Política de Gestión de Riesgos Institucionales

Política de Gestión de Riesgos Institucionales           [pic 1]

Índice

1        Objetivos        2

2        Términos y definiciones        2

3        Proceso de Gestión de Riesgos Institucionales (ERM)        3

3.1        Establecer el contexto        3

3.2        Evaluación del riesgo        3

3.3        Tratamiento del riesgo        5

3.4        Vigilancia y revisión        6

3.5        Comunicación y consulta        6

4        Funciones y responsabilidades        6

4.1        Gestión directa        7

4.2        Comité sobre Riesgos        8

5        Anexos        9

1. Objetivos

1. El PNUD está expuesto a la influencia de una variedad de factores externos e internos que crean incertidumbre respecto del cumplimiento de las metas institucionales. El efecto de esta incertidumbre sobre los objetivos también se conoce como “riesgo”. El Sistema de Gestión de los Riesgos Institucionales (ERM) del PNUD permite a la institución manejar estos riesgos e:

• Identificar y tratar el riesgo a través de toda la organización,
• Identificar oportunidades y amenazas,
• Fomentar la gestión proactiva y la toma de decisiones estratégicas con más información y
• Asignar y usar con eficiencia los recursos para enfrentar los riesgos.

Esto permite que la organización

• Vele por la vida y la propiedad,
• Apoye el logro eficaz de resultados,
• Salvaguarde el uso responsable de los recursos y
• Proteja la reputación institucional.

1. Términos y definiciones

Proceso institucional. Un proceso institucional es el conjunto de actividades que apoyan la estructura de una institución para el logro de sus objetivos.

Consecuencia. El efecto de un evento sobre los objetivos. Un evento puede generar una variedad de consecuencias y las consecuencias iniciales pueden ampliarse a través de efectos colaterales. Una consecuencia puede ser cierta o incierta, expresarse en forma cualitativa o cuantitativa y tener efectos positivos o negativos sobre los objetivos.

Evento. La ocurrencia o cambio de un conjunto particular de circunstancias. Un evento puede ocurrir una o más veces, tener varias causas y consistir en que algo no suceda. Un evento se conoce a veces como un “incidente” o “accidente”.

Probabilidad. La posibilidad de que algo suceda.

Riesgo. Los efectos de la incertidumbre sobre los objetivos institucionales. Un efecto es una desviación de lo esperado, ya sea positiva y/o negativa. La mejor práctica es formular el riesgo en términos de “evento futuro”.

Evaluación del riesgo. El proceso general de identificación, análisis y evaluación del riesgo.

Nivel de riesgo. Magnitud de un riesgo o combinación de riesgos, expresada en términos de la combinación de consecuencias y sus probabilidades.

Gestión de riesgo. Actividades coordinadas para dirigir y controlar una organización en relación con los riesgos.

Gestor de riesgo. Una persona nombrada como responsable de facilitar y coordinar la gestión de los riesgos.

Responsable del riesgo. La persona o entidad con la responsabilidad de gestionar un riesgo.

Perfil de riesgos. Una descripción de cualquier conjunto de riesgos. El conjunto de riesgos puede contener riesgos relativos a toda la institución o parte de ella o definirse de otra manera.

Registro de riesgos. Una herramienta de gestión de los riesgos que sirve como registro de todos los riesgos identificados por la unidad. Para cada riesgo identificado, se debe incluir información como probabilidad, consecuencias, alternativas de tratamiento, etc. (lea la plantilla de registro de riesgo).

Tratamiento de riesgos. Una medida para modificar la exposición del riesgo a fin de asegurar en forma razonable el logro de objetivos.

1. Proceso de Gestión de los Riesgos Institucionales (ERM)

3. El proceso de ERM del PNUD se basa en gran medida en la Norma ISO sobre Gestión de Riesgos Internos (ISO 31000), que consta de las siguientes etapas:

1. Establecer el contexto

4. La metodología de gestión de riesgos del PNUD se aplica en todos los niveles institucionales dentro de su contexto interno y externo pertinente. Esto incluye elementos institucionales generales como los objetivos estratégicos de la organización pero también el contexto específico de la oficina de país (por ejemplo, el grupo particular de interesados con los que interactúa la unidad). Establecer el contexto permite identificar los riesgos que son pertinentes a la organización y lograr una aplicación contextualizada de todos los elementos correspondientes del proceso de ERM.

1. Evaluación del riesgo [pic 2]

5. La evaluación del riesgo es el proceso general de identificación, análisis, evaluación y presentación de informes sobre los riesgos. Para evaluar los riesgos en toda la organización se usa la plantilla de criterios ya que ahí se establece la forma en que el PNUD mide el riesgo.

Identificación del riesgo:

6. Identificar riesgos pertinentes al contexto establecido y los objetivos institucionales, donde cada riesgo consta de tres componentes; evento, causa e impacto. Se genera una lista de riesgos importantes que podrían mejorar, evitar, degradar, acelerar o retardar el logro de los objetivos.

Análisis del riesgo

7. Asignar un nivel de probabilidad y las consecuencias del riesgo aplicando la plantilla de criterios. La probabilidad y las consecuencias de un riesgo se calculan considerando las causas y los controles actuales. Cuando corresponda, en lugar de la plantilla de criterios, se incentiva el uso de herramientas analíticas más detalladas (por ejemplo análisis del riesgo para la seguridad, evaluación del impacto social y ambiental).

Evaluación del riesgo 

9. Tomar decisiones sobre la base del resultado del análisis del riesgo. Se evalúa el nivel de riesgo de todos los riesgos analizados a fin de determinar cuáles son los que necesitan tratamiento y su prioridad.

Aceptación del riesgo

10. La aceptación del riesgo define el nivel de riesgo aceptable para que el PNUD cumpla sus objetivos. Cuando un riesgo evaluado excede el nivel aceptable, se debe iniciar la gestión del riesgo.

Directrices generales sobre aceptación

Rojo:         El riesgo requiere acción inmediata. Si no se puede iniciar un tratamiento adecuado, se deben detener las actividades en curso. Se debe informar sobre el riesgo a un funcionario superior.[pic 3]

Anaranjado:        El riesgo requiere acción pronta. Aunque las actividades pueden continuar, se debe iniciar el tratamiento lo antes posible e informar inmediatamente a un funcionario superior.

Amarillo:         El riesgo requiere tratamiento, el cual se debe iniciar en el plazo permitido.

Verde:         El riesgo es aceptable y no requiere tratamiento. Se debe hacer seguimiento.

11. El PNUD puede mostrar diferentes tolerancias al riesgo dependiendo de la categoría del riesgo; al respecto y para poder tomar decisiones, cada oficina debe entregar una pauta de aceptación del riesgo (por ejemplo, la oficina de seguridad para riesgos relativos a la seguridad, la OFRM para riesgos financieros y la DPAP para riesgos relacionados con la programación).

Presentación de informes sobre el riesgo 

12. La presentación de informes sobre los riesgos es inherente al proceso de evaluación del riesgo. La presentación de informes y los perfiles de los riesgos ayudan al PNUD a crear conciencia en todos los niveles de la organización, y finalmente contribuye a un proceso transparente y mejorado de toma de decisiones.

A nivel institucional, el organismo principal encargado de analizar e informar sobre el perfil general del riesgo del PNUD es el Comité sobre Riesgos. Este Comité es un subcomité ante el Grupo Ejecutivo (EG) y presenta sus informes al EG en forma trimestral. Su objetivo es mantener informado al EG sobre las deliberaciones, lo que incluye riesgos institucionales emergentes, derivados o en aumento, y proponer estrategias de mitigación cuando sea necesario.

...