Código: PEP-01 PROCEDIMIENTO GESTIÓN DE RIESGOS Y … Procedimiento de... · un riesgo puede...

PROCEDIMIENTO GESTIÓN DE RIESGOS Y OPORTUNIDADES

REVISADO POR: ASTRID CERON MUÑOZ APROBADO POR: Oriana Mendoza Vidal

CARGO: Coordinadora de Calidad y Control Interno CARGO: Presidente Ejecutivo

Código: PEP-01

Versión: 02

Vigencia: 2017-03-04

La alta dirección en cabeza de la Presidencia Ejecutiva, es quien en primera

instancia estimula la cultura de la identificación, prevención y gestión de riesgos,

así mismo debe garantizar la definición de políticas y canales de comunicación,

propiciando los espacios y asignando recursos necesarios para ello, conformar un

equipo de trabajo o comité, el cual se encargue de liderar el proceso de gestión

de riesgos dentro de la entidad.

Objetivo: Establecer una metodología para identificar y gestionar los riesgos a los

que están expuestos todos los procesos, que pueden generar impacto en el logro

de los objetivos de la Cámara de Comercio del Cauca.

Alcance: Esta metodología aplica a todos los procesos de la entidad, inicia con la

identificación y valoración de riesgo, hasta la ejecución y seguimiento de las

acciones establecidas en el tratamiento consignado en la matriz de riesgos.

Responsable: El actual procedimiento aplica para todos los responsables de los

procesos.

1. TÉRMINOS Y DEFINICIONES

Administración de Riesgos y oportunidades: Conjunto de elementos que le

permiten a la entidad identificar, evaluar y gestionar aquellos eventos negativos o

positivos, tanto internos como externos, que puedan afectar o impedir el logro de

sus objetivos institucionales.

Riesgo: Efecto de la incertidumbre. NOTA 1: es Un efecto es una desviación de lo

esperado - positivo o negativo. (ISO 9000).

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo.

Oportunidades: Las oportunidades pueden surgir como resultado de una situación

favorable para lograr un resultado previsto, “una desviación positiva que surge de

un riesgo puede proporcionar una oportunidad, pero no todos los efectos positivos

del riesgo tienen como resultado oportunidades”. (Extracto de la norma ISO

9001:2015).




Código: PEP-01

Versión: 02


Comunicación y consulta: Procesos continuos y reiterativos que una organización

lleva a cabo para suministrar, compartir u obtener información e involucrarse en

un dialogo con las partes involucradas.

Consecuencia: Resultado de un evento que afecta a los objetivos.

Probabilidad: Frecuencia o Factibilidad de ocurrencia del riesgo.

Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de

ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la continuidad del

servicio en caso de llegarse a materializar el riesgo.

Monitoreo: Verificación, supervisión, observación crítica o determinación

continúa del estado con el fin de identificar cambios con respecto al nivel

desempeño exigido o esperado.

Impacto: Grado en que las Consecuencias pueden generar pérdidas si se llega a

materializar el riesgo.

Riesgos Estratégicos: Se enfoca a asuntos relacionados con la misión y el cumplimiento de los objetivos estratégicos, definición de políticas, diseño y conceptualización por parte de la Presidencia. Riesgos Tecnológicos: Capacidad de la entidad para que la tecnología disponible satisfaga las necesidades actuales y/o futuras y soporte el cumplimiento de la misión.

Riesgos Jurídicos o de Cumplimiento: Capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética y compromiso hacia las partes interesadas.

2. MAPA DE LA GESTIÓN DE RIESGOS.




Código: PEP-01

Versión: 02


2.1 COMUNICACIÓN Y CONSULTA.

La Cámara de Comercio del Cauca establecerá un plan de comunicación. Para

desarrollar este plan se parte de comprender que se quiere comunicar al grupo de

interés, lo cual facilita los intercambios de información veraz, pertinente, precisa

y de fácil entendimiento, teniendo en cuenta la inclusión de los riesgos en los

procesos de la Entidad los cuales deben ser comunicados por los diferentes medios

siendo socializados y de conocimiento por todos los colaboradores.

