Resumen Sistema de Gestión del RiesgoLa Gestión del Riesgo es una de las actividades contenidas en el modelo de control COSO, y se entiende que es una de las mejores prácticas que actualmente se llevan a cabo en todo tipo de organizaciones a lo largo y ancho del mundo entero. Su finalidad es que las organizaciones gestionen los riesgos tanto de su ambiente exterior o interior, con el fin de que de una parte, mitiguen todos aquellos eventos que puedan impactar negativamente el logro de sus objetivos y/o que potencialicen aquellos eventos que puedan impactar positivamente el logro de los mismos. En la Administración Pública colombiana hay algunos antecedentes cercanos de la gestión del riesgo, anteriores al Modelo Estándar de Control Interno y al Sistema de Gestión de la Calidad. Con el Decreto 1537 de 2001, el Estado colombiano había ordenado la práctica de la gestión del riesgo en las entidades públicas colombianas. Así mismo, en el marco del Sistema Obligatorio de Garantía de la Calidad que rige la prestación de los servicios de salud, están presentes los indicadores para la gestión del riesgo en el proceso de habilitación y acreditación en salud , orientadas a las Instituciones Prestadoras de Servicios de Salud y a las Entidades Promotoras de Salud, tal como ocurre con el Estándar No. 9 para habilitar servicios: ?Seguimiento a riesgos en la prestación de servicios?. El Instituto Nacional de Cancerología ESE declaró formalmente su compromiso con la gestión del riesgo como una buena práctica de gobierno corporativo, por medio de la política contenida en el Código de Buen Gobierno, la cual fue definida en el artículo 39 del Código de Buen Gobierno, documento aprobado mediante Resolución No. 398 de 2008. Con el fin de dar cumplimiento a lo establecido en el marco normativo legal vigente, en el Instituto Nacional de Cancerología ESE se empezó a aplicar el estándar australiano y neocelandés AS/NZS 4360:2004 para la Gestión de Riesgos, el cual fue adoptado en Colombia por el ICONTEC mediante la Norma Técnica de Calidad 5254:2004 ICONTEC, y en el cual se fundamentó el documento Guía de Administración del Riesgo elaborada por el Departamento Administrativo de la Función Pública DAFP. La gestión del riesgo permite mejorar el gobierno corporativo de las organizaciones en donde se aplica, al pasar de una ?gestión riesgosa? a una gestión con un eficiente manejo del riesgo en sus operaciones. degradar. Identificación de los riesgos: Se identifica con precisión dónde. definidos a partir de la consecuencia y probabilidad de ocurrencia de cada riesgo. retardar o potenciar el logro de los objetivos organizacionales. 5. Tratamiento del riesgo: Se desarrollan e implementan estrategias específicas y eficaces en cuestión de costos y planes de acción para . 2. todas ellas interrelacionadas. cuándo. porqué. y cómo podrían los eventos que afecten a la organización prevenir. Análisis de los riesgos: Se identifican y evalúan los controles existentes que mitigan los riesgos identificados. Así mismo se determina la severidad de los riesgos. En esta parte del sistema se definen los criterios frente a los cuales se evaluará el riesgo y se define una estructura de análisis. Evaluación del riesgo: Se comparan los niveles estimados de riesgo frente a los criterios preestablecidos de riesgo. 1. todas ellas mediadas por procesos de comunicación y consulta y monitoreo y revisión. en la cual finalmente ocurrirá la gestión del riesgo. 