[PDF] Searches related to gestion integral de riesgos ppt filetype:pdf

METODOLOGÍAPARALA GESTIÓNINTEGRAL DERIESGOS

D i r e c c i ó n d eP l a n i f i c a c i ó n e I n v e r s i ó nFecha:16 demarzo de 2017C o o r d i n a c i ó n G e n e r a l d e P l a n i f i c a c i ó n

INDICE1.INTRODUCCION1.1.ANTECEDENTES1.2.CONSIDERACIONES LEGALES2. OBJETIVOS2.1 Objetivo General2.2 Objetivos Específicos3. DEFINICIONES4.-DIRECTRICES INICIALES5.-ETAPAS DE LA GESTIÓN DEL RIESGO5.1 EVALUACIÓN Y TRATAMIENTO DE RIESGOS5.1.1 Identificación de los riesgos5.1.2 Clasificación del riesgo5.1.2 Análisis y priorización del riesgo5.1.3 Definición de Acciones5.2 MONITOREO Y CONTROL DE RIESGOS5.2.1 Cambios en el entorno5.2.2 Gestionar el plan de acción5.2.3 Identificar nuevos riesgos5.2.4 Cerrar los riesgos6.-DIRECTRICES FINALES EN LA GESTIÓN DE RIESGOS

1.INTRODUCCIONEl presente documento contiene los principios, conceptos y parámetrosquepermitanidentificar ygestionarlos riesgosa los cuales está expuesto elMinisterio de Finanzas,con el propósito de definir las acciones necesarias paramantenerlos bajo control.1.1.ANTECEDENTESEn el marco del cumplimiento de las atribuciones y responsabilidades de laCoordinación General de Planificacióny de la Dirección de Planificación eInversión, se elabora la metodología para la Gestión Integral de Riesgos delMinisterio de Finanzas.1.2.CONSIDERACIONES LEGALESLa presente metodología se elabora bajo el amparode la siguiente normativalegal:iLa Constitución de la República del Ecuador, publicada en el RegistroOficial No. 449 de 20 de octubre de 2008, en su artículo 390 señala que"Los riesgos se gestionarán bajo el principio de descentralizaciónsubsidiaria, que implicará la responsabilidad directa de las institucionesdentro de su ámbito geográfico. Cuando sus capacidades para la gestióndel riesgo sean insuficientes, las instancias de mayor ámbito territorial ymayor capacidad técnica y financiera brindarán el apoyo necesario conrespeto a su autoridad en el territorio y sin relevarlos de suresponsabilidad".iLa Ley de Seguridad Pública y del Estado de 21 septiembre de 2009, ensu artículo 11, literal d) indica: "De la gestión de riesgos.-La prevencióny las medidas para contrarrestar, reducir y mitigar los riesgos de origennatural y antrópico o para reducir la vulnerabilidad, corresponden a lasentidades públicas y privadas, nacionales, regionales y locales. La

rectoría la ejercerá el Estado a travésde laSecretaría NacionaldeGestión de Riesgos."iEl Código Orgánico de Planificación y Finanzas Públicas de 25 deOctubre de 2011, en el artículo 64 prevé: "Preeminencia de la producciónnacional e incorporación de enfoques ambientales y de gestión de riesgo.-Incorporación de enfoques ambientales y de gestión de riesgos en eldiseño e implementación de programas y proyectos de inversión pública;promoviendo acciones favorables de gestión de vulnerabilidades y riesgosantrópicos y naturales".iLas Normas 100-01,300-01,300-02, 300-03 y 300-04 de Control Internopara las Entidades, Organismos del Sector Público y de las PersonasJurídicas de Derecho Privado que dispongan de recursos públicos, lasmismas que se citan a continuación.100-01 Control InternoEl control interno será responsabilidad de cada institución del Estado y delas personas jurídicas de derecho privado que dispongan de recursospúblicos y tendrá como finalidad crear las condiciones para el ejercicio delcontrol.El control interno es un procesointegral aplicado por la máxima autoridad,la dirección y el personal de cada entidad, que proporciona seguridadrazonable para el logro de los objetivos institucionales y la protección delos recursos públicos. Constituyen componentes del control internoelambiente de control, la evaluación de riesgos, las actividades de control,los sistemas de información y comunicación y el seguimiento.El control interno está orientado a cumplir con el ordenamiento jurídico,técnico y administrativo, promover eficiencia y eficacia de las operacionesde la entidad y garantizar la confiabilidad y oportunidad de la información,así como la adopción de medidas oportunas para corregir las deficienciasde control.300 EVALUACIÓN DEL RIESGO

