Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Coordinación de Planeación
Abril de 2016
CONTENIDO
INTRODUCCIÓN ............................................................................................................. 3
MARCO NORMATIVO....................................................................................................... 4
OBJETIVO GENERAL ....................................................................................................... 5
OBJETIVOS ESPECÍFICOS ............................................................................................... 5
ALCANCE......................................................................................................................... 6
NIVELES DE ACEPTACIÓN AL RIESGO............................................................................. 6
NIVELES PARA CALIFICA R EL IMPACTO ......................................................................... 7
TRATAMIENTO DEL RIESGO ......................................................................................... 10
TIPOS DE CONTROL ...................................................................................................... 11
PERIODICIDAD PARA EL SEGUIMIENTO....................................................................... 11
NIVELES DE RESPONSABILIDAD SOBRE EL SEGUIMIENTO Y EVALUACIÓN ................. 12
ESQUEMA DEL PROCESO DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LA CRC .... 13
GLOSARIO .................................................................................................................... 13
CONCLUSIONES ............................................................................................................ 16
BIBLIOGRAFÍA ............................................................................................................. 17
INTRODUCCIÓN
Teniendo en cuenta que los riesgos son posibilidades de ocurrencia de toda situación que pueda desviar
el normal desarrollo de las actividades de los procesos e impidan el logro de los objetivos estratégicos
para el cumplimiento de la misión institucional, la CRC está fortaleciendo su Proceso Estratégico, de
acuerdo con los lineamientos del Modelo Estándar de Control Interno – MECI, y en particular, el
Componente de Administración de Riesgos, a través del análisis y estructuración de los elementos de
control definidos en el Sistema Integral de Gestión.
Para continuar con una adecuada gestión en la administración de los riesgos, se hace necesario definir
criterios orientadores respecto al tratamiento de los riesgos identificados a fin de mitigar sus efectos en
la Entidad, elementos que están contendidos dentro de la presente política, con los cuales se pretende
en primera instancia, transmitir la posición de la alta dirección sobre la manera de abordar la
administración de los riesgos institucionales, socializar con todos los funcionarios un lenguaje común
sobre el tema y por último, difundir las políticas formuladas que permitan la sostenibilidad del sistema
de administración del riesgo.
La CRC cuenta con un Código de Ética, el cual se basa en unos principios básicos, unas directrices éticas
y un decálogo de valores que busca que los funcionarios de la entidad lo interioricen como parte
inherente al desarrollo cotidiano de sus labores, con el fin de prestar el mejor servicio, hacer el mejor
uso de los recursos y contribuir a la consolidación de la imagen y el posicionamiento institucional con
un alto nivel de transparencia.
Mediante una adecuada administración de los riesgos, la Alta Dirección pretende alcanzar los mejores
niveles de conocimiento y mejoramiento continuo, elevar la productividad y garantizar la eficiencia y la
eficacia de los procesos organizacionales.
NORMA DESCRIPCIÓN
Ley 87 de 1993 Por la cual se establecen normas para el ejercicio del control interno en
las entidades y organismos del Estado y se dictan otras disposiciones.
(Modificada parcialmente por la Ley 1474 de 2011). Artículo 2 Objetivos
del control interno: literal a). Proteger los recursos de la organización,
buscando su adecuada administración ante posibles riesgos que los
afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos,
detectar y corregir las desviaciones que se presenten en la organización
y que puedan afectar el logro de los objetivos.
Ley 489 de 1998 Estatuto Básico de Organización y Funcionamiento de la Administración
Pública. Capítulo VI. Sistema Nacional de Control Interno
Decreto 2145 de 1999 Por el cual se dictan normas sobre el Sistema Nacional de Control Interno
de las Entidades y Organismos de la Administración Pública del orden
nacional y territorial y se dictan otras disposiciones.
(Modificado parcialmente por el Decreto 2593 del 2000 y por el Art. 8º.
de la ley 1474 de 2011)
Directiva presidencial 09 Lineamientos para la implementación de la política de lucha contra la
de 1999 corrupción.
Decreto 2593 del 2000 Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4 de
1999.
Decreto 1537 de 2001 Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a
elementos técnicos y administrativos que fortalezcan el sistema de control
interno de las entidades y organismos del Estado.
El parágrafo del Artículo 4º señala los objetivos del sistema de control
interno (…) define y aplica medidas para prevenir los riesgos, detectar y
corregir las desviaciones (…) y en su Artículo 3º establece el rol que deben
desempeñar las oficinas de control interno (…) que se enmarca en cinco
tópicos (…) valoración de riesgos. Así mismo establece en su Artículo 4º
la administración de riesgos, como parte integral del fortalecimiento de
los sistemas de control interno en las entidades públicas (…).
Decreto 1599 de 2005 Por el cual se adopta el Modelo Estándar de Control Interno para el Estado
colombiano y se presenta el anexo técnico del MECI 1000:2005. 1.3
Componentes de administración del riesgo.
