Código: CI-OT-006

Versión: 01

Página 1 de 18

MANUAL GESTION DEL RIESGO CÁMARA DE COMERCIO DE PEREIRA.

Este Manual ofrece los requisitos generales para el establecimiento e implementación del Proceso de Gestión del Riesgo en la Entidad, buscando con ello: Identificar los puntos críticos de restricción y riesgo, controlarlos, transferirlos,

minimizarlos o eliminarlos hasta donde su viabilidad económica lo permita.

Gestionar proactivamente los riesgos existentes en la Empresa, con el fin de prevenirlos, detectando y administrando efectivamente las actividades que originan las causas de los riesgos.

Lograr una adaptación del personal al manejo del riesgo como algo inherente y

no ignorable de su propia actividad. Facilitar el establecimiento de controles efectivos donde no los hay y mejorar los

ya existentes en los procesos estratégicos y unidades de negocio; con el fin de que puedan ser monitoreados adecuadamente para asegurar que los procesos se encuentran operando acorde a su planeación.

Proporcionar una seguridad razonable en la Empresa en términos de eficiencia

y eficacia en las operaciones y procesos; oportunidad y confiabilidad en la información y cumplimiento de las leyes y regulaciones aplicables.

Promover la cultura del Autocontrol dentro de la Empresa por medio de la

participación del personal en la optimización de los procesos y mejora de la productividad.

ALCANCE Y CAMPO DE APLICACIÓN La Gestión Integral del Riesgo se reconoce como un componente esencial de las Buenas Prácticas de Gestión de la Organización en todos sus entornos. Es un proceso repetitivo compuesto por una serie de pasos que, si se ejecutan en secuencia, permiten la mejora continua en la toma de decisiones a nivel de Proceso, Área, Proyecto, Actividad o Tarea. El presente Manual abarca la gestión integral del riesgo en lo referente al establecimiento del contexto, identificación, análisis, evaluación, tratamiento, monitoreo, revisión, comunicación y consulta; así como todo lo relacionado con la administración de las actividades críticas y el establecimiento de controles, comunicación del plan establecido y mejoramiento de los procesos por medio de la verificación y la mejora continua, de tal manera que posibilite la minimización de pérdidas y la maximización de oportunidades.

Código: CI-OT-006

Versión: 01

Página 2 de 18

Este manual se encuentra fundamentado en la Norma Técnica Colombiana NTC ISO 31000 (2011-02-16) Gestión del Riesgo - Principios y Directrices. Se proponen lineamientos y guías sobre cómo gestionar los riesgos de forma sistemática y transparente. El enfoque está estructurado en tres elementos para una efectiva gestión de riesgos:

1. Los principios para la gestión de riesgos, 2. El marco de referencia 3. El proceso

Los PRINCIPIOS son una serie de declaraciones que deben ser seguidas y respetadas por la Organización para lograr una gestión de riesgos efectiva. PRINCIPIOS DE LA GESTIÓN INTEGRAL DE RIESGOS Para que la Gestión de Riesgos sea eficaz, la Organización debe asegurar el cumplimiento de los siguientes principios en los niveles estratégico, táctico y operativo de sus procesos: a) Crear y proteger valor. La gestión del riesgo contribuye al logro demostrable

de los objetivos y a la mejora del desempeño en la seguridad y salud ocupacional, el cumplimiento legal y reglamentario, el control y seguridad, la aceptación del las partes interesadas, la protección del medio ambiente, la calidad del producto y de la prestación del servicio, la gestión de proyectos, la eficiencia en las operaciones, la gestión de alta dirección y el mantenimiento de la reputación.

b) Integrarse en todos los procesos. La gestión del riesgo no es una actividad independiente que se separa de las actividades y los procesos misionales de la Organización. La gestión del riesgo es parte de las responsabilidades de la Alta Dirección y una parte integral de todos los procesos de la Organización, incluida la planificación estratégica, los proyectos y la gestión del cambio.

c) Formar parte de la toma de decisiones. La gestión del riesgo ayuda a quienes

toman las decisiones a hacer elecciones informadas, priorizar acciones y distinguir entre cursos de acción alternativos.

d) Abordar explícitamente la incertidumbre. La gestión del riesgo contempla la incertidumbre, su naturaleza y cómo se puede tratar.