La máxima autoridad establecerálos mecanismos necesarios paraidentificar, analizar y tratar los riesgos a los que está expuesta laorganización para el logro de sus objetivos.El riesgo es la probabilidad de ocurrencia de un evento no deseado quepodría perjudicar o afectar adversamente a la entidad o su entorno. Lamáxima autoridad, el nivel directivo y todo el personal de la entidad seránresponsables de efectuar el proceso de administración de riesgos, queimplica la metodología, estrategias, técnicas y procedimientos, a través delos cuales las unidades administrativas identificarán, analizarán y trataránlos potenciales eventos que pudieran afectar la ejecución de sus procesosy el logro de sus objetivos.300-01 Identificación de riesgosLos directivos de la entidad identificaránlos riesgos que puedan afectar ellogro de los objetivos institucionales debido a factores internos o externos,así como emprenderán las medidas pertinentes para afrontarexitosamente tales riesgos.Los factores externos pueden ser económicos, políticos,tecnológicos,sociales y ambientales. Los internos incluyen la infraestructura, elpersonal, la tecnología y los procesos.Es imprescindible identificar los riesgos relevantes que enfrenta unaentidad en la búsqueda de sus objetivos.La identificación delos riesgos es un proceso interactivo y generalmenteintegrado a la estrategia y planificación. En este proceso se realizará unmapa del riesgo con los factores internos y externos y con laespecificación de los puntos claves de la institución, las interacciones conterceros, la identificación de objetivos generales y particulares y lasamenazas que se puedan afrontar.Algo fundamental para la evaluación de riesgos es la existencia de unproceso permanente para identificar el cambio de condiciones

gubernamentales, económicas, industriales, regulatorias y operativas,para tomar las acciones que sean necesarias.Los perfiles de riesgo y controles relacionados serán continuamenterevisados para asegurar que el mapa del riesgo siga siendo válido, quelas respuestas al riesgo son apropiadamente escogidas y proporcionadas,y que los controles para mitigarlos sigan siendo efectivos en la medida enque los riesgos cambien con el tiempo.300-02 Plan de mitigación de riesgosLos directivos de las entidades del sector público y las personas jurídicasde derecho privado que dispongan de recursos públicos, realizarán el plande mitigación de riesgos desarrollando y documentando una estrategiaclara, organizada e interactiva para identificar y valorar los riesgos quepuedan impactar en la entidad impidiendo el logro de sus objetivos.En el plan de mitigación de riesgos se desarrollará una estrategia degestión, que incluya su proceso e implementación. Se definirán objetivos ymetas, asignando responsabilidades para áreas específicas, identificandoconocimientos técnicos, describiendo el proceso de evaluación de riesgosy las áreas a considerar, detallando indicadores de riesgos, delineandoprocedimientos para las estrategias del manejo, estableciendolineamientos para el monitoreo y definiendo los reportes, documentos ylas comunicaciones necesarias.Los directivos de las entidades del sector público y las personas jurídicasde derecho privado que dispongan de recursos públicos, desarrollaránplanes, métodos de respuesta y monitoreo de cambios, así como unprograma que prevea los recursos necesarios para definir acciones enrespuesta a los riesgos. Una adecuada planeación de la administración delos riesgos, reduce la eventualidad de la ocurrencia y del efecto negativode éstos (impacto) y alerta a la entidad respecto de su adaptación frente alos cambios.300-03 Valoración de los riesgos

La valoración del riesgo estará ligada a obtener la suficiente informaciónacerca de las situaciones de riesgo para estimar su probabilidad deocurrencia, este análisis le permitirá a las servidoras y servidoresreflexionar sobre cómo los riesgos pueden afectar el logro de susobjetivos, realizando un estudio detallado de los temas puntuales sobreriesgos que se hayan decidido evaluar.La administración debe valorar los riesgos a partir de dos perspectivas,probabilidad e impacto, siendo la probabilidad la posibilidad de ocurrencia,mientras que el impacto representa el efecto frente a su ocurrencia. Estossupuestos se determinan considerando técnicas de valoración y datos deeventos pasados observados, los cuales pueden proveer una baseobjetiva en comparación con los estimados.La metodología para analizar riesgos puede variar, porque algunos sondifíciles de cuantificar, mientras queotros se prestan para un diagnósticonumérico.Se consideran factores de alto riesgo potencial los programas oactividades complejas, el manejo de dinero en efectivo, la alta rotación ycrecimiento del personal, el establecimiento de nuevos servicios, sistemasde información rediseñados, crecimientos rápidos, nueva tecnología, entreotros. La valoración del riesgo se realiza usando el juicio profesional y laexperiencia.300-04 Respuesta al riesgoLos directivos de la entidad identificarán las opciones derespuestas alriesgo, considerando la probabilidad y el impacto en relación con latolerancia al riesgo y su relación costo/beneficio.La consideración del manejo del riesgo y la selección e implementaciónde una respuesta son parte integral de la administración de los riesgos.Los modelos de respuestas al riesgo pueden ser: evitar, reducir, compartiry aceptar.

