Está en la página 1de 58

Gua

para la administracin
del riesgo
Departamento Administrativo
de la Funcin Pblica (DAFP)

Direccin de Control Interno


y Racionalizacin de
Trmites

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA

ELIZABETH RODRGUEZ TAYLOR


Directora

JORGE LUIS TRUJILLO ALFARO


Subdirector

MARA DEL PILAR ARANGO VIANA


Directora de Control Interno
y Racionalizacin de Trmites
JULIA GUTIRREZ DE PIERES JALILIE
Directora de Empleo Pblico

CLAUDIA PATRICIA HERNNDEZ LEN


Directora Jurdica

JOS FERNANDO BERRO BERRO


Director de Desarrollo Organizacional

CELMIRA FRSSER ACEVEDO


Jefe Oficina Asesora de Planeacin

MARA TERESA RUSSELL GARCA


Jefe Oficina de Control Interno

VICTORIA EUGENIA DAZ ACOSTA


Jefe Oficina de Sistemas

Bogot, D.C., septiembre de 2011


Cuarta Edicin

ACTUALIZACIN:
Myrian Cubillos
Benavides Caridad
Jimnez Giraldo ngela
Meja Jaramillo Juan
Felipe Rueda Garca
Andrs Mndez Jimnez
Marianne Salnave Sann
Contenido

G u a p ar a l a A dminis tr aci n de l R i es go
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
Objetivos de la Administracin del . . . . . . . . . . . . . . . . . . . . . . . .
Riesgo 9
Referente normativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Conceptos bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Qu es el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Clases de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Qu significa gestionar el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Metodologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Proceso para la Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . 19
Qu es el contexto estratgico? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cmo se identifica el . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
riesgo?
Cmo se analiza el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
.
Cmo se valora el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
.
Cmo se valoran los controles? . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
.
Elaboracin del mapa de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
.
Polticas de Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . . . .
43
Comunicacin y consulta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Monitoreo y revisin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 3
Presentacin

G u a pa ra l a A dminis t raci n d el R ies go


El dinamismo actual de la Administracin Pblica ha implicado que las polticas
pblicas se encuentren en constante revisin y redimensionamiento; por
ello el Departamento Administrativo de la Funcin Pblica (DAFP), presenta la
actualizacin del documento original denominado Administracin del
Riesgo, que tiene como fin entregar lineamientos y aclaraciones sobre la
aplicacin de la metodologa planteada en la gua emitida en el ao 2009, esto
considerando la importancia cada vez mayor, que para las entidades representa
su aplicacin como elemento bsico en su planeacin estratgica.

La administracin del riesgo ayuda al conocimiento y mejoramiento de la


entidad, contribuye a elevar la productividad y a garantizar la eficiencia y la
eficacia en los procesos organizacionales, permitiendo definir estrategias de
mejoramiento continuo, brindndole un manejo sistmico a la entidad.

La consigna es que la administracin del riesgo sea incorporada en el interior de las


entidades como una poltica de gestin por parte de la alta direccin y cuente con la
participacin y respaldo de todos los servidores pblicos; tarea que se facilitar con
la implementacin de la metodologa aqu presentada, la cual permite establecer
mecanismos para identificar, valorar y minimizar los riesgos a los que
constantemente estn expuestas y poder de esta manera fortalecer el Sistema de
Control Interno permitiendo el cumplimiento de los objetivos misionales y los
fines esenciales del Estado.

ELIZABETH RODRGUEZ TAYLOR


Directora

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden
Introduccin

G u a pa ra l a A dminis t raci n d el R ies go


La administracin del riesgo para las entidades pblicas en todos sus rdenes cobra
hoy mayor importancia, dado el dinamismo y los constantes cambios que el mundo
globalizado de hoy exige. Estos cambios hacen que dichas entidades deban
enfrentarse a factores internos y externos que pueden crear incertidumbre sobre el
logro de sus objetivos. As el efecto que dicha incertidumbre tiene en los objetivos de
una organizacin se denomina riesgo . 1

Es importante recordar que el Estado colombiano, mediante el Decreto 1537 de


2001, estableci una serie de elementos tcnicos requeridos para el desarrollo
adecuado y fortalecimiento del Sistema de Control Interno de las diferentes
entidades y organismos de la Administracin Pblica, uno de ellos es la
Administracin del Riesgo, considerando que la identificacin y anlisis del riesgo
entrega informacin suficiente y objetiva que les permitir aumentar la
probabilidad de alcanzar sus objetivos institucionales.

As mismo a travs del Decreto 1599 de 2005 se adopt el Modelo Estndar de


Control Interno (MECI) para todas las entidades del Estado, en el que la
Administracin del Riesgo se define como uno de los componentes del Subsistema
de Control Estratgico y en el Anexo Tcnico como el conjunto de elementos de
control que, al interrelacionarse, permiten a la entidad pblica evaluar aquellos
eventos negativos, tanto internos como externos, que puedan afectar o impedir el
logro de sus objetivos institucionales o los eventos positivos que permitan identificar
oportunidades para un mejor cumplimiento de su funcin. Se constituye en el
componente de control que al interactuar sus diferentes elementos le permite a la
entidad pblica autocontrolar aquellos eventos que pueden afectar el cumplimiento
de sus objetivos.

Al ser un componente del Subsistema de Control Estratgico, la Administracin del


Riesgo se sirve de la planeacin estratgica (misin, visin, establecimiento de objetivos,

1
7
Norma Tcnica Colombiana NTC-ISO31000.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


metas, factores crticos de xito), del campo de aplicacin (procesos, proyectos,
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

unidades de negocio, sistemas de informacin), del componente de Ambiente de


Control y todos sus elementos . Su revisin sistmica contribuye a que la entidad no
2

solo garantice la gestin institucional y el logro de los objetivos sino que fortalece el
ejercicio del Control Interno en las entidades de la Administracin Pblica.

La actualizacin de la Cartilla Gua Administracin del Riesgo obedece a la


armonizacin entre el Modelo Estndar de Control Interno (MECI) y la Norma
Tcnica de Calidad NTCGP1000:2009, se sugiere adoptar la metodologa
planteada por la Direccin de Control Interno y Racionalizacin de Trmites del
Departamento Administrativo de la Funcin Pblica, con el fin de facilitarle a las
entidades el ejercicio de la administracin del riesgo. Cabe anotar que el ICONTEC
a travs de la norma NTC-ISO 31000 actualiz la norma NTC5254 base para el
documento original.

8 2
Modelo Estndar de Control Interno (MECI). Manual de Implementacin versin 2. Mayo 2009.
Objetivos
de la Administracin
del Riesgo

G u a pa ra l a A dminis t raci n d el R ies go


Cuando la administracin del riesgo se implementa y se mantiene, le permite a la
entidad :3

Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la


administracin un aseguramiento razonable con respecto al logro de los
mismos.

Ser consciente de la necesidad de identificar y tratar los riesgos en todos los


niveles de la entidad.

Involucrar y comprometer a todos los servidores de las entidades de la


Administracin Pblica en la bsqueda de acciones encaminadas a prevenir
y administrar los riesgos.

Cumplir con los requisitos legales y reglamentarios pertinentes.

Mejorar el Gobierno.

Proteger los recursos del Estado.

Establecer una base confiable para la toma de decisiones y la planificacin.

Asignar y usar eficazmente los recursos para el tratamiento del riesgo.

Mejorar la eficacia y eficiencia operativa.

Mejorar el aprendizaje y la flexibilidad organizacional.

9
3 Norma Tcnica Colombiana NTC-ISO31000. Pg.
16.