2.2 ESTABLECIMIENTO DEL CONTEXTO.

Previo a la identificación de riesgos se debe realizar el establecimiento del

contexto para ello es pertinente que exista claridad de la misión y objetivos

organizacionales, e inicia con la identificación de los factores internos externos

que pueden originar riesgos que afecten su cumplimiento.

El establecimiento del contexto a efectuar implica la determinación de situaciones

del entorno de la Cámara de Comercio del Cauca: social, económico, cultural,

político, medioambiental, tecnológico; su realización podrá efectuarse por medios

como: reuniones de presidencia, lluvias de ideas, cuestionarios, entrevistas con

personal externo, utilizar registros históricos e informes de auditoría que




Código: PEP-01

Versión: 02


provean información para identificar los factores externos e internos que

contribuyan con la construcción del mapa de riesgos de la Entidad.

Existen factores internos y externos que pueden incidir en la aparición de los

riesgos que afecten el desarrollo normal de las actividades de la Entidad. Entre los

factores externos se consideran factores económicos, sociales y culturales,

políticos, legales y cambios tecnológicos entre otros.

Entre los factores internos se pueden considerar entre otros: la naturaleza de las

actividades de la Entidad, el recurso humano, los sistemas de información, los

procesos y procedimientos y los recursos económicos, la situación Estratégica:

fidelidad de los clientes, la situación financiera, mi Sistema de Gestión: Por

ejemplo Indicadores que muestran el estado real de los procesos, desconocimiento

del Sistema de Gestión, etc.

Valoración de Factores: A partir de las identificaciones de los factores Internos y Externos, se determinan:

Factores Internos: Que pueden ser Fortalezas o Debilidades: Fortalezas: Son los factores en los que destacamos con respecto a la

competencia, lo mejor de nosotros. Debilidades: Son los factores en los que estamos por detrás de la

competencia. Factores Externos: Que pueden ser Oportunidades o Amenazas:

Oportunidades: Son los potenciales mercados, productos, servicios en los que podemos destacar y nos permitirían una mejor situación con respecto a nuestra competencia.

Amenazas: Son aquellos factores que pueden poner en riesgo la continuidad de nuestra organización, ya sean por cambios en los necesidades / expectativas de los clientes, cambios en la legislación, etc.

Evaluación de los Riesgos: Aquellos que hayan sido evaluados como Debilidad o Amenaza pasan a ser Riesgos para la Organización.

3 MATRIZ DE RIESGOS

3.1 IDENTIFICACIÓN DEL RIESGO




Código: PEP-01

Versión: 02


La Cámara de Comercio del Cauca, con base en el establecimiento del contexto,

se procede a realizar la identificación de los riesgos o eventos potenciales que

estén o no bajo su control y que ponen en riesgo el cumplimiento de su misión,

indicando la fuente, el riesgo, las causas, las consecuencias, los controles y donde

o cuando ocurre el acontecimiento.

La identificación del riesgo, se efectuará en el formato siguiente, en el cual se

relacionaran los riesgos, haciendo énfasis en aquellos más significativos para la

Cámara de Comercio del Cauca, relacionados con el desarrollo de los procesos y

objetivos institucionales.

Para el diligenciamiento del formato de identificación de riesgo, es pertinente conocer lo que indica cada concepto, así: Contexto/Proceso: Es el proceso o contexto que se analizará. Riesgo: Debilidad o Amenaza, posibles Riesgos para la Organización según el contexto. Posibles Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.

