PROPUESTA PARA EL MANEJO DE RIESGOS EN LA SECRETARIA DISTRITAL DE HACIENDA
NATALIA MARIA CHÁVEZ NAVARRETE
ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA ESAP FACULTAD DE PREGRADO
PROPUESTA PARA EL MANEJO DE RIESGOS EN LA SECRETARIA DISTRITAL DE HACIENDA
NATALIA MARIA CHÁVEZ NAVARRETE
INFORME FINAL PRÁCTICA ADMINISTRATIVA
Asesor ESAP:
JORGE ALBERTO BLANCO DUARTE
Asesor Secretaria De Hacienda Distrital RUBIELA HERNANDEZ VELASCO
ESCUELA SUPERIOR DE ADMINISTRACIÓN PÚBLICA ESAP FACULTAD DE PREGRADO
PROGRAMA EN CIENCIAS POLÍTICAS Y ADMINISTRATIVAS BOGOTÁ, D.C.
Agradecimientos
CONTENIDO
1. INTRODUCCION 6
2. PRIMERA PARTE 7
2.1. IDENTIFICACIÓN DEL TIPO DE PRÁCTICA ADMINISTRATIVA 7 Y SU RELACIÓN CON EL TEMA A DESARROLLAR 2.2. OBJETIVOS DE LA PRÁCTICA ADMINISTRATIVA 8 2.3. PRODUCTO FINAL DE LA PRACTICA ADMINISTRATIVA 9
2.4. MARCO DE REFERENCIA 9
2.5. MARCO INSTITUCIONAL 10
2.6. MARCO HISTORICO 11
2.7. MARCO JURIDICO 12
2.8. MARCO TEÓRICO 14
2.9. MARCO CONCEPTUAL 15
2.10. METODOLOGIA 17
2.11. CRONOGRAMA DE ACTIVIDADES 18
2.12. ORGANIGRAMA 19
3. SEGUNDA PARTE 20
3.1. MARCO CONCEPTUAL 21
3.1.1. UNA HERRAMIENTA PARA CONSIDERAR EL COSO 22 3.1.2. GESTIÓN DE RIESGOS EN LA ORGANIZACIÓN 26
3.1.3. LA ADMINISTRACIÓN DEL RIESGO 29
3.1.4. LA ADMINISTRACIÓN DEL RIESGO I 31
3.1.5. CIRCULAR EXTERNA 049 DE 2006. CAPÍTULO XXIII 33 3.1.6. ADMINISTRACIÓN DEL RIESGO Y MEJORES PRÁCTICAS 36 DE CONTROL INTERNO
3.1.7. RIESGO OPERATIVO EN LA BANCA 49
3.1.8. RIESGOS CORPORATIVOS 50
3.1.9. ADMINISTRACIÓN DEL RIESGO ESTÁNDAR AS/NZ 4360 51
4. ESTADO DEL ARTE 56
4.1. ELEMENTOS CLAVES DEL MECI 56
5. DIAGNOSTICO SHD 64
5.1. ELEMENTOS CLAVES DEL SARO 66
6. POLITICA ADMINISTRACION DE RIESGO SHD 72
7. PROPUESTA METODOLOGICA PARA LA ADMINISTRACION DE RIESGOS SECRETARIA DISTRITAL DE HACIENDA 74
7.1. OBJETIVOS 75
71.2. OBJETIVOS ESPECÍFICOS 75
7.2. MARCO NORMATIVO 76
7.2.1 MARCO LEGAL 76
7.2.2. NORMAS TECNICAS ESTANDARES 77
7.3. IMPORTANCIA 77
7.4. ASPECTOS CLAVES 78
7.5. RESPONSABLES DE LA ADMINISTRACIÓN DEL RIESGO 78
7.6. DOCUMENTACIÓN 79
7.7. COMUNICACIÓN 79
7.8. ELEMENTOS DE CONTROL DE LA ADMINISTRACIÓN DEL
RIESGO 79
7.8.1. CONTEXTO ESTRATÉGICO 79
7.8.2. IDENTIFICACIÓN DE RIESGOS 80
7.8.3. DEFINIR LAS ÁREAS DE IMPACTO 80
7.8.4. DEFINIR LAS FUENTES DE RIESGO 81
7.8.5. CONSTRUCCIÓN DE MAPAS DE RIESGOS 81
7.8.6. ANÁLISIS DE RIESGO 82
7.8.7. CALIFICACIÓN DEL RIESGO 82
7.8.8. CUANTIFICACION DEL RIESGO 84
7.8.9. VALORACIÓN DE RIESGOS 85
7.8.10. VALORAR ABSOLUTAMENTE 86
7.8.11. VALORAR CON CONTROLES 88
7.8.12. VALORAR CON TRATAMIENTOS 91
7.8.13. MONITOREO 94
7.9. MANEJO DE RIESGOS 96
7.9.1. OPCIONES PARA EVITAR LA MATERIALIZACIÓN DE LOS 97 RIESGOS
7.9.2. OPCIONES PARA REDUCIR EL RIESGO 99 7.9.3. OPCIONES PARA DISPERSAR Y ATOMIZAR EL RIESGO 101 7.9.4. OPCIONES PARACOMPARTIR O TRANSFERIR EL RIESGO 101
7.10. RECURSOS 102
8. GLOSARIO 103
INTRODUCCION
Desde la Constitución Nacional de 1991 se invoca la figura de Control Interno, la cual busca crear todo un modelo de control capaz de satisfacer las demandas y situaciones que se presentan en las organizaciones publicas y privadas, es así como desde la Ley 42 de 1993 donde se reglamenta todo lo pertinente a la estructura, operación, modelo de control, tipos de control, funciones y atribuciones del control Fiscal en Colombia en su Art 18 habla del Control Interno así “ La evaluación del Control Interno es el análisis de los sistemas de control de la entidades sujetas a la vigilancia, con el fin de determinar la calidad de los mismos, el nivel de confianza que se les puede otorgar y si son eficaces y eficientes en el cumplimiento de los objetivos”.
Se entiende por Control Interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.
Pero es en la Ley 87 del 29 de Noviembre de 1993 donde se puntualiza su definición como sistema, sus objetivos, sus características elementos del sistema, campo de aplicación entre otros. Es de esta forma que debemos entender el Control Interno como una actividad permanente y esencial en todas las organizaciones, es de esta forma se logra medir la gestión de las entidades.
2. PRIMERA PARTE
2.1. IDENTIFICACIÓN DEL TIPO DE PRÁCTICA ADMINISTRATIVA Y SU RELACIÓN CON EL TEMA A DESARROLLAR
El tema a desarrollar en la presente práctica administrativa es elaborar un Documento que contenga una propuesta para el manejo de riesgos de la entidad. Este documento será una propuesta metodológica que permita mejorar las técnicas para la valoración de los riesgos operativos, estratégicos y financieros, así mismo permitirá la actualización de la información que se implementa actualmente generando avances en el direccionamiento de riesgos de la entidad.
Este trabajo consiste en realizar la revisión bibliográfica acerca de la información actualizada de de riesgos a nivel general, así como un estudio de la información de riesgos que se maneja en la Secretaria Distrital de Hacienda y de esta manera identificar que adelantos se deberían llevar a cabo en el proceso actual de manejo de riesgos.
2.2. OBJETIVOS DE LA PRÁCTICA ADMINISTRATIVA
OBJETIVO GENERAL.
• Diseñar una propuesta para el manejo de riesgos en la secretaría Distrital de Hacienda.
OBJETIVOS ESPECIFICOS.
• Revisar información teórica del manejo de riesgos que actualmente se utiliza.
• Elaborar un diagnostico del manejo de riesgos de la Secretaria de Hacienda Distrital
2.3 PRODUCTO FINAL DE LA PRÁCTICA ADMINISTRATIVA.
• Propuesta para el manejo de riesgos de la Secretaria Distrital de Hacienda.
