sector funerario
TRANSCRIPT
Caracterización de Riesgos Sector Funerario
Informe
GESTIONO EL RIESGO
FO
RTALEZCO MI NEGO
CIO
FINANCIADO POR:
CON EL APOYO DELPROGRAMA:
REALIZA:
Línea de Expertosdel Modelo Gremial
Informe Caracterización de Riesgos
2
PRESENTACIÓN
La existencia de un mercado cada día más globalizado, con una clara tendencia a la estandarización de
procesos, productos y servicios, ha obligado a las empresas del Sector Funerario a desarrollar un Modelo
de Negocio integrado que va desde la previsión exequial hasta la inhumación y exhumación, y a
replantear la forma en cómo las organizaciones deben repensar la efectividad de sus procesos en función
del cumplimiento de sus objetivos estratégicos y operativos, y además, de cómo el fenómeno del riesgo
está asociado a cualquiera de sus actividades.
En esa dirección, esta Caracterización de Riesgos del Sector Funerario, entrega un marco de referencia
para las tareas que se derivan de la Gestión del Riesgo asociadas a los procesos y a la normalización de
estos en función del cumplimiento de los requisitos que surgen a través de la reglamentación de la
actividad y sus componentes políticos, económicos, sociales, tecnológicos, ambientales y legales.
Esta Caracterización es puramente referencial y no pretende agotar, ni sustituir las consideraciones
operativas, ni procedimentales relacionadas con la Gestión del Riesgo y se entrega como carta de
navegación para las organizaciones, a fin que las partes interesadas (empresarios, directivos, clientes,
proveedores, empleados y la misma sociedad), cuenten con una metodología pertinente para la
identificación, análisis, valoración y tratamiento de los riesgos del sector.
Durante el proceso se ejecutaron las fases de comunicación y consulta, brindando elementos para
estructurar el Monitoreo y Revisión, y consecuente con estas “entradas” y “salidas” del proceso de Gestión
del Riesgo, hacen prácticas las labores de recabar y procesar la información necesarias para la
materialización de un Ciclo de Planificación (Planear), Implantación (Hacer), Verificación y Control del
Riesgo en las Operaciones (Verificar) y mejoramiento de las condiciones operativas para la Gestión del
Riesgo (Actuar), partiendo de un necesario proceso de establecer el contexto, con la consecuente
identificación, análisis y evaluación del riesgo debidamente documentado, desde lo estratégico y
operativo del negocio, así como la intervención en el tratamiento del riesgo, como se ilustra en la
siguiente gráfica:
3
Informe Caracterización de Riesgos
1. Previsión
Para efectos metodológicos es preciso definir que el ciclo responde a una secuencia lógica
de actuaciones (Previsión, Planificación, Intervención, Verificación y Mejoramiento), que a su vez nos
permiten cumplir con las fases del Ciclo de Gestión (PHVA).
Estas tareas se desarrollaron en el marco del Convenio de Cooperación Internacional del Programa
Gestiono el Riesgo, Fortalezco mi Negocio de la Agencia de los Estados Unidos para el Desarrollo
Internacional – USAID y Fenalco Antioquia entre los meses de julio y agosto de 2019 con la participación
de las empresa Afiliadas y agrupadas en el Sector Funerario.
El uso de esta Caracterización no garantiza el logro de objetivos de “tolerancia cero” o “control de
pérdidas”, pero sí constituye una adecuada carta de navegación para el logro de esquemas de Gestión de
Riesgos y poder tomar decisiones informadas a través de la operación del Modelo de Gestión de Riesgos
aplicado y adaptado a las empresas del Sector Funerario del Valle de Aburrá.
Con el fin de obtener una mirada objetiva del sector en conjunto y de las actividades que la componen,
se trabajó una muestra de 12 empresas Afiliadas al sector con asiento en Medellín y el Valle de Aburrá,
tanto con operación local como nacional e incluso extensión de servicios de repatriación, y que tuvieran
distintos tipos de miradas por su Modelo de Negocio para comprender el marco de actuación para lo
cual se realizaron dos sesiones de trabajo con una metodología de participación y construcción colectiva
de las variables de identificación.
Evaluación de riesgos
Identificación de los riesgos
Análisis de los riesgos
Evaluación de los riesgos
Tratamiento de los riesgos
Co
mu
nic
ació
n y
co
nsu
lta
Mo
nito
reo
y revisió
n
Establecer el contexto
GRÁFICA Proceso de Gestión del Riesgo (Norma ISO 31000:2018)
4
Informe Caracterización de Riesgos
1.1 Comunicación y consulta
Con esta información se logran “anticipar” las condiciones de tiempo, modo y lugar de un riesgo o
identificar una oportunidad, usando un modelo predictivo (sobre su tiempo de ocurrencia y del tipo de
consecuencias que podría tener), logrando identificar las fuentes y sus diferentes orígenes, así como las
personas u organizaciones que son partes interesadas en el Proceso de Gestión del Riesgo. A esta etapa
se le denomina Comunicación y Consulta.
