Metodología de implementación del mapa de riesgo

Presentación

La construcción del mapa de riesgos hace parte de todo el proceso de

administración del riesgo. Entendido éste como todo aspecto o suceso
que afecte el buen cumplimiento de la misión de los procesos o
procedimientos de la institución. El objetivo es elevar la capacidad y la
calidad en el funcionamiento de la institución, garantizando la eficiencia
y la eficacia de los procesos.

 Pasos para la identificación de los riesgos.

 1. Consolidar el mapa de riesgos con los responsables de

coordinar con sus áreas la identificación de los riesgos o eventos
adversos inherentes a sus procesos y procedimientos.

Es muy importante el compromiso y respaldo de la alta dirección,

de tal manera que apoye la Unidad y se fomente en ella un alto
grado de participación en el proceso de construcción del mapa de
riesgos y exista interacción y retroalimentación con todas las
Direcciones y oficinas de la Institución.

2. Los integrantes de esta Unidad se deben capacitar en los

conceptos básicos y en el manejo y diligenciamiento de formatos
y en la recolección de información.

Es vital la identificación y definición de lo que es un riesgo, cuál

es su probabilidad de ocurrencia y el impacto que puede generar
en el caso de materializarse o cual es la consecuencia de la
ocurrencia de un riesgo, qué es probabilidad de ocurrencia de un
riesgo, impacto, análisis cuantitativo, análisis cualitativo y de todos
aquellos conceptos fundamentales en el manejo de los riesgos a
fin de unificar criterios.

 3. Cada integrante de la Unidad debe tener, como responsabilidad

principal, la de socializar los aspectos en los que se le capacite
con todos los integrantes de la dependencia de las que hacen
parte, por tanto se les denominará grupo coordinador y
 multiplicador del proceso de construcción del mapa de
riesgos institucional.

 4. Es importante establecer los temas y fechas de capacitación
frente a la determinación, valoración y el manejo de los riesgos.

 5. Se debe establecer el tiempo para recolectar toda la
información concerniente a los riesgos.

 6. Es importante definir los riesgos que afectan los procesos de
las áreas. Clasificándolos en misionales, de soporte y de gestión
basándose en el mapa de procesos de la Institución.

Para éste efecto, el representante de cada área debe encontrarse en

capacidad de leer y analizar los manuales de procesos y procedimientos
que le corresponden, así como validar los riesgos consolidados en ellos.
Una vez se tengan validados y consolidados los riesgos se debe
establecer si en efecto son los únicos riesgos que existen en el
desarrollo de cada uno de los procesos, en caso de no ser así, se
deberá realizar el inventario de los riesgos adicionales y se consolidarán
en el mismo formato.

De los manuales de procesos y procedimientos básicamente se extrae

la siguiente información que satisface algunos aspectos

 Proceso y/o procedimiento en el que se encuentra el riesgo, el

representante del área en el mapa de riesgos es quien debe
tomar la decisión con el responsable del proceso o procedimiento
si el riesgo es de carácter interno o externo y los controles
existentes al respecto. Con relación a los controles existentes, en
algunos casos es posible que éstos no se encuentren
establecidos en los procesos, lo cual se debe indicar.
 La descripción del riesgo y las posibles consecuencias que trae a
la dependencia, a la institución, al logro del resultado, al
procedimiento o al proceso deben ser resultado de la
concertación entre el responsable de la Unidad y el responsable
del proceso o procedimiento.
 El responsable de la Unidad debe identificar los riesgos
inherentes al desarrollo de las actividades que rutinariamente son
desarrolladas en dicha área. Se debe por tanto identificar los
 resultados que diariamente deben lograr en cumplimiento de las
actividades rutinarias y los riesgos que se interponen para
alcanzar esos resultados.
 Una vez se tienen identificados todos los riesgos existentes en la
Supersolidaria –por dependencia o área - se debe pasar a su
análisis. Dentro de los tiempos establecidos; las fases
mencionadas a continuación serán objeto de trabajo durante el
año.

 Análisis del riesgo

El objetivo del análisis es el de establecer una valoración y priorización

de los riesgos con base en la información ofrecida por los mapas
elaborados en la etapa de identificación, con el fin de clasificar los
riesgos y proveer información para establecer el nivel de riesgo y las
acciones que se van a implementar. El análisis del riesgo dependerá de
la información sobre el mismo, de su origen y la disponibilidad de los
datos. Para adelantarlo es necesario diseñar escalas que pueden ser
cuantitativas o cualitativas o una combinación de las dos.

Se han establecido dos aspectos para realizar el análisis de los riesgos

identificados:

Probabilidad:

La posibilidad de ocurrencia del riesgo; esta puede ser medida con

criterios de frecuencia o teniendo en cuenta la presencia de factores
internos y externos que pueden propiciar el riesgo, aunque éste no se
haya presentado nunca.

Impacto:

Consecuencias que puede ocasionar a la Institución, la materialización

del riesgo en caso de sucederse.