Evitar el riesgo implica, prevenir las actividades que los originan. Lareducción incluye los métodos y técnicas específicas para tratar con ellos,identificándolos y proveyendo acciones para la reducción de suprobabilidad e impacto. El compartirlo reduce la probabilidad y el impactomediante la transferencia u otra manera de compartir una parte del riesgo.La aceptación no realiza acción algunapara afectar la probabilidad o elimpacto.Como parte de la administración de riesgos, los directivos consideraránpara cada riesgo significativo las respuestas potenciales a base de unrango de respuestas. A partir de la selección de una respuesta, se volveráa medir el riesgo sobre su base residual, reconociendo que siempreexistirá algún nivel de riesgo residual por causa de la incertidumbreinherente y las limitaciones propias de cada actividad.iEl Manual del Comité de Gestión de Riesgos de 14 de Junio del 2014,emitido por la Secretaría de Gestión de Riesgos, establece dentro de losPrincipios de la gestión de riesgos: "Transversalidad: Todas lasinstituciones públicas y privadas deben incorporar obligatoriamente y enforma transversal la gestión deriesgos en su planificación y operación."iEl Acuerdo Ministerial Nro. 254 de 23 de noviembre de 2011, publicado enel Registro Oficial No 219 de 14 de diciembre de 2011, mediante el cualse aprobó el Estatuto Orgánico por Procesos del Ministerio de Finanzas,dispone en el numeral 3.1.2.1 como atribuciones y responsabilidades dela Dirección de Planificación e Inversión, entre otras:iGestionar los procesos de planificación institucional; gestión deriesgos y seguridad integral.iDirigir y participar en la formulación de programas, planes, políticas yproyectos de inversión institucionales, así como de gestión de riesgosy seguridad integral en función de la normativa legal vigente ydirectrices institucionales, sectoriales y nacionales.

iArticular acciones claves, actividades y gestión institucional con lasentidades vinculadas al ámbito de planificación e inversión y degestión de riesgos y seguridad integral en forma intra einterinstitucional.iBrindar asistencia técnica en los procesos de planificación e inversióny de gestión de riesgos y seguridad integral.iGenerar información especializada en el ámbito de gestión de riesgosy seguridad integral.2. OBJETIVOS2.1 Objetivo GeneralDefinirunametodología para laGestión Integral de Riesgos que brinde lasdirectrices para que las unidades del Ministerio de Finanzas identifiquen,analicen, evalúen, definan acciones y monitoreenlos riesgos, con el propósitodereducirlas condiciones de vulnerabilidades humanas y físicas identificadas,coadyuvar ala continuidad de losprocesos yservicios que presta esta Carterade Estado; y reducir o mantener bajo control los factores que pueden afectar alcumplimiento de los objetivos institucionales.2.2 Objetivos EspecíficosiDefinir lineamientos para la evaluación y tratamiento de riesgosa loscuales están expuestas las diferentes unidades del Ministerio deFinanzas.iEspecificar las acciones necesarias para el monitoreo y control deriesgos.3. DEFINICIONES1.Gestiónde riesgos.-Es el proceso mediante el cual las institucionesidentifican, miden, controlan / mitigan y monitorean los riesgos inherentes ala Institución, con el objeto de definir el perfil de riesgo, el grado deexposición que la institución está dispuesta a asumir y los mecanismos de

cobertura, para protegerlos recursos propios y de terceros que seencuentran bajo su control ygestión.2.Base de datos: Conjunto de datos relacionados que se almacenan deforma tal que se puede acceder fácilmente, con la posibilidad derelacionarlos, ordenarlos, según criterios del administrador de la base dedatos, o el usuario final. Una de sus características es que existe unamínima duplicidad de información.3.Evento externo.-Refiérase a los acontecimientos que no involucran lasoperaciones normales de la Institución, los cuales pueden afectar suposición financiera u operativa. Ejemplo: terremoto, incendios, factoresclimáticos, sociales, políticos.4.Riesgo.-Es un evento o una condición con incertidumbre que, si ocurre,tiene un efecto negativo y amenaza el logro de un resultado.5.Insumo.-Es el conjunto de materiales, datos o información que sirven comoentrada a un proceso.6.Datos.-Es cualquier forma de registro electrónico, óptico, magnético,impreso o en otros medios, susceptible de ser capturado, almacenado,procesado ydistribuido.7.Información.-Es cualquier forma de registro electrónico, óptico, magnéticoo en otros medios, previamente procesado a partir de datos, que puede seralmacenado, distribuido y sirve para análisis, estudios y toma de decisiones.8.Administraciónde la información.-Es el proceso mediante el cual secaptura, procesa, almacena y transmite información, independientementedel medio que se utilice; ya sea impreso, escrito en papel, almacenadoelectrónicamente, transmitido por correo o por medios electrónicos opresentado en imágenes.9.Integridad.-Es la garantía de mantener la totalidad y exactitud de lainformación y de los métodos de procesamiento.10.Disponibilidad.-Es la garantía de que los usuarios autorizados tienenacceso a la información cada vezque lo requieran a través de los mediosadecuadosque satisfagan sus necesidades.

