GUA ADMINISTRACIN DE RIESGOS

UNIDAD ADMINISTRATIVA ESPECIAL

AGENCIA NACIONAL DE DEFENSA JURDICA DEL ESTADO
AGOSTO DE 2014

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 2 de 23

TABLA DE CONTENIDO
1.

OBJETIVO .................................................................................................................................... 3

2.

ALCANCE .................................................................................................................................... 3

3.

DEFINICIONES ........................................................................................................................... 3

4.

ADMINISTRACIN DE RIESGOS DE LA ANDJE ........................................................................ 5

5.

RESPONSABILIDADES ............................................................................................................... 7

6.

METODOLOGA PARA LA ADMINISTRACIN DE RIESGOS .................................................... 8

6.1 ESTABLECER EL CONTEXTO ESTRATGICO ORGANIZACIONAL .................................................. 10

6.2 IDENTIFICAR EL RIESGO ........................................................................................................ 14
6.3 ANLISIS DEL RIESGO ............................................................................................................. 15
6.4 EVALUACIN DEL RIESGO ...................................................................................................... 17
6.5 TRATAMIENTO DE LOS RIESGOS ........................................................................................... 19
7.

REFERENCIA NORMATIVA RELACIONADA........................................................................... 21

8.

VIGENCIA .................................................................................................................................. 23

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 3 de 23

1. OBJETIVO
Definir los parmetros generales de la administracin de riesgos en la ANDJE, as como las
actividades que se deben llevar a cabo para la identificacin, evaluacin (anlisis y valoracin),
gestin y control de los riesgos como parte del Modelo Estndar de Control Interno-MECI, en
especial, el Ambiente de Control y Direccionamiento Estratgico, para garantizar el
cumplimiento de la misin y objetivos estratgicos de la ANDJE.
2. ALCANCE
Las directrices establecidas en esta gua deben ser aplicadas a todos los mapas de riesgos de los
procesos incorporados en el Mapa de Procesos de la Agencia y deben ser implementadas en
primera instancia por el Administrador del Sistema Integrado de Gestin Institucional y en
segunda instancia por los Lderes de proceso y los Enlaces de las dependencias.
3. DEFINICIONES
Estas definiciones son referidas de la Norma NTC-ISO 31000 (ICONTEC, 2011) y de la gua de
administracin del riesgo del DAFP. (DAFP, 2011).
Actitud hacia el riesgo: Enfoque de la ANDJE con respecto a los riesgos, esto incluye una
evaluacin que implica decisiones como retener, tomar o alejarse del riesgo.
Anlisis del riesgo: Es el conjunto de acciones, recursos y mtodos para comprender la
naturaleza del riesgo. Este proceso soporta la evaluacin del riesgo y las decisiones
relacionadas con el tratamiento del riesgo.
Consecuencia: Es el resultado de un evento que afecta los objetivos de la ANDJE, esta
consecuencia puede ser expresada de manera cualitativa o cuantitativamente.
Contexto externo: Son las condiciones, tendencias o circunstancias externas con las cuales se
busca para alcanzar el logro de los objetivos, estas condiciones son de tipo cultural, social,
poltico, legal, reglamentario, financiero, tecnolgico, econmico, natural y competitivo de la
ANDJE. Estas condiciones pueden ser de orden nacional o internacional.
Contexto interno: Son condiciones de tipo interno con los cuales se consiguen los objetivos
institucionales, son polticas, estrategias y los estructurales, stos ltimos van desde la lnea de
organizacin jerrquica, la distribucin y responsabilidad funcional, la capacidad operativa,
entendida como el talento humano, los recursos tecnolgicos y econmicos, los mtodos de
trabajo.
Control: Es la medida que modifica el riesgo. Los controles pueden ser procesos, polticas
prcticas u otras acciones dentro del sistema de administracin del riesgo.
Elabor
Juan Jose Vargas Puerto
Contratista Oficina Asesora de
Planeacin
Cdigo: DE-F-14 V-1