A partir de la adopción de los Modelos de Gobierno Corporativo y de la inclusión de otros actores
distintos a los estamentos tradicionales de una Organización surge el concepto de “partes interesadas”,
entendiéndose como la persona, grupo u organización que tiene interés o asuntos en una organización.
Las partes interesadas pueden determinar, influir, afectar o verse afectadas por las acciones, objetivos y
políticas de una organización. Algunos ejemplos de estas son inversionistas, propietarios, proveedores,
acreedores, directivos, empleados, Gobierno (y sus agencias), sindicatos, organizaciones sociales y hasta
la comunidad. Si bien no todas las partes interesadas son iguales, la organización debe mantener
regulado y monitoreado sus actuaciones, así como mantener una comunicación fluida en la que le
permita derivar información relevante para la toma de decisiones o entregarla en función de la actuación
o defensa de los intereses de cada uno.
1.2 Establecer el contexto
Como se dijo en el numeral anterior, la información que se obtuvo contribuyó al logro de la comprensión
del “negocio” y el establecimiento del contexto. Esta actividad permitió recolectar un conocimiento
sistémico, organizado y aplicable que facilitó una mirada real sobre las condiciones del riesgo y las
oportunidades relacionados con los objetivos, como con los procesos y operaciones que se ejecutan en
el cumplimiento de su objeto social.
5
Informe Caracterización de Riesgos
1.2.1 Regulación del sector
El contexto empresarial está inicialmente determinado por el marco legal y normativo al que está sujeto
su objeto social y las actividades que se desarrollan para cumplirlo. En esta labor de ambientación sobre
el “negocio” se consolidó la matriz de cumplimientos (legales y normativos), que se aplican para el sector
y se establecieron los niveles de ese cumplimiento debido a su carácter (obligatorios, voluntarios y de
adhesión).
La matriz de cumplimientos y las demás normas que sean relativas a los procesos a intervenir con el
Modelo de Gestión de Riesgos deberán registrarse, conservarse y actualizarse a medida que haya
cambios. (Ver Anexo 1. Matriz de cumplimientos)
Grafico 2. Matriz legal
6
Informe Caracterización de Riesgos
1.2.2 Direccionamiento Estratégico
Para iniciar un proceso adecuadamente, estructuramos un mapa de procesos del sector que facilitó la
comprensión de la estructura de funcionamiento existente para la generación de valor y la entrega del
producto o servicios de cada empresa.
1.2.3 Infraestructura
Cada empresa posee en virtud del cumplimiento de su objeto social, una infraestructura física u operativa
que determinan la capacidad instalada. En esta variable el consultor se hizo el levantamiento de controles
de riesgo existentes en el sector a partir de las instalaciones propias, contratadas o delegadas, su
distribución espacial, equipamiento, capacidad, estado y disponibilidad. (Ver Anexo 2. Matriz de controles)
Gráfico 3. Canvas del negocio
7
Informe Caracterización de Riesgos
1.2.4 Capitación
Si bien el término capitación es usado como el reparto de un beneficio o un tributo por cabeza.
En la Caracterización se utiliza el término para definir la manera de entender cómo está ocupada la
estructura de cargos y personas, roles y responsabilidades y sus diferentes formas de vínculo con la
administración, operación y funcionamiento de la organización, con una visión de los riesgos que existen
a lo largo y ancho de la cadena de valor. Igualmente, esto permite comprender la capacidad de aforo de
las instalaciones, la población permanente y flotante, la tipología de personas – clientes, proveedores,
empleados, visitantes, etc.
Gráfico 4. Infraestructura de operaciones
8
Informe Caracterización de Riesgos
RIESGOS ESTRATÉGICOS
RIESGOS OPERATIVOS
1.2.5 Historial de eventos
Entendiéndose como la sumatoria de los eventos que hayan sucedido en un periodo determinado de
tiempo, habiéndose manifestado directamente en la empresa o que hayan afectado a las personas,
instalaciones y/o procesos de la cadena de suministro de la organización.
Del historial de eventos se puede derivar información sobre las condiciones de probabilidad de la
manifestación del riesgo, sus condiciones y magnitud, así como la actitud real que la organización ha
tomado frente a su ocurrencia.