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden
Referente
normativo

G u a pa ra l a A dminis t raci n d el R ies go


El riesgo y su administracin estn fundamentados en el siguiente marco normativo:

Contenido
Por la cual se establecen normas para el ejercicio del control interno
en las entidades y organismos del Estado y se dictan otras
Ley 87 de 1993

disposiciones. (Modificada parcialmente por la Ley 1474 de 2011).


Artculo 2 Obje- tivos del control interno: literal a). Proteger los
recursos de la organiza- cin, buscando su adecuada administracin
ante posibles riesgos que los afectan. Literal f ). Definir y aplicar
medidas para prevenir los riesgos, detectar y corregir las desviaciones
que se presenten en la organizacin y que puedan afectar el logro de
los objetivos.
Estatuto Bsico de Organizacin y Funcionamiento de la Administra-
de 1998
Decreto 2145 Ley 489

cin Pblica.
Captulo VI. Sistema Nacional de Control Interno.
Por el cual se dictan normas sobre el Sistema Nacional de Control
In- terno de las Entidades y Organismos de la Administracin
Directiva de 1999

Pblica del orden nacional y territorial y se dictan otras


disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000
y por el Art. 8. de la ley 1474 de 2011)
presidencial

Lineamientos para la implementacin de la poltica de lucha contra


la corrupcin.
09 de 1999
2593 del
2000 Decreto

Por el cual se modifica parcialmente el Decreto 2145 de noviembre


4 de 1999.

11

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


Contenido
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto


a elementos tcnicos y administrativos que fortalezcan el sistema de

Decreto 1537 de 2001


control interno de las entidades y organismos del Estado.
El pargrafo del Artculo 4 seala los objetivos del sistema de
control interno () define y aplica medidas para prevenir los riesgos,
detectar y corregir las desviaciones () y en su Artculo 3 establece
el rol que deben desempear las oficinas de control interno () que
se enmarca en cinco tpicos () valoracin de riesgos. As mismo
establece en su Artculo 4 la administracin de riesgos, como parte
integral del forta- lecimiento de los sistemas de control interno en las
entidades pblicas ().
1599 de Decreto

Por el cual se adopta el Modelo Estndar de Control Interno para el


Estado colombiano y se presenta el anexo tcnico del MECI
1000:2005.
1.3 Componentes de administracin del riesgo.
Por el cual se adopta la actualizacin de la NTCGP a su versin 2009.
Numeral 4.1 Requisitos generales literal g) establecer controles
Ley 1474 de Decreto 4485 de 2009

sobre los riesgos identificados y valorados que puedan afectar la


satisfaccin del cliente y el logro de los objetivos de la entidad;
cuando un riesgo se materializa es necesario tomar acciones
correctivas para evitar o dis- minuir la probabilidad de que vuelva a
suceder. Este decreto aclara la importancia de la Administracin del
riesgo en el Sistema de Gestin de la Calidad en las entidades.
Estatuto Anticorrupcin. Artculo 73. Plan Anticorrupcin y de
Aten- cin al Ciudadano que deben elaborar anualmente todas las
2011

entidades, incluyendo el mapa de riesgos de corrupcin, las medidas


concretas para mitigar esos riesgos, las estrategias antitrmites y los
mecanismos para mejorar la atencin al ciudadano.

12
Conceptos bsicos

G u a p ar a l a A dminis tr aci n de l R i es go
Qu es el Riesgo?

El concepto de Administracin del Riesgo se introduce en las entidades pblicas,


teniendo en cuenta que todas las organizaciones independientemente de su
naturaleza, tamao y razn de ser estn permanentemente expuestas a diferentes
riesgos o eventos que pueden poner en peligro su existencia.

Desde la perspectiva del Control Interno, el modelo COSO (Committee on


Sponsoring Organisations of the Treadway Commissions), adaptado para Colombia
por el Icontec mediante la Norma Tcnica NTC5254, actualizada y reemplazada en
2011 por la Norma Tcnica NTC-ISO31000, interpreta que la eficiencia del control
est en el manejo de los riesgos, es decir: el propsito principal del control es la
reduccin de los mismos, propendiendo porque el proceso y sus controles garanticen
de manera razonable que los riesgos estn minimizados o se estn reduciendo y, por
lo tanto, que los objetivos de la entidad van a ser alcanzados, y establece que la
administracin del riesgo es:

Un proceso efectuado por la Alta Direccin de la entidad y por todo el personal


para proporcionar a la administracin un aseguramiento razonable con respecto al
logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la
metodologa, sino logrando que la evaluacin de los riesgos se convierta en una parte
natural del proceso de planeacin . 4

Para los efectos de este documento se aplica la siguiente


definicin:

Riesgo es la posibilidad de que suceda algn evento que tendr un impacto sobre
los objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y
consecuencias.

4
13
INTOSAI: Gua para las normas de control interno del sector pblico. http://www.intosai.org.
Departamento Administrativo de la Departamento Administrativo de la
FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


La tendencia ms comn es la valoracin del riesgo como una amenaza; en este
sentido, los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

ocurrencia.

Pero existe tambin la percepcin del riesgo como una oportunidad, lo cual implica
que su gestin est dirigida a maximizar los resultados que este genera.

Clases de Riesgos

El riesgo est vinculado con todo el quehacer; se podra afirmar que no hay actividad
de la vida, negocio o cualquier asunto que deje de incluirlos como una posibilidad.

Las entidades, durante el proceso de identificacin del riesgo, pueden hacer una
clasificacin de los mismos, con el fin de formular polticas de operacin para darles
el tratamiento indicado; as mismo este anlisis servir de base para el impacto o
consecuencias durante el proceso de anlisis del riesgo contemplado dentro de la
metodologa.

Se debe tener en cuenta que los riesgos no slo son de carcter


econmico o estn nicamente relacionados con entidades
financieras o con lo que se ha denominado riesgos profesionales;
estos hacen parte de cualquier gestin que se realice.

Entre las clases de riesgos que pueden presentarse estn :


5

Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad.


El manejo del riesgo estratgico se enfoca a asuntos globales relacionados
con la misin y el cumplimiento de los objetivos estratgicos, la clara
definicin de polticas, diseo y conceptualizacin de la entidad por parte de
la alta gerencia.

Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por


parte de la ciudadana hacia la institucin.

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y


operatividad de los sistemas de informacin institucional, de la definicin de
los procesos, de la estructura de la entidad, de la articulacin entre
dependencias.

14
5
Casals & Associates Inc. PriceWaterhouse Coopers, USAID, Documento Mapas de Riesgos, octubre 2003, pgs. 6-7
Riesgos Financieros: Se relacionan con el manejo de los recursos de la
entidad que incluyen: la ejecucin presupuestal, la elaboracin de los estados
financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre
los bienes.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para


cumplir con los requisitos legales, contractuales, de tica pblica y en general
con su compromiso ante la comunidad.

Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica de

G u a p ar a l a A dminis tr aci n de l R i es go
la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento
de la misin.

Qu significa gestionar el Riesgo?

En trminos generales la gestin del riesgo se refiere a los principios y metodologa


para la gestin eficaz del riesgo, mientras que gestionar el riesgo se refiere a la
aplicacin de estos principios y metodologa a riesgos particulares.

La administracin del Riesgo comprende el conjunto de Elementos de Control y


sus interrelaciones, para que la institucin evale e intervenga aquellos eventos,
tanto internos como externos, que puedan afectar de manera positiva o negativa el
logro de sus objetivos institucionales. La administracin del riesgo contribuye a que
la entidad consolide su Sistema de Control Interno y a que se genere una cultura de
Autocontrol y autoevaluacin al interior de la misma.