2.4. MARCO DE REFERENCIA
La Secretaría Distrital de Hacienda de Bogotá, es la entidad rectora de los temas económicos y financieros de la ciudad, hace parte de la Administración Central Distrital y depende directamente de la Alcaldía Mayor.
En la actualidad las funciones hacendarías se cumplen mediante nueve Direcciones que corresponden a Dirección Distrital de Impuestos, Dirección Distrital de Presupuesto, Dirección Distrital de Tesorería, Dirección Distrital de Contabilidad, Dirección Distrital de Crédito Público y Dirección de Estadísticas y Estudios fiscales, Dirección de Sistemas, Dirección Jurídica y Dirección de Gestión Corporativa, en cuanto al Área de Control Interno las funciones están a cargo del Despacho Distrital de Hacienda.
2006, es la cabeza del sector Hacienda, que esta integrado por la Secretaria Distrital de Hacienda, y por la Unidad Administrativa Especial de Catastro Distrital.
2.5. MARCO INSTITUCIONAL
Misión
Garantizar la sostenibilidad de las Finanzas Públicas Distritales y la eficiente asignación de los recursos mediante el diseño e implementación de políticas hacendarías con un talento humano altamente competente y comprometido socialmente, con una adecuada infraestructura organizacional para la construcción de una ciudad moderna, incluyente, humana y productiva.
Visión
Proyectarse como una entidad reconocida Nacional e internacionalmente por el manejo sostenible y transparente de las Finanzas Públicas Distritales, como una entidad cercana al ciudadano que genera conciencia sobre la equidad social y como modelo de gestión pública moderna, incluyente, humana y productiva.
Valores y Principios
1. Solidaridad. Elemento esencial de la convivencia que implica compromiso y ayuda mutua, en especial con las personas que se encuentran en situaciones de vulnerabilidad, indefensión o riesgo.
2. Lealtad. Compromiso y coherencia entre lo que pensamos, decimos y hacemos. Es una cualidad que no permite traición o engaño.
3. Coraje. Capacidad para asumir y vencer con energía los retos y obstáculos que se presentan, mediante decisiones oportunas que generen resultados e impactos positivos.
5. Responsabilidad. Implica el cumplimiento de los deberes, obligaciones y derechos con y frente a lo que nos corresponde como miembros de una sociedad, en el tiempo, forma y lugar requeridos.
6. Honestidad (transparencia). Es un principio de vida que implica pulcritud en las actuaciones, sinceridad en las relaciones, ética en las decisiones y extremo celo y probidad con lo que nos confían.
7. Compromiso (pertenencia). Es hacer con amor, con vocación, con diligencia, con eficiencia y con responsabilidad las tareas que nos encomienda.
2.6. MARCO HISTORICO:
Las figuras de tributación en Colombia estuvieron asociadas en un primer momento a la encomienda, la cual constituía una suerte de capitación, es decir de impuesto personal independiente de la riqueza o ingresos del individuo. El tributo se tasaba periódicamente en dinero o en frutos, y en un primer momento lo percibieron los encomenderos. Desde 1631 se dejaron de conferir encomiendas y el indio empezó a pagar su tributo directamente a la Real Hacienda. El impuesto de indios comenzó a declinar en la misma proporción en la que comenzó a aumentar el mestizaje en América. En una primera instancia se exceptuó a los mestizos del pago del tributo; posteriormente, en 1729, el impuesto se abolió por completo. Esta renta llegó a ser, en su momento, una de las más importantes en el Nuevo Reino de Granada.
Mediante ordenanza del 2 de junio de 1863 se crea la Tesorería del Distrito cuyo objetivo principal era la administración de las rentas del Distrito. Posteriormente, mediante la ordenanza número 27 del 25 de abril de 1912 se reglamenta la Hacienda Municipal con el nombre de Fisco Municipal, la cual se divide en Bienes del Municipio y Tesoro del Municipio, quedando como único ordenador el Alcalde con función que no puede delegar, para lo cual remitirá oportunamente al Tesorero cada carta de aviso de los giros que debe realizar.
Mediante Ley 0072 se crea el cargo de Secretario de Hacienda como “ordenador de los gastos municipales. Solo hasta entonces, la entidad comienza a llamarse y a ser reconocida como Secretaria de Hacienda.
1927. El decreto 47 señala las atribuciones al Secretario de Hacienda.
1941. Bogota supera los rigores de la Segunda Guerra Mundial. Las rentas ordinarias ofrecen un rendimiento que sobrepasa los cálculos previos, con una liquidación presupuestal sin precedentes en la historia fiscal del municipio.
1974. El acuerdo 12 establece las funciones de la Dirección de la Secretaria de Hacienda y le asigna la responsabilidad de manejar las finanzas distritales, ordenar el pago de las cuentas de cobro del Distrito y dirigir las actividades y programas encomendados a sus dependencias (Presupuesto, Impuestos, Catastro, Administrativa y Junta de Hacienda).
1980. La secretaria de Hacienda adquiere sus tres primeros computadores, uno de los cambios mas importantes en su historia por que le perm itio agilizar la prestación de sus servicios de forma eficaz.
1993.Se expide el Estatuto Orgánico de Bogota lo que le permite al Distrito realizar una amplia reforma fiscal, que incluye aspectos tributarios, presupuestales, financieros, administrativos e institucionales.
1993. El decreto Ley 1421, y con él, la reforma Tributaria que permite aumentar los recursos del Distrito. Se establece el autoavaluo y se bimensualiza el impuesto de Industria y Comercio (ICA), se fusiona la Secretaria de Hacienda y la Tesorería y nace el recaudo a través de la red bancaria lo que mejora la atención al contribuyente.
1998-2000. El distrito presenta un impacto positivo en la inversión, el desarrollo social, la economía y la urbanística de la capital. Se consolidad y mantiene la sostenibilidad financiera con los indicadores mas altos registrados hasta el momento.
2003. Los contribuyentes pueden realizar el pago de sus impuestos por medios electrónicos, lo que redunda en mayor facilidad para este procedimiento.
2004-2006. Para este periodo el recaudo por impuestos distritales asciende a $8.4 billones superando las metas estipuladas, con un incremento del 28% con respecto al 2003.
2.7. MARCO JURIDICO
La Constitución Política de 1991 en sus artículos 209 y 269 incorporó el concepto del Control Interno como un instrumento orientado a garantizar el logro de los objetivos de cada entidad del Estado y el cumplimiento de los principios que rigen la función pública. Por su parte, la Ley 87 de 1993 establece normas para el ejercicio del Control Interno en las entidades y organismo del Estado, y la Ley 489 de 1998 dispuso la creación del Sistema Nacional de Control Interno, con el fin de buscar mayor eficacia e impacto del Control Interno en las entidades del Estado. El Departamento Administrativo de la Función Pública, promovió la adopción e implementación de un modelo de control interno, iniciativa que fue acogida por el Consejo Asesor del Gobierno Nacional en materia de Control Interno, que condujo a la expedición del Decreto 1599 de 2005 “por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005”.
Ley 87 de 1993: “Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones”. Esta Ley se encuentra, a su vez, reglamentada por los siguientes decretos
Decreto 1826 de 1994, “Por el cual se reglamenta parcialmente la Ley 87 de 1993”.
Decreto 1537 de 2001, “Por el cual se reglamenta parcialmente la Ley 87 de 1993, en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado”.
Decreto 1599 de 2005, “Por el cual se adopta el Modelo Estándar de Control Interno para el Estado colombiano”.
Resolución No. DSH-000209-2005 “Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en la Secretaría de Hacienda de Bogotá D.C.” Resolución No. DSH-000548 -2006 “Por la cual se adopta el Manual Específico de Funciones y de Competencias Laborales para los Empleados de la Planta de Cargos de la Secretaria Distrital de Hacienda”
Decreto 800 de diciembre 27 de 1996 “Por el cual se reestructuran las dependencias de la Secretaría de Hacienda y se establece su organización administrativa y funcional”
Decreto 1049 de 1998 “Por el cual se modifica la denominación de las dependencias de la secretaria de hacienda de Santa fe de Bogota”
Reestructuración de la oficina de Control Interno en la Secretaría Distrital de Hacienda.