Código: CI-OT-006

Versión: 01

Página 3 de 18

e) Ser sistemática, estructurada y oportuna. Un enfoque sistemático, oportuno y estructurado para la gestión del riesgo contribuye a la eficiencia y a resultados consistentes, comparables y confiables.

f) Basarse en la mejor información disponible. Las entradas para el proceso de gestión del riesgo se basan en fuentes de información tales como datos históricos, experiencia, retroalimentación de las partes interesadas, la observación, pronósticos y opiniones de expertos. Sin embargo, para la toma de decisiones los responsables deben informarse, y deben tener en cuenta las limitaciones de los datos o de los modelos utilizados o la posibilidad de divergencia entre los expertos.

g) Estar elaborada a medida – Adaptada al Contexto. La gestión del riesgo se

alinea con el contexto externo e interno de la Organización y el perfil de riesgo definido para el entorno de gestión de referencia.

h) Considerar los factores humanos y culturales. La gestión del riesgo reconoce

las capacidades, las percepciones y las intenciones de las partes interesadas que pueden facilitar u obstaculizar el logro de los objetivos de la Organización.

i) Ser transparente e inclusiva. La correcta y oportuna participación de las partes

interesadas y, en particular, de aquellos que toman las decisiones en todos los niveles de la Organización, garantiza que la gestión del riesgo sigue siendo pertinente y actualizada. Esta intervención también permite a las partes interesadas, estar debidamente representadas y hacer que sus puntos de vista se tomen en consideración al determinar los criterios del riesgo.

j) Ser dinámica, reiterativa y receptiva a los cambios. La gestión del riesgo

continuamente se adapta y responde a los cambios. A medida que se presentan los eventos externos e internos, el contexto y el conocimiento cambian, tienen lugar el monitoreo y la revisión de los riesgos, emergen riesgos nuevos, algunos cambian y otros desaparecen.

k) Facilitar la mejora continua de la organización. La organización debe

desarrollar e implementar estrategias para mejorar la madurez de su gestión del riesgo junto con todos los demás aspectos inherentes a su objeto social.

MARCO DE REFERENCIA El MARCO DE REFERENCIA establece los cimientos sobre los que debe construirse un proceso de gestión de riesgos exitoso.

Código: CI-OT-006

Versión: 01

Página 4 de 18

Los principales elementos del marco de referencia son: Dirección y Compromiso, Diseño del Marco de referencia para la Gestión del Riesgo, Implementación de la Gestión del Riesgo, Monitoreo, Revisión y Mejora Continua. Responsables de los Procesos:

Coordinar y realizar seguimientos periódicos al esquema de control de riesgos del proceso a su cargo (Autocontrol del Proceso).

Participar activamente en la identificación y evaluación de los riesgos asociados a los procesos bajo su responsabilidad.

Realizar seguimiento a los indicadores de riesgos asociados a su proceso.

Seguir y reportar los incidentes y pérdidas por materialización de los riesgos.

Participar en la definición e implantación de los planes de acción para los riesgos identificados en zonas no admisibles por parte de la Organización.

Designar responsables de la gestión del Riesgo en proceso, área o proyecto a su cargo.

Implementar las acciones mitigantes definidas para cada uno de los riesgos identificados de acuerdo a las prioridades establecidas.

Conducir la evaluación regular del cumplimiento de las políticas de la Organización, los procedimientos y las prácticas relacionadas con los riesgos (Autocontrol del Proceso).

Asegurar la eficacia del control en relación con el manejo de los riesgos asociados a su proceso.

La gestión del riesgo debe estar incluida en todas las prácticas y los procesos de la Organización de forma pertinente, eficaz y eficiente. El proceso para la gestión del riesgo se debe convertir en parte, no independiente, de los procesos de la organización. En particular, la gestión del riesgo se debe incluir en el desarrollo de las políticas, la planificación estratégica del negocio, la revisión y en los procesos de gestión del cambio. Debe existir un plan para la gestión del riesgo que cubra transversalmente todos los procesos de la organización para garantizar que se implementa la política para la gestión del riesgo y que dicha gestión está incluida en todas las prácticas y los procesos de la Organización. El Plan para la Gestión del Riesgo se debe integrar anualmente al Plan Estratégico de la Organización.