9
Informe Caracterización de Riesgos
2. Análisis de Riesgos
INVENTARIO DE ESCENARIOS DE RIESGO
Con estas cinco (5) variables de identificación debidamente documentadas, se elaboró el Lienzo o
Modelo Canvas para analizar el negocio y derivar el análisis de riesgos. Como lo ideal es que el análisis se
realice sobre todos los participantes del sector, hacer esta tarea en forma segmentada parcializa los datos
obtenidos y el análisis resultará incompleto. Si bien algunas empresas tienen avances en esta materia,
obtenidos a través de su corredor de seguros, la auditoría interna o la Contraloría, se tomaron las
conclusiones de estos informes como un insumo para comprender el entorno de Gestión de Riesgos ya
existente y lograr la construcción de un Modelo de Gestión del Riesgo que en efecto corresponda a la
realidad y agregue valor.
10
Informe Caracterización de Riesgos
2.1 Identificación de escenarios
El concepto de escenario del riesgo responde a la definición de “relación espacio-temporal en donde es
posible que se manifieste un riesgo”.
Este concepto significa que los escenarios de riesgo no solo están determinados por un espacio físico o
un equipo o área determinada (llamados genéricamente: instalaciones), sino que están asociados a los
“momentos” de la operación de una organización.
El Modelo de Zona Segura ® está orientado a lograr una mayor comprensión del fenómeno del riesgo,
es por eso que el enfoque sobre el que se desarrollan las actividades de Planificación del riesgo se
denomina “enfoque en riesgos de procesos” y la metodología de trabajo se denomina “escenarios de
riesgo”.
Una organización requiere de infraestructura para su funcionamiento y esta debe responder a las
necesidades derivadas del cumplimiento del objeto social. Un Modelo de Gestión de Riesgos requiere la
identificación de cada uno de los escenarios constituidos por la propiedad, las instalaciones, áreas y
espacios físicos en los que se desarrolla el objeto social, igualmente las pertenecientes a su cadena de
suministro e incluso los Aliados de negocio que facilitan o apoyan las operaciones.
2.2 Asociación de los riesgos por categoría y nivel
Los riesgos se definen de acuerdo con las amenazas y las vulnerabilidades identificadas, incluyéndolas
como posibles causas y agentes generadores, priorizando las causas encontradas por su origen y su
agente generador.
Existen riesgos que, por su necesidad de Monitoreo y Revisión, deban incluirse en la lista general de
riesgos de un proceso. Algunos de ellos solo serán inherentes a un proceso, otros podrán relacionarse
con varios procesos e incluso, hay algunas categorías o tipos de riesgo que son transversales a todos los
procesos de una organización.
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
Informe Caracterización de Riesgos
11
Habiendo construido la Plantilla de Riesgos asociados con los escenarios de los procesos, esta parte del
análisis permite con facilidad el manejo de la clasificación y categorización por grupos de riesgo, así
como iniciar la determinación del nivel de impacto que puede significar la ocurrencia de un riesgo en uno
o varios de los procesos.
2.3 Construir escalas de valoración relativa
Una vez hecho el relacionamiento entre escenarios y riesgos, además de identificar los controles
existentes y determinar la posible ocurrencia, se construyó una escala de valoración apropiadas para
medir el nivel de ocurrencia por cada categoría tanto en el nivel estratégico como en el nivel operativo,
convirtiendo una observación puramente cualitativa en unos parámetros que permitan una medición
semicuantitativa y/o cuantitativa de esas percepciones.
Para evaluar la probabilidad de que se materialicen los riesgos y la gravedad de sus consecuencias, se
deben definir escalas de valoración relativa para cada uno de los procesos, con el objetivo de valorar
hasta dónde la organización está en capacidad de resistir o afrontar las consecuencias de la ocurrencia
de un evento.
Ante la dificultad de evaluar de forma exacta la probabilidad y la severidad de las consecuencias –por no
contarse con un historial de eventos debidamente documentado-, en esta Caracterización se posibilita la
definición de escalas de valoración relativas, de acuerdo con el conocimiento que se obtuvo del proceso
y de los riesgos que se evaluaron, recurriendo a las estadísticas o tablas de valoración, establecidas por
normas e instituciones especializadas en cada uno de los riesgos.
El Modelo probabilístico utilizado en esta Caracterización es una representación matemática que permite
conocer la distribución de probabilidades de los valores tomados y que se deriva de un conjunto de
supuestos estudiados a partir de unas variables identificadas en los riesgos asociados al proceso, lo que
permiten predecir el comportamiento futuro, cuando se manifiesta bajo las condiciones similares dadas
en la identificación. Esta escala va desde Improbable hasta Constante.
En el descriptor de consecuencias, que debe basarse en las implicaciones o los impactos relativos a la
gravedad de los siniestros y en relación con los objetivos de los procesos; esta escala que debe
construirse con los representantes de la organización o con cada uno de los líderes del proceso y no solo
debe contemplar un descriptor de términos compuestos, sino que debe ir acompañado de una tasación
equivalente en términos de rangos monetarios de acuerdo a los segmentos escogidos, que a la postre
servirán a la organización para enmarcar las consecuencias en términos financieros. Esta escala va desde
Insignificante hasta Catastrófico.