11.Cumplimiento.-Se refiere a la observancia de las leyes, regulaciones yacuerdos contractuales a los que los procesos del Ministerio están sujetos;12.Eficacia.-Es la capacidadpara contribuir al logro de los objetivosinstitucionales de conformidad con los parámetros establecidos.13.Eficiencia.-Es la capacidad para aprovechar racionalmente los recursosdisponibles en pro del logro de los objetivos institucionales, procurando laoptimización de aquellos y evitando dispendios y errores;14.GPR (Gobi e rno por Resultados).-Herramienta de gestión institucionalincorporada por la Secretaría Nacional de la Administración Pública paratodas las instituciones del Gobierno Central.15.Vulnerabilidades.-características que tiene una persona o un grupo parapredecir un peligro natural o causado por el hombre; hacerle frente; resistira sus efectos y recuperarse.16.Identificación de los riesgos.-Se identifica con precisión dónde, cuándo,porqué, ycómo podrían los eventos que afecten a la organización prevenir,degradar, retardar o potenciar el logro de los objetivos organizacionales.17.Análisis de los riesgos.-Se identifican y evalúan los controles existentesque mitigan los riesgos identificados. Así mismo se determina la severidadde los riesgos, definidos a partir de la consecuencia y probabilidad deocurrencia de cada riesgo.18.Tratamiento del riesgo:Se desarrollan e implementan estrategiasespecíficas y eficaces enrelación acostos y planes deacción paraincrementar los beneficios potenciales y reducir las pérdidas potenciales.Aquí se incluye la Política de Gestión del Riesgo.19.Comunicación y consulta:Se identifican las partes involucradas, internasy externas, y se procede a comunicar y consultarles, a lo largo de cadaetapa del proceso.20.Monitoreo y Revisión:Se monitorean los riesgos y las medidas tomadaspara mitigar el riesgo.

4.-DIRECTRICES INICIALESLas directricespropuestaspara una adecuadaGestióndel Riesgo son lassiguientes:iCompromiso de los mandos medios:para el éxito en laImplementación dela Gestión Integraldel riesgo, es indispensable elcompromiso de las autoridades,paradefinirla Política para la Gestiónde Riesgos y Seguridad Integral del Ministerio de Finanzasconelobjetodeestablecer los principios básicos y el marco general de actuaciónpara el control y la gestión de los riesgos, así como para llevar a cabo elseguimiento periódico de dicho sistema.iConformación de un equipo de trabajo:las unidades deben delegarfuncionarios para conformarun equipo de trabajo que se encargue deliderar el proceso degestióndel riesgo dentro de la entidad y cuente conun canal directo de comunicación con las autoridades.iCapacitación en la metodología:Definido el equipo o equipos detrabajo,la Dirección de Planificación e Inversión brindará la asesoríarequerida paralagestióndel riesgoen sus respectivas unidadesadministrativas.5.-ETAPASDE LA GESTIÓNDEL RIESGOEn la planeación de la Gestión de Riesgos se deben considerar lasatribuciones y responsabilidades de las unidades establecidas en el AcuerdoMinisterial Nro. 254 de 23 de noviembre de 2011, así como las Normas 100-01,300-01,300-02, 300-03 y 300-04 de Control Internoestipuladas por laContraloría General delEstado.La planificación de la Gestión de Riesgos se realizará en el marco del plananual comprometido y será firmado por las autoridades de las unidadesadministrativas de esta Cartera de Estado hasta el 31 de enero de cada año.

