Código: PEP-01 PROCEDIMIENTO GESTIÓN DE RIESGOS Y … Procedimiento de... · un riesgo puede...
Transcript of Código: PEP-01 PROCEDIMIENTO GESTIÓN DE RIESGOS Y … Procedimiento de... · un riesgo puede...
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
La alta dirección en cabeza de la Presidencia Ejecutiva, es quien en primera
instancia estimula la cultura de la identificación, prevención y gestión de riesgos,
así mismo debe garantizar la definición de políticas y canales de comunicación,
propiciando los espacios y asignando recursos necesarios para ello, conformar un
equipo de trabajo o comité, el cual se encargue de liderar el proceso de gestión
de riesgos dentro de la entidad.
Objetivo: Establecer una metodología para identificar y gestionar los riesgos a los
que están expuestos todos los procesos, que pueden generar impacto en el logro
de los objetivos de la Cámara de Comercio del Cauca.
Alcance: Esta metodología aplica a todos los procesos de la entidad, inicia con la
identificación y valoración de riesgo, hasta la ejecución y seguimiento de las
acciones establecidas en el tratamiento consignado en la matriz de riesgos.
Responsable: El actual procedimiento aplica para todos los responsables de los
procesos.
1. TÉRMINOS Y DEFINICIONES
Administración de Riesgos y oportunidades: Conjunto de elementos que le
permiten a la entidad identificar, evaluar y gestionar aquellos eventos negativos o
positivos, tanto internos como externos, que puedan afectar o impedir el logro de
sus objetivos institucionales.
Riesgo: Efecto de la incertidumbre. NOTA 1: es Un efecto es una desviación de lo
esperado - positivo o negativo. (ISO 9000).
Gestión de riesgos: Actividades coordinadas para dirigir y controlar una
organización con respecto al riesgo.
Oportunidades: Las oportunidades pueden surgir como resultado de una situación
favorable para lograr un resultado previsto, “una desviación positiva que surge de
un riesgo puede proporcionar una oportunidad, pero no todos los efectos positivos
del riesgo tienen como resultado oportunidades”. (Extracto de la norma ISO
9001:2015).
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
Comunicación y consulta: Procesos continuos y reiterativos que una organización
lleva a cabo para suministrar, compartir u obtener información e involucrarse en
un dialogo con las partes involucradas.
Consecuencia: Resultado de un evento que afecta a los objetivos.
Probabilidad: Frecuencia o Factibilidad de ocurrencia del riesgo.
Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de
ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la continuidad del
servicio en caso de llegarse a materializar el riesgo.
Monitoreo: Verificación, supervisión, observación crítica o determinación
continúa del estado con el fin de identificar cambios con respecto al nivel
desempeño exigido o esperado.
Impacto: Grado en que las Consecuencias pueden generar pérdidas si se llega a
materializar el riesgo.
Riesgos Estratégicos: Se enfoca a asuntos relacionados con la misión y el cumplimiento de los objetivos estratégicos, definición de políticas, diseño y conceptualización por parte de la Presidencia. Riesgos Tecnológicos: Capacidad de la entidad para que la tecnología disponible satisfaga las necesidades actuales y/o futuras y soporte el cumplimiento de la misión.
Riesgos Jurídicos o de Cumplimiento: Capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética y compromiso hacia las partes interesadas.
2. MAPA DE LA GESTIÓN DE RIESGOS.
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
2.1 COMUNICACIÓN Y CONSULTA.
La Cámara de Comercio del Cauca establecerá un plan de comunicación. Para
desarrollar este plan se parte de comprender que se quiere comunicar al grupo de
interés, lo cual facilita los intercambios de información veraz, pertinente, precisa
y de fácil entendimiento, teniendo en cuenta la inclusión de los riesgos en los
procesos de la Entidad los cuales deben ser comunicados por los diferentes medios
siendo socializados y de conocimiento por todos los colaboradores.
2.2 ESTABLECIMIENTO DEL CONTEXTO.
Previo a la identificación de riesgos se debe realizar el establecimiento del
contexto para ello es pertinente que exista claridad de la misión y objetivos
organizacionales, e inicia con la identificación de los factores internos externos
que pueden originar riesgos que afecten su cumplimiento.
El establecimiento del contexto a efectuar implica la determinación de situaciones
del entorno de la Cámara de Comercio del Cauca: social, económico, cultural,
político, medioambiental, tecnológico; su realización podrá efectuarse por medios
como: reuniones de presidencia, lluvias de ideas, cuestionarios, entrevistas con
personal externo, utilizar registros históricos e informes de auditoría que
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
provean información para identificar los factores externos e internos que
contribuyan con la construcción del mapa de riesgos de la Entidad.
