Está en la página 1de 52

Gua para la administracin del riesgo

Departamento Administrativo de la Funcin Pblica (DAFP)

Direccin de Control Interno y Racionalizacin de Trmites

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA ELIZABETH RODRGUEZ TAYLOR Directora JORGE LUIS TRUJILLO ALFARO Subdirector MARA DEL PILAR ARANGO VIANA Directora de Control Interno y Racionalizacin de Trmites JULIA GUTIRREZ DE PIERES JALILIE Directora de Empleo Pblico CLAUDIA PATRICIA HERNNDEZ LEN Directora Jurdica JOS FERNANDO BERRO BERRO Director de Desarrollo Organizacional CELMIRA FRSSER ACEVEDO Jefe Oficina Asesora de Planeacin MARA TERESA RUSSELL GARCA Jefe Oficina de Control Interno VICTORIA EUGENIA DAZ ACOSTA Jefe Oficina de Sistemas Bogot, D.C., septiembre de 2011 Cuarta Edicin

ACTUALIZACIN: Myrian Cubillos Benavides Caridad Jimnez Giraldo ngela Meja Jaramillo Juan Felipe Rueda Garca Andrs Mndez Jimnez Marianne Salnave Sann

Contenido

Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Objetivos de la Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . . . 9 Referente normativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Qu es el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Clases de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Qu significa gestionar el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Metodologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Proceso para la Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . 19 Qu es el contexto estratgico? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Cmo se identifica el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Cmo se analiza el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Cmo se valora el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Cmo se valoran los controles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Elaboracin del mapa de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Polticas de Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . 43 Comunicacin y consulta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Monitoreo y revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Gua para la Administracin del Riesgo

Conceptos bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Presentacin

La administracin del riesgo ayuda al conocimiento y mejoramiento de la entidad, contribuye a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindndole un manejo sistmico a la entidad.
La consigna es que la administracin del riesgo sea incorporada en el interior de las entidades como una poltica de gestin por parte de la alta direccin y cuente con la participacin y respaldo de todos los servidores pblicos; tarea que se facilitar con la implementacin de la metodologa aqu presentada, la cual permite establecer mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente estn expuestas y poder de esta manera fortalecer el Sistema de Control Interno permitiendo el cumplimiento de los objetivos misionales y los fines esenciales del Estado.

ELIZABETH RODRGUEZ TAYLOR Directora

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

El dinamismo actual de la Administracin Pblica ha implicado que las polticas pblicas se encuentren en constante revisin y redimensionamiento; por ello el Departamento Administrativo de la Funcin Pblica (DAFP), presenta la actualizacin del documento original denominado Administracin del Riesgo, que tiene como fin entregar lineamientos y aclaraciones sobre la aplicacin de la metodologa planteada en la gua emitida en el ao 2009, esto considerando la importancia cada vez mayor, que para las entidades representa su aplicacin como elemento bsico en su planeacin estratgica.

Introduccin

La administracin del riesgo para las entidades pblicas en todos sus rdenes cobra hoy mayor importancia, dado el dinamismo y los constantes cambios que el mundo globalizado de hoy exige. Estos cambios hacen que dichas entidades deban enfrentarse a factores internos y externos que pueden crear incertidumbre sobre el logro de sus objetivos. As el efecto que dicha incertidumbre tiene en los objetivos de una organizacin se denomina riesgo1. Es importante recordar que el Estado colombiano, mediante el Decreto 1537 de 2001, estableci una serie de elementos tcnicos requeridos para el desarrollo adecuado y fortalecimiento del Sistema de Control Interno de las diferentes entidades y organismos de la Administracin Pblica, uno de ellos es la Administracin del Riesgo, considerando que la identificacin y anlisis del riesgo entrega informacin suficiente y objetiva que les permitir aumentar la probabilidad de alcanzar sus objetivos institucionales. As mismo a travs del Decreto 1599 de 2005 se adopt el Modelo Estndar de Control Interno (MECI) para todas las entidades del Estado, en el que la Administracin del Riesgo se define como uno de los componentes del Subsistema de Control Estratgico y en el Anexo Tcnico como el conjunto de elementos de control que, al interrelacionarse, permiten a la entidad pblica evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de su funcin. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pblica autocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos. Al ser un componente del Subsistema de Control Estratgico, la Administracin del Riesgo se sirve de la planeacin estratgica (misin, visin, establecimiento de objetivos,
1

Norma Tcnica Colombiana NTC-ISO31000.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

metas, factores crticos de xito), del campo de aplicacin (procesos, proyectos, unidades de negocio, sistemas de informacin), del componente de Ambiente de Control y todos sus elementos2. Su revisin sistmica contribuye a que la entidad no solo garantice la gestin institucional y el logro de los objetivos sino que fortalece el ejercicio del Control Interno en las entidades de la Administracin Pblica. La actualizacin de la Cartilla Gua Administracin del Riesgo obedece a la armonizacin entre el Modelo Estndar de Control Interno (MECI) y la Norma Tcnica de Calidad NTCGP1000:2009, se sugiere adoptar la metodologa planteada por la Direccin de Control Interno y Racionalizacin de Trmites del Departamento Administrativo de la Funcin Pblica, con el fin de facilitarle a las entidades el ejercicio de la administracin del riesgo. Cabe anotar que el ICONTEC a travs de la norma NTC-ISO 31000 actualiz la norma NTC5254 base para el documento original.

Departamento Administrativo de la Funcin Pblica

Modelo Estndar de Control Interno (MECI). Manual de Implementacin versin 2. Mayo 2009.

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Objetivos de la Administracin del Riesgo


Cuando la administracin del riesgo se implementa y se mantiene, le permite a la entidad3: Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la administracin un aseguramiento razonable con respecto al logro de los mismos. Ser consciente de la necesidad de identificar y tratar los riesgos en todos los niveles de la entidad. Involucrar y comprometer a todos los servidores de las entidades de la Administracin Pblica en la bsqueda de acciones encaminadas a prevenir y administrar los riesgos. Cumplir con los requisitos legales y reglamentarios pertinentes. Mejorar el Gobierno. Proteger los recursos del Estado. Establecer una base confiable para la toma de decisiones y la planificacin. Asignar y usar eficazmente los recursos para el tratamiento del riesgo. Mejorar la eficacia y eficiencia operativa. Mejorar el aprendizaje y la flexibilidad organizacional.
Gua para la Administracin del Riesgo

Norma Tcnica Colombiana NTC-ISO31000. Pg. 16.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Referente normativo

El riesgo y su administracin estn fundamentados en el siguiente marco normativo:

Lineamientos para la implementacin de la poltica de lucha contra la corrupcin.

