceso
analizado
•Determinar las causas por las cuales se
genera un riesgo
•Determinar los efectos o consecuencias de
la ocurrencia del riesgo
INSTITUCIÓN UNIVERSITARIA
FESU
46
CLASIFICACIÓN RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
IDENTIFICACION RIESGO
47
INSTITUCIÓN UNIVERSITARIA
FESU
48
Ejemplo Identificación RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
49
TALLER 2-identificacion Riesgo
Realizar la identificación del riesgo para el proceso asignado
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
ANALISIS DE RIESGO
•(Probabilidad vs impacto=EAMB )
•El Análisis de Riesgos, permite establecer la
probabilidad de ocurrencia de los riesgos y la
importancia de sus consecuencias
,calificándolas y evaluándolas a fin de
determinar la capacidad de la entidad publica
para su aceptación y manejo .
•
INSTITUCIÓN UNIVERSITARIA
FESU
PALABRAS CLAVES EN
ANALISIS DE RIESGO
•Probabilidad: Numero de veces que se ha
presentado o que puede presentarse el
riesgo
•Impacto : Magnitud de los efectos causados
por la materialización del riesgo
•Calificación del Riesgo: Es la estimación de
la probabilidad de su ocurrencia y el impacto
que pueda causar la materialización del
riesgo
INSTITUCIÓN UNIVERSITARIA
FESU
PROCEDIMIENTO
ANALISIS DE RIESGO
•Establecer la probabilidad de ocurrencia de los
riesgos identificados como capaces de afectar la
capacidad institucional para cumplir con su
propósito constitucional y legal.
•Medir la magnitud de los efectos del riesgo sobre
las personas, los recursos sobre la coordinación de
las acciones necesarias para llevar a cabo los
objetivos institucionales
•Determinar los criterios de evaluación de los
riesgos que permitan tomar las decisiones
pertinentes sobre su tratamiento
INSTITUCIÓN UNIVERSITARIA
FESU
PROBABILIDAD
VALOR
DE
PROBABILIDAD
NIVEL
DE PROBABILIDAD DESCRIPCIÓN
1 Raro Puede ocurrir solo en circunstancias
excepcionales
2 Improbable Pudo Ocurrir en algún momento
3 Posible Podría Ocurrir en algún momento
4 Probable Posible Ocurrirá en la mayoría de
las circunstancias
5 Casi Certeza Se espera que ocurra en la
mayoría de las circunstancias
P Cual es la Probabilidad de ocurrencia del Riesgo?
INSTITUCIÓN UNIVERSITARIA
FESU
IMPACTO FINANCIERO
P
VALOR DE
IMPACTO
NIVEL DE
IMPACTO DESCRIPCIÓN (ejemplo)
1 Insignificante 0-500
2 Menor 501-1000
3 Moderado
1001-1500
4 Mayor
1501-2000
5 Catastrófico
Más de 2000
Que tanto me impactaría la materialización del Riesgo?
INSTITUCIÓN UNIVERSITARIA
FESU
IMPACTO CONFIDENCIALIDAD
INFORMACION
P
VALOR DE
IMPACTO
NIVEL DE
IMPACTO DESCRIPCIÓN (ejemplo)
1 Insignificante
Personal
2 Menor Sensible personal
3 Moderado
Institucional
4 Mayor
No sensible institucional
5 Catastrófico
Reservada institucional
Siempre que Riesgo sea calificado impacto catastrófico se deben
diseñar planes de contingencia
INSTITUCIÓN UNIVERSITARIA
FESU
IMPACTO CREDIBILIDAD
P
VALOR DE
IMPACTO
NIVEL DE
IMPACTO DESCRIPCIÓN (ejemplo)
1 Insignificante Grupo de funcionarios
2 Menor Todos los funcionarios
3 Moderado
Usuarios
4 Mayor
Ciudad
5 Catastrófico
País
INSTITUCIÓN UNIVERSITARIA
FESU
EVALUACION RIESGO
•Determinar Zona Riesgo (EAMB)
•Permite comparar los resultados de su calificación
con los criterios definidos para establecer el grado
de exposición de la entidad al riesgo.
De esta forma es posible distinguir entre riesgos
aceptables, tolerantes, moderados, importantes o
inaceptables y fijar las prioridades de las acciones
requeridas para su tratamiento
INSTITUCIÓN UNIVERSITARIA
FESU
P
PROBABILIDAD
IMPACTO
INSIGNIFICANT
E (1)
MENOR (2) MODERADO
(3)
MAYOR
(4)
CATASTRÓFI
CO (5)
E (raro) 1 B
Zona de riesgo
Baja
B M
Zona de riesgo
Moderada
.