Existen factores internos y externos que pueden incidir en la aparición de los
riesgos que afecten el desarrollo normal de las actividades de la Entidad. Entre los
factores externos se consideran factores económicos, sociales y culturales,
políticos, legales y cambios tecnológicos entre otros.
Entre los factores internos se pueden considerar entre otros: la naturaleza de las
actividades de la Entidad, el recurso humano, los sistemas de información, los
procesos y procedimientos y los recursos económicos, la situación Estratégica:
fidelidad de los clientes, la situación financiera, mi Sistema de Gestión: Por
ejemplo Indicadores que muestran el estado real de los procesos, desconocimiento
del Sistema de Gestión, etc.
Valoración de Factores: A partir de las identificaciones de los factores Internos y Externos, se determinan:
Factores Internos: Que pueden ser Fortalezas o Debilidades: Fortalezas: Son los factores en los que destacamos con respecto a la
competencia, lo mejor de nosotros. Debilidades: Son los factores en los que estamos por detrás de la
competencia. Factores Externos: Que pueden ser Oportunidades o Amenazas:
Oportunidades: Son los potenciales mercados, productos, servicios en los que podemos destacar y nos permitirían una mejor situación con respecto a nuestra competencia.
Amenazas: Son aquellos factores que pueden poner en riesgo la continuidad de nuestra organización, ya sean por cambios en los necesidades / expectativas de los clientes, cambios en la legislación, etc.
Evaluación de los Riesgos: Aquellos que hayan sido evaluados como Debilidad o Amenaza pasan a ser Riesgos para la Organización.
3 MATRIZ DE RIESGOS
3.1 IDENTIFICACIÓN DEL RIESGO
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
La Cámara de Comercio del Cauca, con base en el establecimiento del contexto,
se procede a realizar la identificación de los riesgos o eventos potenciales que
estén o no bajo su control y que ponen en riesgo el cumplimiento de su misión,
indicando la fuente, el riesgo, las causas, las consecuencias, los controles y donde
o cuando ocurre el acontecimiento.
La identificación del riesgo, se efectuará en el formato siguiente, en el cual se
relacionaran los riesgos, haciendo énfasis en aquellos más significativos para la
Cámara de Comercio del Cauca, relacionados con el desarrollo de los procesos y
objetivos institucionales.
Para el diligenciamiento del formato de identificación de riesgo, es pertinente conocer lo que indica cada concepto, así: Contexto/Proceso: Es el proceso o contexto que se analizará. Riesgo: Debilidad o Amenaza, posibles Riesgos para la Organización según el contexto. Posibles Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.
Posibles Consecuencias: Es el efecto materializado del riesgo sobre los objetivos
de la entidad; generalmente se dan sobre las personas o los bienes materiales
o inmateriales con incidencias importantes tales como daños físicos, sanciones,
CONTEXTO
/PROCESO RIESGO CAUSAS CONSECUENCIAS
IDENTIFICACIÓN DEL RIESGO
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de
confianza, interrupción del servicio prestados y daño ambiental.
3.2 EVALUACIÓN Y VALORACIÓN DEL RIESGO:
EVALUACIÓN Y VALORACIÓN DEL RIESGO
A PROBABI
LIDAD (Muy
Alto -5) (Alto-4) (Medio-
3) (Bajo-2)
(muy Bajo-1)
B Nivel de Consecue
ncia (Muy Alto
-5) (Alto-4) (Medio-3) (Bajo-2)
(muy Bajo-1)
C Nivel del
Riesgo C=AXB (Muy Alto
25-20) (Alto 19-15) (Medio 14-10) (Bajo 9-5) (muy
Baj4-0)
Actualmente Existe Control?
SI NO
DESCRIPCIÓN DE
CONTROLES EXISTENTES
D Nivel de Control? ( MUY
FUERTE-1) (FUERTE-
2) (MEDIO-3) (DEBIL-4) (INSUFICIE
NTE-5)
E Valoració
n del Riesgo E=CXD
Muy Alto (150-120) Alto (119-
84) Medio (83-54)
Bajo (53-24)
Muy Bajo (23-0)
NIVEL DEL RIESGO
En esta etapa la Cámara de Comercio del Cauca, determinará la probabilidad de
ocurrencia de los riesgos identificados y el impacto de sus consecuencias,
evaluándolos con el fin de establecer el nivel de riesgo y las acciones que se
implementaran para tratarlo.
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos
identificados:
Probabilidad: se entiende la posibilidad de ocurrencia del riesgo, esta puede ser
medida con criterios de frecuencia, si se ha materializado (por ejemplo: número
de veces en un tiempo determinado), o de factibilidad teniendo en cuenta la
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
presencia de factores internos y externos que pueden propiciar el riesgo, aunque
este no se haya materializado.