Revis
Diana Carolina Enciso Upegui
Jefe Oficina Asesora de Planeacin

Aprob
Diana Carolina Enciso Upegui
Jefe Oficina Asesora de Planeacin

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 4 de 23

Criterios del riesgo: Trminos de referencia frente a los cuales se evala la importancia de un
riesgo (ICONTEC, 2011). Estos criterios de evaluacin se basan en los objetivos de la ANDJE y
el contexto externo; los criterios pueden tambin estar consignados en las leyes y normatividad
relacionada o en polticas sociales u organizacionales.
Establecimiento del contexto: Es el conjunto de parmetros internos y externos que se deben
tener en cuenta en la gestin del riesgo. Este contexto es el punto de partida para la evaluacin
y el establecimiento de polticas de gestin del riesgo.
Evaluacin del riesgo: Es el proceso utilizado para determinar las prioridades del sistema de
administracin del riesgo y la decisin de tratamiento acerca del riesgo, esto comparando el
nivel de un determinado riesgo con respecto a los criterios del riesgo, determinando de esta
forma, si el riesgo, la magnitud de este o ambos se pueden considerarse aceptables o tolerables.
Evento: Incidente o situacin que ocurre en un lugar determinado durante un periodo de
tiempo determinado. Un evento puede ser una o ms ocurrencias y ser atribuido a una o ms
causas.
Fuente del riesgo: es un elemento tangible o intangible que por s mismo o en combinacin
tiene el potencial intrnseco de originar un riesgo.
Gestin del riesgo: se refiere a la arquitectura, entendida esta como los principios y
metodologa para la gestin eficaz del riesgo en la ANDJE. Son un conjunto de actividades
coordinadas para dirigir y controlar la ANDJE con respecto al riesgo
Gestionar el riesgo: se refiere a la aplicacin de la arquitectura de gestin de riesgo a riesgos
particulares dentro de la ANDJE.
Identificacin del riesgo: Es la parte de la valoracin del riesgo que encuentra, reconoce y
describe el riesgo. Es un mecanismo de control, que permite conocer los eventos potenciales
que ponen en riesgo el logro de su misin, estn o no bajo el control de la ANDJE. El alcance
incluye la identificacin de las fuentes del riesgo, los eventos, las causas y consecuencias. Las
fuentes de informacin para esta identificacin pueden ser datos histricos, anlisis tericos,
opiniones de expertos y necesidades tanto de la ANDJE como de los actores que puedan afectar
o verse afectados1 por una decisin relacionada con la gestin del riesgo.
Marco de referencia para la gestin del riesgo: Conjunto de componentes que fundamentan2
el diseo, implementacin, monitoreo, revisin y mejoramiento continuo de la gestin del
riesgo a travs de toda la ANDJE.
Nivel de riesgo: Es la magnitud de un riesgo o una combinacin de riesgos. Esta magnitud se
da en funcin de las consecuencias que se derivan del riesgo y la probabilidad de ocurrencia.

Los actores que puedan afectar o verse afectados se entienden tambin como partes involucradas, y dentro la NTC 31000 esta
es definida como Persona u organizacin que puede afectar, verse afectada o percibirse a s misma como afectada por una
decisin o una actividad.
2 El alcance de los fundamentos o bases son las polticas, objetivos, las directrices y compromisos para gestionar el riesgo.
1

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 5 de 23

Poltica para la gestin del riesgo: Es la declaracin y lineamientos generales de la Alta

Direccin con respecto a la gestin del riesgo.
Proceso para la gestin del riesgo: Se entiende como la aplicacin sistemtica de las polticas,
los procedimientos y las prcticas de gestin a las actividades de gestin del riesgo.
Probabilidad: Es la oportunidad que algo suceda.
Riesgo: Efecto de incertidumbre sobre los objetivos de la ANDJE.
Riesgo Residual: Se denomina riesgo remanente, aquel que persiste despus del tratamiento
del riesgo.
Sistema: De forma genrica, se define como sistema a la interrelacin de partes en funcin de
un todo u objetivo comn (Kauffman, 1980). Para el caso de los sistemas sociales, las partes
pueden ser definidas de diferentes maneras, pueden ir desde las personas hasta las
comunicaciones entre ellas (Luhmann, 1988). En el caso de este documento se trabaja en el
marco de sistemas sociales, en donde los componentes son servidores pblicos,
comunicaciones formales e informales, polticas y documentos del sistema de gestin de
calidad, entre otros.
Tratamiento del Riesgo: Es el proceso para modificar el riesgo. Las decisiones sobre esta
modificacin implican evitar o tomar el riesgo, retirar la fuente del riesgo, cambiar la
probabilidad de ocurrencia del riesgo, cambiar las consecuencias del riesgo, compartir o
transferir el riesgo con uno o varios de los actores que tienen incidencia o se afectan con el
riesgo y retener el riesgo a travs de una decisin informada.
Valoracin del riesgo: Se define como el producto de verificar los resultados de la evaluacin
del riesgo con los controles identificados, estableciendo prioridades para su manejo y para la
fijacin de polticas. Comprende el proceso total de identificacin, anlisis y evaluacin del
riesgo.
4. ADMINISTRACIN DE RIESGOS DE LA ANDJE
La Administracin del Riesgo es el conjunto de elementos del direccionamiento estratgico
como polticas, principios, metodologas, estructura, herramientas y medios para implementar
la gestin del riesgo, contribuyendo a dar un adecuado tratamiento a los riesgos involucrados
en el desarrollo de las operaciones normales de la ANDJE.
El Sistema de Administracin de Riesgos de la ANDJE se enmarca dentro de la etapa de
Planeacin del ciclo PHVA, y permite a la Entidad dar cumplimiento a los requisitos de los
numerales 4 y 5 de la NTCGP 1000:2009 y a los componentes de Ambiente de Control, Direccin
Estratgica y Administracin de Riesgos del MECI 1000:2005, los cuales de forma sistmica
permiten generar las condiciones necesarias para la operacin de la ANDJE.