Decreto 2593 del 2000

Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4 de 1999.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

Directiva Decreto 2145 Ley 489 presidencial de 1999 de 1998 09 de 1999

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011). Artculo 2 Objetivos del control interno: literal a). Proteger los recursos de la organizacin, buscando su adecuada administracin ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organizacin y que puedan afectar el logro de los objetivos. Estatuto Bsico de Organizacin y Funcionamiento de la Administracin Pblica. Captulo VI. Sistema Nacional de Control Interno. Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administracin Pblica del orden nacional y territorial y se dictan otras disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000 y por el Art. 8. de la ley 1474 de 2011)

Contenido

Norma

Ley 87 de 1993

11

Departamento Administrativo de la Funcin Pblica

Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos tcnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado. El pargrafo del Artculo 4 seala los objetivos del sistema de control interno () define y aplica medidas para prevenir los riesgos, detectar y corregir las desviaciones () y en su Artculo 3 establece el rol que deben desempear las oficinas de control interno () que se enmarca en cinco tpicos () valoracin de riesgos. As mismo establece en su Artculo 4 la administracin de riesgos, como parte integral del fortalecimiento de los sistemas de control interno en las entidades pblicas (). Por el cual se adopta el Modelo Estndar de Control Interno para el Estado colombiano y se presenta el anexo tcnico del MECI 1000:2005. 1.3 Componentes de administracin del riesgo. Por el cual se adopta la actualizacin de la NTCGP a su versin 2009. Numeral 4.1 Requisitos generales literal g) establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfaccin del cliente y el logro de los objetivos de la entidad; cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder. Este decreto aclara la importancia de la Administracin del riesgo en el Sistema de Gestin de la Calidad en las entidades. Estatuto Anticorrupcin. Artculo 73. Plan Anticorrupcin y de Atencin al Ciudadano que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupcin, las medidas concretas para mitigar esos riesgos, las estrategias antitrmites y los mecanismos para mejorar la atencin al ciudadano.

Contenido

Norma

12

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Ley 1474 de 2011

Decreto 4485 de 2009

Decreto 1599 de 2005

Decreto 1537 de 2001

Conceptos bsicos

Qu es el Riesgo?
El concepto de Administracin del Riesgo se introduce en las entidades pblicas, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamao y razn de ser estn permanentemente expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia. Desde la perspectiva del Control Interno, el modelo COSO (Committee on Sponsoring Organisations of the Treadway Commissions), adaptado para Colombia por el Icontec mediante la Norma Tcnica NTC5254, actualizada y reemplazada en 2011 por la Norma Tcnica NTC-ISO31000, interpreta que la eficiencia del control est en el manejo de los riesgos, es decir: el propsito principal del control es la reduccin de los mismos, propendiendo porque el proceso y sus controles garanticen de manera razonable que los riesgos estn minimizados o se estn reduciendo y, por lo tanto, que los objetivos de la entidad van a ser alcanzados, y establece que la administracin del riesgo es: Un proceso efectuado por la Alta Direccin de la entidad y por todo el personal para proporcionar a la administracin un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodologa, sino logrando que la evaluacin de los riesgos se convierta en una parte natural del proceso de planeacin4. Para los efectos de este documento se aplica la siguiente definicin: Riesgo es la posibilidad de que suceda algn evento que tendr un impacto sobre los objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y consecuencias.
Gua para la Administracin del Riesgo

INTOSAI: Gua para las normas de control interno del sector pblico. http://www.intosai.org.

13

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

La tendencia ms comn es la valoracin del riesgo como una amenaza; en este sentido, los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia. Pero existe tambin la percepcin del riesgo como una oportunidad, lo cual implica que su gestin est dirigida a maximizar los resultados que este genera.

Clases de Riesgos
El riesgo est vinculado con todo el quehacer; se podra afirmar que no hay actividad de la vida, negocio o cualquier asunto que deje de incluirlos como una posibilidad. Las entidades, durante el proceso de identificacin del riesgo, pueden hacer una clasificacin de los mismos, con el fin de formular polticas de operacin para darles el tratamiento indicado; as mismo este anlisis servir de base para el impacto o consecuencias durante el proceso de anlisis del riesgo contemplado dentro de la metodologa. Se debe tener en cuenta que los riesgos no slo son de carcter econmico o estn nicamente relacionados con entidades financieras o con lo que se ha denominado riesgos profesionales; estos hacen parte de cualquier gestin que se realice. Entre las clases de riesgos que pueden presentarse estn5: Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad por parte de la alta gerencia. Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por parte de la ciudadana hacia la institucin. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de informacin institucional, de la definicin de los procesos, de la estructura de la entidad, de la articulacin entre dependencias.

Departamento Administrativo de la Funcin Pblica

14

Casals & Associates Inc. PriceWaterhouse Coopers, USAID, Documento Mapas de Riesgos, octubre 2003, pgs. 6-7

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la comunidad. Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misin.

Qu significa gestionar el Riesgo?


Gua para la Administracin del Riesgo

En trminos generales la gestin del riesgo se refiere a los principios y metodologa para la gestin eficaz del riesgo, mientras que gestionar el riesgo se refiere a la aplicacin de estos principios y metodologa a riesgos particulares. La administracin del Riesgo comprende el conjunto de Elementos de Control y sus interrelaciones, para que la institucin evale e intervenga aquellos eventos, tanto internos como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos institucionales. La administracin del riesgo contribuye a que la entidad consolide su Sistema de Control Interno y a que se genere una cultura de Autocontrol y autoevaluacin al interior de la misma.