Decreto 270 de 2001 “Por el cual se establece la estructura organizacional de la Secretaria de Hacienda de Bogota y se determinan las funciones de sus dependencias”
Decreto 312 de 2003 “Por el cual se modifica la estructura organizacional de la Secretaría de Hacienda de Bogotá, D.C” (Derogado por el artículo 57 del Decreto Distrital 333 de 2003).
Decreto 333 de 2003 “Por el cual se adopta la estructura interna de la Secretaría de Hacienda de Bogotá D. C. y se determinan las funciones de sus dependencias” Decreto 545 de 2006 “Por el cual se adopta estructura interna y funcional de la Secretaría Distrital de Hacienda y se dictan otras disposiciones”
Decreto 109 de 2007 “Por el cual se modifica parcialmente la estructura organizacional de la Secretaría de Hacienda de Bogotá d.c., y se determinan las funciones de sus dependencias como consecuencia de lo dispuesto por el decreto ley 785 de 2005"
2.8. MARCO TEÓRICO
Hoy el Sistema de Control Interno cobra mayor fuerza en las organizaciones, este mecanismo de seguimiento surgió con la necesidad de medir la eficiencia, eficacia y efectividad de las actividades que desarrollaba cualquier entidad, actualmente la aplicación de los controles internos en las operaciones, procesos y procedimientos determina claramente la situación real de mismas, es por ello importante tener una planificación que sea capaz de verificar que los controles se cumplan para darle una mejor visión sobre su gestión.
estratégicos. Lo cual se encuentra reflejado en la Constitución Política y se enmarca como una competencia inherente a la Administración pública y al funcionamiento de las entidades del Estado. De esta manera a la oficina de Control Interno o quien haga sus veces le corresponde evaluar, establecer, mantener y perfeccionar en forma independiente el SCI el cual debe ser adecuado a la naturaleza, estructura y misión de la organización1.
Dentro del sistema de control interno, la administración de riesgos es fundamental en aras de asegurar el logro misional de las entidades, de sus funciones, objetivos y de sus recursos.
Dado que los riesgos son posibilidades de ocurrencia de toda situación que pueda entorpecer el curso normal del desarrollo de las funciones, que impiden el logro de los objetivos estratégicos, las entidades deben fortalecer su sistema de control interno mediante la incorporación del componente de la administración de riesgos. Para ello se debe tener elementos de control como el contexto estratégico, identificación de los riesgos, análisis de los riesgos, valoración de los riesgos y políticas de administración de riesgos.
2.9. MARCO CONCEPTUAL
SISTEMA DE CONTROL INTERNO: Es el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes, dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.
AUTOCONTROL: Capacidad de cada servidor publico de considerar el control como inherente e intrínseco a sus responsabilidades, acciones, tareas, decisiones y actuaciones.
AUTORREGULACION: Es la capacidad institucional de la Entidad Pública para reglamentar, con base en la Constitución y en la ley, los asuntos propios de su función y definir aquellas normas, políticas y procedimientos que permitan la coordinación efectiva y transparente de sus acciones.
CONTROL: Actividad de monitorear los resultados de una acción y tomar medidas para hacer correcciones inmediatas y medidas preventivas para evitar eventos indeseables en el futuro.
PROCEDIMIENTO: Método o sistema estructurado para ejecutar algunas cosas. Acto o serie de actos u operaciones con que se hace una cosa.
PROCESO: Conjunto de actividades que realiza una organización, mediante la transformación de unos insumos, para crear, producir y entregar sus productos, de tal manera que satisfagan las necesidades de sus clientes.
PRODUCTO: Resultado concreto que genera un proceso para alcanzar su objetivo más inmediato. Puede ser un bien, un servicio, cambios en calidad, cambios de eficiencia, etc.
SUBSISTEMA: Agrupación de Componentes que hace parte de un Sistema.
SUBSISTEMA DE CONTROL ESTRATÉGICO: agrupa y correlaciona los parámetros de control que orientan la entidad hacia el cumplimiento de su visión, misión, objetivos, principios, metas y políticas.
SUBSISTEMA DE CONTROL DE GESTIÓN: reúne e interrelaciona los parámetros de control de los aspectos que permiten el desarrollo de la gestión: planes, programas, procesos, actividades, procedimientos, recursos, información y medios de comunicación.
SUBSISTEMA DE CONTROL DE EVALUACIÓN: agrupa los parámetros que garantizan la valoración permanente de los resultados de la entidad, a través de sus diferentes mecanismos de verificación y evaluación.
ANÁLISIS DEL RIESGO: Elemento de Control, que permite establecer la probabilidad de ocurrencia de los eventos positivo y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la Entidad Pública para su aceptación y manejo.
2.10. METODOLOGÍA
La metodología que se utilizará para realizar la propuesta del manejo de riesgos en la Secretaria Distrital de hacienda, será descriptivo – argumentativa - propositiva. Se hará la recolección de la información sobre el manejo de riesgos con el fin de determinar los aspectos más importantes que constituyen la metodología actual.
La información será recopilada por medio de visitas a bibliotecas e indagación en la Internet, así como en la oficina de manejo de riesgos y en la dirección de control interno de la Secretaria Distrital de Hacienda.
La información recopilada permitirá efectuar el proceso de consolidación, depuración y actualización para generar un estado del arte.
Con base en esto se procederá a generar un análisis en el cual se diagnostique el manejo de riesgos de la Secretaria Distrital de Hacienda con respecto a la información actualizada.
ACTIVIDADES mes
1 2 3 4
semana semana semana semana
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Recolección de información actualizada del
manejo de riesgos. x x
Revisión de la información recolectada. x x
Recolección de información del manejo de riesgos en la Secretaria de Hacienda
Distrital. x
Revisión de la información manejo riesgos
en la Secretaria de Hacienda Distrital. x x Entrega de primer informe. Estado del arte
de manejo de riegos. x
Ordenamiento y clasificación de la
información recolectada. x
Análisis de la información conjunta. x x x Prediseño de la propuesta de manejo de
riesgos en la Secretaria Distrital de
Hacienda. x x
Preparación y aprobación de la propuesta de manejo de riesgos en la Secretaria Distrital
2.12. ORGANIGRAMA
3. SEGUNDA PARTE 3. 1. MARCO CONCEPTUAL
La administración del riesgo es reconocida como práctica integral de una buena gerencia. Se trata de un proceso interactivo que contiene pasos, que corresponden a una secuencia de desarrollo continuo, capacitación e implantación de la toma de decisiones.
Administración del riesgo es un término aplicado a un método lógico y sistemático que establece el contexto, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación sobre los riesgos asociados con una determinada actividad, función o proceso, con el fin de capacitar a las organizaciones para minimizar sus pérdidas y maximizar sus oportunidades, la administración del riesgo esta orientada a identificar y aprovechar las oportunidades y/o reducir las pérdidas.
Este estándar puede ser aplicado a la totalidad de escenarios en el ciclo de vida de una actividad, funciones, proyectos, productos u oportunidades. El mayor beneficio es generalmente obtenido por los procesos de administración del riesgo desde su inicio.
La administración del riesgo hace parte integral de los procesos gerenciales, es un proceso multifacético, sus aspectos para ser bien atendidos requieren la conformación de un equipo multidisciplinario. Es un proceso interactivo en continuo desarrollo.