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 6 de 23

Fuente: Armonizacin Modelo Estndar de Control Interno MECI y Sistema de Gestin de

Calidad en Entidades Pblicas
En concordancia con esto y lo definido en los anteriores numerales, el Sistema de
Administracin de Riesgos de la ANDJE se compone de los siguientes elementos:

Fuente: Elaboracin propia

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 7 de 23

Como principios marco de la gestin del riesgo, la ANDJE adopta los definidos en el numeral 3
de la norma tcnica ISO 31000, que establece:
a) Crear valor: la gestin del riesgo contribuye al logro demostrable de los objetivos y a
la mejora del desempeo, crea y protege el valor.
b) Es parte integrante de los procesos de la ANJDJE: la gestin del riesgo no es una
actividad independiente que se separa de las actividades y los procesos principales de
la Entidad.
c) Es parte de la toma de decisiones: la gestin del riesgo ayuda a quienes toman las
decisiones a hacer elecciones informadas, priorizar acciones y distinguir entre cursos
de accin alternativos.
d) Aborda explcitamente la incertidumbre: la gestin del riesgo toma en consideracin
la incertidumbre, su naturaleza y la forma en que se puede tratar.
e) Es sistemtica, estructurada y oportuna: la gestin del riesgo contribuye a la
eficiencia y a resultados consistentes, comparables y confiables.
f) Se basa en la mejor informacin disponible: la gestin del riesgo permite tomar en
consideracin todas las limitaciones de los datos, modelos utilizados o la posibilidad de
divergencia entre expertos.
g) Est adaptada: la gestin del riesgo se alinea al contexto interno y externo, as como al
perfil de riesgo de la Entidad.
h) Toma en consideracin a los factores humanos y culturales: la gestin del riesgo
reconoce las capacidades, percepciones e intenciones de individuos externos e internos,
los cuales pueden facilitar o dificultar el logro de objetivos.
i) Es transparente e inclusiva: la gestin del riesgo permite a las partes involucradas
estar correctamente representadas y hacer que sus puntos de vista se tomen en
consideracin al determinar los criterios de riesgo.
j) Es dinmica, reiterativa y receptiva al cambio: la gestin del riesgo a travs de las
actividades de monitoreo y revisin de riesgos, permite la adaptacin a los cambios del
entorno producindose nuevos riesgo, cambios en riesgos existentes o su desaparicin.
k) Facilita la mejora continua de la ANDJE.
5. RESPONSABILIDADES
En concordancia con la Norma NTC-ISO 31000 (ICONTEC, 2011), se establecen las partes
involucradas en el Sistema de Administracin de Riesgos de manera particular para la ANDJE,
cuyas responsabilidades se distribuyen de la siguiente manera:

La Direccin General es el garante de la adopcin e implementacin del Sistema de

Administracin de Riesgos en la ANDJE.

La Oficina Asesora de Planeacin se encarga de mantener actualizada esta

metodologa en el marco del Sistema de Administracin de Riesgos. Esta Oficina
tambin es responsable de desarrollar las normas, guas, procedimientos y la
documentacin necesaria para incorporar la gestin del riesgo dentro de la
organizacin.

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 8 de 23

La Oficina de Control Interno es la encargada de evaluar el Sistema de Administracin

de Riesgos de la ANDJE.

El personal de la ANDJE encargados de incorporar e implementar el Sistema de

Administracin de Riesgos en la operacin, gestin y direccin de la Entidad.

A continuacin se presenta grficamente la interrelacin de estos actores, bajo el marco del

Modelo del Sistema Viable que establece los siguientes mbitos en orden descendente:
Poltica, Inteligencia, Control, Coordinacin y Monitoreo, estos dos ltimos a cargo tanto de
las Oficina Asesora de Planeacin como del personal de la ANDJE:

Fuente: Elaboracin propia adaptado del modelo del sistema viable

6. METODOLOGA PARA LA ADMINISTRACIN DE RIESGOS
La metodologa para la Administracin de Riesgos de la ANDJE, combina elementos de la Norma
Tcnica Colombiana NTC ISO 31000 y de la Gua para la Administracin del Riesgo del
Departamento Administrativo de la Funcin Pblica.
Bajo este entendido, la metodologa de administracin de riesgos se lleva a cabo a travs del
desarrollo de las siguientes actividades:
1. Diseo del marco de referencia para la gestin del riesgo: contexto estratgico
organizacional.
2. Identificacin del Riesgo: qu puede suceder? y cmo puede suceder?
3. Anlisis del Riesgo: determinar la probabilidad, consecuencias y el nivel de riesgo.
4. Valoracin del Riesgo: identificar controles, verificar su efectividad y establecer
tratamiento.
Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 9 de 23