A
A
Zona de riesgo
Alta
D (improbable) 2 B B M A E
Zona Riesgo
Extrema
C (moderado) 3 B M A E E
B (probable) 4 M
A A E E
A (casi certeza) 5 A A E E E
EVALUACION DEL RIESGO= P vs I
INSTITUCIÓN UNIVERSITARIA
FESU
ZONA DE RIESGO ACCION
E Zona de riesgo Extrema,
evitar el riesgo, reducir el riesgo, compartir otransferir.
A Zona de riesgo Alta,
reducir el riesgo, evitar el riesgo, compartir o transferir
M Zona de riesgo Moderada,
asumir el riesgo, reducir el riesgo.
B Zona de riesgo Baja, asumir el riesgo.
EVALUACION RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
ZONA DE RIESGO ACCION OBSERVACIONES
E
Zona de riesgo
Extrema,
evitar el riesgo, reducir
el riesgo, compartir o
transferir.
-Eliminar la actividad que
genera el riesgo Implementar
controles de prevención
-Compartir o transferir pólizas
seguros
A
Zona de riesgo
Alta, Reducir el riesgo,
Evitar el riesgo,
Compartir oTransferir
Establecer controles
preventivos para pasar a
zona Moderada o Baja
M
Zona de riesgo
Moderada,
Asumir el riesgo,
reducir el riesgo.
Establecer controles
preventivos para pasar a zona
Baja
B
Zona de riesgo
Baja,
Asumir el riesgo. El riesgo se puede Aceptar sin
necesidad de tomar otras
medidas de control diferente
a las que se poseen
EVALUACION RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
62
ANALISIS RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
63
TALLER3-Analisis de Riesgos
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
VALORACION DEL RIESGO
La valoración del riesgo es el producto de
confrontar los resultados de la evaluación del
riesgo con los controles identificados en el
Elemento de Control, denominado “Controles”,
del Subsistema de Control de Gestión, con el
objetivo de establecer prioridades para su manejo
y fijación de políticas
INSTITUCIÓN UNIVERSITARIA
FESU
CLASIFICACION DE RIESGOS
• Preventivos: Aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia o materialización.
• –Correctivos: Aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.
•
INSTITUCIÓN UNIVERSITARIA
FESU
PROCEDIMIENTO
VALORACION RIESGO
¿Los controles están documentados?
• ¿Se están aplicando en la actualidad?
• ¿Son efectivos para minimizar el riesgo?
INSTITUCIÓN UNIVERSITARIA
FESU
CRITERIOS VALORACION DEL RIESGO
No existen Controles Se mantiene el resultado de la
evaluación antes de controles
Los Controles existentes no son
efectivos
Se mantiene el resultado de la
evaluación antes de controles
Los Controles existentes son
efectivos pero no están
documentados
Cambia el resultado a una casilla inferior
de la matriz de evaluación antes de
controles (el desplazamiento depende de
si el control afecta el impacto o la
probabilidad)
Los Controles existentes son
efectivos y están documentados
Pasa a escala inferior (el desplazamiento
depende de si el control afecta el
impacto o la probabilidad) P
INSTITUCIÓN UNIVERSITARIA
FESU
EJEMPLOS
CONTROL ESTRATEGICO
•Seguimiento al plan estratégico y
operativo
•Indicadores de Gestión
•Tableros de Control
•Seguimiento a Cronograma
•Evaluación del desempeño
•Informes de Gestión
•Monitoreo de Riesgos:
INSTITUCIÓN UNIVERSITARIA
FESU
Ejemplo
Controles Operativos • Conciliaciones
• Consecutivos
• Verificación de firmas
• Listas de chequeo
• Registro controlado
• Segregación de funciones
• Niveles de autorización
• Custodia apropiada
• Procedimientos formales aplicados
• Pólizas
• Seguridad física
• Contingencias y respaldo
• Personal capacitado
• Aseguramiento y calidad
INSTITUCIÓN UNIVERSITARIA
FESU Ejemplo CONTROLES LEGALES
• Normas claras y aplicadas
• Control de Términos
• Responsable por proceso control de
documentos externos
INSTITUCIÓN UNIVERSITARIA
FESU
VALORACION RIESGO
72
INSTITUCIÓN UNIVERSITARIA
FESU
ZONA DE RIESGO ACCION OBSERVACIONES
E
Zona de riesgo
Extrema,
evitar el riesgo, reducir
el riesgo, compartir o
transferir.
-Eliminar la actividad que
genera el riesgo Implementar
controles de prevención
-Compartir o transferir pólizas
seguros
A
Zona de riesgo
Alta, Reducir el riesgo,
Evitar el riesgo,
Compartir oTransferir
Establecer controles
preventivos para pasar a
zona Moderada o Baja
M
Zona de riesgo
Moderada,
Asumir el riesgo,
reducir el riesgo.