4. haciendo un análisis de beneficios potenciales contra resultados adversos. el cual está compuesto por cinco grandes partes. sistemático y cíclico dentro de la organización. tal como se observa en la gráfica 1.Este estándar concibe la gestión del riesgo como un proceso sistémico. Gráfica 1 Proceso de Gestión del Riesgo según la norma AN/NZS 4360:2004 Establecer el contexto: Establece el contexto tanto interno como externo de la organización. 3. Establecimiento del contexto . Visión general del proceso de gestión del riesgo 3. 6.3 3.1 1. internas y externas.4 4. Comunicación y Consulta: Se identifican las partes involucradas. Aquí se incluye la Política de Gestión del Riesgo. Cliente. Contenido Básico de un Software de Gestión del Riesgo: • Aplicación de Proceso de Gestión del Riesgo • Matriz de Riesgos • Riesgos y escenarios por proceso • Acciones a tomar por riesgo • Mapa de Procesos • Caracterización de Procesos • Listado Maestro de Documentos y Registros • Listado de Requisitos (Legal.4 Comunicar y consultar ¿Qué es comunicación y consulta? Retroalimentación ¿Por qué es importante la comunicación y la consulta? Desarrollo de un proceso de comunicación y consulta Contexto Objetivos y ambiente Identificación y análisis de las partes involucradas Criterios 4. Alcance y Generalidades 1. Complementa la NTC 5254:2006 Tabla de contenido 1242 1.2 1. Organización) INDICE TEMÁTICO DEL LIBRO: Manual Directrices de Gestión del Riesgo. Monitoreo y Revisión: Se monitorean los riesgos y las medidas tomadas para mitigar el riesgo. 7. Comunicación y consulta 3.3 4.3 1. y se procede a comunicar y consultarles. a lo largo de cada etapa del proceso.2 4.1 4.1 3.2 3.incrementar los beneficios potenciales y reducir las pérdidas potenciales.4 Información básica sobre gestión del riesgo Beneficios de la gestión del riesgo Aplicaciones de la gestión del riesgo Gobierno Corporativo 2. 1 7.6 6.3 6.4 8.4 10.2 10. Análisis de riesgo 6.3 8.1Objetivo 5.3 7.2 7.2 9.3 9.2 8.1 10.7 6.4.1 8.1 6.5 6.4 7.2 Componentes de un riesgo 5.5 8.5 Enfoques para la identificación de riesgos 5. Tratamiento de riesgo 9. Evaluación del riesgo 8.6 10.4 6.3 Proceso de identificación 5.5 7.4 9.5 Criterios sobre consecuencias 4. Monitoreo y revisión 9. Registro del proceso de gestión del riesgo 10.6 Elementos clave 4.5 Propósito Cambios en el contexto y riesgos Aseguramiento y monitoreo de la gestión del riesgo Medición del desempeño de la gestión del riesgo Análisis posterior a los eventos Visión general Declaración de conformidad y debida diligencia Registro de riesgos Programa de tratamiento de riesgos y plan de acción Documentos de monitoreo y auditoria Base de datos de incidentes Plan de gestión del riesgo 10.6 Documentación de esta etapa 6.1 9.8 7.7 Documentación de esta etapa 5.7 .5 10.4 Información para identificación de riesgos 5. Identificación de riesgos 5.3 10.6 8.2 6.6 Visión general Tablas de consecuencia y posibilidad Nivel de riesgo Incertidumbre Análisis de oportunidades Métodos de análisis Preguntas clave en análisis de riesgo Documentación del análisis Visión general Tipos de criterios de evaluación Evaluación del análisis cualitativo Riesgo tolerable Juicios implícitos en los criterios Criterios de evaluación y eventos históricos Introducción Identificación de opciones Evaluar opciones de tratamiento Selección de opciones para tratamiento Preparación de planes de tratamiento Riesgo residual 7. 