Código: CI-OT-006

Versión: 01

Página 5 de 18

METODOLOGÍA GESTIÓN DEL RIESGO Evaluación de Riesgos – EVARI Riesgo: La probabilidad de que se tenga una pérdida o utilidad en el futuro, dependiendo de factores de azar, de personas o situaciones que no podemos controlar. Actitud frente al Riesgo:

Evitarlo

Reducirlo

Transferirlo Factores Externos del Riesgo Inherentes de las Empresas:

Desarrollo tecnológico.

Nueva legislación.

Catástrofes.

Cambios económicos.

Cambios de necesidades de los clientes.

Malos sistemas de información.

Cambios en las responsabilidades de la gerencia.

Deficiencia en los controles.

Políticas comerciales agresivas.

Competencia. Nivel de Identificación de Riesgos:

A nivel de empresa.

A nivel de proceso.

A nivel de transacciones. Impacto: Impresión o efecto que una acción o acontecimiento causa en una persona, en un proceso o un objeto. Probabilidad: La proporción de veces que un suceso ocurre en un periodo. EVALUACIÓN Y CLASIFICACIÓN DEL RIESGO

1. Factores para la valoración del IMPACTO

Aspecto Económico

Efecto sobre la imagen de la entidad.

Operatividad.

Seguridad.

Logística de los procesos.

Código: CI-OT-006

Versión: 01

Página 6 de 18

2. Factores para la valoración de la PROBABILIDAD de ocurrencia.

Conocimiento de la operación de la empresa.

Conocimiento de la operación de otras empresas. VALUACIÓN DEL RIESGO

IMPACTO Alto: (6.5 – 8.0)

Medio: (3.5 – 6.4)

PROBABILIDAD Bajo: (2.0 – 3.4)

IMPACTONIVEL DE

RIESGO (PROMEDIO)

A 8.0

A 6.8

A 5.6

M 6.2

M 5.0

M 3.8

B 4.4

B 3.2

B 2.0

A

M

B

A

M

B

A

M

B

COMBINACIONES

PROBABILIDAD

DE

OCURRENCIA

Código: CI-OT-006

Versión: 01

Página 7 de 18

ALTO (6.5 - 8.0)

MEDIO (3.5 - 6.4)

BAJO (2.0 - 3.4)

A Alto

M Medio

B Bajo

A Alta

M Media

B Baja

B Buenos

R Regulares

M Malos

N/E No Existen

A Alto

M Medio

B Bajo

CONTROLES:

PROBABILIDAD:

IMPACTO

Enumere y relacione cada riesgo

identificado, analizando las causas

y las posibles consecuencias.

VALORACIÓN DEL RIESGO

IMPACTO

POSIBILIDAD DE

OCURRENCIA

NIVEL DEL RIESGO:

EN LA ELABORACIÓN DE LOS RIESGOS:

Código: CI-OT-006

Versión: 01

Página 8 de 18

Mejora Continua Con base en los resultados del monitoreo y las revisiones, se deben tomar decisiones sobre la forma en que se podrían mejorar el plan para la gestión del riesgo. Estas decisiones deben originar mejoras en la gestión del riesgo de la Organización y en su cultura de la gestión del riesgo. PROCESO El PROCESO establece las principales actividades a realizar durante la administración de los riesgos y debe ser parte integral de la gestión, estar incluido en la cultura organizacional y sus prácticas y estar adaptado a los procesos de la Organización.

La gestión del Control Interno de la Cámara de Comercio de Pereira, ha estado enmarcada bajo la metodología del modelo COSO, el cual involucra cinco (5) componentes (Ambiente de Control – Administración de Riesgos - Actividades de Control – Información y Comunicación – Monitoreo o Evaluación) que interactúan para proporcionar una seguridad razonable en el logro de los objetivos estratégicos, tácticos y operativos, de información y de cumplimiento ante los requerimientos de ley.