15 15

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

Las etapas sugeridas para una adecuada administracin del Riesgo son
las siguientes:

Compromiso de las alta y media direccin, como encargadas de


estimular la cultura de la identificacin y prevencin del riesgo y de
definir las polticas para la gestin de los riesgos identificados y
valorados entre las que se encuentran la definicin de canales directos de
comunicacin y el apoyo a todas las acciones emprendidas en este
sentido, propiciando los espacios y asignando los recursos necesarios. As
mismo, debe designar a un directivo de primer nivel (debe ser el mismo
que tiene a cargo el desarrollo o sostenimiento del MECI y el Sistema de
Gestin de la Calidad) que asesore y apoye todo el proceso de diseo e
implementacin del Componente.

Conformacin de un Equipo MECI o de un grupo interdisciplinario:


Es importante conformar un equipo que se encargue de liderar el proceso
den- tro de la entidad y cuente con un canal directo de comunicacin con
los de- signados de la direccin y de las diferentes dependencias. Dicho
equipo lo deben integrar personas de diferentes dependencias que
conozcan muy bien la entidad y el funcionamiento de los diferentes
procesos para que se facilite la aplicacin de la metodologa y la
construccin de los mapas de riesgos por proceso e institucionales.

Capacitacin en la metodologa: Definido el Equipo MECI o el grupo


inter- disciplinario, debe capacitarse a sus integrantes en la metodologa
sobre ad- ministracin del Riesgo y su relacin con los dems Subsistemas
y Elementos del Modelo Estndar de Control Interno- MECI, de modo
que se conviertan en multiplicadores de esta informacin al interior de
cada uno los procesos donde sea que participen. Ellos se convertirn en
capacitadores de otros ser- vidores o bien podrn acompaar el
levantamiento de los mapas al interior de sus procesos.
Metodologa

G u a pa ra l a A dminis t raci n d el R ies go


Las entidades de la administracin pblica deben darle cumplimiento a su misin
constitucional y legal, a travs de sus objetivos institucionales, los cuales se
desarrollan a partir del diseo y ejecucin de los diferentes planes, programas y
proyectos. El cumplimiento de dichos objetivos puede verse afectado por factores
tanto internos como externos que crean riesgos frente a todas sus actividades, razn
por la cual se hace necesario contar con acciones tendientes a administrarlos.

El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad,


con el fin de asegurar dicho manejo es importante que se establezca el entorno y
ambiente organizacional de la entidad, la identificacin, anlisis, valoracin y
definicin de las alternativas de acciones de mitigacin de los riesgos, esto en
desarrollo de los siguientes elementos:

Contexto estratgico

Identificacin de riesgos

Anlisis de riesgos

Valoracin de riesgos

Polticas de administracin de riesgos


Al ser un componente del Subsistema de Control Estratgico, para
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

una adecuada administracin del riesgo se debe tener en cuenta:

La planeacin estratgica (misin, visin, establecimiento de


objetivos, metas, factores crticos de xito).

El campo de aplicacin (procesos, proyectos, unidades de


negocio, sistemas de informacin).

El Componente Ambiente de Control y todos sus elementos


(Acuerdos, compromisos y protocolos ticos, las polticas de
desarrollo del Talento Humano y el estilo de Direccin).

La identificacin de eventos (internos y externos) y de los


resultados generados por el componente Direccionamiento
Estratgico y sus elementos de control (Planes y Programas,
Modelo de Operacin y Estructura Organizacional).

El elemento Controles del Subsistema de Control de Gestin al


momento de realizar la valoracin de los riesgos (identificacin,
medicin y priorizacin) y la formulacin de la poltica (para
evitar, aceptar, reducir y transferir el riesgo).
Proceso para la Administracin del Riesgo 6

Contexto Estratgico Organizacional

G u a pa ra l a A dminis t raci n d el R ies go


Comunicacin y Consulta

Identi cacin del Riesgo

Monitoreo y revisin
Qu puede suceder?
Cmo puede suceder?

Anlisis del Riesgo


Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo

Valoracin del Riesgo


Identi car controles para el riesgo
Veri car la efectivifad de los controles
Establecer tratamiento

Polticas Administracin de Riesgo

6
Comunicar y consultar es una actividad que se refiere al conocimiento previo que deben tener quienes participan en
la gestin del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en informacin
pertinente y actualizada. Estos deberan incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y
las medidas que
se toman para tratarlo. Esta comunicacin es eficaz para garantizar que los responsables de implementar las actividades 19
relacionadas con la gestin del riesgo entiendan las bases sobre las cuales se toman las decisiones.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


Qu es el contexto estratgico?
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

Son las condiciones internas y del entorno, que pueden generar eventos que
originan oportunidades o afectan negativamente el cumplimiento de la misin y
objetivos de una institucin.

Las situaciones del entorno o externas pueden ser de carcter social, cultural,
econmico, tecnolgico, poltico y legal, bien sean internacional, nacional o regional
segn sea el caso de anlisis.

Las situaciones internas estn relacionadas con la estructura, cultura


organizacional, el modelo de operacin, el cumplimiento de los planes y programas,
los sistemas de informacin, los procesos y procedimientos y los recursos humanos y
econmicos con los que cuenta una entidad.

EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO


FACTORES EXTERNOS FACTORES INTERNOS
Econmicos: disponibilidad de capital, Infraestructura: disponibilidad de ac-
emisin de deuda o no pago de la mis- tivos, capacidad de los activos, acceso
ma, liquidez, mercados financieros, des- al capital
empleo, competencia
Medioambientales: emisiones y resi- Personal: capacidad del personal, sa-
duos, energa, catstrofes naturales, de- lud, seguridad
sarrollo sostenible
Polticos: cambios de gobierno, Procesos: capacidad, diseo, ejecu-
legisla- cin, polticas pblicas, cin, proveedores, entradas, salidas,
regulacin conocimiento
Sociales: demografa, responsabilidad Tecnologa: integridad de datos,
social, terrorismo disponibilidad de datos y sistemas,
Tecnolgicos: interrupciones, desarrollo, produccin, mantenimiento
comercio electrnico, datos externos,
tecnologa emergente

Se recomienda establecer los objetivos, las estrategias, el alcance y los parmetros de


las actividades de la entidad o de aquellos procesos donde se aplicar la metodologa
7

para poder iniciar el anlisis de contexto estratgico.

20 7
Norma Tcnica Colombiana NTC31000. Pg. 37.
Para determinar el contexto estratgico de la institucin es posible utilizar
herramientas y tcnicas como las que se relacionan a continuacin : 8

1. Inventario de eventos

Son listas de eventos posibles utilizadas con relacin a un proyecto, proceso


o actividad determinada.

Son tiles para asegurar una visin coherente con otras actividades similares

G u a p ar a l a A dminis tr aci n de l R i es go
dentro de la entidad.

EJEMPLO:

Antes de emprender un proyecto de desarrollo de software, la


entidad realiza un inventario de riesgos genricos inherentes a los
proyectos de este tipo. Dicho inventario constituye una manera til
de aprovechar el conocimiento acumulado por otras personas sobre
el riesgo experimentado en esa rea.

2. Talleres de trabajo

Habitualmente renen a funcionarios de diversas funciones o niveles.

El propsito es aprovechar el conocimiento colectivo del grupo y desarrollar


una lista de acontecimientos que estn relacionados con un proceso, proyecto
o programa.