Mientras la probabilidad se mide teniendo en cuenta factores como exposición y agentes generadores,
así como por el número de eventos que suceden en un sistema o una organización en un periodo de
tiempo. Así, las consecuencias se estiman de diferentes formas: en el campo de las decisiones financieras,
para estos niveles se tomarán en función de las pérdidas máximas probables en términos de dinero; en lo
relacionado con la operación en función de los días de suspensión de la producción o la prestación del
servicio y en cuanto a la seguridad física se toma como referente la afectación del evento a la estructura
física de la compañía.
En cuanto al medio ambiente en lo que se refiere al impacto que pudiere sufrir el ecosistema de la
empresa por la manifestación del riesgo, en lo humano el referente básico es el número máximo de
personas que se afectarán por la ocurrencia de un evento y la pérdida de información sensible o
estratégica y en lo reputacional referido al grado de impacto y nivel de información que afecte el
reconocimiento de la marca y los productos o servicios entregados por la organización en el mercado.
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
12
Informe Caracterización de Riesgos
2.3 Construir escalas de valoración relativa
Una vez hecho el relacionamiento entre escenarios y riesgos, además de identificar los controles
existentes y determinar la posible ocurrencia, se construyó una escala de valoración apropiadas para
medir el nivel de ocurrencia por cada categoría tanto en el nivel estratégico como en el nivel operativo,
convirtiendo una observación puramente cualitativa en unos parámetros que permitan una medición
semicuantitativa y/o cuantitativa de esas percepciones.
Para evaluar la probabilidad de que se materialicen los riesgos y la gravedad de sus consecuencias, se
deben definir escalas de valoración relativa para cada uno de los procesos, con el objetivo de valorar
hasta dónde la organización está en capacidad de resistir o afrontar las consecuencias de la ocurrencia
de un evento.
Ante la dificultad de evaluar de forma exacta la probabilidad y la severidad de las consecuencias –por no
contarse con un historial de eventos debidamente documentado-, en esta Caracterización se posibilita la
definición de escalas de valoración relativas, de acuerdo con el conocimiento que se obtuvo del proceso
y de los riesgos que se evaluaron, recurriendo a las estadísticas o tablas de valoración, establecidas por
normas e instituciones especializadas en cada uno de los riesgos.
El Modelo probabilístico utilizado en esta Caracterización es una representación matemática que permite
conocer la distribución de probabilidades de los valores tomados y que se deriva de un conjunto de
supuestos estudiados a partir de unas variables identificadas en los riesgos asociados al proceso, lo que
permiten predecir el comportamiento futuro, cuando se manifiesta bajo las condiciones similares dadas
en la identificación. Esta escala va desde Improbable hasta Constante.
En el descriptor de consecuencias, que debe basarse en las implicaciones o los impactos relativos a la
gravedad de los siniestros y en relación con los objetivos de los procesos; esta escala que debe
construirse con los representantes de la organización o con cada uno de los líderes del proceso y no solo
debe contemplar un descriptor de términos compuestos, sino que debe ir acompañado de una tasación
equivalente en términos de rangos monetarios de acuerdo a los segmentos escogidos, que a la postre
servirán a la organización para enmarcar las consecuencias en términos financieros. Esta escala va desde
Insignificante hasta Catastrófico.
Mientras la probabilidad se mide teniendo en cuenta factores como exposición y agentes generadores,
así como por el número de eventos que suceden en un sistema o una organización en un periodo de
tiempo. Así, las consecuencias se estiman de diferentes formas: en el campo de las decisiones financieras,
para estos niveles se tomarán en función de las pérdidas máximas probables en términos de dinero; en lo
relacionado con la operación en función de los días de suspensión de la producción o la prestación del
servicio y en cuanto a la seguridad física se toma como referente la afectación del evento a la estructura
física de la compañía.
En cuanto al medio ambiente en lo que se refiere al impacto que pudiere sufrir el ecosistema de la
empresa por la manifestación del riesgo, en lo humano el referente básico es el número máximo de
personas que se afectarán por la ocurrencia de un evento y la pérdida de información sensible o
estratégica y en lo reputacional referido al grado de impacto y nivel de información que afecte el
reconocimiento de la marca y los productos o servicios entregados por la organización en el mercado.
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
13
Informe Caracterización de Riesgos
3. Evaluar los Riesgos
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
14
Informe Caracterización de Riesgos
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
15
Informe Caracterización de Riesgos
Gráfico 5. Matriz de riesgos inherente
Gráfico 6. Matriz de riesgos controlado
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
16
Informe Caracterización de Riesgos
Los propietarios y directivos siempre contemplan entre sus variables la forma en cómo se protegen de
situaciones que puedan comprometer la estabilidad de la organización, producto de sus decisiones y/o
de la actuación de agentes internos (socios, empleados, temporales) y externos (contratistas,
proveedores, clientes).