3.1.1. UNA HERRAMIENTA PARA CONSIDERAR EL COSO.
LOS RIESGOS FINANCIEROS
El documento se basa principalmente en incorporar la estructura conceptual de los distintos enfoques que existen a nivel mundial, definiendo los conceptos primordiales en el manejo de riesgos añadiendo valores a la conceptualización de este tema enfocándose principalmente en uso de los derivados. Así mismo se muestra una actualización en la práctica de control interno, lo mismo que los asuntos de diseño, implantación y evaluación de riesgos.
Este libro fue diseñado para los usuarios de derivados para mejorar las actividades de control interno.
El objetivo del documento es proporcionar a la administración principal y los niveles directivos una visión acerca de cómo aplicar el COSO a las actividades de administración del riesgo, es una herramienta que sirve como modelo para la formulación de políticas de riesgos.
El COSO pretende ser un marco conceptual común para las entidades públicas o privadas, con una visión integral que contenga repuesta a las demandas de todos lo sectores involucrados.
Las políticas de administración de riesgos que plantea el COSO comprenden todos los aspectos de control, haciendo énfasis en la importancia de establecer elementos claros que incluyan todos los niveles de la organización, y se genere una comunicación eficiente de los mismos.
El marco de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión:
Ambiente de Control
El ambiente de control consiste principalmente en la integridad, los valores éticos y la competencia del personal de la entidad, esencialmente el compromiso que el personal tiene con la entidad. Así mismo incluye la filosofía y el estilo de operación de la administración en cuanto a la autoridad que tiene para asignar responsabilidades y tareas.
Dentro del ambiente de control la administración es la encargada de infundir en el personal el mensaje de integridad y valores éticos con los que debe contar la organización, implica un proceso de orientación moral sobre lo correcto e incorrecto. Para este tipo de orientación se emplean códigos de conducta de acuerdo a las prácticas aceptables del negocio, de manera que se comuniquen a todas las áreas de la entidad.
En cuanto al compromiso y la competencia, es la administración quien debe especificar el nivel mínimo requerido en cuanto a requisitos de conocimientos y habilidades.
La estructura organizacional de la entidad debe tener un punto de equilibrio de forma tal que tenga habilidad para suministrar el flujo de información necesario para administrar las actividades de la entidad.
Los principales factores del ambiente de control son: La filosofía y estilo de la dirección y la gerencia.
La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.
La integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos.
Las formas de asignación de responsabilidades y de administración y desarrollo del personal.
El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento.
Valoración de Riesgos
Es la identificación y el análisis de los riesgos relevantes para constituir una base para determinar como se deben administrar los riesgos.
para administrar la exposición a los riesgos que pueda tener la entidad. El proceso de análisis de riesgos debe incluir la identificación del riesgo, la estimación de su significado y la valoración de la probabilidad de ocurrencia.
Una vez identificados los riesgos, el análisis de los riesgos incluirá: · Una estimación de su importancia / trascendencia.
· Una evaluación de la probabilidad / frecuencia.
· Una definición del modo en que habrán de manejarse.
El proceso de valoración de riesgos debe identificar las implicaciones de los mismos que sean relevantes a nivel de actividad como a nivel de la entidad. En la valoración de los riesgos se encuentra que los factores de riesgo interno normalmente están al alcance del control de la entidad, por lo cual tienen mayor control por parte de la entidad, los riesgos internos de mayor relevancia son los riesgos operativos. Los riesgos externos por su parte están compuestos por factores que no están al alcance del control de la entidad, por lo cual se hace más difícil ejercer control.
Para la valoración del riesgo es de vital importancia establecer el rol del administrador del riesgo para incluir las responsabilidades y definir las políticas de administración del riesgo.
Los tipos de riesgos que se definen son: 1. Riesgos de liquidez del mercado. 2. Riesgo de correlación o base. 3. Riesgo de crédito
4. Riesgo legal 5. Riesgo sistémico. 6. Riesgo de liquidación
7. Riesgo de liquidez de financiación. 8. Riesgo operacional
Actividades de Control
Cada actividad de control debe hacerse con un propósito claro para el cual se van a realizar dichas tareas, cada una de las políticas debe identificar como mínimo la supervisión y las responsabilidades administrativas, el alcance de las actividades y los límites del riesgo, los procesos de medición del riesgo y la presentación de reportes y controles operacionales.
La política de administración de riesgos se debe comunicar a nivel de toda la entidad, incluyendo procedimientos para la identificación, la medición, valoración y limitación de los riesgos de la entidad.
En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera, éstas al cumplimiento normativo, y así sucesivamente.
A su vez en cada categoría existen diversos tipos de control: Preventivo / Correctivos
Manuales / Automatizados o informáticos Gerenciales o directivos
En todos los niveles de la organización existen responsabilidades de control, y es preciso que los agentes conozcan individualmente cuales son las que les competen, debiéndose para ello explicitar claramente tales funciones.
Información y Comunicación
La información es un elemento de vital importancia que se debe identificar, capturar y comunicar pertinente en la forma y el tiempo que permita a la gente cumplir con sus responsabilidades. Los sistemas de información producen valiosos resultados en materia operacional y financiera que hace posible administrar y controlar los riesgos de la entidad.
El personal debe recibir instrucciones claras, por parte de la dirección acerca de cómo se debe llevar a cabo las responsabilidades de control asignadas previamente, así cada persona tendrá un rol dentro del proceso de control.
La comunicación es un proceso inherente a la información, tiene lugar en un sentido amplio en cuanto a las expectativas y responsabilidades de grupos e individuos. La comunicación en este caso de da de maneta vertical
Monitoreo y supervisión
Los sistemas de control interno necesitan una supervisión constante, debe ser un proceso que valore la calidad del desempeño del sistema en el tiempo, por medio de evaluaciones o actividades de monitoreo.
Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica para mantenerla en un nivel adecuado. Procede la evaluación de las actividades de control de los sistemas a través del tiempo, pues toda organización tiene áreas donde los mismos están en desarrollo, necesitan ser reforzados o se impone directamente su reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestión que, al variar las circunstancias, generan nuevos riesgos a afrontar.
El objetivo es asegurar que el control interno funciona adecuadamente, a través de dos modalidades de supervisión: actividades continuas o evaluaciones puntuales. Las deficiencias o debilidades del sistema de control interno detectadas a través de los diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes.
Según el impacto de las deficiencias, los destinatarios de la información pueden ser tanto las personas responsables de la función o actividad implicada como las autoridades superiores.
Conclusión
En el marco de control postulado a través del Informe COSO, la interrelación de los cinco componentes (Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación, y Supervisión) genera una sinergia conformando un sistema integrado que responde dinámicamente a los cambios del entorno.
Atendiendo a necesidades gerenciales fundamentales, los controles se entrelazan a las actividades operativas como un sistema cuya efectividad se acrecienta al incorporarse a la infraestructura y formar parte de la esencia de la institución. Mediante un esquema de controles incorporados como el relatado anteriormente · Se fomentan la calidad, las iniciativas y la delegación de poderes.
· Se evitan gastos innecesarios.
3.1.2. GESTIÓN DE RIESGOS EN LA ORGANIZACIÓN
El artículo presenta una reflexión acerca del contenido y el alcance de la Gestión de riesgos en la Organización, a través de la descripción general del proceso de su desarrollo.
El entorno cultural.
Los riesgos hacen parte inherente en todas las organizaciones, están presentes en los procesos de cambio y mejoramiento continuo y la identificación de estos y su gestión adecuada aumentan la posibilidad de éxito para la organización.
Para realizar el manejo de riesgos se requiere que su gestión sea considerada como parte de un proceso dinámico, competitivo y esencial, en lugar de identificarlos como una actividad adicional y estática.
La adecuada y oportuna comunicación de los riesgos es de vital importancia para el manejo de riesgos de la entidad y se tiene que hacer desde abajo en la estructura organizacional, siendo un proceso de comunicación incluyente que permita la libre expresión para llegar a temas reales y controversiales de la entidad.
