La Circular Externa 018 de septiembre de 2021, en su artículo segundo, fija hasta el 23 de diciembre de 2021 para que las entidades vigiladas remitan a la Superintendencia Financiera de Colombia un “Plan Interno de Implementación” para el cumplimiento y desarrollo de las instrucciones contenidas en los nuevos Capítulos XXXI y XXXII de la CBCF.
Este Plan debe establecer metas trimestrales, incluyendo actividades específicas que conlleven al cumplimiento efectivo de las disposiciones de esta circular, en el término establecido para tal fin. Con posterioridad a la presentación de este Plan y hasta el cumplimiento de los plazos de implementación referidos en la Circular, las entidades deben remitir trimestralmente, dentro de los primeros diez (10) días calendario del mes correspondiente, un informe de avance y desarrollo del Plan Interno de Implementación.
De esta forma, presentamos una guía de implementación del Sistema Integral de Administración de Riesgos (SIAR):
1-Establecer el contexto
En esta etapa, calificamos los riesgos y establecemos si son de contexto interno o externo. Se entiende por contexto externo, aquel riesgo que se deriva de factores culturales, sociales, políticos, jurídicos, reglamentarios, financieros, tecnológicos, económicos, o relativos a la competencia.
El riesgo de contexto interno, está relacionado con el capital, el tiempo, el recurso humano, los procesos, la estructura organizativa, las responsabilidades, las funciones, la estrategia, los procesos de toma de decisiones, etc.
2-El enfoque
Delimitar el contexto, ayuda a mejorar el enfoque en la definición de los riesgos en su entidad, sincronizándolo con los objetivos que se desea alcanzar. Es el enfoque del contexto, el que define las metas, los objetivos, las actividades, las responsabilidades y los métodos.
3-Definición de objetivos
Se deja claro, qué es lo que se busca con la implementación del Sistema de Gestión de Riesgos y cuál debe ser el alcance del mismo. La dirección de la entidad debe ser la instancia con más alto grado de implicación en la difusión de estos objetivos, pues de lo contrario no logrará que el resto de niveles se comprometan del modo deseado. Pero no sólo se apoya en una buena difusión. También es preciso definir un presupuesto y destinar los recursos necesarios para la materialización del plan de riesgos
4-Nombramiento de responsables
A continuación, la dirección debe delegar la coordinación de las labores de Gestión de Riesgos en uno o más responsables. Esto dependerá del tamaño de cada entidad y del número de sus empleados. Sea como sea, lo único cierto es que la estrategia debe involucrar a las distintas personas en el proceso.
Hay dos maneras de nombrar a los responsables de un proyecto de Gestión de Riesgos: Personal Interno o Personal Externo.
5-Identificación de los riesgos
A través de reuniones entre los diversos responsables, la entidad debe definir cuáles son los factores que influyen en los procesos. Y de todos esos, es preciso priorizarlos en función del impacto que tengan. En un proceso no todas las acciones tienen el mismo grado de importancia. Una buena manera de medir el impacto de un riesgo es a través de la siguiente tabla de valores:
a) ¿A qué área de la entidad afecta? (Aportes, Cartera, Inversiones, Contabilidad)
b) ¿Cómo la afecta?
c) ¿Qué efectos tiene sobre dicha área?
d) ¿Qué efectos tiene sobre la entidad en su conjunto?
e) ¿Qué margen de maniobra otorga?
f) ¿Qué tiempo de reacción permite a la dirección?
g) ¿Qué grado de complejidad requieren sus soluciones?
h) ¿Qué consecuencias implicará el no afrontarlo?
6-Análisis de Riesgos
En este punto, evaluamos las causas y las fuentes de riesgos, sus consecuencias, negativas y positivas, y las probabilidades de que se produzcan tales consecuencias. El análisis tiene como objetivo fundamental, entender la probabilidad real de que el riesgo ocurra, y el impacto que tendrá en caso de suceder.
7-Definición de las respuestas a los riesgos
La evaluación o definición ayuda a tomar decisiones, sobre la base obtenida del análisis. Si el análisis nos arroja una probabilidad de un 90%, por ejemplo, definitivamente el riesgo es inminente y de alto impacto. Es preciso generar acciones inmediatas para prevenir ese riesgo o minimizar su impacto. Esto nos conduce al siguiente paso.
8-Plan de tratamiento
Este es el paso en el que se toman decisiones. Es el momento de actuar, y emprender acciones que modifiquen el riesgo. ¿Qué es modificar un riesgo?: Aliviarlo, prevenirlo, eliminarlo, cambiar su rumbo…
Esta etapa debe ser dinámica y flexible ante los cambios que puedan presentarse. El tratamiento de los riesgos necesita labores adicionales de registro, monitorización, actualización e intervención.
9-Comunicación y consulta
Este paso tiene una característica especial; es continuo e iterativo. Resulta de la obtención de información, mediante la participación en diferentes espacios – dialogo, foros, debates – con las partes interesadas.
10-Monitoreo
Se trata de un proceso continuo de verificación, supervisión y observación crítica, que pretende identificar cambios en la situación que pudiesen generar nuevos riesgos, o afectar la eficacia del plan de Gestión de Riesgos. Cuando las condiciones cambian, las probabilidades de los riesgos, y los mismos riesgos, también cambian.
11-Análisis crítico
El análisis crítico es la actividad llevada a cabo para determinar la idoneidad, adecuación y eficacia del plan de Gestión de Riesgos. Más que una evaluación de resultados, es una evaluación al plan en sí mismo, señalando las mejoras sucesivas o, por el contrario, sus falencias.
12-Auditoría
El siguiente paso de cualquier proceso de implementación de un estándar de ISO, siempre será la auditoría de certificación. La auditoría, aunque creamos que es el final, en realidad es un nuevo comienzo.
El plan de Gestión de Riesgo, debe alimentarse, monitorearse, supervisarse y analizarse en forma continua, ya que los riesgos son dinámicos. Tanto sus causas como sus consecuencias pueden variar, afectar la probabilidad y el impacto de ellos.
FUENTE: ISO 31000 2018
