Introducción
Este documento está dirigido a las personas que crean y protegen el valor en las organizaciones gestionando riesgos, tomando decisiones, estableciendo y logrando objetivos y mejorando el desempeño.
Las organizaciones de todos tipos y tamaños se enfrentan a factores e influencias internas y externas que hacen incierto si lograrán sus objetivos.
La administración de riesgos es iterativa y apoya a las organizaciones a establecer su estrategia, lograr sus objetivos y tomar decisiones informadas.
La administración de riesgos es parte de la gobernanza y el liderazgo y es fundamental en la manera en que se gestiona la organización en todos sus niveles. Esto contribuye a la mejora de los sistemas de administración/gestión.
La administración de riesgos es parte de todas las actividades asociadas con la organización e incluye la interacción con las partes interesadas.
La administración de riesgos considera los contextos interno y externo de la organización, incluyendo el comportamiento humano y los factores culturales.
Administración de riesgos: Cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos.
Es el conjunto de técnicas y procedimientos usados para el análisis, identificación, evaluación y control de los aquellos efectos adversos consecuencia de los riesgos o eventualidades a los que se expone una empresa, de esta manera lograr reducirlos, evitarlos, retenerlos o transferirlos.
Gestión de Riesgo: Es un enfoque estructurado y estratégico liderado por la Alta Gerencia acorde con las políticas de gobierno organizacional de cada entidad, en donde se busca implementar un conjunto de acciones y actividades coordinadas para disminuir la probabilidad de ocurrencia o mitigar el impacto de un evento de riesgo potencial (incertidumbre) que pueda afectar los resultados y, por ende, el logro de los objetivos de cada entidad, así como el cumplimiento de los objetivos en el SGSSS o sus obligaciones.
Sistema integrado de gestión del riesgo: Es el conjunto de acciones y actividades coordinadas para disminuir la probabilidad de ocurrencia o mitigar el impacto de un evento de riesgo potencial que pueda afectar los resultados y, por ende, el logro de los objetivos de la entidad.
Definiciones
Amenazas
situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.
Riesgo
Posibilidad que ocurra un evento que pueda afectar negativamente el cumplimiento de la operación de una Entidad y que atenten contra los objetivos del SGSSS.
• Riesgo inherente: Cualquier nivel de riesgo propio de la actividad, cuya evaluación se efectúa sin considerar el efecto de los mecanismos de mitigación y de control.
• Riesgo residual: Es el nivel de riesgo que resulta luego de la aplicación de las medidas de control o mitigación existentes a los riesgos inherentes.
• Riesgo neto global: Resultado de la combinación de cada uno de los riesgos residuales de la entidad, teniendo en cuenta la importancia relativa que a cada categoría de riesgo le haya asignado la Entidad.
Evento
Ocurrencia o cambio de un conjunto particular de circunstancias.
Consecuencia
Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.
Efecto
Es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
Factores de Riesgo
Fuentes generadoras de riesgos tanto internas como externas a la entidad y que pueden o no llegar a materializarse en pérdidas. Cada riesgo identificado se encuentra originado por diferentes factores de riesgo que pueden estar entrelazados unos con otros
Controles
Medidas prudenciales y correctivas que ayudan a contrarrestar la exposición a los diferentes riesgos. Entre estas se encuentra la implementación de políticas, procesos, prácticas u otras estrategias de gestión.
Probabilidad
posibilidad de que algo suceda
Apetito del Riesgo
Es el nivel de riesgo que la entidad puede aceptar, relacionado con sus objetivos, el marco legal y las disposiciones de la Alta Dirección y del Órgano de Gobierno. El apetito del riesgo puede ser diferente para los distintos tipos de riesgos que la entidad debe o desea gestionar.
Contingencia
Posible evento futuro, condición o eventualidad.
Continuidad del negocio
Capacidad de una organización para continuar la entrega de productos o servicios a niveles aceptables después de una crisis.
Mapa de Riesgos
Documento que resume los resultados de las actividades de gestión de riesgos, incluye una representación gráfica en modo de mapa de calor de los resultados de la evaluación de riesgos.
Restablecimiento
Capacidad de la Entidad para lograr una recuperación y mejora, cuando corresponda, de las operaciones, instalaciones o condiciones de vida una vez se supera la crisis.
TIC
Tecnologías de la Información y las Comunicaciones.
Vulnerabilidad
Representan la debilidad de un activo o de un control que puede ser explotada por una o más amenazas.
Falla de mercado
Una situación en la que un mercado no asigna eficientemente los
recursos por sí solo.
Reputación
Percepción agregada que sobre una organización tienen los agentes relacionados con ella, sean estos clientes, accionistas, grupos de interés, partes vinculadas o público en general, la cual tiene el potencial de afectar la confianza en la entidad, influenciando su volumen de negocios, y su situación general. Esta puede variar por factores tales como el desempeño, escándalos, menciones en prensa, entre otros.
Ciclo general de gestión de riesgo
Son las etapas que incorpora un Subsistema de Administración de Riesgos para cada uno de los tipos o categorías de riesgo identificadas.
Identificación de riesgos: Consiste en reconocer, explorar exhaustivamente y documentar todos los riesgos internos y externos que podrían afectar tanto los objetivos de la entidad como la salud de los usuarios a su cargo, en los casos que aplica, identificando sus causas, efectos potenciales y Ia posible interrelación entre los diferentes tipos de riesgos, para lo cual se recomienda la utilización de normas técnicas nacionales o internacionales.
Evaluación y medición de riesgos: Es la valoración de los efectos asociados a los riesgos que han sido identificados, considerando la frecuencia y la severidad de su ocurrencia. También se deberá considerar el análisis de los riesgos inherentes y residuales, y su participación en el riesgo neto global. Se entenderá por valoración del riesgo, la medida cualitativa o cuantitativa, de su probabilidad de ocurrencia y su posible impacto.
Tratamiento y control de los riesgos: Una vez identificados y evaluados los riesgos, a excepción de los riesgos en salud, deben compararse con los limites (tolerancia) de riesgos aprobados por la instancia definida en el Gobierno Organizacional de la entidad y su política de riesgos, siempre dentro del marco normativo como referencia. Todo riesgo que exceda los límites a desviaciones aceptadas debe ser objeto de actividades de mitigación y control a fin de regresar al nivel de riesgo tolerado, conforme la estrategia adoptada.
Seguimiento y monitoreo: Una vez establecidos los posibles mecanismos o un conjunto de estos, para la mitigación y control de los riesgos que se han identificado como relevantes para la entidad y después de realizar un análisis de causa y efecto para determinar los puntos más críticos a intervenir con mayor prelación, esta deberá poner en práctica tales mecanismos y reflejarlos en un plan de implementación de las acciones planteadas en la fase anterior, guardando correspondencia con las características particulares de cada entidad, teniendo en cuenta el grado de complejidad, el tamaño y el volumen de SUS operaciones.