5. Seguimiento y Revisin del Sistema de Administracin de Riesgos Operacionales

6. Mejoramiento Continuo del Sistema
ESTABLECER EL CONTEXTO
Contexto Estratgico

ANLISIS DEL RIESGO

Determinar controles existentes
Determinar la
probabilidad

Determinar las
consecuencias

Estimar el Nivel de Riesgo

EVALUAR LOS RIESGOS

Comparar contra
Establecer prioridades

ACEPTAR
RIESGOS
Evaluar los Riesgos

TRATAR LOS RIESGOS

Cdigo: DE-F-14 V-1

Identificar opciones de tratamiento

Evaluar opciones de tratamiento
Seleccionar las opciones
Preparar planes de tratamiento
Implementar planes

MONITOREAR Y REVISAR

COMUNICAR Y CONSULTAR

IDENTIFICAR EL RIESGO
Qu puede suceder?
Cmo puede suceder?

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 10 de 23

6.1 ESTABLECER EL CONTEXTO ESTRATGICO ORGANIZACIONAL

Esta actividad tiene como propsito conocer el contexto o condiciones, tanto externas como
internas, en las que se desempea la Entidad, las cuales pueden generar eventos que a su vez
originan oportunidades o amenazas para el cumplimiento de su misin.
De manera particular en la ANDJE, el contexto se establecer a travs de la utilizacin de las
herramientas del TASCOI y la Delimitacin Sistmica pertenecientes al Modelo del Sistema
Viable, las cuales se describen a continuacin:
a) En primer lugar se debe identificar todos los agentes que participan dentro y alrededor de
la Entidad, asociando a su vez los resultados o insumos que producen o proveen
respectivamente. Para esto se utiliza el TASCOI el cual corresponde a los siguientes
elementos:
Transformacin: Describe en QU consiste el proceso de transformacin, e indica a
travs de qu suministros, se procesan y obtienen los resultados de la entidad, puede
corresponder a la misin de la Entidad o su objeto definido por norma.
Actores: Describe QUIN realiza el proceso de transformacin: personas, grupos de
personas, roles, instituciones o grupos de instituciones.
Suministradores: Describe QUIN provee los suministros.
Clientes: Describe QUIN recibe los resultados.
Organizadores (dirigentes): Describe QUIN es responsable de asegurar que el proceso
de transformacin sea realizado.
Intervinientes: Describe QUIN por fuera de la organizacin ejerce influencia sobre el
proceso de transformacin. (p.e.: los reguladores o los organismos de control, entre
otros).
Los resultados de la identificacin del TASCOI se consolidan a travs de una matriz general
que tiene en la primera columna los campos del TASCOI y en la segunda su diligenciamiento
aplicable a la Entidad. Esta identificacin la debe liderar la Oficina Asesora de Planeacin y
desarrollarla en conjunto con los integrantes del Comit del MECI que representan todas las
reas de la Entidad.
b) Una vez se han descrito estos tems, se procede a consolidar grficamente la Delimitacin
Sistmica (Ver Anexo 1) de la ANDJE a partir de los diferentes puntos de vista entregados
por los participantes de la construccin del TASCOI, describindola en los siguientes
trminos:

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 11 de 23

c) Con esta informacin se realiza un anlisis DOFA que permite identificar los factores
internos y externos de riesgo que pueden impactar los resultados de la ANDJE,
enmarcndolos como se observa a continuacin:

El DAFP define entre otros, los siguientes factores de riesgo:

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Factores
Externos

Factores
Internos

Econmicos
Medioambientales
Polticos
Sociales
Tecnolgicos
Acciones Legales

Cdigo: DE-G-02
Versin: 0
Pg.: 12 de 23

Infraestructura
Personal
Procesos
Tecnologa
Planeacin

d) En alineacin con el Sistema Integrado de Gestin Institucional y el enfoque por procesos,

despus de la definicin de los factores de riesgo generales aplicables a la ANDJE, se aborda
la identificacin de los factores de riesgo y sus causas, a nivel de cada uno de los procesos,
analizando las actividades definidas en las caracterizaciones, como se observa a
continuacin:
Se identifican entre otros los siguientes tipos de causas y causas generales:
TIPO DE CAUSA

