3. La administración del riesgo comprende el conjunto de
elementos de control y sus interrelaciones, para que la
organización evalúe e intervenga aquellos eventos, tanto
internos como externos, que puedan afectar de manera
positiva o negativa el logro de sus objetivos institucionales.
La administración del riesgo contribuye a que la entidad
consolide su Sistema de Control Interno y a que se
genere una cultura de autocontrol y autoevaluación al
interior de la misma.
Administración de Riesgos
4. Proceso de Administración de Riesgos
Está compuesto por cinco pasos básicos:
1. Identificación y selección de Riesgos
2. Evaluación y medición de Riesgos
3. Establecimiento de límites de aceptación e los Riesgos
4. Selección e implementación de métodos de administración de Riesgos
5. Monitoreo y control
Proceso para la Administración
de Riesgos
6. 1) Identificación y selección de Riesgos.
Identificar los riesgos a los que se
encuentra expuesta la organización,
teniendo en cuenta las características
propias de la misma, de tal forma de
reconocer la vulnerabilidad ante los
riesgos de mercado, crédito, liquidez,
legales, operativos, etc., y sus factores de
riesgo asociados tales como tasas de
interés, tipos de cambio, inflación, tasa de
crecimiento, cotizaciones de las acciones,
incumplimiento, insolvencia, entre otros,
en función del riesgo actual y potencial
identificado.
7. ¿Cómo se identifica y selecciona el
Riesgo?
Se realiza determinando las causas, con base en los
factores internos y/o externos analizados para la
entidad, y que pueden afectar el logro de los
objetivos.
Una manera para que toda la entidad conozca y
visualice los riesgos es hacer un inventario de los
mismos, definiendo en primera instancia las causas
con base en los factores de riesgo internos y
externos (contexto estratégico), presentando una
descripción de cada uno de estos y finalmente
definiendo los posibles efectos (consecuencias).
8. Es importante centrarse en los riesgos más
significativos para la entidad relacionados
con los objetivos de los procesos y los
objetivos institucionales.
Es allí donde, la organización adopta un papel
proactivo en el sentido de visualizar en sus
contextos estratégicos y misionales los
factores o causas que pueden afectar el curso
institucional, dada la especialidad temática
que manejan en cada sector o contexto
socioeconómico.
¿Cómo se identifica y selecciona el
Riesgo?
9. Entender la importancia del manejo del riesgo implica conocer con más detalle los
siguientes conceptos:
Proceso: Nombre del proceso.
Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para el
proceso al cual se le están identificando los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el
normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.
Causas (factores internos o externos): Son los medios, las circunstancias y agentes
generadores de riesgo. Los agentes generadores que se entienden como todos los
sujetos u objetos que tienen la capacidad de originar un riesgo.
Descripción: Se refiere a las características generales o las formas en que se observa o
manifiesta el riesgo identificado.
Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos
de la entidad; generalmente se dan sobre las personas o los bienes materiales o
inmateriales con incidencias importantes tales como daños físicos y fallecimiento,
sanciones, pérdidas económicas, de información, de bienes, de imagen, de
credibilidad y de confianza, interrupción del servicio y daño ambiental.
¿Cómo se identifica y selecciona el
Riesgo?
10. Algunas entidades durante el proceso de identificación y selección del riesgo
pueden hacer una clasificación de este, con el fin de establecer con mayor
facilidad el análisis del impacto, considerado en el siguiente paso del proceso de
análisis del riesgo.
11. ¿Cómo se clasifican los Riesgos?
‒ Riesgo Estratégico: Se enfoca a asuntos globales relacionados con la
misión y el cumplimiento de los objetivos estratégicos, la clara definición
de políticas, diseño y conceptualización de la entidad por parte de la alta
gerencia.
‒ Riesgos de Imagen: Están relacionados con la percepción y la confianza
hacia la organización.
‒ Riesgos Operativos: Comprenden riesgos provenientes del
funcionamiento y operatividad de los sistemas, de la definición de los
procesos, de la estructura de la entidad, de la articulación entre
dependencias.
12. ¿Cómo se clasifican los Riesgos?
‒ Riesgos Financieros: Se relacionan con el manejo de los recursos que
incluyen: la ejecución presupuestal, la elaboración de los estados
financieros, los pagos, manejos de excedentes y el manejo sobre los
bienes.
‒ Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para
cumplir con los requisitos legales, contractuales, de ética y en general
con sus compromisos.
‒ Riesgos de Tecnología: Están relacionados con la capacidad tecnológica
para satisfacer sus necesidades actuales y futuras y el cumplimiento de la
misión.
16. 2) Evaluación y medición de Riesgos.
Se refiere a la medición y valoración de
cada uno de los riesgos identificados
calculando el efecto que generan sobre el
valor de los portafolios de inversión y
financiación, así como establecer un mapa
de posiciones que permita identificar
específicamente la concentración.
17. Se han establecido dos aspectos a tener en cuenta en el
análisis de los riesgos identificados:
Probabilidad e Impacto: se entiende la posibilidad de
ocurrencia del riesgo; esta puede ser medida con criterios de
frecuencia, si se ha materializado (por ejemplo: número de
veces en un tiempo determinado), o de factibilidad teniendo
en cuenta la presencia de factores internos y externos que
pueden propiciar el riesgo, aunque este no se haya
materializado.
Por Impacto se entienden las consecuencias que puede
ocasionar a la organización la materialización del riesgo.