Consecuencia o Impacto: se entienden las consecuencias que puede ocasionar
para la Entidad la materialización del riesgo.
El nivel de riesgo, se determina a través de la estimación de la probabilidad de
ocurrencia y el impacto que puede ocasionar la materialización o presencia del
riesgo, para ello procederá con la calificación del riesgo.
Para determinar la probabilidad, se utiliza la siguiente tabla:
OCURRENCIA PROBABILIDAD
Muy Baja 1-2 veces en semestre
Baja 3-5 veces en semestre
Medio 1 vez al mes
Alta 1-4 veces al mes
Muy Alta 5 o más veces a la semana
PROBABILIDAD DESCRIPCIÓN VALOR
Muy Baja Improbable, muy difícil que ocurra. 1
Baja Baja probabilidad de ocurrencia, poco frecuente.
2
Medio Mediana probabilidad de ocurrencia, ocurre varias veces.
3
Alta Significativa probabilidad de ocurrencia, ocurre muchas veces.
4
Muy Alta Alta probabilidad de ocurrencia, ocurre permanentemente.
5
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
Para determinar las consecuencias o impacto, se utiliza la siguiente tabla:
CONSECUENCIA /
IMPACTO
DESCRIPCIÓN VALOR DESCRIPCIÓN ADICIONAL DE IMPACTO A NIVEL DEL PRESUPUESTO
Insuficiente Se afecta en forma insignificante el logro
del objetivo.
1 Que la afectación sea >= 0,01%
del presupuesto anual
Débil Se afecta un poco el logro del objetivo.
2 Que la afectación este entre el 0,01% y el 1% del presupuesto
anual
Medio Se afecta parcialmente el logro
del objetivo.
3 Que la afectación este entre el 1% y el 3% del presupuesto
anual
Fuerte Se afecta Considerablemente el
logro del objetivo.
4 Que la afectación entre el 3% y el 6% del presupuesto anual
Muy Fuerte Se afecta totalmente el logro del objetivo.
5 Que la afectación superior al 6 % del presupuesto anual
Control: Es un mecanismo preventivo que permite la oportuna detección y
corrección de desviaciones, ineficiencias o incongruencias.
En esta etapa, la Cámara de Comercio del Cauca, procederá determinar el nivel
del riego antes de controles: multiplicando los resultados de Probabilidad x
Consecuencia o impacto = Valoración y a su vez arroja el nivel de riesgo
En esta etapa la Cámara de Comercio del Cauca, procederá con la confrontación
de los resultados del análisis del riesgo con los controles existentes, los cuales
pueden ser:
NIVEL DEL CONTROL
DESCRIPCIÓN VALOR
Muy Fuerte El control está documentado, es efectivo en un 100% y se aplica actualmente
1
Fuerte El control está documentado, es efectivo en un 90% y se aplica actualmente
2
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
Medio El control es un 50% efectivo para mitigar las consecuencias.
3
Débil El control es un 25% efectivo para mitigar las consecuencias.
4
Insuficiente El control no es efectivo y no se aplica 5
Nulo No existe ningún control 6
VALORACIÓN DEL RIESGO:
Para realizar la Valoración del Riesgo: se multiplicaran los resultados del nivel del
riesgo con el nivel del control, según la celda que ocupe se determina el nivel del
riesgo, la cual nos permite establecer los riesgos por niveles así:
Los riesgos Muy Altos (MA) 150 - 120
Los riesgos Altos (A) 119- 84
Los riesgos Medio (M). 83- 54
Los riesgos Bajos (B). 53- 24
Los riesgos Muy Bajos (MB) 23-0
Con lo anterior podemos clasificar el riesgo dependiendo de la puntuación que
haya obtenido de la siguiente manera:
Zona de riesgo Muy Alto (MA) 150 - 120
Zona de riesgo Alto (A) 119- 84
Zona de riesgo Medio (M) 83- 54
Zona de riesgo Bajo (B) 53- 24
Zona de riesgo Muy Bajo (MB) 23-0
Esto permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad; de esta forma es posible distinguir entre los riesgos de magnitud Bajo, Moderado, Alto y Extremo para luego fijar las prioridades de las acciones requeridas para su tratamiento.
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
3.3 TRATAMIENTO DEL RIESGO.
Para realizar la toma de decisiones para el tratamiento del riesgo la Cámara de
Comercio del Cauca, debe tener en cuenta la zona de riesgo en la que se encuentra
para que pueda seleccionar una o más opciones de tratamiento aplicando los
siguientes criterios:
ZONA DE RIESGO MUY ALTA (MA)
Zona de riesgo inaceptable se debe:
(Impacto catastrófico o severo).