La contratación de seguros, con amparos y coberturas de diferente tamaño, no son suficientes para tener
un buen esquema de aseguramiento, toda vez que estos son casi que exclusivos para cubrir las pérdidas
económicas causadas por un evento real y aunque siempre serán convenientes, distan de la
responsabilidad de un gerente de vigilar que no ocurran situaciones que vulneren a las personas y al
patrimonio (infraestructura, procesos e información), y de la incorporación efectiva de acciones de
previsión y prevención.
Esta Caracterización es una guía para que la Alta Dirección comprenda la interrelación entre
el universo del seguro y la Gestión del Riesgo, partiendo de la comprensión del fenómeno del riesgo,
asociado a la estrategia y a la operación, que se construyó en la etapa de Planificación y cómo se
materializa desde la estructura media de la jerarquía de la organización hasta la base operativa y los
Aliados del negocio.
Los controles para la prevención o mitigación del riesgo son fundamentales para mantener la estabilidad
de una operación, un proceso e incluso de una organización en su totalidad.
Los controles, que en alguna literatura se conocen como “contramedidas” pueden estar definidos en
procedimientos, normas legales aplicables al proceso, equipos, políticas o directrices administrativas,
entre otros.
Con base en la evaluación, una organización diseña los controles debiendo formularse las siguientes
preguntas: “¿disminuye el nivel de probabilidad del riesgo?” y “¿disminuye el nivel de impacto del riesgo?”
y finalmente toma la decisión del método a utilizar (retener o asumir, transferir o compartir, reducir
-prevenir o proteger- o evitarlo).
4. Tratamiento e intervención del Riesgo
17
Informe Caracterización de Riesgos
4.1 Definición de Política de Aseguramiento
Todo plan de aseguramiento debe obedecer al Direccionamiento Estratégico de la organización y por lo
tanto debe iniciarse con la declaración de una Política de Aseguramiento que evidencie el compromiso
de la Alta Gerencia con la decisión de adoptar el plan que tiene su alcance no solo al interior de la
empresa sino también a sus Aliados de negocio.
Esta Política de Aseguramiento se complementa con la Política Integral y debe ser compatible con todos
los Sistemas de Gestión de la organización, además de ser difundida y entendida por las partes
interesadas para lo cual se debe designar un líder que será el responsable de su mantenimiento y su
actualización a cualquier cambio que se requiera.
4.2 Definición de estrategias para el aseguramiento
La Planificación para la Gestión del Riesgo se da en una escala natural iniciando en el nivel estratégico en
el cual se plantea la Política de Seguridad, que debe estar acorde con el Plan Estratégico y articularse con
los objetivos de la organización. Esa política se materializa en objetivos y estos a su vez derivan en el
planteamiento de las estrategias (que son las formas de hacer operativos los objetivos).
Cada organización desarrolla su política general de gestión y control, evaluando el cumplimiento de la
estrategia corporativa, la eficacia de los controles en las operaciones y el cumplimiento de la legislación y
normativas vigentes; por medio de procedimientos, metodologías y herramientas que permitan obtener
información objetiva sobre el alcance de los objetivos del Plan Estratégico.
Cada organización con sus particularidades planteará sus propósitos en materia de gestión y de control
de riesgos que pueden ser similares a los siguientes:
• Lograr los objetivos a largo plazo establecidos en el Plan Estratégico
• Ofrecer a los accionistas el máximo nivel de garantías y defender sus intereses
• Proteger los beneficios de la organización
• Proteger la imagen y la reputación de la organización
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados de su análisis. Así,
la organización establece sus escalas para valorar tanto los riesgos como los escenarios y la posible
afectación que se derive de la manifestación de una amenaza.
Para esto el análisis previo (del contexto) fija una idea del estado (tiempo, modo y lugar) en que se
encuentra la organización con respecto a sus amenazas y de cómo las contramedidas o controles se
constituyen en una garantía o son parte de la intervención.
La valoración del riesgo está graficada en una Matriz de Boston Box con cuatro zonas de actitud frente al
riesgo allí ubicado, yendo desde la inadmisibilidad de su manifestación a la de la valoración de
aceptabilidad de estos, teniendo en cuenta los porcentajes de vulnerabilidad con lo cual también la
prioridad para la toma de las acciones depende de la zona de riesgo donde se ubica, considerando lo
siguiente:
zona roja (riesgo inadmisible): requiere atención y monitoreo inmediato, con acciones prioritarias
urgentes; zona naranja (riesgo intolerable) requiere una atención y monitoreo importante, con acciones
prioritarias no urgentes; zona amarilla (riesgo tolerable): requiere acciones de control y monitoreo
permanente; zona verde (aceptable): seguir aplicando los controles existentes y hacer monitoreo
periódico.