CULTURA Y AMBIENTE DE AUTOCONTROL:

Es el principal componente de la Guía de Control Interno, ya que su fundamento está dado por la cultura organizacional de la Cámara de Comercio, en relación a lo que se fomenta a todos los empleados de la entidad, en cuanto a principios, valores y conductas orientadas hacia el control.

Con el objetivo de promover el Control Interno, el Departamento de Control Interno y Calidad en varias oportunidades ha difundido a través de capacitaciones, cada uno de los componentes de la Guía de Control Interno, enfatizando en la importancia de realizar el trabajo con un enfoque sistémico, resaltando en que cada labor que se realiza es un eslabón del proceso y por dicha razón se debe efectuar debidamente desde su inicio, teniendo en cuenta que es el insumo para emprender otra actividad, y así lograr que el proceso fluya y se alcance la eficacia esperada.

Código: CI-OT-006

Versión: 01

Página 9 de 18

ADMINISTRACIÓN DE RIESGOS

En la Cámara de Comercio de Pereira, es de gran importancia concentrar la gestión de riesgos en el Departamento de Registros Públicos, ya que allí es donde se encuentra la función pública delegada por el estado, la cual consiste en administrar los registros públicos (Mercantil, Proponentes y Entidades Sin Animo de Lucro- ESAL) dado que este proceso concentra el mayor porcentaje de ingresos que recauda la entidad, incluye riesgos de tipo legal, tecnológicos, de seguridad de la información y de imagen, entre otros.

La gestión de riesgo es responsabilidad de todos y cada uno de los empleados de la entidad.

El componente de Administración de Riesgos involucra las siguientes etapas:

1. Identificación de Riesgos

La Cámara se ha orientado hacia la identificación de eventos potenciales, que ponen en riesgo la consecución de los objetivos y metas de la Cámara de Comercio, involucrando las fuentes que pueden generar el riesgo, las causas que generan el riesgo, las consecuencias o impactos si se llegara a materializar el riesgo.

2. Valoración del Riesgo

Incluye el análisis y calificación del riesgo en términos de probabilidad de ocurrencia e impacto, la identificación y calificación de los controles y la obtención del riesgo residual, sobre el cual se establecen los planes de mejoramiento.

En esta etapa se siguieron los siguientes pasos:

Se midió la probabilidad de ocurrencia de los riesgos y su impacto sobre los recursos de la entidad (económicos, humanos, entre otros), así como sobre su credibilidad y buen nombre, en caso de materializarse.

Se Identificó y evaluó con criterio conservador, los controles existentes y su efectividad, mediante un proceso de valoración realizado con base en la experiencia y un análisis razonable y objetivo de los eventos ocurridos.

Seguimiento permanente al mapa de riesgos, los cuales son actualizados periódicamente por parte de cada líder de proceso con el acompañamiento del funcionario responsable del Área de Control Interno y Calidad, igualmente, está publicado en un sitio que le permite a los funcionarios la visualización de los riesgos y el seguimiento a la ejecución de las actividades definidas en los planes de acción.

Código: CI-OT-006

Versión: 01

Página 10 de 18

3. Monitoreo del Riesgo

Es el seguimiento permanente que deben realizar los responsables al plan de mejorameinto implementado para cada riesgo.

El responsable de Control Interno y Calidad, realizó un acompañamiento permanente a los líderes de los procesos en la identificación y documentación de los riesgos.

Acciones Preventivas: La heramienta de acciones preventivas, numeral 8.5.3 de la Norma ISO 9001, es otro medio que ofrece el Sistema de Gestión de Calidad para la evaluación de los riesgos.

Para documentar riesgos bajo esta metodología, se utiliza la herramienta PYC – Acciones de Mejormiento, Preventivas y Correctivas, la cual se encuentra en la inranet, (El icono se encuentra ubicado en la izquierda con el nombre PYC).

El Procedimiento de acciones Correctivas y Preventivas definido para documentar riesgos a través de PyC, se encuentra en la página del Sistema de Gestión de Calidad: Listado Maestro/Procedimiento/Gestion de Calidad/Ptocedimiento de Acciones Preventivas y Correctivas.