15

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Las etapas sugeridas para una adecuada administracin del Riesgo son las siguientes: Compromiso de las alta y media direccin, como encargadas de estimular la cultura de la identificacin y prevencin del riesgo y de definir las polticas para la gestin de los riesgos identificados y valorados entre las que se encuentran la definicin de canales directos de comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. As mismo, debe designar a un directivo de primer nivel (debe ser el mismo que tiene a cargo el desarrollo o sostenimiento del MECI y el Sistema de Gestin de la Calidad) que asesore y apoye todo el proceso de diseo e implementacin del Componente. Conformacin de un Equipo MECI o de un grupo interdisciplinario: Es importante conformar un equipo que se encargue de liderar el proceso dentro de la entidad y cuente con un canal directo de comunicacin con los designados de la direccin y de las diferentes dependencias. Dicho equipo lo deben integrar personas de diferentes dependencias que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos para que se facilite la aplicacin de la metodologa y la construccin de los mapas de riesgos por proceso e institucionales. Capacitacin en la metodologa: Definido el Equipo MECI o el grupo interdisciplinario, debe capacitarse a sus integrantes en la metodologa sobre administracin del Riesgo y su relacin con los dems Subsistemas y Elementos del Modelo Estndar de Control Interno- MECI, de modo que se conviertan en multiplicadores de esta informacin al interior de cada uno los procesos donde sea que participen. Ellos se convertirn en capacitadores de otros servidores o bien podrn acompaar el levantamiento de los mapas al interior de sus procesos.

Departamento Administrativo de la Funcin Pblica

16

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Metodologa

Las entidades de la administracin pblica deben darle cumplimiento a su misin constitucional y legal, a travs de sus objetivos institucionales, los cuales se desarrollan a partir del diseo y ejecucin de los diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos puede verse afectado por factores tanto internos como externos que crean riesgos frente a todas sus actividades, razn por la cual se hace necesario contar con acciones tendientes a administrarlos. El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificacin, anlisis, valoracin y definicin de las alternativas de acciones de mitigacin de los riesgos, esto en desarrollo de los siguientes elementos: Contexto estratgico Identificacin de riesgos Anlisis de riesgos Valoracin de riesgos Polticas de administracin de riesgos
Gua para la Administracin del Riesgo

17

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Al ser un componente del Subsistema de Control Estratgico, para una adecuada administracin del riesgo se debe tener en cuenta: La planeacin estratgica (misin, visin, establecimiento de objetivos, metas, factores crticos de xito). El campo de aplicacin (procesos, proyectos, unidades de negocio, sistemas de informacin). El Componente Ambiente de Control y todos sus elementos (Acuerdos, compromisos y protocolos ticos, las polticas de desarrollo del Talento Humano y el estilo de Direccin). La identificacin de eventos (internos y externos) y de los resultados generados por el componente Direccionamiento Estratgico y sus elementos de control (Planes y Programas, Modelo de Operacin y Estructura Organizacional). El elemento Controles del Subsistema de Control de Gestin al momento de realizar la valoracin de los riesgos (identificacin, medicin y priorizacin) y la formulacin de la poltica (para evitar, aceptar, reducir y transferir el riesgo).

Departamento Administrativo de la Funcin Pblica

18

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Proceso para la Administracin del Riesgo

Contexto Estratgico Organizacional

Identificacin del Riesgo Qu puede suceder? Cmo puede suceder? Comunicacin y Consulta Monitoreo y revisin
Gua para la Administracin del Riesgo

Anlisis del Riesgo Determinar Probabilidad Determinar Consecuencias Determinar Nivel de Riesgo Valoracin del Riesgo Identificar controles para el riesgo Verificar la efectivifad de los controles Establecer tratamiento Polticas Administracin de Riesgo

Comunicar y consultar es una actividad que se refiere al conocimiento previo que deben tener quienes participan en la gestin del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en informacin pertinente y actualizada. Estos deberan incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y las medidas que se toman para tratarlo. Esta comunicacin es eficaz para garantizar que los responsables de implementar las actividades relacionadas con la gestin del riesgo entiendan las bases sobre las cuales se toman las decisiones.

19

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Qu es el contexto estratgico?
Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misin y objetivos de una institucin. Las situaciones del entorno o externas pueden ser de carcter social, cultural, econmico, tecnolgico, poltico y legal, bien sean internacional, nacional o regional segn sea el caso de anlisis.
Departamento Administrativo de la Funcin Pblica

Las situaciones internas estn relacionadas con la estructura, cultura organizacional, el modelo de operacin, el cumplimiento de los planes y programas, los sistemas de informacin, los procesos y procedimientos y los recursos humanos y econmicos con los que cuenta una entidad.
EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO FACTORES EXTERNOS FACTORES INTERNOS Econmicos: disponibilidad de capital, Infraestructura: disponibilidad de acemisin de deuda o no pago de la mistivos, capacidad de los activos, acceso ma, liquidez, mercados financieros, desal capital empleo, competencia Medioambientales: emisiones y resiPersonal: capacidad del personal, saduos, energa, catstrofes naturales, delud, seguridad sarrollo sostenible Polticos: cambios de gobierno, legislaProcesos: capacidad, diseo, ejecucin, polticas pblicas, regulacin cin, proveedores, entradas, salidas, conocimiento Sociales: demografa, responsabilidad Tecnologa: integridad de datos, social, terrorismo disponibilidad de datos y sistemas, desarrollo, produccin, mantenimiento Tecnolgicos: interrupciones, comercio electrnico, datos externos, tecnologa emergente

Se recomienda establecer los objetivos, las estrategias, el alcance y los parmetros de las actividades de la entidad7 o de aquellos procesos donde se aplicar la metodologa para poder iniciar el anlisis de contexto estratgico.

20

Norma Tcnica Colombiana NTC31000. Pg. 37.