Si los riesgos se perciben como negativos, los integrantes del equipo son resistentes a informar sobre su presencia, por el contrario si culturalmente el riesgo se toma como una oportunidad de mejoramiento antes que como una amenaza, la información de los riesgos se percibirán como un proceso proactivo para la organización.
Por esta razón las acciones encaminadas a desarrollar la gestión de riesgo deben partir de cambios culturales serios y planeados que implican un alto compromiso de la gerencia.
El concepto de riesgo.
Es la probabilidad de que un hecho cualquiera pueda ocurrir, por lo cual el riesgo posee valor absoluto, puede ser positivo o negativo, dependiendo del efecto que pueda producir.
Enfoques de la gestión de riesgos.
Gestión reactiva: Se presenta cuando la organización solo reacciona a las consecuencias de los riesgos después de que ocurren.
Gestión proactiva: Se presenta cuando la organización se anticipa a los riesgos, mediante procedimientos para ajustar las acciones permanentemente, con una actitud orientado al cambio continuo frente a prácticas tradicionales
Para esta gestión es imprescindible que exista un compromiso directivo y este a su vez cuente con un equipo responsable.
Proceso de gestión proactiva de riesgos.
Este es un proceso de gestión funcional ya que el hecho de mantener el riesgo en niveles controlables aporta seguridad para alcanzar las estrategias y los objetivos. Identificar el riesgo: Consiste en determinar el origen de los riesgos críticos que pueden afectar el proceso de gestión de la organización.
Análisis del riesgo: Procesar los datos recolectados y relacionados con los riesgos que conformarán el mapa de riesgos. Así la información se convierte en soporte para la toma de decisiones que se implementará. Dentro del análisis de riesgos se estudia la probabilidad de ocurrencia y el impacto de este, determinados estos dos factores se puede realizar una interpretación de la amenaza, de acuerdo a esta interpretación se puede clasificar la amenaza de cada riesgo y establecer si es un riesgo critico.
Planes de Acción: Este procedimiento convierte la información sobre los riesgos en decisiones y acciones específicas que contribuyan a enfrentar los riesgos. Aspectos fundamentales para establecer las acciones.
Los objetivos esenciales de la gestión del riesgo. Reducir la probabilidad de ocurrencia.
Controlar la magnitud de pérdida. Modificar las consecuencias del riesgo.
Construir base de conocimiento para aplicaciones proactivas futuras. Seguimiento.
Monitorear el comportamiento, de acuerdo a las acciones que se han aplicado para controlar los riesgos. Es un elemento esencial que conlleva a la cultura del autocontrol, lo que significa que los procesos deben regularse de manera automática.
Los componentes del seguimiento son. Comprobación de desempeño.
Medición de Alcance. Auditoria interna y externa. Control
El control es la acción que permite comprobar que la planeación produjo los efectos esperados; dentro de las actividades de control es conveniente combinar las acciones con los procesos generales de gestión de la organización para determinar la efectividad de los planes y estructurar como consecuencia las acciones para corregir las variaciones detectadas.
Efectos en la organización.
Se relacionan las condiciones de impacto positivo que tienen relevancia que puede obtener la organización cuando inicia un proceso de aplicación de sistema de gestión y control de riesgos.
Cultura de la organización y gestión humana. Control general y de gestión.
Mejoramiento continúo. Adaptación y cambio
3.1.3. LA ADMINISTRACIÓN DEL RIESGO.
El texto es una introducción al mundo actual de la administración del riesgo, ya que las organizaciones actuales buscan optimizar la administración para alcanzar los objetivos de la organización.
El planteamiento del libro se basa en que en el proceso de administrar el riesgo intervienen diferentes agentes relacionados con el riesgo, sin embargo la administración del riesgo pretende minimizar los factores de riesgo que pueda tener una empresa pero la administración debe ser consiente que siempre convivirá con algún tipo de riesgo.
El concepto de riesgo.
El estudio del riesgo identifica las posibles consecuencias en caso de un evento así como las diferentes actividades económicas y sociales que se pueden realizar para prevenir la existencia de factores de riesgo. La gestión del riesgo son actividades estandarizadas para la prevención o reacción contra el riesgo.
Dentro de las variables del riesgo se debe determinar en primera instancia la diferencia entre controlar los riesgos, evitarlos, administrarlos u optimizarlos ya que a partir de allí se establece el tipo de tratamiento que se le debe dar al factor de riesgo.
Así mismo se debe determinar las condiciones del entorno ya que las condiciones externas del entorno pueden alterar los resultados de la organización, así como verificar los componentes de propiedad de la compañía, los cuales con parte de los elementos de riesgo que la entidad debe saber administrar.
El riesgo es una fusión de dos componentes la frecuencia con que puede ocurrir y el valor que puede ocurrir al generar un evento, evaluando la intensidad de cada uno de ellos se verificará hasta qué punto pueden afectar los resultados de la compañía.
Es de suma importancia que todas las actividades que se lleven a cabo en la empresa deben estar sujetas a análisis de riesgos. Para este proceso de requiere identificar.
1. características de riesgo.
2. estructura de administración y organización 3. capacidades y restricciones
Los tipos de riesgo.
Riesgo sistemático. Riesgo operacional. Riesgos legales.
Riesgo de contrapartida.
Por su parte la toma de decisiones lleva consigo un manejo cuantitativo que debe incluir el desarrollo de evaluación de riesgo. Cuando se deben tomar decisiones bajo incertidumbre, se evidencia que las distribuciones de probabilidad de los eventos no son conocidas y la toma de decisiones se realiza sin conocer nada de los posibles resultados.
Para tomar decisiones se debe tener en cuenta el individuo que está a cargo de la decisión y determinar la validez de esta opinión, conocer el tema acerca del cual se debe opinar y que el tipo de decisión que se tome tienda a construir y no a destruir. Un valor de alta relevancia es conocer qué ha sucedido en el pasado acerca de un tema determinado y qué tipo de medidas se han tomado para resarcir la problemática.
Como enfrentar el riesgo.
Hasta ahora la visión estratégica del riesgo tiende a identificar qué tipo de actividades o movimientos de la organización conllevan son válidos para reducir el riesgo al que está expuesto la empresa, mientras que la metodología de la administración del riesgo proporciona un valor para controlar las variables controlables. De esta forma lo que la metodología pretende es controlar lo que es susceptible de control por la compañía y dejar únicamente las variables que definitivamente no son controlables.
Las herramientas para la administración del riesgo tienen seis etapas fundamentales.
1. La identificación. 2. Medición de perdidas 3. Instrumentos para trabajar
4. Implementación de sistemas de información 5. Indicadores de gestión
6. Monitoreo.
3.1.4. ADMINISTRACIÓN DEL RIESGO
PROYECTO SISTEMÁTICA DE CAPACITACIÓN MUNICIPAL.
Documento realizado por el Departamento Administrativo de la Función Publica, dirigido a los participantes del diplomado para el desarrollo del tema de Administración del Riesgo, es una guía que le permitirá valorar, manejar y monitorear los riesgos en la organización.
Marco legal Ley 87 de 1993. Decreto 2145 de 1999. Decreto 1537 de 2001.
El propósito de la guía es lograr la interiorización por parte de los integrantes de las organizaciones el tema de la administración de riesgo en las entidades, para llegar a la eliminación o reducción de los riesgos, logrando que el proceso y sus controles garanticen de manera razonable que los riesgos se reduzcan de manera razonable o se minimicen para que los objetivos de la organización se alcancen. Las entidades públicas están expuestas a riesgos de carácter interno y externo que en determinado momento pueden afectar los objetivos de la compañía. Dentro de los riesgos externos se encuentran las reformas de la administración, la normatividad, y dentro de los riesgos internos se encuentran los manejos de los recursos, lo controles existentes, procesos y procedimientos
La metodología.