TALENTO HUMANO

CONTROLES

Cdigo: DE-F-14 V-1

CAUSAS
Capacitacin
Personal idneo
Rotacin y/o traslados
Resistencia al cambio
Falta de compromiso
Debilidades de Comunicacin
Trabajo en equipo
Debilidad Principios y valores
Clima laboral
Error Humano
Falta de motivacin
Toma de decisiones
Falta de liderazgo
Deficiencias en la medicin del
Desempeo
Ausencia de controles
Auditorias inadecuadas
Planes de contingencia
Exceso de ordenes
Indeterminacin, ambigedad o
duplicidad de responsables

GUIA ADMINISTRACIN DE RIESGOS

TIPO DE CAUSA

POLTICAS Y PROCESOS

TECNOLOGA E INFORMACIN

PLANEACIN

RECURSOS FINANCIEROS

LEGAL Y POLTICA

EVENTOS NATURALES

Cdigo: DE-F-14 V-1

Cdigo: DE-G-02
Versin: 0
Pg.: 13 de 23

CAUSAS
Incumplimiento de polticas y procesos
Deficiencia en definicin de polticas y
proceso
Ineficiencia operativa
Falta estandarizacin de procesos
Metodologa
Debilidades en el reconocimiento de mi cliente interno
y/o externo.
Desconocimiento del producto y/o
Servicio
Fallas o filtraciones en el sistema de
informacin
Fuentes de informacin erradas o
deficientes
Desactualizacin
Daos en Hardware y Software
Licenciamiento
Saturacin en el uso de los canales de
comunicacin
Fallas en el fluido elctrico
Fuga de informacin
Prdida de informacin
Protocolos de seguridad informtica
Desconocimiento del plan estratgico
Mala proyeccin
Debilidades en la estructura organizacional
Estudios del entorno
Incumplimiento de objetivos
Interrupcin o intermitencia en la ejecucin de planes y
proyectos
Volatilidad del mercado
Recursos insuficientes
Presupuesto
Volatilidad normativa
Claridad en condiciones y contratos
Incumplimiento de obligaciones
Ilcitos
Fraude
Gestin de terceros
Ejecucin de Garantas
Circunstancias polticas
Circunstancias legislativas y econmicas
Desastres naturales
Condiciones climticas
Diversidad de terrenos

GUIA ADMINISTRACIN DE RIESGOS

TIPO DE CAUSA
CIUDADANA

Cdigo: DE-G-02
Versin: 0
Pg.: 14 de 23

CAUSAS
Desinformacin de la poblacin civil
Publicidad
Nivel de penetracin
Segmentacin
Rumores

6.2 IDENTIFICAR EL RIESGO

Una vez se han definido los factores de riesgo y sus causas para cada actividad de los procesos,
se identifican los riesgos que pueden afectar el desarrollo de las actividades de los procesos.
Para esto, se utilizar un esquema de construccin que permite diferenciar y asociar los riesgos
y sus causas y consecuencias (efectos), logrndose una identificacin clara y precisa.
a) Utilizacin del metalenguaje de riesgo: una descripcin formal con elementos
requeridos que permite una declaracin estructurada en tres partes as:
Debido a <una causa concreta>, puede ocurrir <un acontecimiento incierto>, lo
que podra <afectar el sistema y su entorno>
Las causas responden al por qu sucede? y el riesgo responde al qu puede suceder?
y cmo sucede?, por ejemplo:
CAUSA
Debido al suministro de
informacin falsa o
inexacta por los
proveedores
Debido a no
disponibilidad de la
pgina web de la
Procuradura

RIESGO
Puede ocurrir toma de
decisiones de compras a
precios superiores a los
promedios del mercado.
Puede no realizarse la
verificacin de
antecedentes
disciplinarios

CONSECUENCIA
Lo que puede generar,
incurrir en costos
excesivos de
adquisiciones.
Lo que puede generar
retrasos en el proceso de
nombramiento del
personal.

b) Utilizando este metalenguaje y con base en los factores de riesgo y causas identificadas
se identifican para las actividades seleccionadas de los procesos, los riesgos y sus
consecuencias.
Los riesgos se pueden clasificar como se observa a continuacin:

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 15 de 23

RIESGO
ESTRATGICO

Se asocia con la forma en que se administra la Entidad. El manejo del

riesgo estratgico se enfoca a asuntos globales relacionados con la
misin y el cumplimiento de los objetivos estratgicos, la clara
definicin de polticas, diseo y conceptualizacin de la ANDJE por
parte de la Direccin General.

RIESGOS
OPERATIVOS

Comprende los riesgos relacionados tanto con la parte operativa como

tcnica de la ANDJE, incluye riesgos provenientes de deficiencias en
los sistemas de informacin, en la definicin de los procesos, en la
estructura de la ANDJE, la desarticulacin entre dependencias, lo cual
conduce a ineficiencias e incumplimiento de los compromisos
institucionales.

RIESGOS
FINANCIEROS

Se relacionan con el manejo de los recursos de la ANDJE que incluye, la

ejecucin presupuestal, la elaboracin de los estados financieros, los
pagos, manejos de excedentes de tesorera y manejo de los bienes de la
Agencia.