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Para determinar el contexto estratgico de la institucin es posible utilizar herramientas y tcnicas como las que se relacionan a continuacin8: 1. Inventario de eventos Son listas de eventos posibles utilizadas con relacin a un proyecto, proceso o actividad determinada. Son tiles para asegurar una visin coherente con otras actividades similares dentro de la entidad. EJEMPLO: Antes de emprender un proyecto de desarrollo de software, la entidad realiza un inventario de riesgos genricos inherentes a los proyectos de este tipo. Dicho inventario constituye una manera til de aprovechar el conocimiento acumulado por otras personas sobre el riesgo experimentado en esa rea. 2. Talleres de trabajo Habitualmente renen a funcionarios de diversas funciones o niveles. El propsito es aprovechar el conocimiento colectivo del grupo y desarrollar una lista de acontecimientos que estn relacionados con un proceso, proyecto o programa. EJEMPLO: Paralelamente con el establecimiento de objetivos de un proyecto, el lder de proceso y su equipo irn identificando eventos que podran afectar el logro de los objetivos del mismo. 3. Anlisis de flujo de procesos: Representacin esquemtica de interrelaciones de ENTRADAS, TAREAS, SALIDAS Y RESPONSABILIDADES.
8

Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

21

Una vez realizado el esquema los eventos son analizados frente a los objetivos del proceso. Esta tcnica puede utilizarse para tener una visin a cierto nivel de detalle del proceso analizado. EJEMPLO
GESTIN FINANCIERA ENTRADAS
Departamento Administrativo de la Funcin Pblica

TAREAS
1. Recibir solicitud para expedicin de CDP 3. Elaborar la orden de pago 2. Recibir los soportespara el registro presupuestal 4. Elaborar comprobante de egreso del giro efectuado

SALIDAS
CDP autorizado y firmado

Nmina del mes (Gestin Humana)

Desprendibles y pago de nmina

POSIBLES EVENTOS . Solicitud por parte de Gestin Humana en forma extempornea (Se debe entregar 1 da antes de entregar la nmina). . Soportes no entregados a tiempo (Nmina mal elaborada). . No es posible realizar la orden para nmina y dems pagos.

INDICADORES DE ALARMA

Igualmente, pueden utilizarse diferentes fuentes de informacin tales como registros histricos, experiencias significativas registradas, informes de aos anteriores. El contexto estratgico es la base para la identificacin del riesgo, dado que de su anlisis suministrar la informacin sobre las CAUSAS del riesgo.

22

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Ejemplo aplicado a la metodologa9

CONTEXTO ESTRATGICO
PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. FACTORES EXTERNOS Nueva tecnologa disponible CAUSAS No se realizan las actualizaciones de hardware y software. Cambios normativos. Demoras en la respuesta de comunicaciones enviadas a otras entidades relacionadas. FACTORES EXTERNOS Tecnologa CAUSAS Nmero de equipos insuficiente y algunos obsoletos.

Normatividad

- Desconocimiento de la normatividad aplicada Talento humano - Resistencia al cambio. - Desmotivacin. -Proceso manual que puede generar registros errneos o falta de registros. -Informacin desactualizada

Necesidades de la comunidad.

Incremento en el nmero de solicitudes por alta demanda de Procedimientos usuarios, desbordando la capacidad instalada.

Fallas en el seguimiento a los procedimientos del proceso.

Cmo se identifica el Riesgo?


La identificacin del riesgo se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos. Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos es a travs de la utilizacin del formato de identificacin de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia las causas con base en los factores de riesgo internos y externos (contexto estratgico), presentando

El ejemplo utilizado fue producto de un ejercicio realizado con la Gobernacin del Meta. 2011.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

Relacin con otras entidades.

Sistemas de informacin

23

una descripcin de cada uno de estos y finalmente definiendo los posibles efectos (consecuencias). Es importante centrarse en los riesgos ms significativos para la entidad relacionados con los objetivos de los procesos y los objetivos institucionales. Es all donde, al igual que todos los servidores, la gerencia pblica adopta un papel proactivo en el sentido de visualizar en sus contextos estratgicos y misionales los factores o causas que pueden afectar el curso institucional, dada la especialidad temtica que manejan en cada sector o contexto socioeconmico. Entender la importancia del manejo del riesgo implica conocer con ms detalle los siguientes conceptos: Proceso: Nombre del proceso. Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para el proceso al cual se le estn identificando los riesgos. Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Descripcin: Se refiere a las caractersticas generales o las formas en que se observa o manifiesta el riesgo identificado. Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daos fsicos y fallecimiento, sanciones, prdidas econmicas, de informacin, de bienes, de imagen, de credibilidad y de confianza, interrupcin del servicio y dao ambiental. Algunas entidades durante el proceso de identificacin del riesgo pueden hacer una clasificacin de este, con el fin de establecer con mayor facilidad el anlisis del impacto, considerado en el siguiente paso del proceso de anlisis del riesgo.

Departamento Administrativo de la Funcin Pblica

24

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad por parte de la alta gerencia. Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por parte de la ciudadana hacia la institucin. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de informacin institucional, de la definicin de los procesos, de la estructura de la entidad, de la articulacin entre dependencias. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la comunidad. Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misin.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

25

Ejemplo aplicado a la metodologa


IDENTIFICACIN DEL RIESGO PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. CAUSAS Nmero de equipos insuficiente y algunos obsoletos. Departamento Administrativo de la Funcin Pblica No se realizan las actualizaciones de hardware y software. -Proceso manual que puede generar registros errneos o falta de registros. -Informacin desactualizada - Desconocimiento de la normatividad aplicada - Resistencia al cambio. - Desmotivacin. Fallas en el seguimiento a los procedimientos del proceso. Incumplimiento en la generacin de respuestas a los usuarios. No se generan las respuestas Sanciones dentro de los Demandas. trminos legales. RIESGO DESCRIPCIN CONSECUENCIAS POTENCIALES

Generacin de respuestas inadecuadas o errneas a los usuarios.

Respuestas sin la competencia tcnica o no acorde a lo requerido.

Prdida de imagen y alto nivel de quejas por parte de los usuarios.

Preguntas claves para la identificacin del riesgo: Qu puede suceder? Cmo puede suceder? Es importante observar que el proceso de identificacin del riesgo es posible realizarlo a partir de varias causas que pueden estar relacionadas.

Cmo se analiza el Riesgo?


El anlisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, este ltimo aspecto puede orientar la clasificacin del riesgo, con el fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar.

26

El anlisis del riesgo depende de la informacin obtenida en la fase de identificacin de riesgos.