El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema. En este
Modelo de Gestión, después de haber identificado los riesgos estratégicos, se hace una correlación de los
riesgos con cada uno de los procesos referidos en el alcance, los cuales serán sujeto de evaluación en la
Matriz de Riesgos Inherentes. Esa evaluación hecha con los criterios escogidos en cada proceso referidos
a su Probabilidad (p) y Consecuencias (C) generalmente arrojan resultados altos, en la zona de
intolerancia y de más alta vulnerabilidad, por cuanto esta calificación, como se anotó, se
haceobviandolos controles existentes.
Dependiendo de los niveles en que se halle ubicado el riesgo en la matriz de probabilidad y consecuencia
y de la actitud que la organización tenga frente al riesgo, dependerá la selección apropiada de los
métodos de tratamiento, siendo estos una combinación de las fórmulas de intervención del riesgo
consignadas en la Norma ISO 31000:2018.
Como ya lo anotamos la Norma ISO ofrece las opciones de tratamiento para los riesgos que tienen
resultados negativos así: 1) evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que
origina el riesgo; 2) reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se
conocen comúnmente como prevenir; 3) cambiar las consecuencias para reducir la extensión de las
pérdidas, mitigar el impacto que comúnmente se conoce como proteger; 4) cuando la organización
decide contratar, esto implica que otro agente o agentes soporten o compartan parte del riesgo,
preferiblemente con consentimiento mutuo, se conoce como compartir y finalmente 5) después de las
anteriores decisiones, puede haber riesgos residuales que se asumen, lo cual sucede también cuando no
se identifican adecuadamente, a esto se le conoce como retener.
El riesgo controlado es el riesgo calificado teniendo en cuenta los controles que se tengan para este. El
riesgo controlado surge del equilibrio propiciado entre la exposición al riesgo inherente y la existencia de
controles en operación para su tratamiento, valorados desde la eficacia y la eficiencia actuales, como
variable de calificación.
El riesgo controlado es distinto en cada proceso y que, al no poder ser eliminado del sistema, requiere de
planes de tratamiento desagregados en controles.
La evaluación hecha con los criterios escogidos en cada proceso, igualmente se hace con las escalas
propias de Probabilidad (p) y Consecuencias (C), construidas con cada proceso y si se cuentan con los
controles adecuados y apropiados, generalmente arrojan resultados medios en la zona de tolerancia y de
más baja vulnerabilidad.
Después de esta evaluación, seguramente la organización planifique la inclusión de nuevas
intervenciones y diseñe planes de acción, con unos tiempos y unas metas de cumplimientos establecidas
que deberían facilitar la gestión y la organización de un esquema de Aseguramiento del Riesgo,
incluyendo nuevos controles y estos deberán tenerse en cuenta para la realización de una tercera matriz
de riesgos denominada matriz proyectada que no hace parte de esta Caracterización.
18
Informe Caracterización de Riesgos
• Ofrecer a los clientes el máximo nivel de garantías y defender sus intereses
• Garantizar la estabilidad corporativa y la solidez financiera a largo plazo.
Cada organización encamina el aseguramiento hacia los riesgos asegurables, generalmente
categorizados en cinco grupos:
• Riesgos financieros, que podrían afectar al capital y su manejo
• Riesgos operativos, que podrían afectar a la eficiencia de los servicios y procesos empresariales
• Riesgos comerciales, que podrían afectar a la satisfacción de los clientes
• Riesgos para la imagen, que podrían afectar la marca y su valor
• Riesgos de cumplimiento, relacionados con el cumplimiento legal y normativo
4.3 Programas para el aseguramiento
El plan de aseguramiento es el compendio de las acciones que buscan preservar la vida, la integridad
personal de los individuos y del patrimonio de las organizaciones y está enfocado a cinco entornos de
intervención, relativos a los ambientes de aplicación del Modelo de Aseguramiento (ambiente, personas,
infraestructura, procesos e información).
El plan obedece a una estructura de programas que contiene controles, que as u vez deberían convertirse
algunos en protocolos, que son procedimientos o guías operativas.
Los programas sugeridos para estructurar un plan de aseguramiento ajustado al Sector Funerario serían:
4.3.1 Cumplimientos legales
4.3.2 Aseguramiento del entorno y el ambiente
4.3.3 Aseguramiento financiero
4.3.4 Aseguramiento de la infraestructura
4.3.5 Seguridad perimetral y Control de Accesos
4.3.6 Servicios de vigilancia
4.3.7 Medios tecnológicos para el aseguramiento
4.3.8 Aseguramiento de las personas
Igualmente se incorporan como controles las competencias del Coordinador de Emergencias, las
funciones de control de procesos en esos casos, la logística de respuesta a incidentes y la planeación de
las estrategias y la recuperación desde los controles de ingeniería necesarios.