Posibles Consecuencias: Es el efecto materializado del riesgo sobre los objetivos

de la entidad; generalmente se dan sobre las personas o los bienes materiales

o inmateriales con incidencias importantes tales como daños físicos, sanciones,

CONTEXTO

/PROCESO RIESGO CAUSAS CONSECUENCIAS

IDENTIFICACIÓN DEL RIESGO




Código: PEP-01

Versión: 02


pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de

confianza, interrupción del servicio prestados y daño ambiental.

3.2 EVALUACIÓN Y VALORACIÓN DEL RIESGO:

EVALUACIÓN Y VALORACIÓN DEL RIESGO

A PROBABI

LIDAD (Muy

Alto -5) (Alto-4) (Medio-

3) (Bajo-2)

(muy Bajo-1)

B Nivel de Consecue

ncia (Muy Alto

-5) (Alto-4) (Medio-3) (Bajo-2)

(muy Bajo-1)

C Nivel del

Riesgo C=AXB (Muy Alto

25-20) (Alto 19-15) (Medio 14-10) (Bajo 9-5) (muy

Baj4-0)

Actualmente Existe Control?

SI NO

DESCRIPCIÓN DE

CONTROLES EXISTENTES

D Nivel de Control? ( MUY

FUERTE-1) (FUERTE-

2) (MEDIO-3) (DEBIL-4) (INSUFICIE

NTE-5)

E Valoració

n del Riesgo E=CXD

Muy Alto (150-120) Alto (119-

84) Medio (83-54)

Bajo (53-24)

Muy Bajo (23-0)

NIVEL DEL RIESGO

En esta etapa la Cámara de Comercio del Cauca, determinará la probabilidad de

ocurrencia de los riesgos identificados y el impacto de sus consecuencias,

evaluándolos con el fin de establecer el nivel de riesgo y las acciones que se

implementaran para tratarlo.

Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos

identificados:

Probabilidad: se entiende la posibilidad de ocurrencia del riesgo, esta puede ser

medida con criterios de frecuencia, si se ha materializado (por ejemplo: número

de veces en un tiempo determinado), o de factibilidad teniendo en cuenta la




Código: PEP-01

Versión: 02


presencia de factores internos y externos que pueden propiciar el riesgo, aunque

este no se haya materializado.

Consecuencia o Impacto: se entienden las consecuencias que puede ocasionar

para la Entidad la materialización del riesgo.

El nivel de riesgo, se determina a través de la estimación de la probabilidad de

ocurrencia y el impacto que puede ocasionar la materialización o presencia del

riesgo, para ello procederá con la calificación del riesgo.

Para determinar la probabilidad, se utiliza la siguiente tabla:

OCURRENCIA PROBABILIDAD

Muy Baja 1-2 veces en semestre

Baja 3-5 veces en semestre

Medio 1 vez al mes

Alta 1-4 veces al mes

Muy Alta 5 o más veces a la semana

PROBABILIDAD DESCRIPCIÓN VALOR

Muy Baja Improbable, muy difícil que ocurra. 1

Baja Baja probabilidad de ocurrencia, poco frecuente.

2

Medio Mediana probabilidad de ocurrencia, ocurre varias veces.

3

Alta Significativa probabilidad de ocurrencia, ocurre muchas veces.

4

Muy Alta Alta probabilidad de ocurrencia, ocurre permanentemente.

5




Código: PEP-01

Versión: 02


Para determinar las consecuencias o impacto, se utiliza la siguiente tabla:

CONSECUENCIA /

IMPACTO

DESCRIPCIÓN VALOR DESCRIPCIÓN ADICIONAL DE IMPACTO A NIVEL DEL PRESUPUESTO

Insuficiente Se afecta en forma insignificante el logro

del objetivo.

1 Que la afectación sea >= 0,01%

del presupuesto anual

Débil Se afecta un poco el logro del objetivo.

2 Que la afectación este entre el 0,01% y el 1% del presupuesto

anual

Medio Se afecta parcialmente el logro

del objetivo.

3 Que la afectación este entre el 1% y el 3% del presupuesto

anual

Fuerte Se afecta Considerablemente el

logro del objetivo.