Compuesto por tres etapas: la identificación, el análisis y la determinación del nivel del riesgo, a partir de estas etapas se puede implementar una política del manejo de riesgos al respecto de la entidad, de acuerdo al resultado del análisis
La identificación del riesgo es un proceso que se debe dar permanentemente y debe estar integrado al proceso de planeación, aquí se consideran los diferentes factores internos y externos que existen en la entidad y que pueden ocasionar un riesgo.
Concepto de riesgo.
Posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Análisis del riesgo.
Es una valoración del riesgo con base en la información obtenida en los mapas de riesgos, depende directamente del acceso a la información y su disponibilidad. Hay dos aspectos fundamentales para realizar el análisis de riesgos.
Probabilidad. Es la posibilidad de ocurrencia del riesgo.
Impacto. Consecuencia que puede ocasionar a la organización la materialización del riesgo. El impacto se puede determinar como un nivel de riesgo alto, medio, bajo.
Después del análisis de riesgos se procede a realizar la priorización de los riesgos que permiten determinar qué tipo de riesgos requieren un tratamiento inmediato. Luego de identificar qué riesgos merecen una atención inmediata se procede a realizar el manejo y control de los riesgos definiendo acciones y políticas que hagan parte de un plan de manejo.
Existen diferentes opciones para el manejo de riesgos como evitar el riesgo, reducir el riesgo, dispersar y atomizar, transferir o asumir el riesgo. Una vez decidida qué tipo de acción se tomará frente al riego se debe proceder a evaluar el costo beneficio de cada una de estas, de acuerdo a un análisis elaborado previamente.
Para implementar el manejo de riesgo es necesario considerar la viabilidad de su adopción que depende de factores como el nivel del riesgo, el balance costo-beneficio y la efectividad real del plan.
El monitoreo.
3.1.5. REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO. CIRCULAR EXTERNA 049 DE 2006.
De acuerdo a las operaciones realizadas por las entidades que están sometidas a la inspección y vigilancia de la superintendencia están constantemente expuestas al riesgo operativo, por lo cual dichas entidades deben implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO), acorde con la estructura de cada estructura lo cual permitirá controlar y monitorear el riesgo permanentemente.
El ámbito de aplicación son todas las entidades sometidas a la inspección de la Superintendencia Financiera de Colombia
Las definiciones que propone la Superintendencia Tipos de riesgo:
Riesgo Operativo.
La posibilidad de incurrir en pérdidas por deficiencias, en el recurso humano, los procesos, la tecnología, la infraestructura, o por ocurrencia de acontecimientos externos.
Riesgo legal.
Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas y regulaciones contractuales. Surge como una consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones mal intencionadas, negligencia o actos involuntarios que afectan la ejecución de los contratos.
Riesgo Reputacional.
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, respecto de la institución y sus prácticas de negocios, que cauce algún tipo de pérdida.
La definición del SARO.
Se define como el conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.
Los riesgos inherentes, nivel de riesgos propio de la actividad, sin tener en cuenta el efecto de los controles, los riesgos inherentes por su parte es el nivel resultante del riesgo después de aplicar los controles.
Las entidades deben implementar el manual de riesgo Operativo, es un documento en donde se encuentran todas las políticas, estrategias, procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.
Las etapas de la Administración del Riesgo Operativo • La identificación.
• Documentar los procesos.
• Establecer metodologías de identificación.
La medición.
Una vez se ha realizado la identificación las entidades deben medir la probabilidad de ocurrencia de un evento de riesgo operativo y su impacto en caso de materializarse, puede ser cualitativa o cuantitativa estableciendo un tiempo mínimo de medición.
Para la medición se debe establecer una metodología, Aplicar la metodología establecida, determinar el perfil de riesgo inherente, individual y consolidado.
EL Control
Las entidades deben tomar medidas para controlar el riesgo inherente a que se ven expuestas con el fin de disminuir la probabilidad de ocurrencia.
Administración de la continuidad del riesgo.
Se debe tener en cuenta la estructura principalmente para implementar y probar un proceso para administrar la continuidad del negocio que incluya diferentes elementos como prevención de emergencias planes de contingencia y retorno a la operación normal en caso de haber sufrido algún tipo de traumatismos.
los interesados. Cubrir aspectos como la identificación, las actividades a realizar y las alternativas de operación y regreso a la actividad normal.
El monitoreo
Las entidades deben hacer un monitoreo periódico de los riegos y de las exposiciones a pérdidas. Para tal efecto deben desarrollar un proceso de seguimiento efectivo que facilite detectar las deficiencias del SARO, establecer indicadores descriptivos que evidencien los potenciales eventos del riesgo operativo, asegurarse del adecuado funcionamiento de los controles y por último asegurar que los riesgos residuales se encuentren en niveles reales de aceptación.
Los elementos del SARO
Son los lineamientos generales que las entidades deben adoptar en relación con el SARO, estas políticas deben permitir un adecuado funcionamiento del SARO y deben traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad.
Los requisitos mínimos que deben cumplir estas políticas son impulsar a nivel institucional la cultura en materia de riesgo operativo, hacer efectivo el deber de los órganos de control frente al proceso de la administración del riesgo operativo, tener políticas flexibles que permitan los cambios en los controles y los perfiles de riesgo y por último desarrollar e implementar planes de continuidad del negocio. Documentación
Todas las políticas y elementos del SARO que sean implementadas por las entidades deben constar en documentos y registros, garantizando la confiabilidad de la información allí descrita. La documentación debe incluir un manual de riesgos operativo, los documentos que evidencien la operación del SARO y los informes de Junta Directiva y el representante legal.
Dentro del Manual de Riesgo Operativo se debe establecer las políticas y metodologías, para la administración del riesgo operativo, la estructura organizacional del SARO, los roles y responsabilidades de los integrantes de la administración del riesgo, las medidas necesarias para asegurar el cumplimiento y los procedimientos para identificar, medir, controlar y monitorear el riesgo operativo y las estrategias de capacitación y divulgación del SARO.
3.1.6. ADMINISTRACIÓN DEL RIESGO Y MEJORES PRÁCTICAS DE CONTROL INTERNO.
Los riesgos actuales de las organizaciones son cada vez más cambiantes y a su vez menos predecibles algunos de los riesgos actuales pueden ser la globalización, el mayor compromiso frente al Estado, la reputación nacional, el orden público y el cambio de la normatividad.
Dentro de los riesgos internos se encuentran los recursos humanos, financieros, la innovación, la tecnología y la auto sostenibilidad.
El concepto de la administración del riesgo contribuye a una gobernabilidad corporativa de seguridad razonable que promoverá que los objetivos de la organización sean logrados, con un grado tolerable de riesgo residual.
La administración del riesgo se perfila como integrador de los componentes y exigencias de gestión y Control Interno Organizacional. Los componentes actuales del control interno son la gobernabilidad corporativa, los sistemas de gestión ISO, BASILEA II BIS, los modelos de control COSO, Cobit- ISO 27000, exigencias de las leyes reguladoras, el MECI, ley Sarbanes y Balance Score Card.
La Administración del Riesgo sugiere asegurar el logro de los objetivos y metas de la organización, involucra pérdidas como oportunidades, que sea un pensamiento riguroso, integrado al trabajo cotidiano, un direccionamiento preventivo hacia el futuro, asumir la responsabilidad de la toma de decisiones y aplicar criterios balanceados en las decisiones de coto/beneficio. En caso de no seguir la alternativa de la administración del riesgo se encaminaría la organización a una administración riesgosa.
Tabla 1. Estándares mundiales de la administración del riesgo.
Estándares Mundiales de la Administración del Riesgo
Genéricos de Aplicabilidad y Aceptación Mundial
COSO.
SARO Aplicable en sector publico y privado
COBIT – Modelo de Control de TI.
SFC Circular 049 /2006, aplicable en BASILEA II
ISO 27000 – Seguridad en TI. MECI, aplicable en el sector publico
IIA/ ISACA – Estándares de Auditoria Ley Sarbanes, aplicable en OXLEY
Norma Técnica Colombiana de gestión del Riesgo - ICONTEC
Vista general de los modelos internacionales.