ETAPAS DE LAGESTIÓNDERIESGOS

Fuente: Guía metodológica de GPRElaboración: propia5.1EVALUACIÓN Y TRATAMIENTO DE RIESGOS5.1.1 Identificación delosriesgosLa identificación delosriesgoses parte del proceso de planeación y debe serpermanentey participativa, verificando los aspectos que pueden afectar alcumplimiento de los objetivos institucionales en sus distintos niveles:iObjetivos estratégicosiObjetivos específicosiObjetivos operativosiProcesosiProyectos

Para la identificaciónde riesgosse recomiendarealizarreuniones ejecutivascon los responsables de la información de cada nivel enla herramienta deGobierno por Resultados (GPR),pudiendo utilizardiferentes fuentes deinformación de la institución, tales como registros históricos, experienciassignificativas registradas, opiniones de especialistas y expertos, informes deaños anteriores. Adicionalmente, se pueden aplicar las siguientesherramientasy técnicas: entrevistas estructuradas con expertos,cuestionarios, lluvias deideas con los servidores del MINFIN, entrevistas e indagaciones con personasajenas al MINFIN, entre otras.Para la formulación de riesgos se utilizarála sintaxis queproponela GuíaMetodológica del GPR:

Fuente: Guía Metodológica GPRElaboración: propia5.1.2Clasificación del riesgoEn la herramienta de Gobierno por Resultados, la unidad podrá seleccionar laclasificación de riesgos (RBS : Estructur a d e desglo se de l riesgo ). Acontinuación se señalan a manera de ejemplo las opciones más utilizadas:Internacional. Económico:cuandose identifican factores de la economíainternacional que puedan afectar al cumplimiento de los objetivos. Ejemplo:caída del precio del petróleo, alza de tasas de interés, desaceleración en la

economía mundial, suspensiónde apoyo financiero internacionalnoreembolsable.Nacional (o Regional). General:se podrán considerar las situaciones en elámbito nacional o regional, que no estén en otras clasificaciones. Ejemplo: dedemora o falta de aprobación de otras entidades en el ámbito de suscompetencias,dependencia de otras Instituciones del Estado.Nacional ( o Regional ). Ambiental:cuando un factor ambiental (sismos,erupción volcánica, caída de ceniza) se constituy e e n u n riesg o par a elcumplimiento de objetivos institucionales.Nacional ( o Regional ). Económico:cuando se identifican factores de laeconomía nacional o regional que puedan afectar al cumplimiento de losobjetivos. Ejemplo: condiciones financieras desfavorables para elfinanciamiento público, ajustes al Presupuesto General del Estado.Nacional( o Regional ). Jurídico:dentro de esta categoría se puedeconsiderar los cambios en la normativa legal vigente.Nacional ( o Regional ). Político:por ejemplo el cambio de autoridadesnacionales.Organizacional. General:por ejemplo,fraude Interno y retraso en losprocesos administrativos.Organizacional. Ambiental:por ejemplo, inundaciones, riesgo de incendio,ventilación, iluminación y calor.Organizacional. Económico/ Fiscal:por ejemplo déficit presupuestarioycambios en la programación dedesembolsosde créditos.Organizacional. Jurídico:por ejemplo,fallas en contratos y transacciones quepueden afectar el funcionamiento o la condición de una institución, derivadasde error, dolo, negligencia o imprudencia en la concertación, instrumentación,formalización o ejecución de contratos y transaccionescontratos con

proveedores, contratos con el personal de la Institución, cambios y/omodificaciones a la normativa legal vigente.Organizacional. Patrimonial,ejemplo: riesgos ala estructura físicade laedificación,seguridad de las instalaciones, existencia deelementos vulnerablescomo: superficies de trabajo, pasillos y corredores de tránsito, equiposeléctricos y sistemas de emergencia.Organizacional. Político,ejemplo: agresiones y toma a las instalaciones, tomaderehenes, colocación de bombas, robos y asaltos, cambio de autoridadesinstitucionales.Organizacional. Seguridad,se incluirán: riesgostecnológicoscomo:falta dedisponibilidad de los Sistemas delMINFIN,acceso a la Red de Internet, faltademantenimientoy/o actualización de lossistemas y bases de registros, respaldode la información, violación externa de las bases de datos, daños físicos a losservidores, obsolescencia de los equipos informáticos,licencias de softwarecaducadas;seguridad de la información; agresiones y toma a las instalaciones,toma de rehenes, colocación de bombas, robos y asaltosOrganizacional. Social/ Laboral,se incluirán los riesgos deSeguridad y SaludOcupacional como: factores ergonómicos y psicosociales, clima laboraldesfavorable, negligencia,pocopersonal capacitado, falta de personal.Proyecto. General,se pueden señalar los riesgos que causanreprogramaciónde hitos, cancelación o retraso en la ejecución del proyecto.Ejemplo: cambiode autoridades.Proyecto. Alcance:se considerarán los riesgos que puedan afectar aloslímitesiniciales definidos en losproyectos, el cumplimiento altrabajoprevisto-productos o subproductos.Ejemplo:cambio en especificaciones técnicas,geográficas, etc.Proyecto. Calidad:si se identifica un factor que afecte la calidad de losproductos o subproductos del proyecto.