4 Que la afectación entre el 3% y el 6% del presupuesto anual

Muy Fuerte Se afecta totalmente el logro del objetivo.

5 Que la afectación superior al 6 % del presupuesto anual

Control: Es un mecanismo preventivo que permite la oportuna detección y

corrección de desviaciones, ineficiencias o incongruencias.

En esta etapa, la Cámara de Comercio del Cauca, procederá determinar el nivel

del riego antes de controles: multiplicando los resultados de Probabilidad x

Consecuencia o impacto = Valoración y a su vez arroja el nivel de riesgo

En esta etapa la Cámara de Comercio del Cauca, procederá con la confrontación

de los resultados del análisis del riesgo con los controles existentes, los cuales

pueden ser:

NIVEL DEL CONTROL

DESCRIPCIÓN VALOR

Muy Fuerte El control está documentado, es efectivo en un 100% y se aplica actualmente

1

Fuerte El control está documentado, es efectivo en un 90% y se aplica actualmente

2




Código: PEP-01

Versión: 02


Medio El control es un 50% efectivo para mitigar las consecuencias.

3

Débil El control es un 25% efectivo para mitigar las consecuencias.

4

Insuficiente El control no es efectivo y no se aplica 5

Nulo No existe ningún control 6

VALORACIÓN DEL RIESGO:

Para realizar la Valoración del Riesgo: se multiplicaran los resultados del nivel del

riesgo con el nivel del control, según la celda que ocupe se determina el nivel del

riesgo, la cual nos permite establecer los riesgos por niveles así:

Los riesgos Muy Altos (MA) 150 - 120

Los riesgos Altos (A) 119- 84

Los riesgos Medio (M). 83- 54

Los riesgos Bajos (B). 53- 24

Los riesgos Muy Bajos (MB) 23-0

Con lo anterior podemos clasificar el riesgo dependiendo de la puntuación que

haya obtenido de la siguiente manera:

Zona de riesgo Muy Alto (MA) 150 - 120

Zona de riesgo Alto (A) 119- 84

Zona de riesgo Medio (M) 83- 54

Zona de riesgo Bajo (B) 53- 24

Zona de riesgo Muy Bajo (MB) 23-0

Esto permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad; de esta forma es posible distinguir entre los riesgos de magnitud Bajo, Moderado, Alto y Extremo para luego fijar las prioridades de las acciones requeridas para su tratamiento.




Código: PEP-01

Versión: 02


3.3 TRATAMIENTO DEL RIESGO.

Para realizar la toma de decisiones para el tratamiento del riesgo la Cámara de

Comercio del Cauca, debe tener en cuenta la zona de riesgo en la que se encuentra

para que pueda seleccionar una o más opciones de tratamiento aplicando los

siguientes criterios:

ZONA DE RIESGO MUY ALTA (MA)

Zona de riesgo inaceptable se debe:

(Impacto catastrófico o severo).

Evitar el riesgo, reducir el riesgo, compartir o transferir el riesgo – Requiere acción inmediata y necesita atención de la alta dirección.

ZONA DE RIESGO ALTA (A)

Zona de riesgo Importante se debe:

(Impacto mayor).

Evitar el riesgo, compartir o transferir el riesgo – necesita atención de la alta dirección

ZONA DE RIESGO MEDIO

(M) Zona de Riesgo Moderado se debe:

(Impacto menor).

Reducir el riesgo, se debe realizar un análisis del costo beneficio en el que se decida reducir el riesgo, asumirlo o compartirlo.

ZONA DE RIESGO BAJA (B)

Zona de riesgo aceptable se debe:




Código: PEP-01

Versión: 02


(Impacto bajo).

Asumir el riesgo o reducir el riesgo, su impacto es bajo, significa que la Entidad puede tomar medidas de control mediante procedimientos rutinarios.