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Pasos claves en el anlisis de riesgos - Determinar probabilidad - Determinar consecuencias - Clasificacin del riesgo - Estimar el nivel del riesgo
Se han establecido dos aspectos a tener en cuenta en el anlisis de los riesgos identificados: Probabilidad e Impacto. Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: nmero de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado.
Gua para la Administracin del Riesgo

Por Impacto se entienden las consecuencias que puede ocasionar a la organizacin la materializacin del riesgo. Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos: Calificacin del riesgo y evaluacin del riesgo. Calificacin del riesgo: se logra a travs de la estimacin de la probabilidad de su ocurrencia y el impacto que puede causar la materializacin del riesgo. Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes especificaciones10:

10

Icontec HB141. Gua para la financiacin del riesgo. Apndice A. 2008.

27

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIN El evento puede ocurrir solo en circunstancias excepcionales. El evento puede ocurrir en algn momento El evento podra ocurrir en algn momento El evento probablemente ocurrir en la mayora de las circunstancias Se espera que el evento ocurra en la mayora de las circunstancias FRECUENCIA No se ha presentado en los ltimos 5 aos. Al menos de una vez en los ltimos 5 aos. Al menos de una vez en los ltimos 2 aos.

1 2 3 4 5

Raro Improbable Posible Probable Casi seguro

Departamento Administrativo de la Funcin Pblica

Al menos de una vez en el ltimo ao. Ms de una vez al ao.

Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes especificaciones: Tabla de Impacto
NIVEL DESCRIPTOR DESCRIPCIN Si el hecho llegara a presentarse, tendra consecuencias o efectos mnimos sobre la entidad. Si el hecho llegara a presentarse, tendra bajo impacto o efecto sobre la entidad. Si el hecho llegara a presentarse, tendra medianas consecuencias o efectos sobre la entidad. Si el hecho llegara a presentarse, tendra altas consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendra desastrosas consecuencias o efectos sobre la entidad.

1 2 3 4 5

Insignificante Menor Moderado Mayor Catastrfico

Para determinar el impacto se pueden utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificacin del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado11.

28

11

Las tablas propuestas representan los impactos de mayor ocurrencia en las entidades del Estado, no obstante cada entidad puede incluir otros tipos de impacto segn su particularidad.

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

IMPACTO DE CONFIDENCIALIDAD EN LA INFORMACIN12 NIVEL 1 2 3 4 5 CONCEPTO Personal Grupo de Trabajo Relativa al Proceso Institucional Estratgica

IMPACTO DE CREDIBILIDAD O IMAGEN13 NIVEL 1 2 3 4 5 IMPACTO LEGAL14 NIVEL 1 2 3 4 5 CONCEPTO Multas Demandas Investigacin Disciplinaria Investigacin Fiscal Intervencin Sancin CONCEPTO Grupo de funcionarios Todos los funcionarios Usuarios ciudad Usuarios regin Usuarios pas

12

El impacto de confidencialidad de la informacin se refiere a la prdida o revelacin de la misma. Cuando se habla de informacin reservada institucional se hace alusin a aquella que por la razn de ser de la entidad solo puede ser conocida y difundida al interior de la misma; as mismo, la sensibilidad de la informacin depende de la importancia que esta tenga para el desarrollo de la misin de la entidad. El impacto de credibilidad se refiere a la prdida de la misma frente a diferentes actores sociales o dentro de la entidad. El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su funcin administrativa, ejecucin presupuestal y normatividad aplicable.

13 14

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

29

IMPACTO OPERATIVO15 NIVEL 1 2 3 4 5 CONCEPTO Ajustes a una actividad concreta Cambios en los procedimientos Cambios en la interaccin de los procesos Intermitencia en el servicio Paro total del proceso

Departamento Administrativo de la Funcin Pblica

Ahora bien, considerando que para un proceso es posible analizar ms de un impacto, se pueden ir agrupando en el siguiente cuadro, en el cual se establecen concretamente.
TIPO DE IMPACTO Imagen
16

INSIGNIFICANTE (1) Se afect al grupo de funcionarios del proceso.

MENOR (2)

MODERADO (3)

MAYOR (4)

CATASTRFICO (5)

Se afect a todos los Se afect a los funcionarios usuarios locales. de la entidad.

Se afect a Se afect a los los usuarios usuarios en el orden locales y nacional regionales.

Evaluacin del Riesgo: permite comparar los resultados de la calificacin del riesgo, con los criterios definidos para establecer el grado de exposicin de la entidad; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento. Para facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta una matriz que contempla un anlisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Las categoras relacionadas con el impacto son: insignificante, menor, moderado, mayor y catastrfico. Las categoras relacionadas con la probabilidad son raro, improbable, posible, probable y casi seguro.
16

15

30

El impacto operativo aplica en la mayora de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos. En el ejemplo se muestra el anlisis sobre el impacto de Credibilidad o imagen. En este mismo sentido se pueden incluir otros impactos del proceso que se est analizando.

16

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Matriz de Calificacin, Evaluacin y Repuesta a los Riesgo


IMPACTO PROBABILIDAD Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5) Insignificante Menor (2) (1) B B B M A B B M A A Moderado (3) M M A A E Mayor (4) A A E E E Catastrfico (5) A E E E E

B: Zona de riesgo baja: Asumir el riesgo M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir

EJEMPLO APLICADO A LA METODOLOGA17

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. CALIFICACIN Medidas de RIESGO Tipo Impacto Evaluacin Probabilidad Impacto respuesta Incumplimiento en la generacin Evitar, reducir, de respuestas a los Zona Riesgo compartir o 4 3 Legal usuarios (trminos Alta transferir el establecidos por la riesgo. ley).

ANLISIS DEL RIESGO

17

Para efectos del ejemplo solo se trabajar un (1) riesgo de los dos (2) inicialmente identificados.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

31

Departamento Administrativo de la Funcin Pblica

Insignificante Menor Mayor Catastrfico (1) (2) (4) (5) Raro (1) B B A A Improbable (2) B B A E Posible (3) B M E E Probable (4) M A E E Casi Seguro (5) A A E E B: Zona de riesgo baja: asumir el riesgo M: Zona de riesgo moderada: asumir el riesgo, reducir el riesgo A: Zona de riesgo alta: reducir el riesgo, evitar, compartir o transferir E: Zona de riesgo extrema: reducir el riesgo, evitar, compartir o transferir

PROBABILIDAD

IMPACTO Moderado (3) M M A A E

Este primer anlisis del riesgo se denomina Riesgo Inherente18 y se define como aqul al que se enfrenta una entidad en ausencia de acciones por parte de la Direccin para modificar su probabilidad o impacto.