Tabla 2. Procesos de la Administración del Riesgos.
Fuente. Modelos internacionales de la Administración del Riesgo.
Estándares mundiales.
COBIT
Tabla 3. Procesos de la Administración del Riesgo Modelo COBIT.
PO - Planeación y Organización
ES - Entrega y soporte
AI - Adquisición e Implementación
M – Seguimiento
(Monitoreo) Definir un Plan
estratégico de IT
Definir Niveles de
Servicio Identificar Soluciones
Monitorear los Procesos Definir la Arquitectura
de Información
Administrar Servicios de Terceros
Adquirir y Mantener Software Aplicativo
Evaluar la Efectividad del Control Interno Determinar la Dirección
Tecnológica
Administrar el Desempeño y Capacidad
Adquirir y Mantener la Arquitectura Tecnológica
Obtener Aseguramiento
Independiente Definir Organización de
TI e Interrelaciones
Asegurar Servicio Continuo Desarrollar y mantener procedimientos TI Proveer una Auditoria Independiente Administrar la Inversión
en TI
Asegurar la Seguridad de los
Sistemas
Instalar y Acreditar
los Sistemas
Comunicar Directrices y expectativas
Gerenciales
Identificar y Asignar Costos
Administrar los
Cambios Administrar los
Recursos Humanos
Educar y Entrenar a
los Usuarios
Asegurar Cumplimiento Requerimientos
Externos
Asistir y Asesorar a
los Clientes de la IT
Analizar / Valorar Riesgos Administrar la Configuración Administrar los Proyectos Administrar los Problemas e Incidentes
Administrar la Calidad
(QA) Administrar los Datos
Modelo ISO 27001/17779
Este documento provee una base genérica de mejores prácticas de administración del riesgo, para implementar y documentar sistemas de administración de la seguridad de Tecnología de Información.
Los componentes que se maneja esta metodología son: Tabla 4. Políticas de Seguridad.
Políticas de Seguridad
Organización de la Seguridad de Información Administración de Activos
Seguridad de Recursos Humanos Seguridad física y del entorno
Administración de Comunicaciones y operaciones Control de Acceso
Adquisición, Desarrollo y Mantenimiento de Sistemas
Administración de incidentes de seguridad de la información.
Administración de la Continuidad del Negocio Cumplimiento
Fuente. Modelo ISO 27001/17779
Entidades y organismos del Estado en Colombia para la administración del riesgo y el control interno en Colombia.
Ley 87 de 1993.
Decreto 1826 /1994. Reglamenta el comité de control interno y la oficina de control interno.
Decreto 1537 /2001. Reglamenta los objetivos del sistema de control interno y el rol de la oficina de control interno.
La Contaduría General de la Nación por medio de la cual se reglamenta el control interno contable.
Ley 872 de 2003 creación del sistema de Gestión de la calidad, es decir la gestión de riesgos dentro del control interno.
DAFP Modelo Estándar de Control Interno. MECI. ICONTEC 5254 Norma Técnica Colombiana.
Aspectos claves del sistema de administración del riesgo operativo. SARO
Las entidades sometidas a inspección y vigilancia de la SFC deben desarrollar establecer implementar y mantener un sistema de Administración de Riesgo Operativo (SARO)
Que les permita identificar, medir, controlar y monitorear eficazmente el SARO. Comparación entre BASILEA y el SARO
Para BASILEA el riesgo es resultante de fallas en los procesos, el personal, los sistemas internos o externos. Para SARO la posibilidad de incurrir en pérdidas se puede dar por deficiencias en el recurso humano, en los procesos, en la tecnología, en la infraestructura o por acontecimientos externos.
El riesgo operativo se puede medir con el método del indicador básico, estándar y medición avanzada, BASILEA por su parte propone la creación de técnicas mas avanzadas por parte de las entidades, se permite la mezcla de los tres métodos, cumpliendo con lo criterios mínimos.
El método de medición avanzada consiste principalmente en que el requerimiento de capital será igual a la medida de riesgo generada por el sistema interno de la entidad para el cálculo del riesgo operativo utilizando los criterios cuantitativos y cualitativos aplicables.
La alta dirección tiene que participar activamente en la vigilancia del marco de gestión operativo, poseer un Sistema de Administración del riesgo Operativo SARO conceptualmente sólido que aplique en su totalidad, contar con los recursos suficientes para utilizar la metodología en las principales líneas de negocio.
Tabla 5. Criterios Modelo SARO.
Plan y Estrategia de la Organización Procesos claves (Core business) Proyectos e inversiones ( factibilidad) Programas de prevención fraudes
Cambios Organizacionales, tecnológicos políticos
Aspectos ambientales
Gestión compras y Contratos Plan de continuidad del negocio Salud Ocupacional
Seguridad Industrial
Operaciones moneda extranjera Sistemas de Información redes de telecomunicaciones
Responsabilidades en el diseño de productos Fuente. Modelo SARO.
Risk Management Standard AS/NZS: 4360 Aplicable en cualquier entidad (Publica-privada)
Aplicable en decisiones de todo nivel: corporativo, departamental, Grupal o Individual.
Único estándar de Administración del Riesgo de amplio uso en el ámbito internacional
Considera además todas las categorías de riesgos.
Estratégico, de mercado, de crédito, ambiental, reputacional, operativo, legal, profesional y de liquidez.
Es la aplicación sistemática de políticas gerenciales, prácticas y procedimientos, a las tareas de:
El proceso de la administración del riesgo desde la perspectiva Risk Management Standard AS/NZS: 4360
El proceso de la implementación del riesgo. Establecer el contexto Interno.
Por medio de la comunicación y la consulta se puede:
• Mejorar el entendimiento y preocupación de las personas sobre los riesgos y del proceso de administración del riesgo.
• Asegurar que las diferentes perspectivas de los stakeholders han sido consideradas.
• Asegurar que todos los participantes en el proceso de administración del riesgo, son conscientes de sus roles y responsabilidades.
• Aprender de los stakeholder construir y mantener una cultura de administración del riesgo.
El proceso de la comunicación es interactivo de intercambio, de información y opiniones, que involucra múltiples mensajes acerca de la naturaleza del riesgo y la administración del riesgo.
La implementación del proceso de administración del riesgo desde la perspectiva SARO contiene 8 pasos para conformarse.
1. Establecer el contexto del SARO, si es externo, interno o específico. 2. Definir las áreas de Impacto.
3. Definir las fuentes de Riesgo. 4. Identificar los riesgos.
5. Valorar absolutamente, sin ningún tipo de control, es decir identificar los riesgos inherentes.
6. Valorar con controles, es decir identificar los riesgos con controles. 7. Valorar con tratamientos.
8. Definir e implementar los planes de acción. Establecer el contexto externo.
Es de suma importancia entender el entorno en el que la organización opera ya que define las relaciones de la organización y su ambiente externo de negocios y pretende identificar, establecer el contexto sar/saro.
El siguiente paso en la administración del riesgo es conocer la organización: es decir establecer el contexto interno, de esta manera se establece el contexto sar/saro: interno
Se debe conocer de la entidad sus objetivos y metas, y las estrategias para lograrlas, el modelo del negocio, el ambiente interno de control, su cultura, las capacidades en términos de recursos (humanos, Sistemas, procesos, capital, Etc.) Conocer las oportunidades, fortalezas debilidades y amenazas internas, así como los objetivos, expectativas, percepciones y políticas de comunicación.
Después de establecer los contextos se deben constituir los Criterios del Riesgo: es decir, decidir los criterios frente a los cuales se va a evaluar el riesgo.
Criterios de Riesgo más importantes a considerar:
Consecuencias que podrían ocurrir y cómo deberían medirse; Cómo será definida la probabilidad; cómo será determinado el Nivel de Riesgo, qué Nivel de Riesgo debería requerir tratamiento.