Estructura de Procesos: En la nueva estructura de procesos se están dejando identificados (Rojo) los riesgos que pueden llegar afectar la gestión de los procesos, con el objetivo de integrar las actividades con los controles y los riesgos así mismo, promover el monitoreo que el líder del proceso le debe hacer a los planes de mejoramiento establecidos para mitigar o erradicar el riesgo.

ACTIVIDADES DE CONTROL

En este componente encontramos los lineamientos, políticas y actividades dentro de los manuales, procedimientos e instructivos que tienden a asegurar que se cumplan las instrucciones definidas por la Junta Directiva y Presidencia Ejecutiva, orientadas primordialmente hacia la prevención de la materialización de riesgos, protección y control de los recursos financieros, de información, humanos, tecnológicos y físicos, entre otros.

Por lo anterior, las actividades de control hacen parte integral de la planificación de los manuales y procedimientos y se ejecutan en todos los niveles de la organización.

Las actividades de control deben ser asumidas por todos y cada uno de los funcionarios, para cumplir de forma eficiente con las actividades asignadas. Estas

Código: CI-OT-006

Versión: 01

Página 11 de 18

actividades están contenidas en las políticas, procedimientos,instructivos, planes de calidad, sistemas de información y actividades específicas.

Entre las actividades de control que se han establecido en la Cámara de Comercio de Pereira, se encuentran.

Controles Gerenciales

Junta Directiva: La Junta Directiva se reune mensualmente para revisar la gestión de la Cámara de Comercio de acuerdo al informe de gestión que presenta el Presidente Ejecutivo.

A la Junta Directiva asiste el Secretario General, el Director Administrativo y Financiero y la Directora de Competitividad.

Comité Administrativo y Financiero: El objetivo de este comité es revisar la ejecución del presupuesto, evaluar las mejores opciones de inversión de los recursos y de acuerdo a los resultados, emitir a la Junta Directiva de forma oportuna las recomendaciones correspondientes.

El Comité se reúne de forma mensual y de cada reunión debe quedar un acta de los temas revisados, compromisos adquiridos, y descripción de las decisiones que se hayan tomado.

Comité Jurídico: El objetivo del comité es el de revisar la normatividad aplicable a la Cámara de Comercio de Pereira y demás temas de tipo jurídicos que puedan afectar la gestión de la CCP.

Comité de Mercadeo: El objetivo de este comité está relacionado con revisar la gestión de mercadeo y el posicionamiento de la marca Cámara de Comercio de Pereira, y emitir recomendaciones para el fortalecimiento de la gestión de mercadeo que se realiza en los diferentes servicios.

Comité de Competitividad: El objetivo del comité es revisar los proyectos que contribuyan a la competitividad de la región.

Código: CI-OT-006

Versión: 01

Página 12 de 18

Comité de Calidad: Reunión una (1) vez al año, para evaluar cada uno de los componentes del Sistema de Gestión de Calidad. Este es un requerimiento de la norma ISO 9001, Numeral 5.6 - Revisión Por la Dirección.

Comité de Convenios: El objetivo de este comité es realizar una evaluación previa a los convenios, en lo relacionado a la conexidad con los programas y proyectos que responden a la ejecución de la planeación estratégica, las implicaciones jurídicas y tributarias, la necesidad de recursos (humanos y económicos) que se requiere por parte de la CCP, los impactos que genera la ejecución del convenio, los riesgos que se generen para la CCP y la definición de controles.

Comité de Compras: El Comité de Compras se reúne cuando existan compras superiores a 15 SMMLV. Exceptuando las compras de papelería, correo, formas impresas, contratación de servicios como honorarios y servicios de comedor.

En cada Comité se elegirá un presidente que será la persona encargada de revisar y firmar cada acta del comité.

Balanced Scorecard: Integra los indicadores de todos los procesos, los cuales permiten monitorear la gestión de la Cámara de Comercio de Pereira.

Informe Mensual Junta Directiva: Previamente a la Junta Directiva, los Directivos de cada departamento deben elaborar mensualmente un informe de las actividades realizadas.