Cmo se valora el riesgo?


Acciones fundamentales para valorar el riesgo: - Identificar controles existentes - Verificar efectividad de los controles - Establecer prioridades de tratamiento La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijacin de polticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener informacin para efectos de tomar decisiones. Algunos ejemplos de tipos de control19 se presentan a continuacin:

32

18 19

Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pgina 39 Tomado de Superintendencia Financiera.

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Controles de Gestin

Controles Legales

Para realizar la valoracin de los controles existentes es necesario recordar que estos se clasifican en: Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin. Correctivos: aquellos que permiten el restablecimiento de la actividad, despus de ser detectado un evento no deseable; tambin la modificacin de las acciones que propiciaron su ocurrencia.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

Controles Operativos

Polticas claras aplicadas Seguimiento al plan estratgico y operativo Indicadores de gestin Tableros de control Seguimiento al cronograma Evaluacin del desempeo Informes de gestin Monitoreo de riesgos Conciliaciones Consecutivos Verificacin de firmas Listas de chequeo Registro controlado Segregacin de funciones Niveles de autorizacin Custodia apropiada Procedimientos formales aplicados Plizas Seguridad fsica Contingencias y respaldo Personal capacitado Aseguramiento y calidad Normas claras y aplicadas Control de trminos

33

El procedimiento para la valoracin del riesgo parte de la evaluacin de los controles existentes, lo cual implica: a) Describirlos (estableciendo si son preventivos o correctivos). b) Revisarlos para determinar si los controles estn documentados, si se estn aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. c) Es importante que la valoracin de los controles incluya un anlisis de tipo cuantitativo, que permita saber con exactitud cuntas posiciones dentro de la Matriz de Calificacin, Evaluacin y Respuesta a los Riesgos es posible desplazarse20, a fin de bajar el nivel de riesgo al que est expuesto el proceso analizado.
PROBABILIDAD IMPACTO Insignificante Menor Moderado Mayor Catastrfico (1) (2) (3) (4) (5) B B M A A B B M A E B M A E E M A A E E A A E E E

Departamento Administrativo de la Funcin Pblica

Raro (1) Improbable (2) Posible (3) Probable (4) Casi cierto (5)

Cmo se valoran los controles?


A continuacin se muestran dos cuadros orientadores para ponderar de manera objetiva los controles y poder determinar el desplazamiento dentro de la Matriz de Calificacin, Evaluacin y Respuesta a los Riesgos21

20

34

Los controles luego de su valoracin permiten desplazarse en la matriz, de acuerdo a si cubren probabilidad o impacto, en el caso de la probabilidad desplazara casillas hacia arriba y en el caso del impacto, hacia la izquierda como se muestra en el grfico, de acuerdo a la valoracin de controles. LIneamientos para la administracion del riesgo. Gua versin 03. Presidencia de la Repblica. Junio 2011.

21

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

PRAMETROS

CRITERIOS

TIPO DE CONTROL Probabilidad Impacto

PUNTAJES 15 15 30 15 25 100

Posee una herramienta para ejercer el control. Existen manuales instructivos o Herramientas para procedimientos para el manejo de la ejercer el control herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva. Estn definidos los responsables de la ejecucin del control y del seguiSeguimiento al miento. control La frecuencia de la ejecucin del control y seguimiento es adecuada. TOTAL RANGOS DE CALIFICACIN DE LOS CONTROLES

CUADRANTES A DISMINUIR EN LA PROBABILIDAD Entre 0-50 Entre 51-75 Entre 76-100 0 1 2

CUADRANTES A DISMINUIR EN EL IMPACTO 0 1 2

El resultado obtenido a travs de la valoracin del riesgo es denominado tambin tratamiento del riesgo, ya que se involucra la seleccin de una o ms opciones para modificar los riesgos y la implementacin de tales acciones22, as el desplazamiento dentro de la Matriz de Evaluacin y Calificacin determinar finalmente la seleccin de la opciones de tratamiento del riesgo, as: Evitar el riesgo, tomar las medidas encaminadas a prevenir su materializacin. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseo o eliminacin, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc. Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevencin), como el impacto (medidas de
22

Norma Tcnica Colombiana NTC-ISO31000, p.p. 39 y 40.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACIN, EVALUACIN Y RESPUESTA A LOS RIESGOS

35

proteccin). La reduccin del riesgo es probablemente el mtodo ms sencillo y econmico para superar las debilidades antes de aplicar medidas ms costosas y difciles. Por ejemplo: a travs de la optimizacin de los procedimientos y la implementacin de controles. Compartir o transferir el riesgo, reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como en el caso de los contratos de seguros o a travs de otros medios que permiten distribuir una porcin del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la informacin de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicacin segura, en vez de dejarla concentrada en un solo lugar, la tercerizacin. Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el gerente del proceso simplemente acepta la prdida residual probable y elabora planes de contingencia para su manejo. Dicha seleccin implica equilibrar los costos y los esfuerzos para su implementacin, as como los beneficios finales, por lo tanto, se deber considerar los siguientes aspectos como: Viabilidad jurdica. Viabilidad tcnica. Viabilidad institucional. Viabilidad financiera o econmica. Anlisis de costo-beneficio. Una vez implantadas las acciones para el manejo de los riesgos, la valoracin despus de controles se denomina riesgo residual, este se define como aquel que permanece despus que la direccin desarrolle sus respuestas a los riesgos23.

Departamento Administrativo de la Funcin Pblica

36

23

Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 40.

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Ejemplo aplicado a la metodologa24 25


VALORACIN DEL RIESGO

Libertad y Orden

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. CALIFICACIN VALORACIN24 PUNTAJE PUNTAJE RIESGO CONTROLES Tipo Control Prob. o Herramientas Puntaje Probabilidad Impacto Seguimiento al Impacto para ejercer el Final control control Aplicativo que permite mediante alarmas, controlar las fechas lmite para Prob. 30 25 55 las respuestas a los Incumplimiento usuarios sobre las coen la generacin municaciones escritas de respuestas a los 4 3 recibidas. usuarios (trminos Plan de capacitacioestablecidos por la nes a los servidores, ley). sobre la normatividad vigente y el manejo Prob. 30 25 55 adecuado del sistema de informacin implementado.