Proyecto. Costo:se identificarán riesgos como: la falta de presupuesto paraejecución del proyecto, cambios en el presupuesto inicial planificado, queafecten a la ejecución y normal desarrollo del proyecto.Proyecto. Recursos:por ejemplo: faltade equipos o sistemas,poco personalpara ejecutar el proyecto, alta rotación del personal.Proyecto. Tiempo:se identificarán los factores que afecten la duración delproyecto. Ejemplo:demora en la revisión y aprobación de los documentos delproyecto.Proyecto. Técnico:riesgos que perjudiquen el desempeño de los sistemas oequipos.5.1.2Análisisy priorizacióndel riesgoEl objetivo del análisis es el de establecer una valoración y priorización de losriesgos con base en la información obtenida en la fase de identificación, con elfin de obtener información que permita establecer el nivel de riesgo y lasacciones que se van a implementar. El análisis del riesgo dependerá de lainformación del mismo, de su causa y la disponibilidad de datos. Paraadelantarlo es necesario diseñar escalas que pueden ser cuantitativas ocualitativas.El objetivo del análisis de riesgos es proporcionarinformación sobre lospeligros y riesgos presentes en los procesos y servicios que presta el Ministeriode Finanzas, sobre los cuales se tiene influencia y pueden controlarse, con lafinalidadde prevenir daños a la salud del personaly bienes institucionales,disminuir las posibles pérdidas y aumentar las oportunidades de mejora.Para la priorización de riesgos se utilizaráuna matriz de probabilidad e impactodonde se evalúela frecuencia de ocurrencia de los eventos y los efectos oimpactos que producen. El análisis cualitativo de cada uno de los riesgosidentificados sedeberárealizar de manera participativa.Probabilidad:esla posibilidad de ocurrencia del riesgo, y se valorará de lasiguiente manera:

ProbabilidadDescripción detallada100Muy Alta.-la ocurrencia del eventoescertera e inminente90 a80Alta.-Es probable que el evento ocurraen la mayoría de lascircunstancias70 y 50Media.-El evento de riesgo podríao noocurrir en algúnmomento inesperado.40 y 30Baja.-El evento de riesgo podría ocurrir en algún momentono tan esperado10a 20Muy baja.-El evento de riesgo puede ocurrir soloencircunstancias excepcionales.Impacto:grado de afectación del riesgo al cumplimiento de los objetivos. Laescala que se utilizará es la siguiente:ImpactoDescripción detallada10 y 20Muy Baja afectación al cumplimiento de objetivos.30 y 40Baja afectaciónal cumplimiento de objetivos.50 y 60Afectación media al cumplimiento de objetivos70 y 80Afectación altaal cumplimiento de objetivos90 y 100Muy alta afectación, cuando pone en peligro aspectoscruciales en la instituciónLa valoración dela probabilidad eimpacto dependeráde la experiencia de lostitulares, patrocinador ejecutivo, líderes de proyectoydueños del proceso,paralo cual contará con la asesoríatécnica dela Dirección de Planificación eInversión o responsablede acuerdo al ámbito de competencia.

En el sistema GPR se presenta, de forma automática después de ingresar losriesgos, elMapa de Riesgosde la unidad, donde los riesgos con unacalificación igual o mayor a 49se marcan en rojo, lo cualindicaquelos riesgosdeben atenderse de formaprioritaria, y contar con un plan de acción quedeberá contener al menos una acción preventiva y una de contingencia.

Fuente: Sistema GPR.5.1.3Definición de AccionesCon el propósito de gestionar los riesgosse deberándefiniracciones factiblesy efectivasy las fechas en las que se propone ejecutarlas.

Fuente: Guía Metodológicade GPR5.2 MONITOREO Y CONTROL DE RIESGOS5.2.1Cambios en el entornoUna vez diseñado y validado el plan paragestionarlos riesgos, en el mapa deriesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejande representar una amenaza parala organizacióny para el cumplimiento de losobjetivos.Es importante detectar los cambios en el entorno, que puedan incrementar odisminuirla probabilidad de ocurrencia de los riesgos, así como su impacto.5.2.2 Gestionar el plan de acciónEl propósito de la gestión del plan de acción es verificarque se estállevando acabo,evaluar la eficiencia en su implementación, así como identificar nuevasacciones que puedan contribuir a una mejor gestión del riesgo.