Informes de Auditoría de Control Interno: Los informes de las auditorías efectuadas a los procesos, deben ser enviadas al Presidente Ejecutivo y al Directivo correspondiente.

Auditoría al Plan de Acción: Esta labor la realiza el Director de Control Interno y Calidad entre los dos primeros meses del año, verificando con los correspondientes soportes que las actividades definidas en el plan de acción se hayan ejecutado

Controles de autorización en el manejo de los recursos

Son todos los controles establecidos por la entidad para lograr una gestión eficiente, segura y transparente, entre los que ha implementado la Cámara de Comercio, se encuentran:

Existe un manual de inversiones que define los que el Director Administrativo y Financiero y el Tesorero deben tener en cuenta previamente antes de realizar una inversión.

Las compras de la entidad sólo son aprobadas por los directivos.

Código: CI-OT-006

Versión: 01

Página 13 de 18

El Director Administrativo y Financiero es quien aprueba los pagos de la sucursal virtual.

La Tesorera es quien custodia el dinero y los titulos valores y el Contador es quien realiza los registros contables.

Se realiza un presupuesto anual de ingresos y gastos, al cual se le hace un seguimiento permante por parte del Director y Analista Financiero.

Se tienen restricciones de acceso para acceder a la Tesorería.

Se realizan arqueos de caja sorpresivos a los Asesores de Registros, Tesorería y aquienes manejan cajas menores, como: Conciliación, Expofuturo, Sede la Virginia, Belén de Umbría y Marsella, Secretaria Privada de Presidencia, CAE.

Controles de tecnología y de seguridad de la información

Con el fin de garantizar la conservación y fácil reprodución de la información registral y administrativa, la entidad ha implementado los siguientes controles.

Copias de seguridad por parte de Confecámaras al Sistema Registral y Contable (Sega).

Copia de seguridad por parte de Binaps (Proveedor externo que administra el aplicativo de compras, el Sistema de Gestión de Calidad).

Copia de seguridad por parte del equipo del Área de Sistemas a la información que se maneja en la ejecución diaria de cada uno de los departamentos.

Se firmaron acuerdos de confidencialidad con los empleados de la entidad.

El acceso al Área de Datos es totalmente restringida.

Las cintas con las copias de seguridad son almacenadas en la caja fuerte.

El edificio cuenta con planta eléctrica lo que garantiza la permanencia de la energía para la prestación del servicio.

Se tiene establecido un aplicativo para la solicitud de soportes técnicos.

Se tiene un aplicativo en la intranet para la solicitud de compras, al cual sólo pueden accesar las personas que se encuentran autorizadas. Las actividades para la solicitud de compras, se encuentran establecidas en el Procedimiento de Compras AD-PR-02, el cual se encuentra registrado en el Sistema de Gestión de Calidad.

Código: CI-OT-006

Versión: 01

Página 14 de 18

Se tiene un aplicativo en la intranet para la administración de la gestión documental. El nombre del aplicativo es SAIA, en el cual queda registrada de forma virtual toda la documentación que ingresa a la entidad.

Se contrató con una firma externa SETECSA la custodia de la información registral, contable y de gestión.

Se tiene establecido el reglamento para la utilización de internet – GH-FT-044.

Controles de cumplimiento de la normatividad

Comité Jurídico: El objetivo del comité es el de revisar la normatividad aplicable a la Cámara de Comercio de Pereira y demás temas de tipo jurídicos que puedan afectar la gestión de la CCP.

INFORMACION Y COMUNICACIÓN

Semanalmente el Departamento de Comunicaciones publica el boletín de Camaradería, a través del cual, se mantiene informado al personal de las diferentes actividades que se realizan en la Cámara de Comercio.

Así mismo, en la intranet se siguen albergando las diferentes aplicaciones que ha desarrollado la entidad para facilitar la gestión, así:

Sistema de Gestión de Calidad

Compras

Gestión Documental - SAIA

Sistema de las Relaciones con los Clientes - CRM

Evaluación de Riesgos – EVARI

Gestión por competencias

Desprendibles de nómina

Control de activos

Código: CI-OT-006

Versión: 01

Página 15 de 18

MONITOREO DE CONTROL INTERNO

Para responder de forma eficiente a este componente, la Cámara de Comercio ha implementado:

Auditorías de Control Interno, orientadas a verificar la conformidad de los procesos para evitar fraudes, sanciones, hurtos, pérdidas económicas y humanas, entre otros.