EJEMPLO:

Paralelamente con el establecimiento de objetivos de un proyecto, el


lder de proceso y su equipo irn identificando eventos que podran
afectar el logro de los objetivos del mismo.

3. Anlisis de flujo de procesos:

Representacin esquemtica de interrelaciones de ENTRADAS,


TAREAS, SALIDAS Y RESPONSABILIDADES.

8
21
Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005
Una vez realizado el esquema los eventos son analizados frente a los
objetivos del proceso.
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

Esta tcnica puede utilizarse para tener una visin a cierto nivel de detalle
del proceso analizado.

EJEMPLO

GESTIN FINANCIERA
ENTRADAS TAREAS SALIDAS
1. Recibir solicitud 2. Recibir los CDP autorizado
para expedicin de soportespara y rmado
Nmina del mes CDP el registro
(Gestin Humana) presupuestal
3. Elaborar Desprendibles y
la orden de pago 4. Elaborar pago de nmina
comprobante de
egreso del giro
efectuado
POSIBLES EVENTOS

. Solicitud por parte de Gestin Humana en forma


extempornea (Se debe entregar 1 da antes de entregar
la nmina). INDICADORES DE
. Soportes no entregados a tiempo (Nmina mal ALARMA
elaborada).
. No es posible realizar la orden para nmina y dems
pagos.

Igualmente, pueden utilizarse diferentes fuentes de informacin tales como


registros histricos, experiencias significativas registradas, informes de aos
anteriores.

El contexto estratgico es la base para la identificacin del riesgo, dado que de su


anlisis suministrar la informacin sobre las CAUSAS del riesgo.

22 23
9 El ejemplo utilizado fue producto de un ejercicio realizado con la Gobernacin del Meta.
2011.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


Ejemplo aplicado a la
metodologa 9

CONTEXTO ESTRATGICO
PROCESO: ATENCIN AL USUARIO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes
intere- sadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro
de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
FACTORES FACTORES
CAUSAS CAUSAS
EXTERNOS EXTERNOS

G u a p ar a l a A dminis tr aci n de l R i es go
No se realizan las Nmero de equipos
Nueva tecnologa
actualizaciones de Tecnologa insuficiente y algunos
disponible
hardware y obsoletos.
software. - Desconocimiento de la
normatividad aplicada
Normatividad Cambios normativos. Talento humano
- Resistencia al cambio.
- Desmotivacin.
Demoras en la
respuesta de -Proceso manual que puede
Relacin con otras comunicaciones Sistemas de generar registros errneos o
entidades. enviadas a informacin falta de registros.
otras entidades -Informacin desactualizada
relacionadas.
Incremento en el
nmero de solicitudes
Necesidades de la Fallas en el seguimiento a los
por alta demanda de Procedimientos
comunidad. procedimientos del proceso.
usuarios, desbordando
la capacidad instalada.

Cmo se identifica el Riesgo?

La identificacin del riesgo se realiza determinando las causas, con base en los
factores internos y/o externos analizados para la entidad, y que pueden afectar el
logro de los objetivos.

Una manera para que todos los servidores de la entidad conozcan y visualicen los
riesgos es a travs de la utilizacin del formato de identificacin de riesgos el cual
permite hacer un inventario de los mismos, definiendo en primera instancia las
causas con base en los factores de riesgo internos y externos (contexto estratgico),
presentando
una descripcin de cada uno de estos y finalmente definiendo los posibles efectos
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

(consecuencias).

Es importante centrarse en los riesgos ms significativos para la entidad relacionados


con los objetivos de los procesos y los objetivos institucionales. Es all donde, al
igual que todos los servidores, la gerencia pblica adopta un papel proactivo en el
sentido de visualizar en sus contextos estratgicos y misionales los factores o causas
que pueden afectar el curso institucional, dada la especialidad temtica que manejan
en cada sector o contexto socioeconmico.

Entender la importancia del manejo del riesgo implica conocer con ms detalle los
siguientes conceptos:

Proceso: Nombre del proceso.

Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para


el proceso al cual se le estn identificando los riesgos.

Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda


entorpecer el normal desarrollo de las funciones de la entidad y afectar el
logro de sus objetivos.

Causas (factores internos o externos): Son los medios, las circunstancias


y agentes generadores de riesgo. Los agentes generadores que se entienden
como todos los sujetos u objetos que tienen la capacidad de originar un
riesgo.

Descripcin: Se refiere a las caractersticas generales o las formas en que


se observa o manifiesta el riesgo identificado.

Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre


los objetivos de la entidad; generalmente se dan sobre las personas o los
bienes materiales o inmateriales con incidencias importantes tales como
daos fsicos y fallecimiento, sanciones, prdidas econmicas, de
informacin, de bienes, de imagen, de credibilidad y de confianza,
interrupcin del servicio y dao ambiental.

Algunas entidades durante el proceso de identificacin del riesgo pueden hacer una
clasificacin de este, con el fin de establecer con mayor facilidad el anlisis del
impacto, considerado en el siguiente paso del proceso de anlisis del riesgo.
Riesgo Estratgico: Se asocia con la forma en que se administra la
Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales
relacionados con la misin y el cumplimiento de los objetivos
estratgicos, la clara definicin de polticas, diseo y conceptualizacin
de la entidad por parte de la alta gerencia.

Riesgos de Imagen: Estn relacionados con la percepcin y la confianza


por parte de la ciudadana hacia la institucin.

G u a p ar a l a A dminis tr aci n de l R i es go
Riesgos Operativos: Comprenden riesgos provenientes del
funcionamiento y operatividad de los sistemas de informacin
institucional, de la definicin de los procesos, de la estructura de la
entidad, de la articulacin entre dependencias.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la


entidad que incluyen: la ejecucin presupuestal, la elaboracin de los
estados financieros, los pagos, manejos de excedentes de tesorera y el
manejo sobre los bienes.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad


para cumplir con los requisitos legales, contractuales, de tica pblica y
en general con su compromiso ante la comunidad.

Riesgos de Tecnologa: Estn relacionados con la capacidad


tecnolgica de la Entidad para satisfacer sus necesidades actuales y
futuras y el cumplimiento de la misin.

25

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


Ejemplo aplicado a la metodologa

IDENTIFICACIN DEL RIESGO


PROCESO: ATENCIN AL USUARIO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes
interesa- das, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de
una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CONSECUENCIAS
CAUSAS RIESGO DESCRIPCIN
POTENCIALES
Nmero de equipos insuficien-
te y algunos obsoletos.
No se realizan las Incumplimiento No se generan
actualizacio- nes de hardware en la generacin las respuestas Sanciones
y-Proceso
software.
manual que puede de respuestas a los dentro de los Demandas.
generar registros errneos o usuarios. trminos legales.
falta de registros.
-Informacin desactualizada
- Desconocimiento de la nor- Generacin de Respuestas sin la Prdida de imagen y
matividad aplicada respuestas inade- competencia tc- alto nivel de que-
- Resistencia al cambio. cuadas o errneas nica o no acorde jas por parte de los
- Desmotivacin. a los usuarios. a lo requerido. usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.

Preguntas claves para la identificacin del


riesgo:
Qu puede suceder?
Cmo puede suceder?
Es importante observar que el proceso de
identificacin del riesgo es posible realizarlo a
partir de varias causas que pueden estar
relacionadas.

Cmo se analiza el Riesgo?

El anlisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, este ltimo aspecto puede orientar la clasificacin del riesgo, con el
fin de obtener informacin para establecer el nivel de riesgo y las acciones que se
van a implementar.