Evitar el riesgo, reducir el riesgo, compartir o transferir el riesgo – Requiere acción inmediata y necesita atención de la alta dirección.
ZONA DE RIESGO ALTA (A)
Zona de riesgo Importante se debe:
(Impacto mayor).
Evitar el riesgo, compartir o transferir el riesgo – necesita atención de la alta dirección
ZONA DE RIESGO MEDIO
(M) Zona de Riesgo Moderado se debe:
(Impacto menor).
Reducir el riesgo, se debe realizar un análisis del costo beneficio en el que se decida reducir el riesgo, asumirlo o compartirlo.
ZONA DE RIESGO BAJA (B)
Zona de riesgo aceptable se debe:
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
(Impacto bajo).
Asumir el riesgo o reducir el riesgo, su impacto es bajo, significa que la Entidad puede tomar medidas de control mediante procedimientos rutinarios.
Zona de riesgo Muy Bajo (MB)
Zona de riesgo tolerable se debe:
(Impacto insignificante).
Asumir el riesgo, su impacto es INSIGNIFICANTE significa que la Entidad lo asume, sin necesidad de tomar medidas de control diferentes a las que se poseen, se manejan procedimientos rutinarios.
EVITAR EL RIESGO: Tomar las medidas encaminadas a prevenir su materialización,
es siempre la primera alternativa a considerar, se logra cuando al interior de los
procesos se generan cambios sustanciales por mejoramiento, rediseño o
eliminación, resultado de unos adecuados controles y acciones emprendidas. Un
ejemplo de esto puede ser el mantenimiento preventivo de los equipos, desarrollo
tecnológico, etc.
REDUCIR EL RIESGO: Implica tomar medidas encaminadas a disminuir tanto la
probabilidad (medidas de prevención), como el impacto (medidas de protección).
La reducción del riesgo es probablemente el método más sencillo y económico para
superar las debilidades antes de aplicar medidas más costosas y difíciles. Se
consigue mediante la optimización de los procedimientos y la implementación de
controles.
DISPERSAR O TRANSFERIR EL RIESGO: Reduce su efecto a través del traspaso de
las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o
a través de otros medios que permiten distribuir una porción del riesgo con otra
entidad, como en los contratos a riesgo compartido. Es así como por ejemplo, la
información de gran importancia se puede duplicar y almacenar en un lugar
distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.
ASUMIR EL RIESGO RESIDUAL: Luego de que el riesgo ha sido reducido o
transferido puede quedar un riesgo residual que se mantiene, en este caso el
PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES
REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal
CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo
Código: PEP-01
Versión: 02
Vigencia: 2017-03-04
gerente del proceso simplemente acepta la pérdida residual probable y elabora
planes de contingencia para su manejo.
IMPORTANTE: Siempre que el riesgo sea calificado en una zona de riesgo MUY
ALTA, con impacto catastrófico, se deben diseñar y validar planes de
contingencia, para protegerse con efectividad en caso de su ocurrencia.
Finalmente se deberán determinar las acciones a emprender las cuales deben ser
factibles y efectivas, como definición de políticas, optimización de procesos,
rediseño, adquisición de tecnología, capacitaciones, establecimiento de
controles.
Las acciones planteadas deberán expresarse en un cronograma, asignar
responsables de su ejecución y definir indicadores de medición.
Con las disposiciones anteriores la Cámara de Comercio del Cauca, procederá con
la elaboración del mapa de riesgos por cada proceso del sistema de gestión de
riesgos, en el siguiente formato:
3.4 TRATAMIENTO-MONITOREO Y REVISIÓN
La responsabilidad del monitoreo y revisión en la Cámara de Comercio del Cauca
estará a cargo de los líderes de proceso y periódicamente del proceso de Control
Interno o de quien haga sus veces, con el fin de evaluar los resultados de
la eficacia.
Nota: Las oportunidades se ingresan como acciones de mejora, en el aplicativo de
intranet de la Entidad.
CAMBIO DE VERSIÓN: Creación de procedimiento para la gestión de Riesgos y
Oportunidades, según enfoque de la NTC ISO 9001:2015.
EVITAR EL RIESGOREDUCIR EL
RIESGO
DISPERSAR O
TRANSFERIR EL
RIESGO
ASUMIR EL
RIESGO
RESIDUAL
TOMA DE ACCIONES
PLAN DE ACCIÓNRESPONSABLE
FECHA DE
EJECUCIÓN
FECHA DE
REVISIÓN
EFICAZ
SI-NOOBSERVACIÓN
TRATAMIENTO DEL RIESGO