18. Evaluar y medir los Riesgos, establece la probabilidad de ocurrencia del
mismo y sus consecuencias, este último aspecto puede orientar la
clasificación del riesgo, con el fin de obtener información para establecer el
nivel de riesgo y las acciones que se van a implementar.
20. 3) Establecimiento de límites de aceptación al
Riesgo
Determinar los niveles máximos de riesgo
Los límites se deberán establecer en función del
grado de tolerancia al riesgo por parte de la
entidad, el capital que se quiere arriesgar, la
liquidez de los mercados, los beneficios
esperados, la estrategia del negocio y la
experiencia del tomador del riesgo.
La empresa deberá medir periódicamente el
riesgo comparándolo con los límites
establecidos
22. 4) Selección de métodos de administración de Riesgos.
‒ Evitar el riesgo
‒ Reducir el riesgo
‒ Transferir el riesgo
‒ Absorber el riesgo
23. Se toma la determinación de no proceder a
formalizar la operación que genera el riesgo.
Evitar el riesgo, tomar las medidas encaminadas a
prevenir su materialización.
Es siempre la primera alternativa a considerar, se
logra cuando al interior de los procesos se
generan cambios sustanciales por mejoramiento,
rediseño o eliminación, resultado de unos
adecuados controles y acciones emprendidas.
Por ejemplo: el control de calidad, manejo de los
insumos, mantenimiento preventivo de los
equipos, desarrollo tecnológico, etc.
Evitar el Riesgo
24. Reducir el Riesgo
Se acepta el riesgo pero se reduce al mínimo su impacto.
Implica tomar medidas encaminadas a disminuir tanto la
probabilidad (medidas de prevención), como el impacto.
25. Transferir el Riesgo
Trasladar a un tercero el riesgo al que está expuesta la
empresa ya sea vendiendo la posición o adquiriendo una
póliza de seguros.
Compartir o transferir el riesgo, reduce su efecto a través
del traspaso de las pérdidas a otras organizaciones, como
en el caso de los contratos de seguros o a través de otros
medios que permiten distribuir una porción del riesgo con
otra entidad, como en los contratos a riesgo compartido.
Por ejemplo, la información de gran importancia se puede
duplicar y almacenar en un lugar distante y de ubicación
segura, en vez de dejarla concentrada en un solo lugar, la
tercerización
26. Cubrir o asumir con sus propios recursos el riesgo al
que se encuentra expuesta la organización.
Luego de que el riesgo ha sido reducido o
transferido puede quedar un riesgo residual que se
mantiene, en este caso, el gerente del proceso
simplemente acepta la pérdida residual probable y
elabora planes de contingencia para su manejo.
Absorber el Riesgo
29. 5) Monitoreo y control. Se valora la calidad del desempeño de los
modelos de identificación y medición de los riesgos, así como el
cumplimiento y eficiencia de los límites establecidos.
A través del monitoreo se reconocen oportunamente las deficiencias de la
Administración de Riesgos.
En esta etapa se hará seguimiento a los indicadores seleccionados en la
etapa anterior y se determinará la eficiencia de los mismos en la gestión
de riesgos.
30. Para realizar la valoración de los controles existentes es necesario recordar
que estos se clasifican en:
‒ Preventivos: aquellos que actúan para eliminar las causas del riesgo
para prevenir su ocurrencia o materialización.
‒ Correctivos: aquellos que permiten el restablecimiento de la actividad,
después de ser detectado un evento no deseable; también la
modificación de las acciones que propiciaron su ocurrencia.
32. Algunas Factores de Riesgos Internos
• Cambios en la planificación estratégica
• Nuevos objetivos, metas y estrategias en la institución
• Nuevas alianzas con organismos públicos o privados
• Nuevos procesos de negocio y/o rediseño de los mismos
• Nuevos sistemas de información o cambios en la tecnología
• Cambios en la estructura organizacional
• Disponibilidad presupuestaria – recursos
• Cambios significativos en el personal
• Otros
34. Algunas Factores de Riesgos Externas
• Nuevas leyes y regulaciones que afecten la institución
• Acción de actores externos que pongan en peligro las estrategias de la
institución
• Desarrollo tecnológico significativo en el sector
• Cambios en la economía global o del país
• Desplazamiento de las expectativas y ubicación de los usuarios
• Cambios en la relación con los proveedores o la capacidad de éstos
para prestar o proveer sus servicios
35. El Riesgo y los Objetivos de la
Organización
El establecimiento de los objetivos de la organización es una condición
previa a la evaluación de los riesgos.
La dirección debe fijar primero los objetivos, y luego determinar cuáles
serán los riesgos que pueden afectar su consecución para poder tomar las
medidas que se consideren oportunas.
37. Afortunadamente, se está produciendo en el último tiempo un cambio de
visión en la gestión de los riesgos, basada en la identificación, monitoreo,
control, medición y divulgación de los mismos, todo a través de la “matriz
de riesgos”, ya que gestionar eficazmente los riesgos para garantizar
resultados concordantes con los objetivos estratégicos de la
organización, se está constituyendo en uno de los mayores retos.
El Riesgo y los Objetivos de la
Organización
38. Una matriz de riesgos constituye una
herramienta de control y de gestión
normalmente utilizada para identificar las
áreas, procesos y actividades de una
empresa, el tipo y nivel de riesgos
inherentes a estas actividades y los
factores relacionados con estos riesgos. A
partir de los objetivos estratégicos, la
administración debe desarrollar un
proceso para la “identificación” de las
actividades principales y los riesgos a los
cuales están expuestas.
El Riesgo y los Objetivos de la
Organización