El anlisis del riesgo depende de la informacin obtenida en la fase de identificacin de


26
D e p a r ta me n t o A dminis t r a t
riesgos.
Pasos claves en el anlisis de riesgos
- Determinar probabilidad
- Determinar consecuencias
- Clasificacin del riesgo
- Estimar el nivel del riesgo

Se han establecido dos aspectos a tener en cuenta en el anlisis de los riesgos

G u a pa ra l a A dminis t raci n d el R ies go


identificados: Probabilidad e Impacto.

Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede


ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: nmero
de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la
presencia de factores internos y externos que pueden propiciar el riesgo, aunque este
no se haya materializado.

Por Impacto se entienden las consecuencias que puede ocasionar a la organizacin


la materializacin del riesgo.

Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:
Calificacin del riesgo y evaluacin del riesgo.

Calificacin del riesgo: se logra a travs de la estimacin de la probabilidad de


su ocurrencia y el impacto que puede causar la materializacin del riesgo.

Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las


siguientes especificaciones : 10

10
27
Icontec HB141. Gua para la financiacin del riesgo. Apndice A. 2008.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


TABLA DE PROBABILIDAD
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

NIVEL DESCRIPTOR DESCRIPCIN FRECUENCIA


El evento puede ocurrir solo No se ha presentado en
1 Raro
en circunstancias los ltimos 5 aos.
excepcionales.
El evento puede ocurrir en algn Al menos de una vez en
2 Improbable
momento los ltimos 5 aos.
El evento podra ocurrir en Al menos de una vez en
3 Posible
algn momento los ltimos 2 aos.
El evento probablemente
Al menos de una vez en
4 Probable ocurrir en la mayora de las
el ltimo ao.
circunstancias
Se espera que el evento ocurra en
5 Casi seguro Ms de una vez al ao.
la mayora de las circunstancias

Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes


especificaciones:

TABLA DE IMPACTO

NIVEL DESCRIPTOR DESCRIPCIN


Si el hecho llegara a presentarse, tendra consecuencias o
1 Insignificante
efectos mnimos sobre la entidad.
Si el hecho llegara a presentarse, tendra bajo impacto o
2 Menor
efecto sobre la entidad.
Si el hecho llegara a presentarse, tendra medianas
3 Moderado
consecuencias o efectos sobre la entidad.
Si el hecho llegara a presentarse, tendra altas
4 Mayor
consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendra desastrosas
5 Catastrfico
consecuencias o efectos sobre la entidad.

Para determinar el impacto se pueden utilizar las siguientes tablas que representan
los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la
clasificacin del riesgo previamente realizada, y se relaciona con las consecuencias
potenciales del riesgo identificado . 11

28 11
Las tablas propuestas representan los impactos de mayor ocurrencia en las entidades del Estado, no obstante cada
entidad puede incluir otros tipos de impacto segn su particularidad.
IMPACTO DE CONFIDENCIALIDAD EN LA INFORMACIN 12

NIVEL CONCEPTO
1 Personal
2 Grupo de Trabajo
3 Relativa al Proceso
4 Institucional
5 Estratgica

G u a p ar a l a A dminis tr aci n de l R i es go
IMPACTO DE CREDIBILIDAD O IMAGEN 13

NIVEL CONCEPTO
1 Grupo de funcionarios
2 Todos los funcionarios
3 Usuarios ciudad
4 Usuarios regin
5 Usuarios pas

IMPACTO LEGAL 14

NIVEL CONCEPTO
1 Multas
2 Demandas
3 Investigacin Disciplinaria
4 Investigacin Fiscal
5 Intervencin Sancin

12
El impacto de confidencialidad de la informacin se refiere a la prdida o revelacin de la misma. Cuando se habla
de informacin reservada institucional se hace alusin a aquella que por la razn de ser de la entidad solo puede ser
cono- cida y difundida al interior de la misma; as mismo, la sensibilidad de la informacin depende de la importancia
que esta tenga para el desarrollo de la misin de la entidad.
13
El impacto de credibilidad se refiere a la prdida de la misma frente a diferentes actores sociales o dentro de la entidad.
14
El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados 29
con el incumplimiento en su funcin administrativa, ejecucin presupuestal y normatividad aplicable.
IMPACTO OPERATIVO
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

15

NIVEL CONCEPTO
1 Ajustes a una actividad concreta
2 Cambios en los procedimientos
3 Cambios en la interaccin de los procesos
4 Intermitencia en el servicio
5 Paro total del proceso

Ahora bien, considerando que para un proceso es posible analizar ms de un


impacto, se pueden ir agrupando en el siguiente cuadro, en el cual se establecen
concretamente.

TIPO DE INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRFICO


IMPACTO (1) (2) (3) (4) (5)

Se afect a Se afect a
Se afect al grupo todos los Se afect a los los usuarios Se afect a los
Imagen 16
de funcionarios del usuarios en el orden
funcionarios usuarios locales. locales y
proceso. de la entidad. regionales. nacional

Evaluacin del Riesgo: permite comparar los resultados de la calificacin del riesgo,
con los criterios definidos para establecer el grado de exposicin de la entidad; de esta
forma es posible distinguir entre los riesgos aceptables, tolerables, moderados,
importantes o inaceptables y fijar las prioridades de las acciones requeridas para su
tratamiento.

Para facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta


una matriz que contempla un anlisis cualitativo, para presentar la magnitud de las
consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).

Las categoras relacionadas con el impacto son: insignificante, menor, moderado,


mayor y catastrfico. Las categoras relacionadas con la probabilidad son raro,
improbable, posible, probable y casi seguro.

16

15
El impacto operativo aplica en la mayora de las entidades para los procesos clasificados como de apoyo, ya que sus
ries- gos pueden afectar el normal desarrollo de otros procesos.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


30 16
En el ejemplo se muestra el anlisis sobre el impacto de Credibilidad o imagen. En este mismo sentido se pueden
incluir otros impactos del proceso que se est analizando.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


MATRIZ DE CALIFICACIN, EVALUACIN Y REPUESTA A LOS RIESGO
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrfico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E

G u a p ar a l a A dminis tr aci n de l R i es go
Casi Seguro (5) A A E E E
B: Zona de riesgo baja: Asumir el riesgo
M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir

EJEMPLO APLICADO A LA METODOLOGA 17

ANLISIS DEL RIESGO


PROCESO: ATENCIN AL USUARIO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes
interesa- das, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de
una cultura
CALIFICACIN Medidas de
RIESGO Tipo Impacto Evaluacin
Probabilidad Impacto respuesta
Incumplimiento
en la generacin Evitar,
de respuestas a los Zona Riesgo reducir,
4 3 Legal
usuarios (trminos Alta compartir o
establecidos por la transferir el
ley). riesgo.

17
31
Para efectos del ejemplo solo se trabajar un (1) riesgo de los dos (2) inicialmente identificados.
IMPACTO
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

PROBABILIDAD Insignificante Menor Moderado Mayor Catastrfico


(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de riesgo baja: asumir el riesgo
M: Zona de riesgo moderada: asumir el riesgo, reducir el riesgo
A: Zona de riesgo alta: reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: reducir el riesgo, evitar, compartir o transferir

Este primer anlisis del riesgo se denomina Riesgo Inherente y se define como
18

aqul al que se enfrenta una entidad en ausencia de acciones por parte de la


Direccin para modificar su probabilidad o impacto.

Cmo se valora el riesgo?