RIESGOS DE
CUMPLIMIENTO

Se asocian con la capacidad de la ANDJE para cumplir con los

requisitos legales, contractuales, de tica pblica y en general con su
compromiso ante la comunidad.

RIESGO DE
TECNOLOGA

Se asocian con la capacidad de la ANDJE, para que la tecnologa

disponible satisfaga las necesidades actuales y futuras de la entidad y
soporte el cumplimiento de la misin.

RIESGOS DE
CORRUPCIN

Se asocian a la posibilidad de que por accin u omisin, mediante el

uso indebido del poder, de los recursos o de la informacin, se
lesionen los intereses de una entidad y en consecuencia del Estado,
para la obtencin de un beneficio particular.3

c) Finalmente, esta informacin se consolida en la siguiente matriz:

6.3 ANLISIS DEL RIESGO

De acuerdo con lo establecido por la gua para la administracin del riesgo del DAFP, el anlisis
de riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, con el
fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a
implementar.

Estrategias para la construccin del Plan Anticorrupcin y de atencin al Ciudadano Secretara de Transparencia Presidencia
de la Republica.
3

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 16 de 23

El anlisis de riesgos brinda una entrada para la toma de decisiones y se compone de las
siguientes actividades:

La probabilidad se refiere a la posibilidad de ocurrencia del riesgo, este o no definido, medido

o determinado objetivamente, cualitativa o cuantitativamente. De otra parte se identifica el
impacto, como las consecuencias que pueda ocasionar a la Agencia la materializacin del
riesgo.
Para la Agencia se han definido los siguientes niveles de probabilidad:
NIVEL

CONCEPTO

FRECUENCIA

POSIBILIDAD

POSIBILIDAD

(Cualitativo)

(Cuantitativo)

Casi seguro

Ms de 100
eventos al
mes

>50.1%<75%

Probable

Entre 10 y
Probablemente ocurrir en la
100 eventos
mayora de las circunstancias
al mes

>25.1%<50%

Posible

Entre 5 y 10
Podra ocurrir en algn
eventos al
momento
mes

>15.1%<25%

Improbable

Entre 2 y 4
eventos al
mes

Raro

Se espera que ocurra la

mayora de las circunstancias

Pudo ocurrir en algn

momento

Un evento al Puede ocurrir solo en

mes
circunstancias excepcionales

Por su parte, los criterios de valoracin del impacto se definen as:

Cdigo: DE-F-14 V-1

>75.1%

< 15%

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 17 de 23

IMPACTOS VALORADOS
5 Catastrfico
4 Mayor
3 Moderado
2 Menor
1 Insignificante

6.4 EVALUACIN DEL RIESGO

La evaluacin del riesgo tiene como objetivo determinar el grado de exposicin de la ANDJE,
estimndose a travs de la probabilidad de ocurrencia y el impacto los niveles de riesgo
(severidad) como se observa a continuacin:

Con los criterios de valoracin de impacto x probabilidad, se genera la matriz de valoracin de

riesgos:

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 18 de 23

As, los riesgos identificados son valorados estableciendo en primer lugar su probabilidad de
ocurrencia y posteriormente el impacto que podrn generar, con lo cual se genera la
valoracin correspondiente.

Este primer anlisis de riesgos corresponde al Riesgo Inherente que corresponde a aqul al que
se enfrenta una entidad en ausencia de acciones por parte de la Direccin para modificar su
probabilidad o impacto.
Cuando se estn levantando los riesgos por primera vez, es necesario identificar los controles
para cada uno de los riesgos, los cuales de acuerdo con la gua del DAFP se pueden tipificar en
tres grupos: De gestin, operativo o legales.
As mismo, los controles se clasifican en:

PREVENTIVOS: aquellos que actan para eliminar las causas del riesgo para prevenir
su ocurrencia o materializacin.
CORRECTIVOS: aquellos que permiten el restablecimiento de la actividad, despus de
ser detectado un evento no deseable; tambin la modificacin de las acciones que
propiciaron su ocurrencia.
Con base en estos lineamientos se debe diligenciar las siguientes columnas de la matriz de
riesgos:

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 19 de 23

La evaluacin del control puede ser:

Baja
Moderada
Alta
Extrema
Una vez se han valorado los controles se puede determinar el riesgo a controlar as:

6.5 TRATAMIENTO DE LOS RIESGOS

Tal y como se seal en las definiciones, el tratamiento del riesgo tiene como objetivo
implementar acciones para modificar el riesgo, las opciones de tratamiento de los riesgos
fueron definidas en el Manual de Polticas Institucionales y de Desarrollo AdministrativoDE-M-02.
El tratamiento se compone de las siguientes actividades:
1.
2.
3.
4.
5.

