La ENTIDAD optará por el desarrollo de una metodología cualitativa de medición, a través de la elaboración de mapas de riesgo, para lo cual utilizará la metodología señalada en la Norma INCONTEC NTC 31000 sobre gestión de riesgos, la cual es bastante similar al estándar Australiano del AS/NZS 4360:2004, que se utilizará en la medición del riesgo operativo.
Según el estándar los principales elementos del proceso de administración de riesgo son:
Según el estándar los principales elementos del proceso de administración de riesgo son:
- Establecer el contexto:
Análisis DOFA de la compañía
- Identificar los riesgos.
El qué puede suceder, por qué y cómo.
- Analizar los riesgos
Consecuencias y probabilidades de que los riesgos ocurran, en el contexto de los controles existentes.
- Decidir criterios de evaluación de riesgos
criterios operativos, financieros, legales, sociales y cualquier otro que pueda considerarse relevante.
- Evaluar los riesgos
Inicialmente de manera cualitativa, en términos de parámetros preestablecidos. El resultado de la evaluación es una lista de riesgos priorizados para una acción posterior.
- Tratar los riesgos
Aceptar y controlar los de baja probabilidad de ocurrencia. El tratamiento incluye decidir evitar el riesgo, eliminando la actividad que lo genera; reducir la probabilidad de ocurrencia; reducir las consecuencias; transferir los riesgos; revisar los riesgos residuales. Cualquiera de esas opciones involucra el análisis beneficio/costo. El plan de tratamiento de riesgos incluirá la asignación de responsabilidades, un programa de tratamiento de riesgos, el resultado esperado, el presupuesto, medidas de desempeño y el proceso de revisión posterior.
- Supervisar y revisar
El sistema de administración de riesgos.
- Comunicar y consultar
con los interesados internos y externos.
Teniendo en cuenta lo señalado, se definen las siguientes matrices de riesgos:
- matriz para la calificación de la probabilidad de ocurrencia;
- matriz para el impacto o severidad;
- matriz de análisis de riesgo cualitativo o nivel de riesgo inherente, o sea el riesgo antes de controles;