Acciones fundamentales para valorar el riesgo:
- Identificar controles existentes
- Verificar efectividad de los controles
- Establecer prioridades de tratamiento

La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin


del riesgo con los controles identificados, esto se hace con el objetivo de establecer
prioridades para su manejo y para la fijacin de polticas. Para adelantar esta etapa
se hace necesario tener claridad sobre los puntos de control existentes en los
diferentes procesos, los cuales permiten obtener informacin para efectos de tomar
decisiones.

Algunos ejemplos de tipos de control 19


se presentan a
continuacin:
18
Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pgina 39
32 19
Tomado de Superintendencia Financiera.
Polticas claras aplicadas
Seguimiento al plan estratgico y operativo
Indicadores de gestin
Tableros de control
Controles de Gestin
Seguimiento al cronograma
Evaluacin del desempeo
Informes de gestin
Monitoreo de riesgos

G u a p ar a l a A dminis tr aci n de l R i es go
Conciliaciones
Consecutivos
Verificacin de firmas
Listas de chequeo
Registro controlado
Segregacin de funciones
Niveles de autorizacin
Controles Operativos
Custodia apropiada
Procedimientos formales aplicados
Plizas
Seguridad fsica
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
Normas claras y aplicadas
Controles Legales
Control de trminos

Para realizar la valoracin de los controles existentes es necesario


recordar que estos se clasifican en:

Preventivos: aquellos que actan para eliminar las causas del


riesgo para prevenir su ocurrencia o materializacin.

Correctivos: aquellos que permiten el restablecimiento de la


actividad, despus de ser detectado un evento no deseable;
tambin la modificacin de las acciones que propiciaron su
ocurrencia.
en el caso de la probabilidad desplazara casillas hacia arriba y en el caso del impacto, hacia la izquierda como se
muestra
34 en el grfico, de acuerdo a la valoracin de controles.
33
21

LIneamientos para la administracion del riesgo. Gua versin 03. Presidencia de la Repblica. Junio 2011.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


El procedimiento para la valoracin del riesgo parte de la evaluacin de los
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

controles existentes, lo cual implica:

a) Describirlos (estableciendo si son preventivos o


correctivos).

b) Revisarlos para determinar si los controles estn documentados, si se estn


aplicando en la actualidad y si han sido efectivos para minimizar el riesgo.

c) Es importante que la valoracin de los controles incluya un anlisis de tipo


cuantitativo, que permita saber con exactitud cuntas posiciones dentro de la
Matriz de Calificacin, Evaluacin y Respuesta a los Riesgos es posible
desplazarse , a fin de bajar el nivel de riesgo al que est expuesto el proceso
20

analizado.

IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrfico
(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi cierto (5) A A E E E

Cmo se valoran los controles?

A continuacin se muestran dos cuadros orientadores para ponderar de manera


objetiva los controles y poder determinar el desplazamiento dentro de la Matriz de
Calificacin, Evaluacin y Respuesta a los Riesgos 21
20
Los controles luego de su valoracin permiten desplazarse en la matriz, de acuerdo a si cubren probabilidad o impacto,
TIPO DE CONTROL
PRAMETROS CRITERIOS PUNTAJES
Probabilidad Impacto
Posee una herramienta para ejercer 15
el control.
Existen manuales instructivos o 15
Herramientas para
procedimientos para el manejo de la
ejercer el control
herramienta
En el tiempo que lleva la 30
herramienta ha demostrado ser

G u a p ar a l a A dminis tr aci n de l R i es go
efectiva.
Estn definidos los responsables de 15
la ejecucin del control y del
Seguimiento al segui- miento.
control La frecuencia de la ejecucin del 25
con- trol y seguimiento es adecuada.
TOTAL 100

RANGOS DE DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD


CALI- FICACIN O IMPACTO DESPLAZA EN LA MATRIZ DE
DE LOS CALIFICACIN, EVALUACIN Y RESPUESTA A LOS
CONTROLES RIESGOS
CUADRANTES A CUADRANTES A
DISMINUIR EN LA DISMI- NUIR EN EL
Entre 0-50 PROBABILIDAD0 IMPACTO 0
Entre 51-75 1 1
Entre 76-100 2 2

El resultado obtenido a travs de la valoracin del riesgo es denominado tambin


tratamiento del riesgo, ya que se involucra la seleccin de una o ms opciones para
modificar los riesgos y la implementacin de tales acciones , as el desplazamiento
22

dentro de la Matriz de Evaluacin y Calificacin determinar finalmente la seleccin


de la opciones de tratamiento del riesgo, as:

Evitar el riesgo, tomar las medidas encaminadas a prevenir su materializacin.


Es siempre la primera alternativa a considerar, se logra cuando al interior
de los procesos se generan cambios sustanciales por mejoramiento, rediseo
o eliminacin, resultado de unos adecuados controles y acciones
emprendidas. Por ejemplo: el control de calidad, manejo de los insumos,
mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc.

Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto


la probabilidad (medidas de prevencin), como el impacto (medidas de

36
23 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
40.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


22
35
Norma Tcnica Colombiana NTC-ISO31000, p.p. 39 y 40.

36
23 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
40.

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


proteccin). La reduccin del riesgo es probablemente el mtodo ms
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

sencillo y econmico para superar las debilidades antes de aplicar medidas


ms costosas y difciles. Por ejemplo: a travs de la optimizacin de los
procedimientos y la implementacin de controles.

Compartir o transferir el riesgo, reduce su efecto a travs del traspaso de


las prdidas a otras organizaciones, como en el caso de los contratos de
seguros o a travs de otros medios que permiten distribuir una porcin
del riesgo con otra entidad, como en los contratos a riesgo compartido. Por
ejemplo, la informacin de gran importancia se puede duplicar y almacenar
en un lugar distante y de ubicacin segura, en vez de dejarla concentrada en
un solo lugar, la tercerizacin.

Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido


puede quedar un riesgo residual que se mantiene, en este caso, el gerente
del proceso simplemente acepta la prdida residual probable y elabora
planes de contingencia para su manejo.

Dicha seleccin implica equilibrar los costos y los esfuerzos para su implementacin,
as como los beneficios finales, por lo tanto, se deber considerar los siguientes aspectos
como:

Viabilidad jurdica.

Viabilidad tcnica.

Viabilidad institucional.

Viabilidad financiera o econmica.

Anlisis de costo-beneficio.

Una vez implantadas las acciones para el manejo de los riesgos, la valoracin
despus de controles se denomina riesgo residual, este se define como aquel que
permanece despus que la direccin desarrolle sus respuestas a los riesgos . 23
Ejemplo aplicado a la metodologa 24 25

VALORACIN DEL RIESGO


PROCESO: ATENCIN AL USUARIO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y
expecta-
tivas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN VALORACIN24
PUNTAJE
PUNTAJE
RIESGO CONTROLES Tipo Control Prob. o Herramientas Puntaje
Probabilidad Impacto Seguimiento al
Impacto para ejercer el Final
control
control
Aplicativo que
permite mediante
alarmas, controlar
las fechas lmite para
Prob. 30 25 55
las respuestas a los
Incumplimiento
usuarios sobre las co-
en la generacin
municaciones escritas
de respuestas a los
4 3 recibidas.
usuarios (trminos
Plan de capacitacio-
establecidos por la
nes a los servidores,
ley).
sobre la normatividad
Lib
ert
vigente y el manejo Prob. 30 25 55
ad
y
Or
de
n
adecuado del siste-
ReDepart
ma de informacin
pament
bli o
ca Admini
implementado.
destrativ
C o de la
ol
FU
Desplaza 2 casillas en Probabilidad25
o
m
bi
NCI
N
P
24
Esta valoracin est relacionada con los cuadros de anlisis para al calificacin objetiva de controles.
BLI

Para el ejemplo aplicado, el riesgo identificado pas de la Zona de Riesgo Alta a la Zona de Riesgo Moderada.
38 Departamento Administrativo de la
26
27 Administracin
FUNCIN de Colombiade Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
PBLICA
Repblica Libertad y Orden
25
Ver desplazamiento en la matriz en la siguiente pgina.