Zona de riesgo Muy Bajo (MB)

Zona de riesgo tolerable se debe:

(Impacto insignificante).

Asumir el riesgo, su impacto es INSIGNIFICANTE significa que la Entidad lo asume, sin necesidad de tomar medidas de control diferentes a las que se poseen, se manejan procedimientos rutinarios.

EVITAR EL RIESGO: Tomar las medidas encaminadas a prevenir su materialización,

es siempre la primera alternativa a considerar, se logra cuando al interior de los

procesos se generan cambios sustanciales por mejoramiento, rediseño o

eliminación, resultado de unos adecuados controles y acciones emprendidas. Un

ejemplo de esto puede ser el mantenimiento preventivo de los equipos, desarrollo

tecnológico, etc.

REDUCIR EL RIESGO: Implica tomar medidas encaminadas a disminuir tanto la

probabilidad (medidas de prevención), como el impacto (medidas de protección).

La reducción del riesgo es probablemente el método más sencillo y económico para

superar las debilidades antes de aplicar medidas más costosas y difíciles. Se

consigue mediante la optimización de los procedimientos y la implementación de

controles.

DISPERSAR O TRANSFERIR EL RIESGO: Reduce su efecto a través del traspaso de

las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o

a través de otros medios que permiten distribuir una porción del riesgo con otra

entidad, como en los contratos a riesgo compartido. Es así como por ejemplo, la

información de gran importancia se puede duplicar y almacenar en un lugar

distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

ASUMIR EL RIESGO RESIDUAL: Luego de que el riesgo ha sido reducido o

transferido puede quedar un riesgo residual que se mantiene, en este caso el




Código: PEP-01

Versión: 02


gerente del proceso simplemente acepta la pérdida residual probable y elabora

planes de contingencia para su manejo.

IMPORTANTE: Siempre que el riesgo sea calificado en una zona de riesgo MUY

ALTA, con impacto catastrófico, se deben diseñar y validar planes de

contingencia, para protegerse con efectividad en caso de su ocurrencia.

Finalmente se deberán determinar las acciones a emprender las cuales deben ser

factibles y efectivas, como definición de políticas, optimización de procesos,

rediseño, adquisición de tecnología, capacitaciones, establecimiento de

controles.

Las acciones planteadas deberán expresarse en un cronograma, asignar

responsables de su ejecución y definir indicadores de medición.

Con las disposiciones anteriores la Cámara de Comercio del Cauca, procederá con

la elaboración del mapa de riesgos por cada proceso del sistema de gestión de

riesgos, en el siguiente formato:

3.4 TRATAMIENTO-MONITOREO Y REVISIÓN

La responsabilidad del monitoreo y revisión en la Cámara de Comercio del Cauca

estará a cargo de los líderes de proceso y periódicamente del proceso de Control

Interno o de quien haga sus veces, con el fin de evaluar los resultados de

la eficacia.

Nota: Las oportunidades se ingresan como acciones de mejora, en el aplicativo de

intranet de la Entidad.

CAMBIO DE VERSIÓN: Creación de procedimiento para la gestión de Riesgos y

Oportunidades, según enfoque de la NTC ISO 9001:2015.

EVITAR EL RIESGOREDUCIR EL

RIESGO

DISPERSAR O

TRANSFERIR EL

RIESGO

ASUMIR EL

RIESGO

RESIDUAL

TOMA DE ACCIONES

PLAN DE ACCIÓNRESPONSABLE

FECHA DE

EJECUCIÓN

FECHA DE

REVISIÓN

EFICAZ

SI-NOOBSERVACIÓN

TRATAMIENTO DEL RIESGO

Código: PEP-01 PROCEDIMIENTO GESTIÓN DE RIESGOS Y … Procedimiento de... · un riesgo puede...

Documents

Transcript of Código: PEP-01 PROCEDIMIENTO GESTIÓN DE RIESGOS Y … Procedimiento de... · un riesgo puede...