A continuación, se presentan algunos ejemplos de las escalas que

pueden implementarse para analizar los riesgos.
Análisis cualitativo:

Se refiere a la utilización de formas descriptivas para presentar la

magnitud de consecuencias potenciales y la posibilidad de ocurrencia.
Se diseñan escalas ajustadas a las circunstancias de acuerdo a las
necesidades particulares o el concepto particular del riesgo evaluado.

Escala de medida cualitativa de PROBABILIDAD: se deben establecer

las categorías a utilizar y la descripción de cada una de ellas, con el fin
de que cada persona que aplique la escala mida a través de ella los
mismos ítems, por ejemplo:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.

Ese mismo diseño puede aplicarse para la escala de medida cualitativa

de IMPACTO, estableciendo las categorías y la descripción, por
ejemplo:

ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto

sobre la Institución

MEDIO: Si el hecho llegara a presentarse tendría medio impacto o

efecto en la Institución

BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto

en la Institución
Analisis cuantitativo:

Este análisis contempla valores numéricos; la calidad depende de lo

exactas y completas que estén las cifras utilizadas. Básicamente se
refiere a la construcción de indicadores que reflejen tanto la probabilidad
de ocurrencia como el impacto que pueden causar. La forma en la cual
la probabilidad y el impacto son expresados y las formas por las cuales
ellos se combinan para proveer el nivel de riesgo puede variar de
acuerdo al tipo de riesgo.

Con base en los ejemplos anteriormente expuestos, el responsable de

la Unidad es el encargado de establecer la metodología dentro de la
cual se establecerán las probabilidades y los impactos a cada uno de
los riesgos y la escala de valoración.

Con los planteamientos realizados hasta el momento se debe por tanto

establecer la información con la que se diligenciara.

Priorización de los riesgos

Una vez realizado el análisis de los riesgos con base en los aspectos
de probabilidad e impacto, se recomienda utilizar la matriz de
priorización que permite determinar cuáles requieren de un tratamiento
inmediato.

Esta matriz se realiza en primera instancia al interior de cada una de las

dependencias los resultados que de aquí se deriven servirán para
socializarlos con el mapa de riesgos.

Para su medición, se desarrollaron las siguientes escalas:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.

IMPACTO: Son las consecuencias internas y externas que pueden
ocasionar la materialización del evento adverso, afectando el logro de
los objetivos propuestos.

Las escalas de medición del impacto del evento adverso son las
siguientes:

ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto

sobre la entidad

MEDIO: Si el hecho llegara a presentarse tendría medio impacto o

efecto en la entidad

BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto

en la entidad

Evaluación del riesgo

Para realizar la evolución del riesgo se debe tener en cuenta la posición

del riesgo en la matriz, aplicando los siguientes criterios:

Riesgo inaceptable: Requiere acciones inmediatas

Riesgo aceptable: El riesgo se encuentra en un nivel que se puede

aceptar, sin necesidad de tomar otras medidas de control diferentes a
las que se poseen.

Si el riesgo se sitúa en cualquiera de las otras zonas (Riesgo tolerable,

moderado o importante) se deben tomar medidas para llevar los
riesgos a la zona Aceptable o Tolerable en lo posible.
Determinación del nivel del riesgo

La determinación del nivel de riesgo es el resultado de confrontar el

impacto y la probabilidad con los controles existentes al interior de los
diferentes procesos y procedimientos que se realizan. Para adelantar
esta etapa se deben tener muy claros los puntos de control existentes
en los diferentes procesos, los cuales permiten obtener información
para efectos de tomar decisiones, estos niveles de riesgo pueden ser:

De la matriz de priorización, debe resultar el orden sistemático de los

riesgos, enumerados de mayor a menor de acuerdo a su probabilidad
vs. impacto.

Ahora se deben determinar los controles que existen en la institución

para la eliminación o disminución del riesgo. De donde se puede obtener
que:

Manejo del riesgo

Cualquier esfuerzo que emprenda la entidad en torno a la valoración del

riesgo llega a ser en vano, si no culmina en un adecuado manejo y
control de los mismos definiendo acciones factibles y efectivas, tales
como la implantación de políticas, estándares, procedimientos y
cambios físicos entre otros, que hagan parte de un plan de manejo.

Para el manejo del riesgo se pueden tener en cuenta alguna de las

siguientes opciones, las cuales pueden considerarse cada una de ellas
independientemente, interrelacionadas o en conjunto.
Evitar el riesgo:

es siempre la primera alternativa a considerar. Se logra cuando al

interior de los procesos se genera cambios sustanciales de
mejoramiento, rediseño o eliminación, resultado de unos adecuados
controles y acciones emprendidas. Un ejemplo de esto puede ser el
control de calidad, manejo de los insumos, mantenimiento preventivo de
los equipos, desarrollo tecnológico, etc.