G ua p ar a l a A dminis tr aci n de l R i es go

37

Para el ejemplo aplicado, el riesgo identificado pas de la Zona de Riesgo Alta a la Zona de Riesgo Moderada.
38 Departamento Administrativo de la
26
27 Administracin
FUNCIN de Colombiade Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
PBLICA
Repblica Libertad y Orden
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrfico
(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de riesgo baja: Asumir el riesgo
M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir

26
NUEVA VALORACIN DE ACUERDO A LOS CONTROLES IDENTIFICADOS

PROCESO: ATENCIN AL USUARIO


OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes
intere- sadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro
de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN
Tipo Evaluacin Medidas de
RIESGO
Probabilidad Impacto Impacto Zona de Riesgo Respuesta

Incumplimiento en
Evitar, redu-
la generacin de res-
Zona Riesgo26 cir, compartir
puestas a los 2 3 Legal
Moderada o transferir el
usuarios (trminos
riesgo.
estableci- dos por la
ley).

Elaboracin del mapa de riesgos

El mapa de riesgos es una representacin final de la probabilidad e impacto de uno


o ms riesgos frente a un proceso, proyecto o programa.
27

Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre


cada uno de los pasos llevados a cabo para su levantamiento como se sugiere a
continuacin:
MAPA DE RIESGOS
PROCESO: ATENCIN AL USUARIO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender
las ne- cesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones
legales vigentes.

INDICADOR
NUEVA EVALUACIN

OPCIONES MANEJO
EVALUACIN RIESGO

ACCIONES

RESPUESTA
RIESGO

CONTROLES
CALIFICACIN

CALIFICACIN
NUEVA
Probabilidad

Impacto

Impacto
Probabilidad

Lib
ert
ad
y
Or
de
n

ReDepart
pament
bli o
ca Admini
destrativ
C o de la
ol
o
FU
m
bi
NCI
N
P
BLI
G ua p ar a l a A dminis tr aci n de l R i es go

39
Sin embargo, dependiendo de la profundidad que se desea tener en la documentacin, podra incluirse
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

un grfico como el que se muestra a continuacin : 28

B
4 D
IMPACTO

3
C

2
A E

1 2 3 4 5
PROBABILIDAD
Cada letra dentro del grfico har alusin a los riesgos del proceso; visualmente
muestra los riesgos que estn en las zonas ms altas.

Se debe tener en cuenta:

Mapa de Riesgos Institucional: Contiene a nivel estratgico


los mayores riesgos a los cuales est expuesta la entidad,
permitiendo conocer las polticas inmediatas de respuesta ante
ellos.

Mapa de Riesgos por Proceso: Facilita la elaboracin del


mapa institucional, que se alimenta de estos, teniendo en
cuenta que solamente se trasladan al institucional aquellos
riesgos que permanecieron en las zonas ms altas de riesgo y
que afectan el cumplimiento de la misin institucional y
objetivos de la entidad.

40
28 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
55

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden
Ejemplo aplicado a la metodologa

MAPA DE RIESGOS
PROCESO: ATENCIN AL USUARIO

MANEJO OPCIONES
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y

NUEVA
expecta-
tivas de los usuarios, todo dentro de una cultura de servicio y de acuerdo
NUEVA a las disposiciones legales vigentes.
CALIFICACIN

EVALUACIN
CALIFICACIN

INDICADOR
RESPUESTA
EVALUACIN
RIESGO
RIESGO

ACCIONES
CONTROLES

Probabilidad

Impacto
Probabilidad

Impacto

Asignacin de Nmero de
Aplicativo que identificaciones solicitudes

ZONA RIESGO MODERADA

ASUMIR O REDUCIR EL RIESGO


para uso del Lder Proceso
permite mediante contestadas
software por parte Tecnologa
alarmas controlar en trminos/
las fechas lmite para de los servidores Total de
Lder Proceso
las respuestas a los del rea. Solicitudes
Atencin al
usuarios sobre las co- Elaboracin de
usuario Reporte por
municaciones escritas cronograma de
recibidas. capacitacin por funcionario
Incumplimiento grupos. entregado.
en la generacin
de respuestas Elaboracin de
4 3 2 3
a los usuarios cronograma de
(trminos estable- capacitacin por
Lib
ert
ad
cidos por la ley). Plan de capacitacio- grupos.
y

Ejecutar evaluacio- Reporte que-


nes a los servidores,
Or
de
n

nes finales progra- Lder Proceso jas antes de la


sobre la normatividad
ReDepart capacitacin
pament vigente y el manejo madas sobre temas Gestin
bli o con evalua-
ca Admini adecuado del sistema normativos. Humana
destrativ cin posterior
C o de la de informacin Establecer
ol
FU a 6 meses
o implementado. resultados de las
m NCI
bi
N evaluaciones por
P funcionario
BLI
G ua p ar a l a A dminis tr aci n de l R i es go

41
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

Todas las acciones contempladas dentro del mapa, unido a la informacin reportada
por los indicadores, suministrar la informacin requerida para el seguimiento
respectivo a los mapas.

Polticas de administracin del riesgo?

Para la consolidacin de las Polticas de Administracin de Riesgos se deben tener


en cuenta todas las etapas anteriormente desarrolladas.

Las polticas identifican las opciones para tratar y manejar los riesgos basadas en la
valoracin de los mismos, permiten tomar decisiones adecuadas y fijar los
lineamientos, que van a transmitir la posicin de la direccin y establecen las guas de
accin necesarias a todos los servidores de la entidad.

Formulacin de las polticas

Est a cargo del Representante Legal de la entidad y el Comit de Coordinacin de


Control Interno y se basa en el mapa de riesgos construido durante el proceso; la
poltica seala qu debe hacerse para efectuar el control y su seguimiento, basndose
en los planes estratgicos y los objetivos institucionales o por procesos.

Debe contener los siguientes


aspectos:

Los objetivos que se esperan lograr.

Las estrategias para establecer cmo se van a desarrollar las poltica, a


largo, mediano y corto plazo.

Los riesgos que se van a controlar.

Las acciones a desarrollar contemplando el tiempo, los recursos, los


responsables y el talento humano requerido.

El seguimiento y evaluacin a la implementacin y efectividad de las polticas.


42 43
29 Norma Tcnica Colombiana NTC-ISO31000. Pg.
33

Departamento Administrativo de la Departamento Administrativo de la


FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia

Libertad y Orden Libertad y Orden


Comunicacin
y Consulta

G u a p ar a l a A dminis tr aci n de l R i es go
La comunicacin y consulta con las partes involucradas tanto internas como
externas debera realizarse durante todas las etapas (pasos dentro de la metodologa)
del proceso para la gestin del riesgo.

Esta comunicacin es importante para garantizar que aquellos responsables de la


implementacin de las acciones dentro de cada uno de los procesos entiendan las
bases sobre las cuales se toman las decisiones y las razones por las cuales se
requieren dichas acciones.

Un enfoque de equipos de trabajo pueden ser : 29

Ayudar a establecer correctamente el contexto estratgico.

Garantizar que se toman en consideracin las necesidades de las partes


involucradas.

