3.3.5.4.2. Instructivo – GUÍA 26 Análisis de Riesgos

La GUIA 26 presenta las instrucciones detalladas para la implementación del Estándar de Control. 

    Descripción

A partir de la información suministrada en el Análisis del Contexto Estratégico del Riesgo y la Identificación de Riesgos, se requiere efectuar el Análisis que permita evaluar la probabilidad de ocurrencia de los Riesgos y el impacto de su ocurrencia, calificándolos y evaluándolos para determinar la capacidad de la Institución para su aceptación o manejo.

Si la Institución no posee datos históricos sobre ocurrencia de riesgos, se requiere el aporte de los funcionarios de la institución para estimar la probabilidad y el impacto con el que pueden presentarse en los Objetivos Institucionales, los Macroprocesos/Procesos/Subprocesos y Actividades de la institución, basado en el conocimiento que tienen de los mismos.

El Análisis de Riesgos se realiza en dos fases, así:

Calificación de Riesgos, con base en medidas de probabilidad e impacto.

Evaluación de Riesgos, con base en la ubicación de la calificación del riesgo en la matriz de evaluación y respuesta a los riesgos.

Requerimientos

•Objetivos Institucionales.

•Modelo de Gestión por Procesos de la Institución.

•Informe de Contexto Estratégico del Riesgo.

•Identificación de Riesgos en Objetivos Institucionales, Macroprocesos, Procesos/Subprocesos y Actividades.

  Responsables

Diseño y apoyo a la implementación

- Comité de Control Interno.

- Equipo MECIP.

Implementación

- Dependencia responsable de cada Macroproceso y Procesos correspondientes.

Supervisión y seguimiento a la implementación

- Directivo responsable de la implementación del MECIP

- Equipo MECIP.

- Auditoria Interna Institucional.

- Comité de Control Interno.

Mantenimiento y actualización permanente

- Dependencia responsable de cada Macroproceso y Procesos correspondientes.

- Directivo Responsable de la Implementación del MECIP.

Operación   Comité de Control Interno

1. Fijar los parámetros de probabilidad e impacto de los riesgos para la operación de la institución, teniendo en cuenta sus características específicas, funciones y objetivos.

Equipo MECIP Calificación de Riesgos

2. Completar el Formato 71, Calificación y Evaluación de Riesgos – Objetivos Institucionales, siguiendo las instrucciones:

•Relacionar en la columna (1) los Objetivos Institucionales de la Institución.

•En la columna (2) registrar los Riesgos identificados en el Formato 66, Identificación de Riesgos en los Objetivos Institucionales.

•En las columnas (3) y (4) registrar para cada riesgo, la calificación de la Probabilidad y del Impacto, de acuerdo con las siguientes tablas:

•Registrar en la columna (5) el resultado de multiplicar los valores asignados a la Probabilidad y al Impacto.

Evaluación de Riesgos

3. De acuerdo con el resultado de la calificación del Riesgo registrado en la columna (5) y su ubicación en la Matriz de Evaluación y Respuesta a los Riesgos, que se presenta a continuación, registrar en la columna (6) la Zona de Riesgo en que se ubica el riesgo analizado (inaceptable, importante, moderado, tolerable o aceptable):

4. Consignar en la columna (7), Medidas de Respuesta, la/as opción/es para manejar los Riesgos que se presentan en la Matriz de Evaluación y Respuesta a los Riesgos, aplicando los siguientes criterios:

•Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificación 5), significa que su frecuencia es baja y su impacto es leve, lo cual permite a la institución aceptarlo, es decir, el riesgo se encuentra en un nivel que puede asumirse sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

•Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificación 60), su frecuencia es alta y su impacto grave, por tanto es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles de Prevención para reducir la frecuencia del riesgo, de Protección para disminuir el impacto o Compartir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles.

•Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el riesgo, así: los Riesgos de impacto leve y frecuencia alta se previenen; los Riesgos con impacto moderado y frecuencia baja, se protege la institución y se comparte el riesgo, si es posible; también se puede combinar esta medidas con prevención cuando el riesgo presente una frecuencia alta y media, y el impacto sea moderado o grave.

•En los casos en los cuales se comparte la pérdida ocasionada por un riesgo, a través de los contratos de seguros, la institución debe tener en cuenta que asume la parte del riesgo que el seguro no cubre.

•Cuando la frecuencia del riesgo sea media y su impacto leve, se debe realizar un análisis del costo/beneficio con el que se pueda decidir entre prevenir el riesgo, asumirlo o compartirlo.

•Cuando el riesgo tenga una frecuencia baja e impacto grave, se debe tratar de compartir el riesgo y proteger la institución en caso de que éste se presente.

•Siempre que el riesgo sea calificado con impacto grave, la institución debe diseñar planes de emergencia, contingencia y recuperación, para protegerse en caso de su ocurrencia.

5. Completar el Formato 72, Calificación y Evaluación de Riesgos - Macroprocesos, aplicando las instrucciones de los numerales 2, 3 y 4 de la presente Guía.

6. Completar los Formatos 73 y 74, Calificación y Evaluación de Riesgos - Procesos/Subprocesos, aplicando las instrucciones de los numerales 2, 3 y 4 de la presente Guía.

7. Completar el Formato 75, Calificación y Evaluación de Riesgos - Actividades, aplicando las instrucciones de los numerales 2, 3 y 4 de la presente Guía.

8. Entregar al Comité de Control Interno los Formatos 71, 72, 73, 74 y 75 debidamente completados.

Auditoria Interna Institucional

9. Verificar el Análisis de Riesgos para los Objetivos Institucionales, Macroprocesos, Procesos/Subprocesos y Actividades, teniendo en cuenta sus objetivos y la pertinencia de la frecuencia e impacto aplicados, presentando sus observaciones y recomendaciones al Comité Coordinador del Modelo de Gestión por Procesos.

Comité de Control Interno

10. Estudiar el resultado del Análisis de Riesgos de acuerdo con los parámetros fijados, teniendo en cuenta las observaciones y recomendaciones de la Auditoria Interna Institucional efectuar los ajustes que se consideren necesarios.

11. Aprobar el resultado final del Análisis de Riesgos y autorizar la continuación a la Valoración de Riesgos.

Formato 71

Formato 72

Formato 73

Formato 74

Formato 75