Elplandeberáser monitoreado porlos responsables del manejo de los riesgosen cada una de las unidades del Ministerio de Finanzas y debe incluirpropuestas de mejoramiento y tratamiento a las situaciones detectadas.LaDirección de Información, Seguimiento y Evaluación realizará revisionestrimestrales a nivel institucional con el propósito desugerir los correctivos yajustes necesariosy comunicar losresultados.Las unidades del Ministerio de Finanzas deberán realizar mínimo una revisióncada trimestre de los riesgos ingresados en la herramienta GPR, verificar si lascondiciones inicialmente planificadas han cambiado y de ser el caso,actualizarlas. De la misma manera deberán dar seguimiento y registraroportunamente el cumplimiento del plan de acción programado, así comocontar con los respaldos respectivos.5.2.3 Identificar nuevos riesgosLos riesgos son dinámicos, y están en constante cambio, por lo tanto algunosriesgos tienden a desaparecer, mientrasqueotrosriesgos puedenaparecer,por lo cual se deberárealizarunanálisis semestral con los responsables de losriesgos, para la identificación de nuevos riesgos, siguiendo la mismametodología de análisis.5.2.4 Cerrar los riesgosDe acuerdo a lo estipulado en la Guía metodología de GPRse dará porcerrado un riesgo cuando se cumpla alguna de las siguientes condiciones:iha pasado la fecha estimada de ocurrencia,iel evento ocurrió y se han realizado las acciones planeadas, oiel riesgo no representa ya una amenaza para la consecución del plan.Los riesgos deberán cerrarse hasta el 13de enero de cada año, verificando elcumplimiento del plan de acción.

6.-DIRECTRICESFINALESEN LAGESTIÓNDE RIESGOSCada unidad administrativa gestionará riesgos específicos considerando lasatribuciones y responsabilidades estipuladas en el AcuerdoMinisterial Nro.254, para lo cual definirá el conjunto de acciones a desarrollar para eltratamiento de dichos riesgos y las fechas comprometidas para suimplementaciónLas unidades que identifiquen riesgos que afecten al cumplimiento de susobjetivos, procesos y/o proyectos sobre los cuales no son responsablesdirectos, podrán definir acciones de tipo:iTRANSFERIR: identificar este tipo de acción para destacar que launidad no es responsable directa. En lacolumnaacciónse deberáespecificarla unidad ala cual se transfiere la gestión de este riesgo; yiCONTINGENCIA: identificar las acciones (plan B) que se realizarán encaso de que la acción de transferencia no arroje los resultadosesperados y se ponga en peligro el cumplimiento de objetivos y lagestión propia de la unidad.Ejemplo:No.AcciónComprometida(dd/mm/aaaa)1Gestionar con la DATH lacontratación del personal requeridoTransferir10/03/20172Priorizar los temas que requierenatención inmediataContingencia13/05/2017La unidad responsable de la gestión de riesgos específicos en el ámbito de suscompetencias, deberá formular en el sistema de GPR un conjunto de accionesque permitan principalmente: EVITAR y PREVENIR los riesgos, para lo cual lasdiferentes unidades administrativas informarán con la debida anticipación losriesgos que deben ser atendidos.

Con el propósito de monitorear y controlar los riesgos, las unidades delMinisterio de Finanzas deberán planificar como máximafecha estimada deocurrenciade los riesgos el 30/06/2017, pudiendo ser actualizada de acuerdo alas necesidades o dinámica de la unidad, y planificar el cumplimiento deacciones trimestrales.Para lagestiónde riesgos tanto de objetivos como deproyectos, serecomienda tomar en consideración lo establecido enla guía metodológicaGPR que indica lo siguiente:iEl responsable de un riesgo debe garantizar el cumplimiento de lasacciones de su plan.iSe estableceráuna práctica continua de administración de los riesgos,con la participación e involucramiento de todos los interesados,iCon respecto a proyectos, se presentaráen las reuniones avance elestado actual de los riesgos asociados a los hitos del proyecto, y lasacciones tomadas para su control,iSe establecerá una reserva en el presupuesto del proyecto para laadministración de los riesgos identificados.iSe establecerán las responsabilidades de los actores en el proceso deadministración de los riesgos, según lo siguiente:ACTORROL GPRRESPONSABILIDADESMinistra/oTitular PlanEstratégico-Aprobar la metodología para la Gestión deRiesgos-Gestionary/o aprobar, en caso de sernecesario, los recursos que permitan llevar acabo las planes de acción para riesgosprioritarios.CoordinadoresGenerales/SubsecretariosTitulares PlanesEspecíficos-Identificarmínimo dos riesgos por cadaobjetivo específico.-Cumplir con las acciones aplicadas a losriesgos.-Cerrar los riesgos, según los parámetrosestablecidos.-Identificarnuevos riesgos, de sernecesario.