Ayudar a garantizar que los riesgos estn correctamente identificados.

Reunir diferentes reas de experticia para el anlisis de los riesgos.

Garantizar que los diferentes puntos de vista se toman en consideracin


adecuada durante todo el proceso.

Fomentar la administracin del riesgo como una actividad inherente al


proceso de planeacin estratgica.
Monitoreo
y revisin

G u a p ar a l a A dminis tr aci n de l R i es go
Una vez diseado y validado el plan para administrar los riesgos, en el mapa de
riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de
representar una amenaza para la organizacin.

El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y
evaluar la eficiencia en su implementacin adelantando revisiones sobre la marcha
para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en
la aplicacin de las acciones preventivas.

El monitoreo debe estar a cargo


de:

Los responsables de los procesos y

La Oficina de Control Interno.

Su finalidad principal ser la de aplicar y sugerir los correctivos y ajustes necesarios


para asegurar un efectivo manejo del riesgo.

La Oficina de Control Interno dentro de su funcin asesora comunicar y


presentar luego del seguimiento y evaluacin sus resultados y propuestas de
mejoramiento y tratamiento a las situaciones detectadas.

45

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden
Trminos
y definiciones

Aceptar el riesgo: Decisin informada de aceptar las consecuencias y probabilidad

G u a pa ra l a A dminis t raci n d el R ies go


de un riesgo en particular.

Control correctivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de


una no conformidad detectada u otra situacin no deseable.

Control preventivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de


una conformidad potencial u otra situacin potencial no deseable.

Administracin de Riesgos: Conjunto de elementos de control que al


interrelacionarse, permiten a la entidad pblica evaluar aquellos eventos negativos,
tanto internos como externos, que puedan afectar o impedir el logro de sus
objetivos institucionales o los eventos positivos que permitan identificar
oportunidades para un mejor cumplimiento de su funcin. Se constituye en el
componente de control que al interactuar sus diferentes elementos le permite a la
entidad pblica autocontrolar aquellos eventos que pueden afectar el cumplimiento
de sus objetivos.

Anlisis de riesgo: Elemento de control que permite establecer la probabilidad de


ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias,
calificndolos y evalundolos a fin de determinar la capacidad de la entidad pblica
para su aceptacin y manejo. Se debe llevar a cabo un uso sistemtico de la
informacin disponible para determinar qu tan frecuentemente pueden ocurrir
eventos especificados y la magnitud de sus consecuencias.

Autoevaluacin del control: Elemento de control que, basado en un conjunto


de mecanismos de verificacin y evaluacin, determina la calidad y efectividad de
los controles internos a nivel de los procesos y de cada rea organizacional
responsable, permitiendo emprender las acciones de mejoramiento del control
requeridas. Se basa en una revisin peridica y sistemtica de los procesos de la
entidad para asegurar que los controles establecidos son an eficaces y apropiados.

contratos, seguros, clusulas contractuales u otros medios que puedan


aplicarse. 47

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden
Compartir el riesgo: Se asocia con la forma de proteccin para disminuir las
prdidas que ocurran luego de la materializacin de un riesgo, es posible realizarlo
mediante

contratos, seguros, clusulas contractuales u otros medios que puedan


aplicarse. 47

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a

Consecuencia: Es el resultado de un evento expresado cualitativa o


cuantitativamente, sea este una prdida, perjuicio, desventaja o ganancia, frente a la
consecucin de los objetivos de la entidad o el proceso.
Evaluacin del riesgo: Proceso utilizado para determinar las prioridades de la
Administracin del Riesgo comparando el nivel de un determinado riesgo con
respecto a un estndar determinado.
Evento: Incidente o situacin que ocurre en un lugar determinado durante un
periodo de tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede
ser nica o ser parte de una serie.
Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la
cantidad de veces que ha ocurrido un evento en un tiempo dado.
Identificacin del riesgo: elemento de control, que posibilita conocer los eventos
potenciales, estn o no bajo el control de la entidad pblica, que ponen en riesgo el
logro de su misin, estableciendo los agentes generadores, las causas y los efectos de
su ocurrencia. se puede entender como el proceso que permite determinar qu podra
suceder, por qu sucedera y de qu manera se llevara a cabo.
Monitorear: Comprobar, Supervisar, observar, o registrar la forma en que se lleva a
cabo una actividad con el fin de identificar sus posibles cambios.
Prdida: Consecuencia negativa que trae consigo un
evento.
Probabilidad: grado en el cual es probable que ocurra de un evento, este se debe
medir a travs de la relacin entre los hechos ocurridos realmente y la cantidad de
eventos que pudieron ocurrir.
Proceso de administracin de riesgo: aplicacin sistemtica de polticas,
procedimientos y prcticas de administracin a las diferentes etapas de la
administracin del riesgo
Reduccin del riesgo: aplicacin de controles para reducir las probabilidades de
ocurrencia de un evento y/o su ocurrencia.
Riesgo: posibilidad de que suceda algn evento que tendr un impacto sobre los
objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y
consecuencias.
Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de acciones de
la direccin para modificar su probabilidad o impacto.
Riesgo residual: nivel de riesgo que permanece lueo de tomar medidas de tratamiento
de riesgo.

Sistema de Administracin de Riesgo: conjunto de elementos del


direccionamiento estratgico de una entidad concerniente a la Administracin del
Riesgo.
48
Departamento Administrativo de la FUNCIN PBLICA Repblica de Colombia
Libertad y Orden
Referencias
Bibliogrficas

G u a pa ra l a A dminis t raci n d el R ies go


Casals & Associates Inc, Pricewaterhouse Coopers, USAID. Documento mapas
de riesgo, octubre 2003.
Casals & Associates Inc Usaid; Marco Conceptual, Programa Fortalecimiento de la
Transparencia y la Rendicin de Cuentas en Colombia. 2004.
Cepeda, Gustavo. Auditora y control interno. McGraw Hill, 1997.
Departamento Administrativo de la Funcin Pblica. Riesgos de corrupcin en la
Administracin Pblica, Tercer Mundo, 2000.
Departamento Administrativo de la Funcin Pblica. Gua bsica de las Oficinas de
Control Interno. 1999.
Estupin Gaitn, Rodrigo, La gerencia del riesgo y el nuevo enfoque de control
interno planteado por el COSO.
Gil Galio, Pedro Orlando. (Traduccin). Administracin del Riesgo Estndar AS/NZ
4360:1999. 2001.
Glosario de evaluacin de riesgo. (Comp. David MacNamee). MC2. Management
Consulting. WS. 2000.
Gonzlez Salas dgar. El laberinto institucional colombiano. 1974-1994
Fescol. Universidad Nacional. 1998.
Instituto Colombiano de Normas Tcnicas y Certificacin - Icontec. Norma Tcnica
Colombiana NTC-ISO31000. 2011
Instituto Colombiano de Normas Tcnicas y Certificacin - Icontec. HB 141
Gua para la Financiacin del Riesgo. 2008.
Mcnamee, David. Cuestionario sobre la administracin del riesgo.
Ortiz, Jos Joaqun y Armando Ortiz. Auditora Integral. Interfinco. 2000.
PRICEWATERHOUSECOOPERS. Administracin de riesgos corporativos.
2005
http://www.coso.org/ERM-IntegratedFramework.htm
49

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden
Salazar Vargas, Carlos. Las polticas pblicas. Pontificia Universidad Javeriana. 1999.

http://www.coso.org/ERM-IntegratedFramework.htm
49

Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia

Libertad y Orden