Decreto 943 de 2014 Por el cual se actualiza el Modelo Estándar de Control Interno (MECI).
Decreto 4485 de 2009 Por el cual se adopta la actualización de la NTCGP a su versión 2009.
Numeral 4.1 Requisitos generales literal g) “establecer controles sobre los
riesgos identificados y valorados que puedan afectar la satisfacción del
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
Formalizar al interior de la CRC una metodología para administrar los riesgos generales y de
corrupción.
Establecer pautas para la identificación de los factores que representan amenazas u
oportunidades para el cumplimiento de los objetivos.
Fijar las escalas de valoración para la probabilidad de ocurrencia y el impacto de cada factor de
riesgo identificado.
Fijar las reglas para la identificación de las actividades de control que minimicen la ocurrencia
e impacto de los factores de riesgo.
Establecer lineamientos específicos para la administración de los riesgos de corrupción.
Establecer lineamientos específicos para la administración de los riesgos de procesos.
Caracterizar el instrumento para la administración del riesgo (Mapa de riesgos).
Cumplir con los principios del Modelo Estándar de Control Interno y los del Sistema de Gestión
de Calidad establecidos para el Estado Colombiano.
Establecer un mecanismo y periodicidad para la difusión y apropiación de la política de riesgos
por parte de todo el equipo de la CRC.
Para la CRC, la administración de los riesgos es un aspecto fundamental para el cumplimiento de los
objetivos estratégicos de los procesos internos. Es por esto que la presente política se encuentra
armonizada con la misión y visión organizacional, así como con el Sistema Integral de Gestión.
Al identificar riesgos por cada uno de los procesos, es importante establecer la relación de cada uno de
los riesgos en el mapa estratégico corporativo y con el mapa de procesos, toda vez que, así como todas
las actividades apuntan al direccionamiento estratégico de la Entidad, los riesgos también se encuentran
relacionados directamente con el cumplimiento de la estrategia organizacional.
ALCANCE
La política de riesgos es aplicable a todos los procesos y proyectos de la Entidad y a todas las actividades
realizadas por los funcionarios durante el ejercicio de sus funciones. La CRC mantendrá canales de
información apropiados para garantizar una adecuada divulgación para el conocimiento y la gestión de
los riesgos.
De acuerdo a los criterios ERCA (Evitar, Reducir, Compartir o Transferir y Asumir), se establecen a
continuación los niveles de aceptación a los riesgos:
Nivel BAJO: se ASUMIRÁ el riesgo y administrará por medio de las actividades propias del proceso
asociado y su control y registro de avance se realizará semestralmente por medio del informe de
desempeño.
Adicionalmente, se deberán documentar al interior de los procesos planes de contención (antes de que
ocurra el evento) y contingencia (después de que ocurra el evento) para tratar el riesgo materializado,
con criterios de oportunidad, evitando el menor daño en la prestación de los servicios; estos planes
estarán documentados en la herramienta de Gestión Estratégica para cada proceso y podrán ser
consultados en el mapa de riesgos de la entidad.
Probabilidad:
NIVEL IMPA CTO CONSECUENCIA S CUA NTITA TIVAS CONSECUENCIA S CUA LITA TIVAS
CONCECUENCIAS
PROBABILIDAD
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
E Raro (1) B B M A E
D Improbable (2) B B M A E
C Posible (3) B M A E E
B Probable (4) M A A E E
BA JO Asumir riesgo
MEDIO Asumir o reducir riesgo
A LTO Reducir, evitar, compartir o asumir riesgo
EXTREMO Evitar, reducir, compartir o asumir riesgo
Existen dos tipos de riesgo para su tratamiento, los cuales se detallan a continuación:
El tratamiento se realiza mediante la definición de una política donde se definen las acciones a seguir
asignando un responsable y una fecha para el seguimiento y de esta forma poder asegurar la correcta
administración de los riesgos, esta información se puede evidenciar en el mapa de riesgos de la entidad.
Para esto, la Política de Riesgos en la CRC establece los principios para dar correcto tratamiento de los
riesgos, mediante el establecimiento de planes de acción estratégicos y asegurando la continuidad del
proceso.
De acuerdo con la probabilidad e impacto de los riesgos y a los controles aplicados se evalúa el riesgo
residual y dependiendo de este resultado se analiza si los riesgos (i) se asumen (ii) se reducen (iii) se
comparten o transfieren, o (iv) se evitan.
Teniendo en cuenta lo anterior, la CRC ha establecido seguimientos con cierta periodicidad en cada uno
de sus procesos de control, donde se evidencia el responsable. Toda esta información está alojada en
la Herramienta de Gestión Estratégica /módulo de riesgos, donde se encuentra la información
relacionada con la administración de los riesgos.
TIPOS DE CONTROL
Tácticos: Miden y corrigen el desempeño para asegurar que los objetivos de la entidad y los planes
establecidos para alcanzarlos se realicen. Entre los planes específicos que se llevan a cabo en la CRC
encontramos: control presupuestal, cumplimiento de metas, establecimiento de estándares de calidad
y cumplimiento en el avance de proyectos, los cuales están en cabeza del Comité Directivo.
Operacionales: es el control sobre la ejecución de las tareas y las operaciones desempeñadas por el
personal no administrativo de la entidad. Su acción es inmediata. Se evidencia en el control diario de
ejecución de actividades.
Se deberá incluir la administración de riesgos dentro de los sistemas de gestión organizacional para
facilitar la apropiación de este tema, y se seguirá realizando el seguimiento mediante las Reuniones de
Análisis Estratégico (RAE) realizadas por los diferentes Grupos Internos de Trabajo de manera continua
para todos los procesos cada trimestre. El cumplimiento de esta política, así como la aplicación de la
metodología de administración de riesgos de la Entidad se realizará de la siguiente manera:
a) Anualmente se revisa el mapa de riesgos completo de la Entidad, para lo cual se tomará como
insumo, las auditorías realizadas por Control Interno y Organismos de Control, así como lo reportado
en las diferentes RAE e informes de desempeño presentados por los diferentes procesos. Esta
revisión será realizada con el acompañamiento de los integrantes del equipo MECI y de esta manera
ROL FUNCIÓN
Comité de Establecer política de riesgos.
Comisionados, Dirección Realizar seguimiento y análisis periódico a los riesgos.
Ejecutiva y Coordinación En caso de materializarse un riesgo de corrupción la Dirección debe
Ejecutiva iniciar el correspondiente proceso de Control Interno Disciplinario
Identificar los riesgos y controles de procesos a cargo en cada
vigencia.
Grupos Internos de Realizar seguimiento y análisis a los controles de los riesgos según
Trabajo periodicidad establecida.
Actualizar el mapa de riesgos cuando la administración de los
mismos lo requiera.
Asesorar la identificación de los riesgos institucionales.
Coordinación de Control Analizar el diseño e idoneidad de los controles establecidos en los
Interno procesos.
Realizar seguimiento a los riesgos consolidados.
MONITOREO Y REVISIÓN
Análisis del Riesgo
Determinar Probabilidad
Determinar Consecuencias
Determinar Nivel de Riesgo
GLOSARIO
Compartir el riesgo: Se asocia con la forma de protección para disminuir las pérdidas que
ocurran luego de la materialización de un riesgo, es posible realizarlo mediante contratos,
seguros, cláusulas contractuales u otros medios que puedan aplicarse.
Control correctivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no
conformidad detectada u otra situación no deseable.
Control estratégico: también llamado control organizacional, se refiere a los aspectos globales
que cobijan a la Entidad como un todo. Su dimensión temporal es a largo plazo. Su contenido
es genérico y sintético. Las tres características básicas que identifican el control estratégico de
la Entidad son: 1. Nivel de decisión: Nivel Directivo. 2. Dimensión temporal: largo plazo. 3.
Cobertura: toda la entidad.
Control preventivo: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no
conformidad potencial u otra situación potencial no deseable.
Identificación del riesgo: elemento de control, que posibilita conocer los eventos potenciales,
estén o no bajo el control de la entidad pública, que ponen en riesgo el logro de su misión,
estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. Se puede
entender como el proceso que permite determinar qué podría suceder, por qué sucedería y de
qué manera se llevaría a cabo.
Nivel de aceptación del riesgo: son los criterios de aceptación de riesgos establecidos que se
emplean durante la etapa de evaluación de riesgos.
Probabilidad: grado en el cual es probable que ocurra un evento, éste se debe medir a través
de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron
ocurrir.
Riesgo: es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos
institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.
Riesgo de corrupción: Se entiende por riesgo de corrupción la posibilidad de que, por acción u
omisión, mediante el uso indebido de poder, de los recursos o de la información, se lesionen
los intereses de una entidad y en consecuencia del estado, para la obtención de un beneficio
particular.
Riesgo de cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
Riesgo estratégico: son las pérdidas ocasionadas por las definiciones estratégicas inadecuadas,
errores en el diseño de planes, programas, estructura, integración del modelo de operación con
el direccionamiento estratégico, asignación de recursos, estilo de dirección, ineficiencia en la
adaptación a los cambios del sector, entre otros.
Riesgo Financiero: Se relacionan con el manejo de los recursos de entidad que incluyen: la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes.
Riesgo residual: nivel de riesgo que permanece luego de tomar medidas de tratamiento de
riesgo.
Tratamiento del riesgo: consiste en seleccionar y aplicar las medidas más adecuadas, con el fin
de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo,
o bien aprovechar las ventajas que pueda reportarnos.
Valoración del riesgo: Busca identificar y analizar los riesgos que enfrenta la entidad, tanto de
fuentes internas como externas relevantes para la consecución de los objetivos, para
administrarlos.
CONCLUSIONES
- Implementar un modelo de administración con base en riesgos no evita que sucedan eventos
inesperados, pero sí permite garantizar que la Entidad actué de la forma en que se ha planeado.
BIBLIOGRAFÍA