Identificar opciones de tratamiento

Evaluar opciones de tratamiento
Seleccionar las opciones
Preparar planes de tratamiento
Implementar los planes.

Dependiendo de los resultados de valoracin se determinan las acciones a seguir frente al

riesgo, las cuales pueden ser:

Asumirlo: luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo
residual que se mantiene, en este caso, el gerente del proceso simplemente acepta la
prdida residual probable y elabora planes de contingencia para su manejo.
Reducirlo: implica tomar medidas encaminadas a disminuir tanto la probabilidad
(medidas de prevencin), como el impacto (medidas de proteccin). La reduccin del
riesgo es probablemente el mtodo ms sencillo y econmico para superar las
debilidades antes de aplicar medidas ms costosas y difciles. Por ejemplo: a travs de
la optimizacin de los procedimientos y la implementacin de controles.
Evitarlo: tomar las medidas encaminadas a prevenir su materializacin. Es siempre la
primera alternativa a considerar, se logra cuando al interior de los procesos se generan
cambios sustanciales por mejoramiento, rediseo o eliminacin, resultado de unos

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 20 de 23

adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo

de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc.
Compartirlo o Transferirlo: reduce su efecto a travs del traspaso de las prdidas a
otras organizaciones, como en el caso de los contratos de seguros o a travs de otros
medios que permiten distribuir una porcin del riesgo con otra entidad, como en los
contratos a riesgo compartido. Por ejemplo, la informacin de gran importancia se
puede duplicar y almacenar en un lugar distante y de ubicacin segura, en vez de dejarla
concentrada en un solo lugar, la tercerizacin.

A partir de esta clasificacin se disean los planes de tratamiento los cuales se diligencian en
la matriz para cada riesgo as:
Plan de Contingencia
(acciones para controlar
situaciones que puedan
afectar la operacin y
reduzcan los efectos
negativos)

Tipo de Accin
1. Preventiva
2. Correctiva

Acciones a
Implementar

La NTC-ISO 31000 establece como recomendacin que: Al seleccionar las opciones para tratar
el riesgo, la organizacin debera considerar los valores y las percepciones de las partes
involucradas, y las vas ms adecuadas para comunicarse con ellos. Cuando las opciones para
tratar el riesgo pueden tener impacto en el riesgo en otras partes de la organizacin o para otras
partes involucradas, estas opciones se deberan incluir en la decisin. Aunque tienen igual eficacia,
algunos tratamientos para el riesgo pueden ser ms aceptables para algunas partes involucradas
que para otras.
Los tratamientos definidos debern implementarse definindose responsable y fechas as:

Finalmente y para garantizar el cierre del ciclo es necesario realizar seguimiento a la

implementacin de los tratamientos (planes de mitigacin, contingencia y continuidad), as
como medir la evolucin del riesgo y determinacin de nuevos controles.
Para esta ltima actividad se debe:

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 21 de 23

Garantizar que los controles son eficaces y eficientes tanto en el diseo como en la
operacin.
Obtener informacin adicional para mejorar la valoracin del riesgo.
Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias, los
xitos y fracasos.
Detectar cambios en el contexto externo e interno, incluyendo los cambios en los
criterios del riesgo y en el riesgo mismo que puedan exigir revisin de los tratamientos
del riesgo.
Identificar los riesgos emergentes.

Como resultado de las actividades de la administracin del riesgo, la ANDJE implementar la

matriz de riesgos que consolidar la informacin por proceso para su monitoreo, seguimiento
y control.
7. REFERENCIA NORMATIVA RELACIONADA
La Ley 87 de 1993, por la cual se establecen las normas para el ejercicio del control interno en
las entidades y organismos del Estado y se dictan otras disposiciones, considera en los objetivos
del Sistema de Control Interno-SCI, lo referente a administracin del riesgo, como se trascribe
a continuacin:

Proteger los recursos de la organizacin, buscando su adecuada administracin ante

posibles riesgos que los afecten4.
Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones
que se presenten en la organizacin y que puedan afectar el logro de sus objetivos5.

Por su parte, el Captulo VI de la Ley 489 de 1998, establece que el Presidente de la Repblica
ser la mxima autoridad administrativa del SCI y le corresponde fijar las polticas en la materia
con apoyo y coordinacin del Consejo Asesor del Gobierno Nacional.
El Decreto 2145 de 1999 describe aspectos sobre la conceptualizacin del SCI y determina las
instancias de articulacin y responsabilidades del citado sistema. A su vez en ese mismo ao, la
Directiva presidencial 09 presenta los lineamientos para la implementacin de la poltica de
lucha contra la corrupcin.
Para el ao 2000, el Decreto 2539 modifica parcialmente el Decreto 2145 de 1999 en cuanto al
mbito de aplicacin, los responsables, reguladores, operatividad, funciones del consejo asesor
del gobierno nacional en materia de control interno del SCI y sobre el nombramiento de los
jefes de control interno de las entidades pertenecientes a este sistema.
El Decreto 1537 de 2001 expide parcialmente reglamentacin a la Ley 87 de 1993, esto en
cuanto a elementos tcnicos y administrativos que fortalecen el SCI de las entidades y
organismos del Estado, aqu el artculo 4 dispone:

4
5

Literal a) del artculo 2 de la Ley 87 de 1993.