FUNCIN PBLICA

Departamento Administrativo de la

Repblica de Colombia

Desplaza 2 casillas en Probabilidad25

24

Esta valoracin est relacionada con los cuadros de anlisis para al calificacin objetiva de controles.

25

Ver desplazamiento en la matriz en la siguiente pgina.

37

Gua para la Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Insignificante Catastrfico (1) (5) Raro (1) B A Improbable (2) B E Posible (3) B E Probable (4) M E Casi Seguro (5) A E B: Zona de riesgo baja: Asumir el riesgo M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo A: Zona de riesgo alta: Reducir el riesgo, evitar, compartir o transferir E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir
26

PROBABILIDAD

IMPACTO Menor Moderado Mayor (2) (3) (4) B M A B M A M A E A A E A E E

NUEVA VALORACIN DE ACUERDO A LOS CONTROLES IDENTIFICADOS

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. RIESGO Incumplimiento en la generacin de respuestas a los usuarios (trminos establecidos por la ley). CALIFICACIN Probabilidad Impacto Tipo Impacto Evaluacin Zona de Riesgo Medidas de Respuesta Evitar, reducir, compartir o transferir el riesgo.

Legal

Zona Riesgo Moderada

26

Elaboracin del mapa de riesgos


El mapa de riesgos es una representacin final de la probabilidad e impacto de uno o ms riesgos27 frente a un proceso, proyecto o programa. Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento como se sugiere a continuacin:

38

26 27

Para el ejemplo aplicado, el riesgo identificado pas de la Zona de Riesgo Alta a la Zona de Riesgo Moderada. Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 53.

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

MAPA DE RIESGOS

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN NUEVA CALIFICACIN

RIESGO

OPCIONES MANEJO

ACCIONES

RESPUESTA

CONTROLES

Impacto

EVALUACIN RIESGO

Probabilidad

Gua para la Administracin del Riesgo

Probabilidad

Impacto

NUEVA EVALUACIN

INDICADOR

Libertad y Orden

FUNCIN PBLICA

Departamento Administrativo de la

Repblica de Colombia

39

Sin embargo, dependiendo de la profundidad que se desea tener en la documentacin, podra incluirse un grfico como el que se muestra a continuacin28:
5

4 IMPACTO

B D

3 C 2

Departamento Administrativo de la Funcin Pblica

1 1 2 3 PROBABILIDAD 4 5

Cada letra dentro del grfico har alusin a los riesgos del proceso; visualmente muestra los riesgos que estn en las zonas ms altas. Se debe tener en cuenta: Mapa de Riesgos Institucional: Contiene a nivel estratgico los mayores riesgos a los cuales est expuesta la entidad, permitiendo conocer las polticas inmediatas de respuesta ante ellos. Mapa de Riesgos por Proceso: Facilita la elaboracin del mapa institucional, que se alimenta de estos, teniendo en cuenta que solamente se trasladan al institucional aquellos riesgos que permanecieron en las zonas ms altas de riesgo y que afectan el cumplimiento de la misin institucional y objetivos de la entidad.

40

28

Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 55

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Ejemplo aplicado a la metodologa

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. NUEVA CALIFICACIN CALIFICACIN OPCIONES MANEJO ACCIONES RESPUESTA Impacto CONTROLES Impacto Probabilidad EVALUACIN RIESGO Probabilidad NUEVA EVALUACIN INDICADOR

MAPA DE RIESGOS

RIESGO

Aplicativo que permite mediante alarmas controlar las fechas lmite para las respuestas a los usuarios sobre las comunicaciones escritas recibidas. 2 3

Asignacin de identificaciones para uso del software por parte de los servidores del rea. Elaboracin de cronograma de capacitacin por grupos.

Nmero de solicitudes Lder Proceso contestadas Tecnologa en trminos/ Total de Lder Proceso Solicitudes Atencin al usuario Reporte por funcionario entregado.

ZONA RIESGO ALTA

ZONA RIESGO MODERADA

ASUMIR O REDUCIR EL RIESGO

Incumplimiento en la generacin de respuestas a los usuarios (trminos establecidos por la ley). 4 3 Plan de capacitaciones a los servidores, sobre la normatividad vigente y el manejo adecuado del sistema de informacin implementado.

Libertad y Orden

Elaboracin de cronograma de capacitacin por grupos. Ejecutar evaluaciones finales progra- Lder Proceso madas sobre temas Gestin Humana normativos. Establecer resultados de las evaluaciones por funcionario

Reporte quejas antes de la capacitacin con evaluacin posterior a 6 meses

FUNCIN PBLICA

Departamento Administrativo de la

Repblica de Colombia

41

Gua para la Administracin del Riesgo

Todas las acciones contempladas dentro del mapa, unido a la informacin reportada por los indicadores, suministrar la informacin requerida para el seguimiento respectivo a los mapas.

Polticas de administracin del riesgo?


Para la consolidacin de las Polticas de Administracin de Riesgos se deben tener en cuenta todas las etapas anteriormente desarrolladas. Las polticas identifican las opciones para tratar y manejar los riesgos basadas en la valoracin de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posicin de la direccin y establecen las guas de accin necesarias a todos los servidores de la entidad.

Departamento Administrativo de la Funcin Pblica

Formulacin de las polticas


Est a cargo del Representante Legal de la entidad y el Comit de Coordinacin de Control Interno y se basa en el mapa de riesgos construido durante el proceso; la poltica seala qu debe hacerse para efectuar el control y su seguimiento, basndose en los planes estratgicos y los objetivos institucionales o por procesos. Debe contener los siguientes aspectos: Los objetivos que se esperan lograr. Las estrategias para establecer cmo se van a desarrollar las poltica, a largo, mediano y corto plazo. Los riesgos que se van a controlar. Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido. El seguimiento y evaluacin a la implementacin y efectividad de las polticas.