-Informar sobre el avance de la gestión deriesgosal área de seguimiento.-Supervisar el cumplimiento de laidentificación de riesgo, así como delosplanes de acción, del nivel operativo.Patrocinadorejecutivo-Supervisar el cumplimiento de laidentificación de riesgo y cumplimiento deacciones y planesde acción, de losproyectos.-Gestionar, en caso de ser necesario, losrecursos que permitan llevar a cabo lasplanes de acción para riesgos prioritarios.DirectoresTitulares PlanesOperativos-Identificar mínimo dos riesgos por cadaobjetivo operativo (olos que fuerennecesarios).-Designar los responsables de gestionar losriesgos de procesos, u otros riesgos, de launidad (en caso de requerirlo).-Cumplir con las accionesidentificadaspara gestionarlos riesgos.-Cerrar los riesgos, según los parámetrosestablecidos.-Identificarnuevos riesgos (e n cas o derequerirse)-Informar sobre el avance de la gestión deriesgos al área de seguimiento.-Supervisar el cumplimiento de laidentificación de riesgo,de los planes deacción, de los proyectos y procesos a sucargo.Líderes deproyectoLíderes deproyectos-Identificar mínimodosriesgos por cadaproyecto (o los que fueren necesarios).-Cumplir con las acciones identificadaspara gestionar los riesgos.-Cerrar los riesgos, según los parámetrosestablecidos.-Identificarnuevos riesgos (e n cas o derequerirse)-Informar sobre el avance de la gestión deriesgos al área de seguimiento.

Responsables deprocesosResponsablesprocesos-Identificaral menos unriesgo por cadaproceso.-Cumplir con las acciones identificadaspara gestionar los riesgos.-Cerrar los riesgos, según los parámetrosestablecidos.-Identificar nuevos riesgos (e n cas o derequerirse)-Informar sobre el avance de la gestión deriesgos al área de seguimiento.Dirección dePlanificación eInversiónLíder y equipometodológico-Guiar a losresponsablesde los riesgospara la identificación y medición del impactoy probabilidad de ocurrencia en base a lametodología, así como la determinación delas acciones para gestionar el riesgo.-Generar propuestas deactualizacióna lametodología de gestión de riesgos, en casode requerirlo.Dirección deInformación,Seguimiento yEvaluaciónLíder deseguimiento yequipometodológico-Dar seguimiento y evaluar la gestión deriesgos de cada una de las unidades delMINFIN ingresadas en el sistema de GPR.-Realizar revisiones trimestrales de losriesgos institucionales con el propósito desugerir los correctivos y ajustes necesarios ycomunicar los resultados.-Solicitara las unidades administrativas,avances de la gestión de riesgos de susplanes, proyectos, proyectos, de maneraperiódica.En la siguiente tabla se resume la información que deberá registrarse en elsistema de GPR:ÍtemDetalleClasificación (RBS)Se seleccionará la clasificación del riesgo de acuerdoaEstructura Desglosada de Riesgos (Risk BreakdownStructure)RiesgoSe ingresará el nombre para identificar el Riesgo,conforme la sintaxis: Evento + "CAUSARÍA" + ImpactoDescripciónSe detallará el Riesgo y se hará constar de forma

específica el tipo de riesgo, si no consta dentro de lascategorías predefinidas en GPR, así como seidentificará el nombre del proceso que se ve afectadocon el riesgo.Fecha deIdentificaciónSeleccionar la fecha en la cual el riesgo se identifica eingresa en el sistema GPR.ObjetivoSe deberá seleccionar el objetivo de la unidad que severá impactado por la ocurrencia de dicho riesgo.ResponsableSe deberá seleccionar la persona responsable de darleseguimiento a este riesgo, que puede ser el titular de launidad o la persona que sea designada.ProbabilidadSeleccionar la probabilidad de que este riesgo ocurra enuna escala del 10% al 100%.ImpactoSeleccionar el impacto delRiesgo en escala del 10 al100CalificaciónEl sistemacalculaautomáticamente,multiplicando laProbabilidad por el Impacto.Costo Potencial delImpactoSe ingresará un monto, en el caso que la ocurrencia delriesgo genere un costo.Fecha Estimada deOcurrenciaIdentificar la fecha en la cual el riesgo puede ocurrir conla probabilidad definida.EstadoIdentifica si el riesgo está Abierto o ya ha sido Cerrado.Fecha de CierreLa fecha en la cual el riesgo fue cerrado.AcciónDetalle la acción que se llevará a cabo para gestionar elriesgo.TipoSeleccione el tipo de acción: evitar, prevenir, transferir, decontingencia.ComprometidaSe ingresa la fecha en la cual el responsable del riesgo secompromete en finalizar la acción.CompletadaSe ingresa la fecha en la cual el responsable del riesgofinalizó la acción.Fuente: Guía Metodológica GPRElaboración: propia