Literal f) del artculo 2 de la Ley 87 de 1993.

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 22 de 23

Como parte integral del fortalecimiento de los sistemas de control interno en las entidades
pblicas las autoridades correspondientes establecern y aplicarn polticas de
administracin del riesgo. Para tal efecto, la identificacin y anlisis del riesgo debe ser un
proceso permanente e interactivo entre la administracin y las oficinas de control interno o
quien haga sus veces, evaluando los aspectos tanto internos como externos que pueden llegar
a representar amenaza para la consecucin de los objetivos organizaciones, con miras a
establecer acciones efectivas, representadas en actividades de control, acordadas entre los
responsables de las reas o procesos y las oficinas de control interno e integradas de manera
inherente a los procedimientos.
En este decreto tambin se reglamenta sobre el rol de las oficinas de control interno,
desarrollando las funciones sealadas en el artculo 9 de la Ley 87 de 1993, en cinco tpicos, a
saber: valoracin de riesgos, acompaar y asesorar, realizar evaluacin y seguimiento,
fomentar la cultura de control, y relacin con entes externos.
En el 2005 se adopta el Modelo Estndar de Control Interno-MECI a travs del Decreto 1599 de
mayo 20; este modelo segn el primer artculo de este decreto, determina las generalidades y
la estructura necesaria para establecer, documentar, implementar y mantener un Sistema de
Control Interno en las entidades y agentes obligados conforme al artculo 5 de la Ley 87 de
1993.
El Decreto 4485 de 2009 actualiza la norma NTCGP 1000:2009, la cual aclara las
correspondencias entre esta norma y el MECI, adems en su numeral 4.1, el cual estipula los
requisitos generales, dado que el literal g) lista como requisito lo siguiente:
() establecer controles sobre los riesgos identificados y valorados que puedan afectar la
satisfaccin del cliente y el logro de los objetivos de la ANDJE; cuando un riesgo se materializa
es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva
a suceder ()
En el ao 2011 se expide la Ley 1474, la cual dicta normas encaminadas a fortalecer los
mecanismos de prevencin, investigacin y sancin de actos de corrupcin y la efectividad del
control de la gestin pblica. Esta ley hace obligatoria la elaboracin anual del mapa de riesgos
de corrupcin y las acciones concretas para mitigar estos riesgos, las estrategias anti trmites
y los elementos para mejorar la atencin al ciudadano.
Ley 872 de 2003, por la cual se crea el Sistema de Gestin de la Calidad en la Rama Ejecutiva del
Poder Pblico y en otras entidades prestadoras de servicios.
Decreto 4485 de 2009, por el cual se adopta la actualizacin de la norma tcnica de calidad en
la gestin Pblica.
Norma Tcnica Colombiana NTC ISO 9001:2008, requisitos para los sistemas de gestin

Cdigo: DE-F-14 V-1

GUIA ADMINISTRACIN DE RIESGOS

Cdigo: DE-G-02
Versin: 0
Pg.: 23 de 23

En el ao 2011 se expide la Ley 1474, la cual dicta normas encaminadas a fortalecer los
mecanismos de prevencin, investigacin y sancin de actos de corrupcin y la efectividad del
control de la gestin pblica. Esta ley hace obligatoria la elaboracin anual del mapa de riesgos
de corrupcin y las acciones concretas para mitigar estos riesgos, las estrategias anti trmites
y los elementos para mejorar la atencin al ciudadano.
Ley 872 de 2003, por la cual se crea el Sistema de Gestin de la Calidad en la Rama Ejecutiva del
Poder Pblico y en otras entidades prestadoras de servicios.
Decreto 4485 de 2009, por el cual se adopta la actualizacin de la norma tcnica de calidad en
la gestin Pblica.
Norma Tcnica Colombiana NTC ISO 9001:2008, requisitos para los sistemas de gestin.
8. VIGENCIA
Esta gua rige a partir de su aprobacin por parte del lder del proceso Direccionamiento
Estrategico-DE-C-01.

Elabor
Juan Jose Vargas Puerto
Contratista Oficina Asesora de
Planeacin
Cdigo: DE-F-14 V-1

Revis
Diana Carolina Enciso Upegui
Jefe Oficina Asesora de Planeacin

Aprob
Diana Carolina Enciso Upegui
Jefe Oficina Asesora de Planeacin