Lo contenido en este Programa responde a los cumplimientos de la Gestión de Riesgos de Desastres que
están relacionados a la normatividad legal de cada entidad territorial donde tenga asiento u opere la
organización, así como lo establecido en el Decreto 1072 de 2015 del Ministerio del Trabajo de Colombia
y lo atinente en materia de emergencias a las Normas OHSAS, NFPA y la serie ISO 45000 de Seguridad y
Salud en el Trabajo.
4.3 Programas para el aseguramiento
El plan de aseguramiento es el compendio de las acciones que buscan preservar la vida, la integridad
personal de los individuos y del patrimonio de las organizaciones y está enfocado a cinco entornos de
intervención, relativos a los ambientes de aplicación del Modelo de Aseguramiento (ambiente, personas,
infraestructura, procesos e información).
El plan obedece a una estructura de programas que contiene controles, que as u vez deberían convertirse
algunos en protocolos, que son procedimientos o guías operativas.
Los programas sugeridos para estructurar un plan de aseguramiento ajustado al Sector Funerario serían:
4.3.1 Cumplimientos legales
4.3.2 Aseguramiento del entorno y el ambiente
4.3.3 Aseguramiento financiero
4.3.4 Aseguramiento de la infraestructura
4.3.5 Seguridad perimetral y Control de Accesos
4.3.6 Servicios de vigilancia
4.3.7 Medios tecnológicos para el aseguramiento
4.3.8 Aseguramiento de las personas
Igualmente se incorporan como controles las competencias del Coordinador de Emergencias, las
funciones de control de procesos en esos casos, la logística de respuesta a incidentes y la planeación de
las estrategias y la recuperación desde los controles de ingeniería necesarios.
Lo contenido en este Programa responde a los cumplimientos de la Gestión de Riesgos de Desastres que
están relacionados a la normatividad legal de cada entidad territorial donde tenga asiento u opere la
organización, así como lo establecido en el Decreto 1072 de 2015 del Ministerio del Trabajo de Colombia
y lo atinente en materia de emergencias a las Normas OHSAS, NFPA y la serie ISO 45000 de Seguridad y
Salud en el Trabajo.
19
Informe Caracterización de Riesgos
4.3.9 Aseguramiento de los procesos
4.3.10 Aseguramiento de la información
4.3.11 Gestión de eventos operativos
4.3.12 Gestión de eventos críticos
Un especial capítulo debe tenerse en cuenta cuando se refiere a la Gestión de Emergencias y otro a la
Gestión de Continuidad de Negocio que ocupa la atención de este proyecto y cuyos controles están
caracterizados igualmente en las siguientes tablas que pueden ser transversales a los negocios del Sector
Funerario.
4.3.13 Gestión de Emergencias y Riesgos de Desastres
La Gestión de Emergencias y Riesgos de Desastres es la combinación de medios, maquinaria, personal,
procedimientos y comunicaciones que operan dentro de una estructura común organizada, con
responsabilidad para dirigir los recursos asignados, con el fin de cumplir efectivamente los objetivos
establecidos para atender una emergencia.
El objetivo de este Programa es: favorecer el uso adecuado de la capacidad de respuesta ante la
manifestación de emergencias y Riesgos de Desastres, con el fin de mitigar los efectos en las personas, la
infraestructura y la comunidad.
Además, y teniendo en cuenta que la Gestión de Emergencias puede variar de un lugar a otro, el enfoque
principal del Programa de Gestión de Emergencias considera el hecho de que la mayoría de los procesos
de muchas organizaciones están funcionando 24 horas al día, siete días a la semana y en muchas
oportunidades el esquema para la Gestión de Emergencias se basa en una estructura para la primera
respuesta con mínimo personal y se irá incrementando progresivamente ante un siniestro.
El Coordinador de Emergencias designado y la Brigada de Emergencias, son los responsables de este
Programa, que incluye las actividades de respuesta a incidentes, plan de evacuación, recuperación y
vuelta a la normalidad para los cuales se determinarán las acciones de comunicación, respuesta,
atención, control y recuperación; así como las de entrenamiento, simulacros y administración de
recursos.
20
Informe Caracterización de Riesgos
4.3 Programas para el aseguramiento
El plan de aseguramiento es el compendio de las acciones que buscan preservar la vida, la integridad
personal de los individuos y del patrimonio de las organizaciones y está enfocado a cinco entornos de
intervención, relativos a los ambientes de aplicación del Modelo de Aseguramiento (ambiente, personas,
infraestructura, procesos e información).