1 Normas y manuales 12. Ejemplo 2 6.1 8.4 9.3 Elementos para estructurar la evaluación del riesgo 6.7 El desafío para los lideres – La integración 11.1 8.1 Aspectos sobre toma de decisiones 10.1 Política 11.8 El desafío para los gerentes – El liderazgo 11. Ejemplo 1 6.2 8.4 Ejemplo de un plan de tratamiento de riesgo 3.3 8.10 Mensajes y preguntas clave para los directores 12.1 Ejemplo de registro de riesgos 10.2 Lecturas de profundización Figuras Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Tablas Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla Tabla 4.3 Escala de posibilidad simple.2 Objetivos relacionados con los criterios para un negocio (ejemplo) 4.1 Tipos de escalas de medición 6. Matriz simple de nivel de riesgo 6.2 Escala de consecuencias.7 Ejemplo.1 Criterios para un proyecto a mediana escala (ejemplo) 4.1 Proceso de gestión del riesgo en detalle Estructura del análisis DOFA Representación cualitativa Representación semicuantitativa Representación semicualitativa Riesgos con un rango de resultados Oportunidades Principio ALARP Tratamiento de riesgos Esquema general para causas y tratamiento de riesgos Gestión de incidentes críticos Compensación entre el nivel de riesgo y el costo de reducirlo Jerarquía de las actividades de aseguramiento .2 6. Referencias 12.4 Recursos e infraestructura 11.5 Ejemplo de escala de posibilidad (probabilidad).2 Registro de riesgos 10.5 7. Ejemplo 1 6.8 Ejemplo de una descripción detallada para consecuencias positivas 8.2 Compromiso de la dirección 11.6 Monitoreo y revisión de la eficacia del riesgo de la gestión del riesgo 11.1 6.6 Ejemplo de matriz para determinar el nivel de riesgo 6.4 6.5 Cambio cultural 11.1 4.3 Ejemplo de un plan de un programa de tratamiento de riesgos 10.9 El desafío para todos: La mejora continua 11.3 Responsabilidad y autoridad 11. Establecimiento de una gestión del riesgo eficaz 11. Ejemplo 2 6.3 6.1 6.11.4 Ejemplo de escala de posibilidad. 2 Objetivo de la AEC 4.2 Principios de control interno 6.3 Recolección de datos 7. Sistemas en desarrollo 8.3 NTC 5254 y planificación de la auditoría anual 4. Revisión del sistema de gestión de riesgos 9.4 Diseño e independencia de los controles 7.4 La función de la auditoría interna y la función de la dirección 1. El auditor interno y la gestión del riesgo 1.1 Diseño de la auditoría 5. Planificación de la auditoría interna 3.1 Responsabilidades del auditor interno 6.4 Implementación de la AEC 4.2 Métodos de valoración de riesgos 7.2 Aspectos de control de proyectos 8.3 Presentación de informes 6. Gestión del Riesgo dentro del proceso de Auditoría Interna (Incluye la NTC 5254 Gestión del Riesgo) Tabla de contenido Introducción 1.2 Definiciones 1. Análisis de riesgos de los sistemas de información 7. Medidas de riesgo 2.3 Revisión de la programación y diseño detallados 9. Autoevaluación de control 4. Auditoría interna de los sistemas de control 5.2 Modelo de revisión .3 Riesgos y controles 1.1 Generalidades 3.5 Reporte del ambiente de control 4.4 Métodos para valoración del riesgo de los sistemas de información 8.3 Medidas de la posibilidad 3.3 Proceso de diseño de controles 6.5 Proceso de gestión de riesgos y análisis de riesgos en la auditoría interna 2.1 Técnicas de valoración de riesgo de información 7.3 Beneficios de la AEC 4.2 Medidas de las consecuencias 2.Guía para el uso de la norma NTC 5254.1 ¿Qué es autoevaluación de control? (AEC) 4.1 Gestión de riesgos y auditoría interna 9.1 Las normas IAA y las AS/NTC 5254 1.1 Análisis de riesgo para proyectos 8. Asesoría para control interno 6.6 Resumen 5.2 La NTC 5254 y la planeación de auditorías estratégicas 3.2 Realización del trabajo en campo 5.1 Escala de medición 2. slideshare.Apéndice – Glosario de términos Referenciado de: http://www.net/silvanazuniga .