Audorías de Calidad, orientadas a verificar la conformidad de las actividades definidas en los procesos y el mejoramiento continuo, deben estar alineadas con todo lo establecido en la Norma ISO 9001.

Auditorías por parte de la Revisoría Fiscal, quien evalua todo lo concerniente a la información contable y demás procesos de la entidad.

Seguimiento a la ejecución de las actividades establecidas en los planes de mejoramiento del mapa de riesgos.

Auditorías por parte de ICONTEC al Sistema de Gestión de Calidad

Documentación y Seguimiento a las Acciones Correctivas y Preventivas

GLOSARIO

Administración de Riesgos: Conjunto de acciones desarrolladas en forma estructural e integral, que permite a las organizaciones identificar, calificar y evaluar los riesgos que pueden afectar el logro de los objetivos de la Institución. Riesgo. Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. El riesgo inherente: Es aquel riesgo que por su naturaleza no se puede separar de la situación donde existe. Es propio del trabajo a realizar. Es el riesgo propio de cada empresa de acuerdo a su actividad.

El riesgo incorporado: es aquel riesgo que no es propio de la actividad, sino que es producto de conductas poco responsables de un trabajador, el que asume otros riesgos con objeto de conseguir algo que cree que es bueno para el y/o para la empresa, como por ejemplo ganar tiempo, terminar antes el trabajo para destacar, demostrar a sus compañeros que es mejor, etc.

Riesgos de Control: Están directamente relacionados con inadecuados o inexistentes puntos de control y en otros casos, con puntos de control obsoletos, inoperantes o poco efectivos.

Código: CI-OT-006

Versión: 01

Página 16 de 18

Riesgo absoluto: el máximo riesgo sin los efectos mitigantes de la administración del riesgo. Riesgo residual: es el riesgo que queda cuando las técnicas de administración del riesgo han sido aplicadas. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporten el cumplimiento de la misión. Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. Factores de riesgo: Manifestaciones o características medibles u observables de un proceso que indican la presencia de Riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad. Identificación de riesgos: Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humilde operativo. Causas: Son los medios, circunstancias y agentes que generan los riesgos. Causa de Riesgo: Motivo o circunstancia por la cual se puede generar un riesgo.

Código: CI-OT-006

Versión: 01

Página 17 de 18

Agente generador de Riesgo: Persona, elemento, situación, entidad que actúa ó tiene capacidad de actuar y puede ocasionar un riesgo. Posibles consecuencias: corresponde a los posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, entre otros. Análisis de riesgos: Determinar el Impacto y la Probabilidad del riesgo. Dependiendo de la información disponible pueden emplearse desde modelos de simulación, hasta técnicas colaborativas. Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Impacto: Es el daño sobre el activo derivado de la materialización de la amenaza: Es equivalente al valor establecido para el activo en las matrices de valoración de activos. Valoración del riesgo: Primera fase en la administración de riesgos, diagnóstico que consta de la identificación, análisis y determinación del nivel de riesgo. Mapa de Riesgos: Panorama que permite organizar la información sobre los riesgos de las empresas y visualizar su magnitud, con el fin de establecer las estrategias adecuadas para su manejo. Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo. Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas. Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas. Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos.

Código: CI-OT-006

Versión: 01

Página 18 de 18

Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad. Plan de manejo de riesgos: Plan de acción propuesto por el grupo de trabajo, cuya evaluación de beneficio costo resulta positiva y es aprobado por la gerencia. Plan de mejoramiento: Parte del plan de manejo que contiene las técnicas de administración del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos. Retroalimentación: Información sistemática sobre los resultados alcanzados en la ejecución de un plan, que sirven para actualizar y mejorar la planeación futura. Seguimiento: Recolección regular y sistemática sobre la ejecución del plan, que sirven para actualizar y mejorar la planeación futura. MANUAL GESTION DEL RIESGO CAMARA DE COMERCIO DE PEREIRA Septiembre de 2014.