El plan obedece a una estructura de programas que contiene controles, que as u vez deberían convertirse
algunos en protocolos, que son procedimientos o guías operativas.
Los programas sugeridos para estructurar un plan de aseguramiento ajustado al Sector Funerario serían:
4.3.1 Cumplimientos legales
4.3.2 Aseguramiento del entorno y el ambiente
4.3.3 Aseguramiento financiero
4.3.4 Aseguramiento de la infraestructura
4.3.5 Seguridad perimetral y Control de Accesos
4.3.6 Servicios de vigilancia
4.3.7 Medios tecnológicos para el aseguramiento
4.3.8 Aseguramiento de las personas
Igualmente se incorporan como controles las competencias del Coordinador de Emergencias, las
funciones de control de procesos en esos casos, la logística de respuesta a incidentes y la planeación de
las estrategias y la recuperación desde los controles de ingeniería necesarios.
Lo contenido en este Programa responde a los cumplimientos de la Gestión de Riesgos de Desastres que
están relacionados a la normatividad legal de cada entidad territorial donde tenga asiento u opere la
organización, así como lo establecido en el Decreto 1072 de 2015 del Ministerio del Trabajo de Colombia
y lo atinente en materia de emergencias a las Normas OHSAS, NFPA y la serie ISO 45000 de Seguridad y
Salud en el Trabajo.
4.3.14 Gestión de Continuidad del Negocio
No solo las grandes organizaciones pueden verse afectadas por problemas inesperados.
Sea cual sea el tamaño de la organización, tener claridad acerca de la capacidad de respuesta es
importante. Por ese motivo, un Programa de Continuidad del Negocio se incluye en el plan de
aseguramiento para intervenir los riesgos que suponen una amenaza para el funcionamiento de la
empresa, así como a garantizar su supervivencia en el caso de que se produzca cualquier tipo de
problema.
El objetivo de este Programa es: documentar la operación de mitigación de los efectos negativos que
puedan producirse en los planes estratégicos del negocio y en los servicios, derivados de contingencias
y desastres que afecten directamente el equilibrio financiero, la posición en el mercado y la reputación e
imagen de la organización y su marca.
Los controles incluidos en este Programa son los asociados a las tareas de identificación de procesos y
perfiles de cargo críticos, custodia de archivos sensibles, formación para el equipo gerencial,
recuperación de desastre, estabilización de operaciones, puesta a punto de la operación, entre otros.
El Programa responde a los cumplimientos de la Gestión de Riesgos que está relacionada en los Sistemas
de Gestión de Continuidad del Negocio bajo la Norma ISO 22301.
21
Informe Caracterización de RiesgosInforme Caracterización de Riesgos
22
Informe Caracterización de RiesgosInforme Caracterización de Riesgos
23
Informe Caracterización de RiesgosInforme Caracterización de Riesgos
24
Informe Caracterización de RiesgosInforme Caracterización de Riesgos
25
Informe Caracterización de RiesgosInforme Caracterización de Riesgos
26
Informe Caracterización de Riesgos
27
Informe Caracterización de Riesgos
28
Informe Caracterización de Riesgos
29
Informe Caracterización de Riesgos
30
Informe Caracterización de Riesgos
31
Informe Caracterización de Riesgos
32
Informe Caracterización de Riesgos
33
Informe Caracterización de Riesgos
34
Informe Caracterización de Riesgos
35
Informe Caracterización de Riesgos
36
Informe Caracterización de Riesgos
37
Informe Caracterización de Riesgos
38
Informe Caracterización de Riesgos
39
Informe Caracterización de Riesgos
40
Informe Caracterización de Riesgos
41
Informe Caracterización de Riesgos
42
Informe Caracterización de Riesgos
43
Informe Caracterización de Riesgos
44
Informe Caracterización de Riesgos
45
Informe Caracterización de Riesgos
46
Informe Caracterización de Riesgos
47
Informe Caracterización de Riesgos
48
Informe Caracterización de Riesgos
49
Informe Caracterización de Riesgos
50
Informe Caracterización de Riesgos
51
Informe Caracterización de Riesgos
52
Informe Caracterización de Riesgos
53
Informe Caracterización de Riesgos
54
Informe Caracterización de Riesgos
55
Informe Caracterización de Riesgos
56
Informe Caracterización de Riesgos
57
Informe Caracterización de Riesgos
58
Informe Caracterización de Riesgos
59
Informe Caracterización de Riesgos
Caracterización de Riesgos Sector Funerario
Para mayor información comuníquese al:
www.fenalcoantioquia.com(4) 444 64 44
@FenalcoAntioquia@GestionoRiesgos
GESTIONO EL RIESGO
FO
RTALEZCO MI NEGO
CIO
FINANCIADO POR:
CON EL APOYO DELPROGRAMA:
REALIZA: