Guia Dafp Riesgos PDF

Gua
para la administracin
del riesgo
Departamento Administrativo
de la Funcin Pblica (DAFP)
Direccin de Control Interno

y Racionalizacin de Trmites
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA
ELIZABETH RODRGUEZ TAYLOR

Directora
JORGE LUIS TRUJILLO ALFARO

Subdirector
MARA DEL PILAR ARANGO VIANA

Directora de Control Interno
y Racionalizacin de Trmites
JULIA GUTIRREZ DE PIERES JALILIE

Directora de Empleo Pblico
CLAUDIA PATRICIA HERNNDEZ LEN

Directora Jurdica
JOS FERNANDO BERRO BERRO

Director de Desarrollo Organizacional
CELMIRA FRSSER ACEVEDO

Jefe Oficina Asesora de Planeacin
MARA TERESA RUSSELL GARCA

Jefe Oficina de Control Interno
VICTORIA EUGENIA DAZ ACOSTA

Jefe Oficina de Sistemas
Bogot, D.C., septiembre de 2011

Cuarta Edicin
ACTUALIZACIN:
Myrian Cubillos Benavides
Caridad Jimnez Giraldo
ngela Meja Jaramillo
Juan Felipe Rueda Garca
Andrs Mndez Jimnez
Marianne Salnave Sann
Contenido
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Objetivos de la Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . . . 9
Referente normativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Conceptos bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Gua para la Administracin del Riesgo

Qu es el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Clases de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Qu significa gestionar el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Metodologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Proceso para la Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . 19
Qu es el contexto estratgico? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cmo se identifica el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Cmo se analiza el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Cmo se valora el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Cmo se valoran los controles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Elaboracin del mapa de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Polticas de Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . 43
Comunicacin y consulta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Monitoreo y revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 3
Presentacin
El dinamismo actual de la Administracin Pblica ha implicado que las polticas

pblicas se encuentren en constante revisin y redimensionamiento; por ello
el Departamento Administrativo de la Funcin Pblica (DAFP), presenta la
actualizacin del documento original denominado Administracin del Riesgo,
que tiene como fin entregar lineamientos y aclaraciones sobre la aplicacin de la
metodologa planteada en la gua emitida en el ao 2009, esto considerando la
importancia cada vez mayor, que para las entidades representa su aplicacin como

elemento bsico en su planeacin estratgica.
La administracin del riesgo ayuda al conocimiento y mejoramiento de la entidad,

contribuye a elevar la productividad y a garantizar la eficiencia y la eficacia en
los procesos organizacionales, permitiendo definir estrategias de mejoramiento
continuo, brindndole un manejo sistmico a la entidad.
La consigna es que la administracin del riesgo sea incorporada en el interior de las

entidades como una poltica de gestin por parte de la alta direccin y cuente con la
participacin y respaldo de todos los servidores pblicos; tarea que se facilitar con
la implementacin de la metodologa aqu presentada, la cual permite establecer
mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente
estn expuestas y poder de esta manera fortalecer el Sistema de Control Interno
permitiendo el cumplimiento de los objetivos misionales y los fines esenciales del
Estado.
ELIZABETH RODRGUEZ TAYLOR

Directora
FUNCIN PBLICA
Libertad y Orden
Introduccin
La administracin del riesgo para las entidades pblicas en todos sus rdenes cobra
hoy mayor importancia, dado el dinamismo y los constantes cambios que el mundo
globalizado de hoy exige. Estos cambios hacen que dichas entidades deban enfrentarse
a factores internos y externos que pueden crear incertidumbre sobre el logro de sus
objetivos. As el efecto que dicha incertidumbre tiene en los objetivos de una organizacin
se denomina riesgo1.

Es importante recordar que el Estado colombiano, mediante el Decreto 1537 de 2001,
estableci una serie de elementos tcnicos requeridos para el desarrollo adecuado
y fortalecimiento del Sistema de Control Interno de las diferentes entidades y
organismos de la Administracin Pblica, uno de ellos es la Administracin del
Riesgo, considerando que la identificacin y anlisis del riesgo entrega informacin
suficiente y objetiva que les permitir aumentar la probabilidad de alcanzar sus
objetivos institucionales.
As mismo a travs del Decreto 1599 de 2005 se adopt el Modelo Estndar de Control
Interno (MECI) para todas las entidades del Estado, en el que la Administracin del
Riesgo se define como uno de los componentes del Subsistema de Control Estratgico y
en el Anexo Tcnico como el conjunto de elementos de control que, al interrelacionarse,
permiten a la entidad pblica evaluar aquellos eventos negativos, tanto internos como
externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los
eventos positivos que permitan identificar oportunidades para un mejor cumplimiento
de su funcin. Se constituye en el componente de control que al interactuar sus diferentes
elementos le permite a la entidad pblica autocontrolar aquellos eventos que pueden
afectar el cumplimiento de sus objetivos.
Al ser un componente del Subsistema de Control Estratgico, la Administracin del

Riesgo se sirve de la planeacin estratgica (misin, visin, establecimiento de objetivos,
7
1
Norma Tcnica Colombiana NTC-ISO31000.
FUNCIN PBLICA
Libertad y Orden
metas, factores crticos de xito), del campo de aplicacin (procesos, proyectos, unidades
de negocio, sistemas de informacin), del componente de Ambiente de Control y todos
sus elementos2. Su revisin sistmica contribuye a que la entidad no solo garantice la
gestin institucional y el logro de los objetivos sino que fortalece el ejercicio del Control
Interno en las entidades de la Administracin Pblica.
La actualizacin de la Cartilla Gua Administracin del Riesgo obedece a la

armonizacin entre el Modelo Estndar de Control Interno (MECI) y la Norma
Tcnica de Calidad NTCGP1000:2009, se sugiere adoptar la metodologa planteada
por la Direccin de Control Interno y Racionalizacin de Trmites del Departamento
Administrativo de la Funcin Pblica, con el fin de facilitarle a las entidades el ejercicio
de la administracin del riesgo. Cabe anotar que el ICONTEC a travs de la norma
Departamento Administrativo de la Funcin Pblica
NTC-ISO 31000 actualiz la norma NTC5254 base para el documento original.
8
2
Modelo Estndar de Control Interno (MECI). Manual de Implementacin versin 2. Mayo 2009.
FUNCIN PBLICA
Libertad y Orden
Objetivos
de la Administracin
del Riesgo
Cuando la administracin del riesgo se implementa y se mantiene, le permite a la

entidad3:
Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la

administracin un aseguramiento razonable con respecto al logro de los
mismos.

Ser consciente de la necesidad de identificar y tratar los riesgos en todos los
niveles de la entidad.
Involucrar y comprometer a todos los servidores de las entidades de la

Administracin Pblica en la bsqueda de acciones encaminadas a prevenir y
administrar los riesgos.
Cumplir con los requisitos legales y reglamentarios pertinentes.
Mejorar el Gobierno.
Proteger los recursos del Estado.
Establecer una base confiable para la toma de decisiones y la planificacin.
Asignar y usar eficazmente los recursos para el tratamiento del riesgo.
Mejorar la eficacia y eficiencia operativa.
Mejorar el aprendizaje y la flexibilidad organizacional.
9
3
Norma Tcnica Colombiana NTC-ISO31000. Pg. 16.
FUNCIN PBLICA
Libertad y Orden
Referente
normativo
El riesgo y su administracin estn fundamentados en el siguiente marco normativo:
Contenido
Por la cual se establecen normas para el ejercicio del control interno en
las entidades y organismos del Estado y se dictan otras disposiciones.
Ley 87 de 1993
(Modificada parcialmente por la Ley 1474 de 2011). Artculo 2 Obje-

tivos del control interno: literal a). Proteger los recursos de la organiza-
cin, buscando su adecuada administracin ante posibles riesgos que los
afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos,
detectar y corregir las desviaciones que se presenten en la organizacin y
que puedan afectar el logro de los objetivos.
Estatuto Bsico de Organizacin y Funcionamiento de la Administra-
Decreto 2145 Ley 489
de 1998
cin Pblica.
Norma
Captulo VI. Sistema Nacional de Control Interno.

Por el cual se dictan normas sobre el Sistema Nacional de Control In-
terno de las Entidades y Organismos de la Administracin Pblica del
de 1999
orden nacional y territorial y se dictan otras disposiciones.

(Modificado parcialmente por el Decreto 2593 del 2000 y por el Art. 8.
de la ley 1474 de 2011)
presidencial
09 de 1999
Directiva
Lineamientos para la implementacin de la poltica de lucha contra la

corrupcin.
2593 del
Decreto
Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4

2000
de 1999.
11
FUNCIN PBLICA
Libertad y Orden
Contenido
Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto
a elementos tcnicos y administrativos que fortalezcan el sistema de
Decreto 1537 de 2001

control interno de las entidades y organismos del Estado.
El pargrafo del Artculo 4 seala los objetivos del sistema de control
interno () define y aplica medidas para prevenir los riesgos, detectar
y corregir las desviaciones () y en su Artculo 3 establece el rol que
deben desempear las oficinas de control interno () que se enmarca
en cinco tpicos () valoracin de riesgos. As mismo establece en su
Artculo 4 la administracin de riesgos, como parte integral del forta-
lecimiento de los sistemas de control interno en las entidades pblicas
().
Norma
Por el cual se adopta el Modelo Estndar de Control Interno para el

Decreto
1599 de
2005
Estado colombiano y se presenta el anexo tcnico del MECI 1000:2005.

1.3 Componentes de administracin del riesgo.
Por el cual se adopta la actualizacin de la NTCGP a su versin 2009.

Decreto 4485 de 2009
Numeral 4.1 Requisitos generales literal g) establecer controles sobre

los riesgos identificados y valorados que puedan afectar la satisfaccin
del cliente y el logro de los objetivos de la entidad; cuando un riesgo se
materializa es necesario tomar acciones correctivas para evitar o dis-
minuir la probabilidad de que vuelva a suceder. Este decreto aclara la
importancia de la Administracin del riesgo en el Sistema de Gestin
de la Calidad en las entidades.
Estatuto Anticorrupcin. Artculo 73. Plan Anticorrupcin y de Aten-
Ley 1474 de
cin al Ciudadano que deben elaborar anualmente todas las entidades,

2011
incluyendo el mapa de riesgos de corrupcin, las medidas concretas

para mitigar esos riesgos, las estrategias antitrmites y los mecanismos
para mejorar la atencin al ciudadano.
12
FUNCIN PBLICA
Libertad y Orden
Conceptos bsicos
Qu es el Riesgo?
El concepto de Administracin del Riesgo se introduce en las entidades pblicas,

teniendo en cuenta que todas las organizaciones independientemente de su naturaleza,
tamao y razn de ser estn permanentemente expuestas a diferentes riesgos o eventos
que pueden poner en peligro su existencia.

Desde la perspectiva del Control Interno, el modelo COSO (Committee on Sponsoring
Organisations of the Treadway Commissions), adaptado para Colombia por el Icontec
mediante la Norma Tcnica NTC5254, actualizada y reemplazada en 2011 por la Norma
Tcnica NTC-ISO31000, interpreta que la eficiencia del control est en el manejo de
los riesgos, es decir: el propsito principal del control es la reduccin de los mismos,
propendiendo porque el proceso y sus controles garanticen de manera razonable que
los riesgos estn minimizados o se estn reduciendo y, por lo tanto, que los objetivos de
la entidad van a ser alcanzados, y establece que la administracin del riesgo es:
Un proceso efectuado por la Alta Direccin de la entidad y por todo el personal para
proporcionar a la administracin un aseguramiento razonable con respecto al logro de los
objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodologa, sino
logrando que la evaluacin de los riesgos se convierta en una parte natural del proceso de
planeacin4.
Para los efectos de este documento se aplica la siguiente definicin:
Riesgo es la posibilidad de que suceda algn evento que tendr un impacto sobre
los objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y
consecuencias.
13
4
INTOSAI: Gua para las normas de control interno del sector pblico. http://www.intosai.org.
FUNCIN PBLICA
Libertad y Orden
La tendencia ms comn es la valoracin del riesgo como una amenaza; en este sentido,
los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia.
Pero existe tambin la percepcin del riesgo como una oportunidad, lo cual implica que
su gestin est dirigida a maximizar los resultados que este genera.
Clases de Riesgos
El riesgo est vinculado con todo el quehacer; se podra afirmar que no hay actividad de
la vida, negocio o cualquier asunto que deje de incluirlos como una posibilidad.
Las entidades, durante el proceso de identificacin del riesgo, pueden hacer una
clasificacin de los mismos, con el fin de formular polticas de operacin para darles
el tratamiento indicado; as mismo este anlisis servir de base para el impacto o
consecuencias durante el proceso de anlisis del riesgo contemplado dentro de la
metodologa.
Se debe tener en cuenta que los riesgos no slo son de carcter

econmico o estn nicamente relacionados con entidades
financieras o con lo que se ha denominado riesgos profesionales;
estos hacen parte de cualquier gestin que se realice.
Entre las clases de riesgos que pueden presentarse estn5:
Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El

manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la
misin y el cumplimiento de los objetivos estratgicos, la clara definicin de
polticas, diseo y conceptualizacin de la entidad por parte de la alta gerencia.
Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por

parte de la ciudadana hacia la institucin.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y

operatividad de los sistemas de informacin institucional, de la definicin de los
procesos, de la estructura de la entidad, de la articulacin entre dependencias.
14
5
Casals & Associates Inc. PriceWaterhouse Coopers, USAID, Documento Mapas de Riesgos, octubre 2003, pgs. 6-7
FUNCIN PBLICA
Libertad y Orden
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad
que incluyen: la ejecucin presupuestal, la elaboracin de los estados financieros,
los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para

cumplir con los requisitos legales, contractuales, de tica pblica y en general
con su compromiso ante la comunidad.
Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica de la

Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de
la misin.
Qu significa gestionar el Riesgo?
En trminos generales la gestin del riesgo se refiere a los principios y metodologa para

la gestin eficaz del riesgo, mientras que gestionar el riesgo se refiere a la aplicacin de
estos principios y metodologa a riesgos particulares.
La administracin del Riesgo comprende el conjunto de Elementos de Control y sus

interrelaciones, para que la institucin evale e intervenga aquellos eventos, tanto
internos como externos, que puedan afectar de manera positiva o negativa el logro de
sus objetivos institucionales. La administracin del riesgo contribuye a que la entidad
consolide su Sistema de Control Interno y a que se genere una cultura de Autocontrol y
autoevaluacin al interior de la misma.
15
FUNCIN PBLICA
Libertad y Orden
Las etapas sugeridas para una adecuada administracin del Riesgo son las
siguientes:
Compromiso de las alta y media direccin, como encargadas de estimular

la cultura de la identificacin y prevencin del riesgo y de definir las
polticas para la gestin de los riesgos identificados y valorados entre las
que se encuentran la definicin de canales directos de comunicacin y el
apoyo a todas las acciones emprendidas en este sentido, propiciando los
espacios y asignando los recursos necesarios. As mismo, debe designar a un
directivo de primer nivel (debe ser el mismo que tiene a cargo el desarrollo o
sostenimiento del MECI y el Sistema de Gestin de la Calidad) que asesore y
apoye todo el proceso de diseo e implementacin del Componente.
Conformacin de un Equipo MECI o de un grupo interdisciplinario: Es

importante conformar un equipo que se encargue de liderar el proceso den-
tro de la entidad y cuente con un canal directo de comunicacin con los de-
signados de la direccin y de las diferentes dependencias. Dicho equipo lo
deben integrar personas de diferentes dependencias que conozcan muy bien
la entidad y el funcionamiento de los diferentes procesos para que se facilite
la aplicacin de la metodologa y la construccin de los mapas de riesgos por
proceso e institucionales.
Capacitacin en la metodologa: Definido el Equipo MECI o el grupo inter-

disciplinario, debe capacitarse a sus integrantes en la metodologa sobre ad-
ministracin del Riesgo y su relacin con los dems Subsistemas y Elementos
del Modelo Estndar de Control Interno- MECI, de modo que se conviertan
en multiplicadores de esta informacin al interior de cada uno los procesos
donde sea que participen. Ellos se convertirn en capacitadores de otros ser-
vidores o bien podrn acompaar el levantamiento de los mapas al interior de
sus procesos.
16
FUNCIN PBLICA
Libertad y Orden
Metodologa
Las entidades de la administracin pblica deben darle cumplimiento a su misin

constitucional y legal, a travs de sus objetivos institucionales, los cuales se desarrollan
a partir del diseo y ejecucin de los diferentes planes, programas y proyectos. El
cumplimiento de dichos objetivos puede verse afectado por factores tanto internos
como externos que crean riesgos frente a todas sus actividades, razn por la cual se
hace necesario contar con acciones tendientes a administrarlos.

El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con
el fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente
organizacional de la entidad, la identificacin, anlisis, valoracin y definicin de las
alternativas de acciones de mitigacin de los riesgos, esto en desarrollo de los siguientes
elementos:
Contexto estratgico
Identificacin de riesgos
Anlisis de riesgos
Valoracin de riesgos
Polticas de administracin de riesgos
17
FUNCIN PBLICA
Libertad y Orden
Al ser un componente del Subsistema de Control Estratgico, para una
adecuada administracin del riesgo se debe tener en cuenta:
La planeacin estratgica (misin, visin, establecimiento de

objetivos, metas, factores crticos de xito).
El campo de aplicacin (procesos, proyectos, unidades de negocio,

sistemas de informacin).
El Componente Ambiente de Control y todos sus elementos

(Acuerdos, compromisos y protocolos ticos, las polticas de
desarrollo del Talento Humano y el estilo de Direccin).
La identificacin de eventos (internos y externos) y de los resultados

generados por el componente Direccionamiento Estratgico y sus
elementos de control (Planes y Programas, Modelo de Operacin y
Estructura Organizacional).
El elemento Controles del Subsistema de Control de Gestin al

momento de realizar la valoracin de los riesgos (identificacin,
medicin y priorizacin) y la formulacin de la poltica (para evitar,
aceptar, reducir y transferir el riesgo).
18
FUNCIN PBLICA
Libertad y Orden
Proceso para la Administracin del Riesgo 6
Contexto Estratgico Organizacional
Identificacin del Riesgo

Qu puede suceder?
Cmo puede suceder?
Comunicacin y Consulta
Monitoreo y revisin

Anlisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
Valoracin del Riesgo

Identificar controles para el riesgo
Verificar la efectivifad de los controles
Establecer tratamiento
Polticas Administracin de Riesgo
6
Comunicar y consultar es una actividad que se refiere al conocimiento previo que deben tener quienes participan en la
gestin del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en informacin pertinente y
actualizada. Estos deberan incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y las medidas que
se toman para tratarlo. Esta comunicacin es eficaz para garantizar que los responsables de implementar las actividades 19
relacionadas con la gestin del riesgo entiendan las bases sobre las cuales se toman las decisiones.
FUNCIN PBLICA
Libertad y Orden
Qu es el contexto estratgico?
Son las condiciones internas y del entorno, que pueden generar eventos que originan
oportunidades o afectan negativamente el cumplimiento de la misin y objetivos de una
institucin.
Las situaciones del entorno o externas pueden ser de carcter social, cultural, econmico,
tecnolgico, poltico y legal, bien sean internacional, nacional o regional segn sea el
caso de anlisis.
Las situaciones internas estn relacionadas con la estructura, cultura organizacional,

el modelo de operacin, el cumplimiento de los planes y programas, los sistemas de

informacin, los procesos y procedimientos y los recursos humanos y econmicos con
los que cuenta una entidad.
EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO

FACTORES EXTERNOS FACTORES INTERNOS
Econmicos: disponibilidad de capital, Infraestructura: disponibilidad de ac-
emisin de deuda o no pago de la mis- tivos, capacidad de los activos, acceso
ma, liquidez, mercados financieros, des- al capital
empleo, competencia
Medioambientales: emisiones y resi- Personal: capacidad del personal, sa-
duos, energa, catstrofes naturales, de- lud, seguridad
sarrollo sostenible
Polticos: cambios de gobierno, legisla- Procesos: capacidad, diseo, ejecu-
cin, polticas pblicas, regulacin cin, proveedores, entradas, salidas,
conocimiento
Sociales: demografa, responsabilidad Tecnologa: integridad de datos,
social, terrorismo disponibilidad de datos y sistemas,
Tecnolgicos: interrupciones, comercio desarrollo, produccin, mantenimiento
electrnico, datos externos, tecnologa
emergente
Se recomienda establecer los objetivos, las estrategias, el alcance y los parmetros de las
actividades de la entidad7 o de aquellos procesos donde se aplicar la metodologa para
poder iniciar el anlisis de contexto estratgico.
20
7
Norma Tcnica Colombiana NTC31000. Pg. 37.
FUNCIN PBLICA
Libertad y Orden
Para determinar el contexto estratgico de la institucin es posible utilizar herramientas
y tcnicas como las que se relacionan a continuacin8:
1. Inventario de eventos
Son listas de eventos posibles utilizadas con relacin a un proyecto, proceso o

actividad determinada.
Son tiles para asegurar una visin coherente con otras actividades similares
dentro de la entidad.
EJEMPLO:
Antes de emprender un proyecto de desarrollo de software, la entidad

realiza un inventario de riesgos genricos inherentes a los proyectos de
este tipo. Dicho inventario constituye una manera til de aprovechar
el conocimiento acumulado por otras personas sobre el riesgo

experimentado en esa rea.
2. Talleres de trabajo
Habitualmente renen a funcionarios de diversas funciones o niveles.
El propsito es aprovechar el conocimiento colectivo del grupo y desarrollar

una lista de acontecimientos que estn relacionados con un proceso, proyecto
o programa.
EJEMPLO:
Paralelamente con el establecimiento de objetivos de un proyecto, el

lder de proceso y su equipo irn identificando eventos que podran
afectar el logro de los objetivos del mismo.
3. Anlisis de flujo de procesos:
Representacin esquemtica de interrelaciones de ENTRADAS, TAREAS,

SALIDAS Y RESPONSABILIDADES.
21
8
Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005
FUNCIN PBLICA
Libertad y Orden
Una vez realizado el esquema los eventos son analizados frente a los objetivos
del proceso.
Esta tcnica puede utilizarse para tener una visin a cierto nivel de detalle del
proceso analizado.
EJEMPLO
GESTIN FINANCIERA
ENTRADAS TAREAS SALIDAS
2. Recibir los
1. Recibir solicitud soportespara CDP autorizado
Nmina del mes para expedicin de el registro y firmado
(Gestin Humana) CDP presupuestal
3. Elaborar 4. Elaborar
Desprendibles y
la orden de pago comprobante de
pago de nmina
egreso del giro
efectuado
POSIBLES EVENTOS
. Solicitud por parte de Gestin Humana en forma

extempornea (Se debe entregar 1 da antes de entregar
la nmina). INDICADORES DE
. Soportes no entregados a tiempo (Nmina mal ALARMA
elaborada).
. No es posible realizar la orden para nmina y dems pagos.
Igualmente, pueden utilizarse diferentes fuentes de informacin tales como registros

histricos, experiencias significativas registradas, informes de aos anteriores.
El contexto estratgico es la base para la identificacin del riesgo, dado que de su anlisis
suministrar la informacin sobre las CAUSAS del riesgo.
22
FUNCIN PBLICA
Libertad y Orden
Ejemplo aplicado a la metodologa9
CONTEXTO ESTRATGICO
PROCESO: ATENCIN AL USUARIO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes intere-
sadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una
cultura de servicio y de acuerdo a las disposiciones legales vigentes.
FACTORES FACTORES
CAUSAS CAUSAS
EXTERNOS EXTERNOS
No se realizan las Nmero de equipos
Nueva tecnologa
actualizaciones de Tecnologa insuficiente y algunos
disponible
hardware y software. obsoletos.
- Desconocimiento de la
normatividad aplicada
Normatividad Cambios normativos. Talento humano
- Resistencia al cambio.
- Desmotivacin.
Demoras en la
respuesta de -Proceso manual que puede
Relacin con otras comunicaciones Sistemas de generar registros errneos o

entidades. enviadas a informacin falta de registros.
otras entidades -Informacin desactualizada
relacionadas.
Incremento en el
nmero de solicitudes
Necesidades de la Fallas en el seguimiento a los
por alta demanda de Procedimientos
comunidad. procedimientos del proceso.
usuarios, desbordando
la capacidad instalada.
Cmo se identifica el Riesgo?
La identificacin del riesgo se realiza determinando las causas, con base en los factores
internos y/o externos analizados para la entidad, y que pueden afectar el logro de los
objetivos.
Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos
es a travs de la utilizacin del formato de identificacin de riesgos el cual permite
hacer un inventario de los mismos, definiendo en primera instancia las causas con
base en los factores de riesgo internos y externos (contexto estratgico), presentando
23
9
El ejemplo utilizado fue producto de un ejercicio realizado con la Gobernacin del Meta. 2011.
FUNCIN PBLICA
Libertad y Orden
una descripcin de cada uno de estos y finalmente definiendo los posibles efectos
(consecuencias).
Es importante centrarse en los riesgos ms significativos para la entidad relacionados

con los objetivos de los procesos y los objetivos institucionales. Es all donde, al igual
que todos los servidores, la gerencia pblica adopta un papel proactivo en el sentido de
visualizar en sus contextos estratgicos y misionales los factores o causas que pueden
afectar el curso institucional, dada la especialidad temtica que manejan en cada sector
o contexto socioeconmico.
Entender la importancia del manejo del riesgo implica conocer con ms detalle los
siguientes conceptos:
Proceso: Nombre del proceso.
Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para el

proceso al cual se le estn identificando los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda

entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro
de sus objetivos.
Causas (factores internos o externos): Son los medios, las circunstancias y

agentes generadores de riesgo. Los agentes generadores que se entienden como
todos los sujetos u objetos que tienen la capacidad de originar un riesgo.
Descripcin: Se refiere a las caractersticas generales o las formas en que se

observa o manifiesta el riesgo identificado.
Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los

objetivos de la entidad; generalmente se dan sobre las personas o los bienes
materiales o inmateriales con incidencias importantes tales como daos fsicos
y fallecimiento, sanciones, prdidas econmicas, de informacin, de bienes,
de imagen, de credibilidad y de confianza, interrupcin del servicio y dao
ambiental.
Algunas entidades durante el proceso de identificacin del riesgo pueden hacer una
clasificacin de este, con el fin de establecer con mayor facilidad el anlisis del impacto,
considerado en el siguiente paso del proceso de anlisis del riesgo.
24
FUNCIN PBLICA
Libertad y Orden
Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad.
El manejo del riesgo estratgico se enfoca a asuntos globales relacionados
con la misin y el cumplimiento de los objetivos estratgicos, la clara
definicin de polticas, diseo y conceptualizacin de la entidad por parte
de la alta gerencia.
Riesgos de Imagen: Estn relacionados con la percepcin y la confianza

por parte de la ciudadana hacia la institucin.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento

y operatividad de los sistemas de informacin institucional, de la definicin
de los procesos, de la estructura de la entidad, de la articulacin entre
dependencias.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la

entidad que incluyen: la ejecucin presupuestal, la elaboracin de los

estados financieros, los pagos, manejos de excedentes de tesorera y el
manejo sobre los bienes.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad

para cumplir con los requisitos legales, contractuales, de tica pblica y en
general con su compromiso ante la comunidad.
Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica

de la Entidad para satisfacer sus necesidades actuales y futuras y el
cumplimiento de la misin.
25
FUNCIN PBLICA
Libertad y Orden
Ejemplo aplicado a la metodologa
IDENTIFICACIN DEL RIESGO

OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesa-
das, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura
de servicio y de acuerdo a las disposiciones legales vigentes.
CONSECUENCIAS
CAUSAS RIESGO DESCRIPCIN
POTENCIALES
Nmero de equipos insuficien-
te y algunos obsoletos.
No se realizan las actualizacio- Incumplimiento No se generan
nes de hardware y software. en la generacin las respuestas Sanciones

-Proceso manual que puede de respuestas a los dentro de los Demandas.
generar registros errneos o usuarios. trminos legales.
falta de registros.
-Informacin desactualizada
- Desconocimiento de la nor- Generacin de Respuestas sin la Prdida de imagen y
matividad aplicada respuestas inade- competencia tc- alto nivel de que-
- Resistencia al cambio. cuadas o errneas nica o no acorde jas por parte de los
- Desmotivacin. a los usuarios. a lo requerido. usuarios.
Fallas en el seguimiento a los
procedimientos del proceso.

Preguntas claves para la identificacin del riesgo:
Qu puede suceder?
Cmo puede suceder?
Es importante observar que el proceso de
identificacin del riesgo es posible realizarlo a partir
de varias causas que pueden estar relacionadas.
Cmo se analiza el Riesgo?
El anlisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, este ltimo aspecto puede orientar la clasificacin del riesgo, con el fin
de obtener informacin para establecer el nivel de riesgo y las acciones que se van a
implementar.
El anlisis del riesgo depende de la informacin obtenida en la fase de identificacin de

26 riesgos.
FUNCIN PBLICA
Libertad y Orden
Pasos claves en el anlisis de riesgos
- Determinar probabilidad
- Determinar consecuencias
- Clasificacin del riesgo
- Estimar el nivel del riesgo
Se han establecido dos aspectos a tener en cuenta en el anlisis de los riesgos identificados:
Probabilidad e Impacto.
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser
medida con criterios de frecuencia, si se ha materializado (por ejemplo: nmero de
veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia
de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya
materializado.
Por Impacto se entienden las consecuencias que puede ocasionar a la organizacin la

materializacin del riesgo.
Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:
Calificacin del riesgo y evaluacin del riesgo.
Calificacin del riesgo: se logra a travs de la estimacin de la probabilidad de su

ocurrencia y el impacto que puede causar la materializacin del riesgo.
Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes

especificaciones10:
27
10
Icontec HB141. Gua para la financiacin del riesgo. Apndice A. 2008.
FUNCIN PBLICA
Libertad y Orden
TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIN FRECUENCIA

El evento puede ocurrir solo en No se ha presentado en
1 Raro
circunstancias excepcionales. los ltimos 5 aos.
El evento puede ocurrir en algn Al menos de una vez en
2 Improbable
momento los ltimos 5 aos.
El evento podra ocurrir en Al menos de una vez en
3 Posible
algn momento los ltimos 2 aos.
El evento probablemente
Al menos de una vez en
4 Probable ocurrir en la mayora de las
el ltimo ao.
circunstancias
Se espera que el evento ocurra en
5 Casi seguro Ms de una vez al ao.
la mayora de las circunstancias
Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes

especificaciones:
Tabla de Impacto
NIVEL DESCRIPTOR DESCRIPCIN

Si el hecho llegara a presentarse, tendra consecuencias o
1 Insignificante
efectos mnimos sobre la entidad.
Si el hecho llegara a presentarse, tendra bajo impacto o
2 Menor
efecto sobre la entidad.
Si el hecho llegara a presentarse, tendra medianas
3 Moderado
consecuencias o efectos sobre la entidad.
Si el hecho llegara a presentarse, tendra altas consecuencias
4 Mayor
o efectos sobre la entidad
Si el hecho llegara a presentarse, tendra desastrosas
5 Catastrfico
consecuencias o efectos sobre la entidad.
Para determinar el impacto se pueden utilizar las siguientes tablas que representan los
temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificacin
del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del
riesgo identificado11.
28 11
Las tablas propuestas representan los impactos de mayor ocurrencia en las entidades del Estado, no obstante cada entidad
puede incluir otros tipos de impacto segn su particularidad.
FUNCIN PBLICA
Libertad y Orden
IMPACTO DE CONFIDENCIALIDAD EN LA INFORMACIN12
NIVEL CONCEPTO
1 Personal
2 Grupo de Trabajo
3 Relativa al Proceso
4 Institucional
5 Estratgica
IMPACTO DE CREDIBILIDAD O IMAGEN13
NIVEL CONCEPTO
1 Grupo de funcionarios
2 Todos los funcionarios
3 Usuarios ciudad
4 Usuarios regin

5 Usuarios pas
IMPACTO LEGAL14
NIVEL CONCEPTO
1 Multas
2 Demandas
3 Investigacin Disciplinaria
4 Investigacin Fiscal
5 Intervencin Sancin
12
El impacto de confidencialidad de la informacin se refiere a la prdida o revelacin de la misma. Cuando se habla de
informacin reservada institucional se hace alusin a aquella que por la razn de ser de la entidad solo puede ser cono-
cida y difundida al interior de la misma; as mismo, la sensibilidad de la informacin depende de la importancia que esta
tenga para el desarrollo de la misin de la entidad.
13
El impacto de credibilidad se refiere a la prdida de la misma frente a diferentes actores sociales o dentro de la entidad.
14
El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados 29
con el incumplimiento en su funcin administrativa, ejecucin presupuestal y normatividad aplicable.
FUNCIN PBLICA
Libertad y Orden
IMPACTO OPERATIVO15
NIVEL CONCEPTO
1 Ajustes a una actividad concreta
2 Cambios en los procedimientos
3 Cambios en la interaccin de los procesos
4 Intermitencia en el servicio
5 Paro total del proceso
Ahora bien, considerando que para un proceso es posible analizar ms de un impacto,

se pueden ir agrupando en el siguiente cuadro, en el cual se establecen concretamente.
TIPO DE INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRFICO

IMPACTO (1) (2) (3) (4) (5)
Se afect a Se afect a
Se afect al grupo Se afect a los
todos los Se afect a los los usuarios
Imagen 16
de funcionarios del usuarios en el orden
funcionarios usuarios locales. locales y
proceso. nacional
de la entidad. regionales.
Evaluacin del Riesgo: permite comparar los resultados de la calificacin del riesgo, con
los criterios definidos para establecer el grado de exposicin de la entidad; de esta forma
es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o
inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.
Para facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta

una matriz que contempla un anlisis cualitativo, para presentar la magnitud de las
consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).
Las categoras relacionadas con el impacto son: insignificante, menor, moderado, mayor
y catastrfico. Las categoras relacionadas con la probabilidad son raro, improbable,
posible, probable y casi seguro.
16
15
El impacto operativo aplica en la mayora de las entidades para los procesos clasificados como de apoyo, ya que sus ries-
gos pueden afectar el normal desarrollo de otros procesos.
30 16
En el ejemplo se muestra el anlisis sobre el impacto de Credibilidad o imagen. En este mismo sentido se pueden incluir
otros impactos del proceso que se est analizando.
FUNCIN PBLICA
Libertad y Orden
Matriz de Calificacin, Evaluacin y Repuesta a los Riesgo
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrfico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de riesgo baja: Asumir el riesgo
M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir
EJEMPLO APLICADO A LA METODOLOGA17

ANLISIS DEL RIESGO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesa-
das, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura
de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN Medidas de
RIESGO Tipo Impacto Evaluacin
Probabilidad Impacto respuesta
Incumplimiento
en la generacin Evitar, reducir,
de respuestas a los Zona Riesgo compartir o
4 3 Legal
usuarios (trminos Alta transferir el
establecidos por la riesgo.
ley).
31
17
Para efectos del ejemplo solo se trabajar un (1) riesgo de los dos (2) inicialmente identificados.
FUNCIN PBLICA
Libertad y Orden
IMPACTO
PROBABILIDAD Insignificante Menor Moderado
Mayor Catastrfico
(1) (2) (3)
(4) (5)
Raro (1) B B M
A A
Improbable (2) B B M
A E
Posible (3) B M EA E
Probable (4) M A EA E
Casi Seguro (5) A A EE E
B: Zona de riesgo baja: asumir el riesgo
M: Zona de riesgo moderada: asumir el riesgo, reducir el riesgo
A: Zona de riesgo alta: reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: reducir el riesgo, evitar, compartir o transferir
Este primer anlisis del riesgo se denomina Riesgo Inherente18 y se define como aqul
al que se enfrenta una entidad en ausencia de acciones por parte de la Direccin para
modificar su probabilidad o impacto.
Cmo se valora el riesgo?

Acciones fundamentales para valorar el riesgo:
- Identificar controles existentes
- Verificar efectividad de los controles
- Establecer prioridades de tratamiento
La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin

del riesgo con los controles identificados, esto se hace con el objetivo de establecer
prioridades para su manejo y para la fijacin de polticas. Para adelantar esta etapa se
hace necesario tener claridad sobre los puntos de control existentes en los diferentes
procesos, los cuales permiten obtener informacin para efectos de tomar decisiones.
Algunos ejemplos de tipos de control19 se presentan a continuacin:
32 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pgina 39

18
19
Tomado de Superintendencia Financiera.
FUNCIN PBLICA
Libertad y Orden
Polticas claras aplicadas
Seguimiento al plan estratgico y operativo
Indicadores de gestin
Tableros de control
Controles de Gestin
Seguimiento al cronograma
Evaluacin del desempeo
Informes de gestin
Monitoreo de riesgos
Conciliaciones
Consecutivos
Verificacin de firmas
Listas de chequeo
Registro controlado
Segregacin de funciones
Niveles de autorizacin
Controles Operativos

Custodia apropiada
Procedimientos formales aplicados
Plizas
Seguridad fsica
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
Normas claras y aplicadas
Controles Legales
Control de trminos
Para realizar la valoracin de los controles existentes es necesario recordar

que estos se clasifican en:
Preventivos: aquellos que actan para eliminar las causas del

riesgo para prevenir su ocurrencia o materializacin.
Correctivos: aquellos que permiten el restablecimiento de la

actividad, despus de ser detectado un evento no deseable;
tambin la modificacin de las acciones que propiciaron su
ocurrencia.
33
FUNCIN PBLICA
Libertad y Orden
El procedimiento para la valoracin del riesgo parte de la evaluacin de los controles
existentes, lo cual implica:
a) Describirlos (estableciendo si son preventivos o correctivos).
b) Revisarlos para determinar si los controles estn documentados, si se estn

aplicando en la actualidad y si han sido efectivos para minimizar el riesgo.
c) Es importante que la valoracin de los controles incluya un anlisis de tipo

cuantitativo, que permita saber con exactitud cuntas posiciones dentro de la Matriz
de Calificacin, Evaluacin y Respuesta a los Riesgos es posible desplazarse20, a fin
de bajar el nivel de riesgo al que est expuesto el proceso analizado.
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrfico
(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi cierto (5) A A E E E
Cmo se valoran los controles?
A continuacin se muestran dos cuadros orientadores para ponderar de manera objetiva

los controles y poder determinar el desplazamiento dentro de la Matriz de Calificacin,
Evaluacin y Respuesta a los Riesgos21
20
Los controles luego de su valoracin permiten desplazarse en la matriz, de acuerdo a si cubren probabilidad o impacto,
en el caso de la probabilidad desplazara casillas hacia arriba y en el caso del impacto, hacia la izquierda como se muestra
34 en el grfico, de acuerdo a la valoracin de controles.
21
LIneamientos para la administracion del riesgo. Gua versin 03. Presidencia de la Repblica. Junio 2011.
FUNCIN PBLICA
Libertad y Orden
TIPO DE CONTROL
PRAMETROS CRITERIOS PUNTAJES
Probabilidad Impacto
Posee una herramienta para ejercer 15
el control.
Existen manuales instructivos o 15
Herramientas para
procedimientos para el manejo de la
ejercer el control
herramienta
En el tiempo que lleva la herramienta 30
ha demostrado ser efectiva.
Estn definidos los responsables de 15
la ejecucin del control y del segui-
Seguimiento al miento.
control La frecuencia de la ejecucin del con- 25
trol y seguimiento es adecuada.
TOTAL 100
RANGOS DE CALI- DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD

FICACIN DE LOS O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACIN,
CONTROLES EVALUACIN Y RESPUESTA A LOS RIESGOS

CUADRANTES A DISMINUIR CUADRANTES A DISMI-
EN LA PROBABILIDAD NUIR EN EL IMPACTO
Entre 0-50 0 0
Entre 51-75 1 1
Entre 76-100 2 2
El resultado obtenido a travs de la valoracin del riesgo es denominado tambin

tratamiento del riesgo, ya que se involucra la seleccin de una o ms opciones para
modificar los riesgos y la implementacin de tales acciones22, as el desplazamiento
dentro de la Matriz de Evaluacin y Calificacin determinar finalmente la seleccin de
la opciones de tratamiento del riesgo, as:
Evitar el riesgo, tomar las medidas encaminadas a prevenir su materializacin.

Es siempre la primera alternativa a considerar, se logra cuando al interior de
los procesos se generan cambios sustanciales por mejoramiento, rediseo o
eliminacin, resultado de unos adecuados controles y acciones emprendidas.
Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento
preventivo de los equipos, desarrollo tecnolgico, etc.
Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto

la probabilidad (medidas de prevencin), como el impacto (medidas de
35
22
Norma Tcnica Colombiana NTC-ISO31000, p.p. 39 y 40.
FUNCIN PBLICA
Libertad y Orden
proteccin). La reduccin del riesgo es probablemente el mtodo ms
sencillo y econmico para superar las debilidades antes de aplicar medidas
ms costosas y difciles. Por ejemplo: a travs de la optimizacin de los
procedimientos y la implementacin de controles.
Compartir o transferir el riesgo, reduce su efecto a travs del traspaso de las

prdidas a otras organizaciones, como en el caso de los contratos de seguros
o a travs de otros medios que permiten distribuir una porcin del riesgo
con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la
informacin de gran importancia se puede duplicar y almacenar en un lugar
distante y de ubicacin segura, en vez de dejarla concentrada en un solo lugar,
la tercerizacin.
Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido

puede quedar un riesgo residual que se mantiene, en este caso, el gerente del
proceso simplemente acepta la prdida residual probable y elabora planes de
contingencia para su manejo.
Dicha seleccin implica equilibrar los costos y los esfuerzos para su implementacin, as
como los beneficios finales, por lo tanto, se deber considerar los siguientes aspectos como:
Viabilidad jurdica.
Viabilidad tcnica.
Viabilidad institucional.
Viabilidad financiera o econmica.
Anlisis de costo-beneficio.
Una vez implantadas las acciones para el manejo de los riesgos, la valoracin despus
de controles se denomina riesgo residual, este se define como aquel que permanece
despus que la direccin desarrolle sus respuestas a los riesgos23.
36
23
Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 40.
FUNCIN PBLICA
Libertad y Orden
Ejemplo aplicado a la metodologa24 25
VALORACIN DEL RIESGO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expecta-
tivas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN VALORACIN24
PUNTAJE
PUNTAJE
RIESGO CONTROLES Tipo Control Prob. o Herramientas Puntaje
Probabilidad Impacto Seguimiento al
Impacto para ejercer el Final
control
control
Aplicativo que
permite mediante
alarmas, controlar
las fechas lmite para
Prob. 30 25 55
las respuestas a los
Incumplimiento
usuarios sobre las co-
en la generacin
municaciones escritas
de respuestas a los
4 3 recibidas.
usuarios (trminos
Plan de capacitacio-
establecidos por la
nes a los servidores,
ley).
sobre la normatividad
vigente y el manejo Prob. 30 25 55
adecuado del siste-
Libertad y Orden
ma de informacin
implementado.
Desplaza 2 casillas en Probabilidad25
24
Esta valoracin est relacionada con los cuadros de anlisis para al calificacin objetiva de controles.
FUNCIN PBLICA
25
Ver desplazamiento en la matriz en la siguiente pgina.
37
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor
Catastrfico
(1) (2)
(5) (3) (4)
Raro (1) B BA M A
Improbable (2) B BE M A
Posible (3) B M E A E
Probable (4) M AE A E
Casi Seguro (5) A AE E E
B: Zona de riesgo baja: Asumir el riesgo
M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir
26
NUEVA VALORACIN DE ACUERDO A LOS CONTROLES IDENTIFICADOS

OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes intere-
sadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una
cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN
Tipo Evaluacin Medidas de
RIESGO
Probabilidad Impacto Impacto Zona de Riesgo Respuesta
Incumplimiento en
Evitar, redu-
la generacin de res-
Zona Riesgo 26
cir, compartir
puestas a los usuarios 2 3 Legal
Moderada o transferir el
(trminos estableci-
riesgo.
dos por la ley).
Elaboracin del mapa de riesgos
El mapa de riesgos es una representacin final de la probabilidad e impacto de uno o

ms riesgos27 frente a un proceso, proyecto o programa.
Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada
uno de los pasos llevados a cabo para su levantamiento como se sugiere a continuacin:
38 Para el ejemplo aplicado, el riesgo identificado pas de la Zona de Riesgo Alta a la Zona de Riesgo Moderada.
26
27
Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 53.
FUNCIN PBLICA
Libertad y Orden
MAPA DE RIESGOS
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las ne-
cesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
NUEVA
CALIFICACIN
CALIFICACIN
NUEVA
RIESGO
RIESGO
MANEJO
OPCIONES
ACCIONES
RESPUESTA
INDICADOR
CONTROLES
EVALUACIN
EVALUACIN
Impacto
Impacto
Probabilidad
Probabilidad
Libertad y Orden
FUNCIN PBLICA
39
Sin embargo, dependiendo de la profundidad que se desea tener en la documentacin,
podra incluirse un grfico como el que se muestra a continuacin28:
5
B
4 D
IMPACTO
3
C
2
A E
1 2 3 4 5
PROBABILIDAD
Cada letra dentro del grfico har alusin a los riesgos del proceso; visualmente muestra
los riesgos que estn en las zonas ms altas.
Se debe tener en cuenta:
Mapa de Riesgos Institucional: Contiene a nivel estratgico los

mayores riesgos a los cuales est expuesta la entidad, permitiendo
conocer las polticas inmediatas de respuesta ante ellos.
Mapa de Riesgos por Proceso: Facilita la elaboracin del mapa

institucional, que se alimenta de estos, teniendo en cuenta que
solamente se trasladan al institucional aquellos riesgos que
permanecieron en las zonas ms altas de riesgo y que afectan
el cumplimiento de la misin institucional y objetivos de la
entidad.
40
28
Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 55
FUNCIN PBLICA
Libertad y Orden
Ejemplo aplicado a la metodologa
MAPA DE RIESGOS
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expecta-
tivas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
NUEVA
CALIFICACIN
CALIFICACIN
NUEVA
RIESGO
RIESGO
MANEJO
OPCIONES
ACCIONES
RESPUESTA
INDICADOR
CONTROLES
Impacto
Impacto
EVALUACIN
EVALUACIN
Probabilidad
Probabilidad
Asignacin de Nmero de
Aplicativo que identificaciones solicitudes
para uso del Lder Proceso
permite mediante contestadas
Tecnologa
alarmas controlar software por parte en trminos/
las fechas lmite para de los servidores Total de
Lder Proceso
las respuestas a los del rea. Solicitudes
Atencin al
usuarios sobre las co- Elaboracin de
usuario
municaciones escritas cronograma de Reporte por
recibidas. capacitacin por funcionario
Incumplimiento entregado.
grupos.
en la generacin
de respuestas Elaboracin de
4 3 2 3
a los usuarios cronograma de
(trminos estable- capacitacin por
cidos por la ley). Plan de capacitacio- grupos.
ZONA RIESGO ALTA

Reporte que-
Libertad y Orden
nes a los servidores, Ejecutar evaluacio-
jas antes de la
ZONA RIESGO MODERADA
sobre la normatividad nes finales progra- Lder Proceso

capacitacin
ASUMIR O REDUCIR EL RIESGO
vigente y el manejo madas sobre temas Gestin

con evalua-
adecuado del sistema normativos. Humana
cin posterior
de informacin Establecer a 6 meses
implementado. resultados de las
evaluaciones por
funcionario
FUNCIN PBLICA
41
Todas las acciones contempladas dentro del mapa, unido a la informacin reportada por
los indicadores, suministrar la informacin requerida para el seguimiento respectivo
a los mapas.
Polticas de administracin del riesgo?
Para la consolidacin de las Polticas de Administracin de Riesgos se deben tener en

cuenta todas las etapas anteriormente desarrolladas.
Las polticas identifican las opciones para tratar y manejar los riesgos basadas en la
valoracin de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos,
que van a transmitir la posicin de la direccin y establecen las guas de accin necesarias
a todos los servidores de la entidad.
Formulacin de las polticas
Est a cargo del Representante Legal de la entidad y el Comit de Coordinacin de

Control Interno y se basa en el mapa de riesgos construido durante el proceso; la
poltica seala qu debe hacerse para efectuar el control y su seguimiento, basndose en
los planes estratgicos y los objetivos institucionales o por procesos.
Debe contener los siguientes aspectos:
Los objetivos que se esperan lograr.
Las estrategias para establecer cmo se van a desarrollar las poltica, a largo,
mediano y corto plazo.
Los riesgos que se van a controlar.
Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables

y el talento humano requerido.
El seguimiento y evaluacin a la implementacin y efectividad de las polticas.

42
FUNCIN PBLICA
Libertad y Orden
Comunicacin
y Consulta
La comunicacin y consulta con las partes involucradas tanto internas como externas
debera realizarse durante todas las etapas (pasos dentro de la metodologa) del proceso
para la gestin del riesgo.
Esta comunicacin es importante para garantizar que aquellos responsables de la

implementacin de las acciones dentro de cada uno de los procesos entiendan las bases
sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas

acciones.
Un enfoque de equipos de trabajo pueden ser29:
Ayudar a establecer correctamente el contexto estratgico.
Garantizar que se toman en consideracin las necesidades de las partes

involucradas.
Ayudar a garantizar que los riesgos estn correctamente identificados.
Reunir diferentes reas de experticia para el anlisis de los riesgos.
Garantizar que los diferentes puntos de vista se toman en consideracin

adecuada durante todo el proceso.
Fomentar la administracin del riesgo como una actividad inherente al proceso

de planeacin estratgica.
43
29
Norma Tcnica Colombiana NTC-ISO31000. Pg. 33
FUNCIN PBLICA
Libertad y Orden
Monitoreo
y revisin
Una vez diseado y validado el plan para administrar los riesgos, en el mapa de riesgos,
es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una
amenaza para la organizacin.
El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y
evaluar la eficiencia en su implementacin adelantando revisiones sobre la marcha
para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la

aplicacin de las acciones preventivas.
El monitoreo debe estar a cargo de:
Los responsables de los procesos y
La Oficina de Control Interno.
Su finalidad principal ser la de aplicar y sugerir los correctivos y ajustes necesarios para
asegurar un efectivo manejo del riesgo.
La Oficina de Control Interno dentro de su funcin asesora comunicar y presentar

luego del seguimiento y evaluacin sus resultados y propuestas de mejoramiento y
tratamiento a las situaciones detectadas.
45
FUNCIN PBLICA
Libertad y Orden
Trminos
y definiciones
Aceptar el riesgo: Decisin informada de aceptar las consecuencias y probabilidad de

un riesgo en particular.
Control correctivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una
no conformidad detectada u otra situacin no deseable.
Control preventivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una
conformidad potencial u otra situacin potencial no deseable.
Administracin de Riesgos: Conjunto de elementos de control que al interrelacionarse,

permiten a la entidad pblica evaluar aquellos eventos negativos, tanto internos como

externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los
eventos positivos que permitan identificar oportunidades para un mejor cumplimiento
de su funcin. Se constituye en el componente de control que al interactuar sus diferentes
elementos le permite a la entidad pblica autocontrolar aquellos eventos que pueden
afectar el cumplimiento de sus objetivos.
Anlisis de riesgo: Elemento de control que permite establecer la probabilidad de

ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias,
calificndolos y evalundolos a fin de determinar la capacidad de la entidad pblica
para su aceptacin y manejo. Se debe llevar a cabo un uso sistemtico de la informacin
disponible para determinar qu tan frecuentemente pueden ocurrir eventos especificados
y la magnitud de sus consecuencias.
Autoevaluacin del control: Elemento de control que, basado en un conjunto de

mecanismos de verificacin y evaluacin, determina la calidad y efectividad de los
controles internos a nivel de los procesos y de cada rea organizacional responsable,
permitiendo emprender las acciones de mejoramiento del control requeridas. Se basa
en una revisin peridica y sistemtica de los procesos de la entidad para asegurar que
los controles establecidos son an eficaces y apropiados.
Compartir el riesgo: Se asocia con la forma de proteccin para disminuir las prdidas
que ocurran luego de la materializacin de un riesgo, es posible realizarlo mediante
contratos, seguros, clusulas contractuales u otros medios que puedan aplicarse.
47
FUNCIN PBLICA
Libertad y Orden
Consecuencia: Es el resultado de un evento expresado cualitativa o cuantitativamente,
sea este una prdida, perjuicio, desventaja o ganancia, frente a la consecucin de los
objetivos de la entidad o el proceso.
Evaluacin del riesgo: Proceso utilizado para determinar las prioridades de la
Administracin del Riesgo comparando el nivel de un determinado riesgo con respecto
a un estndar determinado.
Evento: Incidente o situacin que ocurre en un lugar determinado durante un periodo
de tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser nica
o ser parte de una serie.
Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la
cantidad de veces que ha ocurrido un evento en un tiempo dado.

Identificacin del riesgo: elemento de control, que posibilita conocer los eventos
potenciales, estn o no bajo el control de la entidad pblica, que ponen en riesgo el
logro de su misin, estableciendo los agentes generadores, las causas y los efectos de
su ocurrencia. se puede entender como el proceso que permite determinar qu podra
suceder, por qu sucedera y de qu manera se llevara a cabo.
Monitorear: Comprobar, Supervisar, observar, o registrar la forma en que se lleva a cabo
una actividad con el fin de identificar sus posibles cambios.
Prdida: Consecuencia negativa que trae consigo un evento.
Probabilidad: grado en el cual es probable que ocurra de un evento, este se debe medir
a travs de la relacin entre los hechos ocurridos realmente y la cantidad de eventos que
pudieron ocurrir.
Proceso de administracin de riesgo: aplicacin sistemtica de polticas, procedimientos
y prcticas de administracin a las diferentes etapas de la administracin del riesgo
Reduccin del riesgo: aplicacin de controles para reducir las probabilidades de
ocurrencia de un evento y/o su ocurrencia.
Riesgo: posibilidad de que suceda algn evento que tendr un impacto sobre los objetivos
institucionales o del proceso. Se expresa en trminos de probabilidad y consecuencias.
Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de acciones de la
direccin para modificar su probabilidad o impacto.
Riesgo residual: nivel de riesgo que permanece lueo de tomar medidas de tratamiento de riesgo.
Sistema de Administracin de Riesgo: conjunto de elementos del direccionamiento

estratgico de una entidad concerniente a la Administracin del Riesgo.
48
FUNCIN PBLICA
Libertad y Orden
Referencias
Bibliogrficas
Casals & Associates Inc, Pricewaterhouse Coopers, USAID. Documento mapas de

riesgo, octubre 2003.
Casals & Associates Inc Usaid; Marco Conceptual, Programa Fortalecimiento de la
Transparencia y la Rendicin de Cuentas en Colombia. 2004.
Cepeda, Gustavo. Auditora y control interno. McGraw Hill, 1997.
Departamento Administrativo de la Funcin Pblica. Riesgos de corrupcin en la

Administracin Pblica, Tercer Mundo, 2000.
Departamento Administrativo de la Funcin Pblica. Gua bsica de las Oficinas de
Control Interno. 1999.
Estupin Gaitn, Rodrigo, La gerencia del riesgo y el nuevo enfoque de control
interno planteado por el COSO.
Gil Galio, Pedro Orlando. (Traduccin). Administracin del Riesgo Estndar AS/NZ
4360:1999. 2001.
Glosario de evaluacin de riesgo. (Comp. David MacNamee). MC2. Management
Consulting. WS. 2000.
Gonzlez Salas dgar. El laberinto institucional colombiano. 1974-1994 Fescol.
Universidad Nacional. 1998.
Instituto Colombiano de Normas Tcnicas y Certificacin - Icontec. Norma Tcnica
Colombiana NTC-ISO31000. 2011
Instituto Colombiano de Normas Tcnicas y Certificacin - Icontec. HB 141 Gua
para la Financiacin del Riesgo. 2008.
Mcnamee, David. Cuestionario sobre la administracin del riesgo.
Ortiz, Jos Joaqun y Armando Ortiz. Auditora Integral. Interfinco. 2000.
PRICEWATERHOUSECOOPERS. Administracin de riesgos corporativos. 2005
Salazar Vargas, Carlos. Las polticas pblicas. Pontificia Universidad Javeriana. 1999.
http://www.coso.org/ERM-IntegratedFramework.htm
49
FUNCIN PBLICA
Libertad y Orden

Guia Dafp Riesgos PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Dafp Riesgos PDF

Cargado por

Copyright:

Formatos disponibles

Gua

Direccin de Control Interno

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA

ELIZABETH RODRGUEZ TAYLOR

JORGE LUIS TRUJILLO ALFARO

MARA DEL PILAR ARANGO VIANA

JULIA GUTIRREZ DE PIERES JALILIE

CLAUDIA PATRICIA HERNNDEZ LEN

JOS FERNANDO BERRO BERRO

CELMIRA FRSSER ACEVEDO

MARA TERESA RUSSELL GARCA

VICTORIA EUGENIA DAZ ACOSTA

Bogot, D.C., septiembre de 2011

Gua para la Administracin del Riesgo

El dinamismo actual de la Administracin Pblica ha implicado que las polticas

Gua para la Administracin del Riesgo

La administracin del riesgo ayuda al conocimiento y mejoramiento de la entidad,

La consigna es que la administracin del riesgo sea incorporada en el interior de las

ELIZABETH RODRGUEZ TAYLOR

Gua para la Administracin del Riesgo

Al ser un componente del Subsistema de Control Estratgico, la Administracin del

La actualizacin de la Cartilla Gua Administracin del Riesgo obedece a la

NTC-ISO 31000 actualiz la norma NTC5254 base para el documento original.

Cuando la administracin del riesgo se implementa y se mantiene, le permite a la

Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la

Gua para la Administracin del Riesgo

Involucrar y comprometer a todos los servidores de las entidades de la

Cumplir con los requisitos legales y reglamentarios pertinentes.

Proteger los recursos del Estado.

Establecer una base confiable para la toma de decisiones y la planificacin.

Asignar y usar eficazmente los recursos para el tratamiento del riesgo.

Mejorar la eficacia y eficiencia operativa.

Mejorar el aprendizaje y la flexibilidad organizacional.

El riesgo y su administracin estn fundamentados en el siguiente marco normativo:

(Modificada parcialmente por la Ley 1474 de 2011). Artculo 2 Obje-

Gua para la Administracin del Riesgo

Captulo VI. Sistema Nacional de Control Interno.

orden nacional y territorial y se dictan otras disposiciones.

Lineamientos para la implementacin de la poltica de lucha contra la

Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4

Decreto 1537 de 2001

Por el cual se adopta el Modelo Estndar de Control Interno para el

Estado colombiano y se presenta el anexo tcnico del MECI 1000:2005.

Por el cual se adopta la actualizacin de la NTCGP a su versin 2009.

Numeral 4.1 Requisitos generales literal g) establecer controles sobre

cin al Ciudadano que deben elaborar anualmente todas las entidades,

incluyendo el mapa de riesgos de corrupcin, las medidas concretas

El concepto de Administracin del Riesgo se introduce en las entidades pblicas,

Gua para la Administracin del Riesgo

Para los efectos de este documento se aplica la siguiente definicin:

Se debe tener en cuenta que los riesgos no slo son de carcter

Entre las clases de riesgos que pueden presentarse estn5:

Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El

Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para

Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica de la

Qu significa gestionar el Riesgo?

Gua para la Administracin del Riesgo

La administracin del Riesgo comprende el conjunto de Elementos de Control y sus

Compromiso de las alta y media direccin, como encargadas de estimular

apoye todo el proceso de diseo e implementacin del Componente.

Conformacin de un Equipo MECI o de un grupo interdisciplinario: Es