Establecer el contexto SAR O SARO específico.
Establecer las metas, objetivos, estrategias, alcance y parámetros de la actividad o parte de la actividad o parte de la organización a la cual se aplicará el proceso de administración del riesgo e implica:
1. Establecer sus objetivos y metas objetivos y metas y definir y delimitar claramente, el proceso, actividad o proyecto, con sus entradas y salidas.
2. Definir la extensión de la actividad, proyecto o función en términos de tiempo y localización.
3. Relación de la actividad o proyecto con otras actividades y proyectos de la organización.
4. Recursos requeridos y los registros que deben ser guardados
5. Roles y responsabilidades de las partes de la organización y los participantes en el proceso de la administración del riesgo
6. Separar en sus componentes de alto nivel, que provean un modelo o marco para la identificación de los riesgos y obviar que alguno sea omitido, o que se dupliquen riesgos de otros escenarios.
7. Diferentes estructuras pueden ser apropiadas, dependiendo del enfoque deseado, la naturaleza de los riesgos, y el propósito del SAR/SARO específico.
8. Unidades /Actividades del Negocio ( Planeación Estratégica). 9. Procesos / Sub-procesos ( El más recomendable)
10. Estructura Áreas /Dependencias (Áreas jerárquicas) 11. Proyectos /Fases
13. Por tipo riesgos, (Crediticio, Mercado, operativo, etc.) 14. Localización física /geográfica
15. Definir la estructura de la actividad, función o proyecto ( escenario) al que se aplicara la Administración del Riesgo.
16. Separar en sus componentes de alto nivel, que provean un modelo o marco dupliquen riesgos de otros escenarios.
Diferentes estructuras pueden ser apropiadas, dependiendo del enfoque deseado, la naturaleza de los riesgos, y el propósito del SAR/SARO específico:
Definir el área de impacto
La organización debe asignar un valor a cada bien o recurso dado que su afectación podría comprometer el cumplimiento de sus objetivos o metas, por lo cual se debe proteger este tipo de recursos.
Las áreas de impacto pueden ser los recursos básicos, los costos de actividades, el desempeño, los intangibles, el clima organizacional, entre otros.
Definir la fuente de riesgo
La fuente de eventos: todos aquellos individuos o elementos de los cuales se pueden derivar eventos que podrían afectar las áreas de impacto de la organización, cuya ocurrencia se debe evitar o maximizar para cumplir el logro de objetivos y metas. Las fuentes de riesgo pueden ser las relaciones legales y comerciales, las circunstancias económicas, políticas y legislativas.
Identificar los riesgos.
Las diferentes definiciones de riesgo que existen desde el concepto de la cada entidad
Posibilidad de que suceda algo que tendría impacto en los Objetivos.
1. AS/NZS: Posibilidad de que ocurra algo que tendría impacto en los objetivos. Se mide en términos de consecuencia y posibilidad de ocurrencia.
2. IIA: Riesgo es la probabilidad de que un evento o acción pueda afectar adversamente la organización o la actividad auditada.
3. ISACA: Riesgo es la posibilidad de que ocurra un evento o acto que podría tener un efecto adverso en la organización y sus sistemas de información.
1. Descomponer la estructura organizacional a fin de conocer los riesgos del negocio.
2. Analizar cada área de impacto con relación a todas las fuentes de riesgo. 3. Revaluar las áreas de impacto y de riesgo previamente identificadas.
4. Identificar todos los riesgos reales, potenciales o posibles estén o no bajo algún tipo de control.
5. Describir en detalle cada riesgo con todos sus componentes. 6. No describir desviaciones del control como riesgos y causas.
Para identificar y describir los riesgos se debe tener información básica como:
1. Área a la que se asocian los riesgos: Unidad, proceso, actividad y transacción.
2. Descripción: corta y detallada
3. Categoría: Según naturaleza: área de impacto, fuente, regulador, 4. Propietario: El responsable de administrarlo
5. Controles. Que mitigan el riesgo.
6. Valoraciones del riesgo: Absoluta, con controles, con tratamientos. 7. Eventos de riesgos: Históricos.
8. Objetivos del negocio: Qué y cómo podrían ser afectados. 9. Tratamientos en proceso: Evaluación e implementación. .
Categorización de los riesgos.
1. Estratégicos. Afectan las metas de alto nivel.
2. Operacionales. Afecta la efectividad de las operaciones. 3. Financieros: afecta la confiabilidad de los reportes financieros. 4. Cumplimiento: afectan la adhesión a las normas legales.
El análisis de riesgos
Es un proceso sistemático para entender la naturaleza y estimar el nivel del riesgo. Específicamente es la estimación de la probabilidad de ocurrencia por el impacto que pueda tener. Consecuencia por probabilidad, después de evaluar estas dos variables se puede encontrar el nivel de riesgo y la severidad del mismo.
La consecuencia: es el resultado o el impacto de un evento expresado cualitativa o cuantitativamente, puede ser una desventaja, pérdida, perjuicio o ganancia.
La evaluación del riesgo.
Proceso de comparar la valoración del riesgo frente a los criterios de medición del riesgo.
Tabla 6. Valoración de Riesgo.
CONSECUENCIA
1 2 3 4 5
Insignificante Menor Moderada Mayor Catastrófica Casi cierta ALTO ALTO EXTREMO EXTREMO EXTREMO
Probable MODERADO ALTO ALTO EXTREMO EXTREMO
Moderada BAJO MODERADO ALTO EXTREMO EXTREMO
Improbable BAJO BAJO MODERADO ALTO EXTREMO
PROBABILIDAD
Rara BAJO BAJO MODERADO ALTO ALTO
Fuente. Norma AS/NZS: NZS.
El riesgo absoluto.
Es el nivel de riesgo de la entidad sin tener en cuenta ningún tipo de control, es el máximo riesgo que pueda tener una entidad
Los factores de riesgo: Es una característica que proviene del contexto general de control que exista en cada organización, cuya presencia puede tener una mayor o menor consecuencia asociada a un riesgo.
AS/NZS: NZS:
Son las políticas, procesos, dispositivos, prácticas u otra acción que actúan para minimizar los riesgos adversos o mejorar oportunidades positivas. Nota: Proceso diseñado para proveer una seguridad razonable relativa al logro de los Objetivos. SFC:
IIA:
Es toda acción tomada por la gerencia para mejorar la probabilidad de que los Objetivos y metas establecidas sean alcanzados. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.
ISACA:
Las Políticas, Procedimientos, Prácticas y Estructuras Organizacionales, diseñadas para asegurar razonablemente el logro de los objetivos del negocio y que los eventos indeseables sean prevenidos detectados y corregidos.
Valoración de riesgos con controles.
La evaluación del riesgo con controles consiste en identificar los controles actuales, el impacto que ha tenido en el riesgo y las características que ha tomado bajo condiciones de control. Por ultimo se evalúa la cobertura por la efectividad para encontrar la eficacia del conjunto de controles sobre el riesgo.
Valoración del riesgo con tratamientos.
Identificar, registrar, evaluar y elegir el conjunto de opciones para tratar los riesgos controlados con Exposición inaceptable e implementarlos.
Descripción: definición y características del tratamiento. Elemento: proceso asociado al tratamiento.
Cobertura: Alta, media o baja.
Efecto mitigador: control, factor del riesgo.
Riesgos: reducidos o mitigados por el tratamiento.
El tratamiento del riesgo es el proceso de seleccionar e implementar medidas para modificar el nivel del riesgo, ya que actúa sobre un factor de riesgo, sobre el control actual e incrementa los controles.
El monitoreo.
Se define como verificar, supervisar o medir el progreso de una actividad, acción o sistema de manera regular, a fin identificar cambios que puedan afectar el nivel de desempeño o los resultados requeridos o esperados.
Indicadores claves del riesgo.