42

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Comunicacin y Consulta

La comunicacin y consulta con las partes involucradas tanto internas como externas debera realizarse durante todas las etapas (pasos dentro de la metodologa) del proceso para la gestin del riesgo. Esta comunicacin es importante para garantizar que aquellos responsables de la implementacin de las acciones dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones. Un enfoque de equipos de trabajo pueden ser29: Ayudar a establecer correctamente el contexto estratgico. Garantizar que se toman en consideracin las necesidades de las partes involucradas. Ayudar a garantizar que los riesgos estn correctamente identificados. Reunir diferentes reas de experticia para el anlisis de los riesgos. Garantizar que los diferentes puntos de vista se toman en consideracin adecuada durante todo el proceso. Fomentar la administracin del riesgo como una actividad inherente al proceso de planeacin estratgica.

29

Norma Tcnica Colombiana NTC-ISO31000. Pg. 33

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

43

Monitoreo y revisin

Una vez diseado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organizacin. El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y evaluar la eficiencia en su implementacin adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicacin de las acciones preventivas. El monitoreo debe estar a cargo de: Los responsables de los procesos y La Oficina de Control Interno. Su finalidad principal ser la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su funcin asesora comunicar y presentar luego del seguimiento y evaluacin sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Gua para la Administracin del Riesgo

45

Trminos y definiciones
Aceptar el riesgo: Decisin informada de aceptar las consecuencias y probabilidad de un riesgo en particular. Control correctivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no conformidad detectada u otra situacin no deseable. Control preventivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una conformidad potencial u otra situacin potencial no deseable.
Gua para la Administracin del Riesgo

Administracin de Riesgos: Conjunto de elementos de control que al interrelacionarse, permiten a la entidad pblica evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de su funcin. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pblica autocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos. Anlisis de riesgo: Elemento de control que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificndolos y evalundolos a fin de determinar la capacidad de la entidad pblica para su aceptacin y manejo. Se debe llevar a cabo un uso sistemtico de la informacin disponible para determinar qu tan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias. Autoevaluacin del control: Elemento de control que, basado en un conjunto de mecanismos de verificacin y evaluacin, determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada rea organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas. Se basa en una revisin peridica y sistemtica de los procesos de la entidad para asegurar que los controles establecidos son an eficaces y apropiados. Compartir el riesgo: Se asocia con la forma de proteccin para disminuir las prdidas que ocurran luego de la materializacin de un riesgo, es posible realizarlo mediante contratos, seguros, clusulas contractuales u otros medios que puedan aplicarse.

47

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la

Consecuencia: Es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una prdida, perjuicio, desventaja o ganancia, frente a la consecucin de los objetivos de la entidad o el proceso. Evaluacin del riesgo: Proceso utilizado para determinar las prioridades de la Administracin del Riesgo comparando el nivel de un determinado riesgo con respecto a un estndar determinado. Evento: Incidente o situacin que ocurre en un lugar determinado durante un periodo de tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser nica o ser parte de una serie.
Departamento Administrativo de la Funcin Pblica

Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado. Identificacin del riesgo: elemento de control, que posibilita conocer los eventos potenciales, estn o no bajo el control de la entidad pblica, que ponen en riesgo el logro de su misin, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. se puede entender como el proceso que permite determinar qu podra suceder, por qu sucedera y de qu manera se llevara a cabo. Monitorear: Comprobar, Supervisar, observar, o registrar la forma en que se lleva a cabo una actividad con el fin de identificar sus posibles cambios. Prdida: Consecuencia negativa que trae consigo un evento. Probabilidad: grado en el cual es probable que ocurra de un evento, este se debe medir a travs de la relacin entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir. Proceso de administracin de riesgo: aplicacin sistemtica de polticas, procedimientos y prcticas de administracin a las diferentes etapas de la administracin del riesgo Reduccin del riesgo: aplicacin de controles para reducir las probabilidades de ocurrencia de un evento y/o su ocurrencia. Riesgo: posibilidad de que suceda algn evento que tendr un impacto sobre los objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y consecuencias. Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de acciones de la direccin para modificar su probabilidad o impacto. Riesgo residual: nivel de riesgo que permanece lueo de tomar medidas de tratamiento de riesgo. Sistema de Administracin de Riesgo: conjunto de elementos del direccionamiento estratgico de una entidad concerniente a la Administracin del Riesgo.

48

Departamento Administrativo de la

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Referencias Bibliogrficas

Casals & Associates Inc, Pricewaterhouse Coopers, USAID. Documento mapas de riesgo, octubre 2003. Casals & Associates Inc Usaid; Marco Conceptual, Programa Fortalecimiento de la Transparencia y la Rendicin de Cuentas en Colombia. 2004. Cepeda, Gustavo. Auditora y control interno. McGraw Hill, 1997.
Gua para la Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica. Riesgos de corrupcin en la Administracin Pblica, Tercer Mundo, 2000. Departamento Administrativo de la Funcin Pblica. Gua bsica de las Oficinas de Control Interno. 1999. Estupin Gaitn, Rodrigo, La gerencia del riesgo y el nuevo enfoque de control interno planteado por el COSO. Gil Galio, Pedro Orlando. (Traduccin). Administracin del Riesgo Estndar AS/NZ 4360:1999. 2001. Glosario de evaluacin de riesgo. (Comp. David MacNamee). MC2. Management Consulting. WS. 2000. Gonzlez Salas dgar. El laberinto institucional colombiano. 1974-1994 Fescol. Universidad Nacional. 1998. Instituto Colombiano de Normas Tcnicas y Certificacin - Icontec. Norma Tcnica Colombiana NTC-ISO31000. 2011 Instituto Colombiano de Normas Tcnicas y Certificacin - Icontec. HB 141 Gua para la Financiacin del Riesgo. 2008. Mcnamee, David. Cuestionario sobre la administracin del riesgo. Ortiz, Jos Joaqun y Armando Ortiz. Auditora Integral. Interfinco. 2000. PRICEWATERHOUSECOOPERS. Administracin de riesgos corporativos. 2005 Salazar Vargas, Carlos. Las polticas pblicas. Pontificia Universidad Javeriana. 1999. http://www.coso.org/ERM-IntegratedFramework.htm

49

FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden

Departamento Administrativo de la