Establecer controles
preventivos para pasar a zona
Baja
B
Zona de riesgo
Baja,
Asumir el riesgo. El riesgo se puede Aceptar sin
necesidad de tomar otras
medidas de control diferente
a las que se poseen
EVALUACION RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
Definir e implementar los
tratamientos (Politicas)
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
POLITICAS DE
administracion del riesgo
•Mecanismos de Control que se materializan en
criterios orientadores para la toma de decisiones
respecto al tratamiento de los riesgos.
•Las Políticas se basan en la Valoración del Riesgo
INSTITUCIÓN UNIVERSITARIA
FESU
Depende de:
H
INSTITUCIÓN UNIVERSITARIA
FESU
P
PROBABILIDAD
IMPACTO
INSIGNIFICANT
E (1)
MENOR (2) MODERADO
(3)
MAYOR
(4)
CATASTRÓFI
CO (5)
E (raro) 1 B
Zona de riesgo
Baja
B M
Zona de riesgo
Moderada
.
A
A
Zona de riesgo
Alta
D (improbable) 2 B B M A E
Zona Riesgo
Extrema
C (moderado) 3 B M A E E
B (probable) 4 M
A A E E
A (casi certeza) 5 A A E E E
EVALUACION DEL RIESGO= P vs I
INSTITUCIÓN UNIVERSITARIA
FESU
79
EVITAR RIESGO: Prevenir la materialización del Riesgo
•Controles preventivos
•Manejo de Insumos
•Mantenimientos preventivos
•Desarrollo Tecnológico
REDUCIR RIESGO : Disminuir Probabilidad e Impacto
•Optimizar Procedimientos
•Implementación de Controles
•COMPARTIR O TRANSFERIR: Reduce efectos a traves de traspaso de perdidas
a otras entidades
•Contrato de seguros
•Backup otras entidades
ASUMIR RIESGO: Aceptar el riesgo y elaborar planes de contingencia
INSTITUCIÓN UNIVERSITARIA
FESU
Acciones Responsables Cronogramas
H
INSTITUCIÓN UNIVERSITARIA
FESU
POLITICAS DE
ADMINISTRACION DEL RIESGO
Para su formulación se debe tener en cuenta
•La implementación de las políticas
•Definición de estándares
•Optimización de procesos y procedimientos y
cambios físicos entre otros
•La selección de las acciones debe considerar la
viabilidad jurídica, técnica, institucional, financiera y
económica
•La Valoración del riesgo
•El balance entre el costo de la implementación de
cada acción contra el beneficio de la misma
INSTITUCIÓN UNIVERSITARIA
FESU
PROCEDIMIENTO POLITICAS DE
ADMINISTRACION DEL RIESGO
•Determinar el ámbito donde se realiza la
identificación, valoración y adopción de medidas para
manejar el riesgo, ( Procesos/Actividades)
•Establecer el significado de las escalas de calificación
de los Riesgos ( Tanto de la Probabilidad como de
Impacto)
•Definir lineamientos sobre las prioridades y
parámetros para establecer las siguientes medias de
respuesta o tratamiento de los riesgos: Aceptar, evitar,
reducir y compartir
•Formular las Políticas para la administración del
riesgo
INSTITUCIÓN UNIVERSITARIA
FESU
POLITICAS DE
ADMINISTRACION DEL RIESGO
INSTITUCIÓN UNIVERSITARIA
FESU
Monitoreo
INSTITUCIÓN UNIVERSITARIA
FESU
MONITOREO DE LOS RIESGOS
• El monitoreo es esencial para asegurar que las acciones se
están llevando a cabo y evaluar la eficiencia en su implementación
adelantando revisiones sobre la marcha para evidenciar todas
aquellas situaciones o factores que pueden estar influyendo en la
aplicación de las acciones preventivas.
• El monitoreo debe estar a cargo de los responsables de los procesos
y de la Oficina de Control Interno
INSTITUCIÓN UNIVERSITARIA
FESU
Sirven para verificar la
efectividad de las acciones.
V
INSTITUCIÓN UNIVERSITARIA
FESU
MONITOREO, REVISION Y
SEGUIMIENTO
• Establecer periodicidad para la revisión de
los riesgos.
• Verificar el cumplimiento y efectividad de
las acciones establecidas en el plan de
tratamiento.
• Dar cumplimiento a los cronogramas de
seguimiento.
V
INSTITUCIÓN UNIVERSITARIA
FESU
INSTITUCIÓN UNIVERSITARIA
FESU
COMUNICACIÓN
• Proceso de construcción y tratamiento
participativo y colectivo.
• Plan de comunicación de los Riesgos.
• Establecer Mecanismos para la percepción
de los riesgos a nivel interno y externo.
• Identificar nuevos riesgos
A
INSTITUCIÓN UNIVERSITARIA
FESU ¡GRACIAS!
JANETH GUTIERREZ DIAZ
top related