Reducir el riesgo:

si el riesgo no puede ser evitado porque crea grandes dificultades

operacionales, el siguiente paso es reducirlo al más bajo nivel posible.
La reducción del riesgo es probablemente el método más sencillo y
económico para superar las debilidades antes de aplicar medidas más
costosas y difíciles. Se consigue mediante la optimización de los
procedimientos y la implementación de controles. Ejemplo: Planes de
contingencia.

Dispersar y atomizar el riesgo:

Se logra mediante la distribución o localización del riesgo en diversos

lugares. Es así como por ejemplo, la información de gran importancia
se puede duplicar y almacenar en un lugar distante y de ubicación
segura, en vez de dejarla concentrada en un solo lugar.

Transferir el riesgo:

Hace referencia a buscar respaldo y compartir con otro parte del riesgo
como por ejemplo tomar pólizas de seguros; se traslada el riesgo a otra
parte o físicamente se traslada a otro lugar. Esta técnica es usada para
eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así
mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo
o dependencia.
Asumir el riesgo:

Luego de que el riesgo ha sido reducido o transferido puede quedar un

riesgo residual que se mantiene, en este caso el dueño del proceso
simplemente acepta la pérdida residual probable y elabora planes de
contingencia para su manejo.

Una vez establecidos cuales de los anteriores manejos del riesgo se

van a concretar, estos deben evaluarse con relación al beneficio-costo
para definir, cuales son susceptibles de ser aplicadas y proceder a
elaborar el plan de manejo de riesgo, teniendo en cuenta, el análisis
elaborado para cada uno de los riesgos de acuerdo con su impacto,
probabilidad y nivel de riesgo.

Posteriormente se definen los responsables de llevar a cabo las

acciones especificando el grado de participación de las dependencias
en el desarrollo de cada una de ellas. Así mismo, es importante construir
indicadores, entendidos como los elementos que permiten determinar
de forma práctica el comportamiento de las variables de riesgo, que van
a permitir medir el impacto de las acciones.

Plan de manejo de riesgos.

Para elaborar el plan de manejo de riesgos es necesario tener en cuenta

si las acciones propuestas reducen la materialización del riesgo y hacer
una evaluación jurídica, técnica, institucional, financiera y económica,
es decir considerar la viabilidad de su adopción. La selección de las
acciones más convenientes para la entidad se puede realizar con base
en los siguientes factores:

 Nivel del riesgo

 Balance entre el costo de la implementación de cada acción contra
el beneficio de la misma.

Una vez realizada la selección de las acciones más convenientes se

debe proceder a la preparación e implementación del plan, identificando
responsabilidades, programas, resultados esperados, medidas para
verificar el cumplimiento y las características del monitoreo. El éxito de
la implementación del plan requiere de un sistema gerencial efectivo el
cual tenga claro el método que se va a aplicar.

Elaboración del mapa de riesgos

El mapa de riesgos puede ser entendido como la representación o

descripción de los distintos aspectos tenidos en cuenta en la valoración
de los riesgos que permite visualizar todo el proceso de la valoración
del riesgo y el plan de manejo de estos. El mapa de riesgos debe
contener las situaciones adversas que pueden afectar el plan
estratégico institucional 2007-2010 "SUPERVISION INTEGRAL
DESARROLLO PARA TODOS" identificando y definiendo los riesgos
internos y externos que afecten su normal desarrollo, por cuanto el plan
estratégico señala el camino que la entidad orientara en el cuatrienio en
desarrollo de su misión.

Monitoreo

Una vez diseñado y validado el plan para administrar los riesgos, es

necesario monitorearlo permanentemente teniendo en cuenta que estos
nunca dejan de representar una amenaza para la organización, el
monitoreo es esencial para asegurar que dichos planes permanecen
vigentes y que las acciones están siendo efectivas. Evaluando la
eficiencia en la implementación y desarrollo de las acciones de control,
es esencial adelantar revisiones sobre la marcha del plan de manejo de
riesgos para evidenciar todas aquellas situaciones o factores que
pueden estar influyendo en la aplicación de las acciones preventivas.

El monitoreo debe estar a cargo de la Oficina de Control Interno y su

finalidad principal será la de aplicar los correctivos y ajustes necesarios
para asegurar un efectivo manejo del riesgo. La Oficina de Control
Interno dentro de su función determinará conjuntamente con las
diferentes dependencias los aspectos que se encuentran débiles en
cuanto al manejo de los riesgos y hará sugerencias para el
mejoramiento y tratamiento de los riesgos detectados.
Autoevaluación

La evaluación del plan de manejo de riesgos se debe realizar con base

en los indicadores de gestión diseñados para tal fin y los resultados de
los monitoreos aplicados en diferentes períodos. Así mismo, se evaluará
como ha sido el comportamiento del riesgo y de qué manera a través
del tiempo se van presentado nuevos riesgos que deban ser
administrados.

Identificación de Riesgos en los Procesos y Procedimientos

PROCESO RIESGO RIESGO DESCRIPCION CAUSAS POSIBLES CONTROL
CONSECUENCIAS EXISTENTE
INTERNO EXTERNO