Está en la página 1de 28

Administración del Riesgo

Oficina Asesora de Planeación


GIT Mejoramiento Continuo
ÍNDICE
1. Administración del Riesgo
2. Antes de iniciar la Metodología
• Misión y Visión
• Objetivos Estratégicos
• Mapa de Procesos
3. Fases de la Administración del
Riesgo
• Política de Administración del
Riesgo
• Identificación de Riesgos
ü Establecimiento del Contexto
Estratégico
ü Tipología de Riesgos
ü Técnicas para la identificación
de riesgos
ü Ejemplos identificación de
riesgos
ÍNDICE

• Valoración de Riesgos
ü Riesgo Inherente
ü Definición de Controles
ü Riesgo Residual
ü Tratamiento del Riesgo

4. Roles y Responsabilidades por Línea


de Defensa
ADMINISTRACIÓN DEL
RIESGO

• Riesgo: Posibilidad de que suceda algún evento


que tendrá un impacto sobre los objetivos
institucionales o del proceso.

Qué es Administración del Riesgo

Conjunto de elementos de control que al interrelacionarse permiten


a la entidad pública evaluar aquellos eventos negativos, tanto
internos como externos, que puedan afectar o impedir el logro de
los objetivos institucionales o los eventos positivos, que permitan
identificar oportunidades para un mejor cumplimiento de su Misión.
ADMINISTRACIÓN DEL
RIESGO

Objetivos de la Administración del Riesgo:

• Unificar los lineamientos de las metodologías para la administración de los riesgos de gestión,
corrupción y seguridad digital.

• Proporcionar a la administración un aseguramiento razonable con respecto al logro de sus objetivos.

• Fortalecer el enfoque preventivo para facilitar la identificación y tratamiento de los riesgos en todos
los niveles de la Entidad

• Involucrar y comprometer a todos los servidores de la Entidad en la búsqueda de acciones


encaminadas a prevenir y administrar los riesgos.

• Establecer una base confiable para la toma de decisiones y la planificación.


ANTES DE INICIAR LA
METODOLOGÍA DE
ADMINISTRACIÓN DEL RIESGO
Misión y Visión

Conocimiento de la
Objetivos Estratégicos
entidad

Antes de iniciar Planeación Institucional

* Caracterización de Procesos
Modelo de Operación por * Objetivo de los procesos
procesos * Planes, programas o
proyectos asociados
MISIÓN Y VISIÓN

MISIÓN:

Diseñar, coordinar, e implementar políticas públicas para la inclusión


social y la reconciliación.

VISIÓN:

Para el año 2025 se habrá erradicado la pobreza extrema y contribuido


a la inclusión social y a la reconciliación
OBJETIVOS ESTRATÉGICOS

Objetivo No 1: Formular lineamientos de política para reducción de la pobreza y la pobreza


extrema y la contribución a la consolidación de la clase media y la reconciliación
Objetivo No 2: Coordinar e implementar las acciones que contribuyan a la generación de
condiciones para la equidad y la reconciliación en los territorios
Objetivo No 3: Articular y gestionar la oferta social de entidades públicas, socios privados,
tercer sector e innovadores para la inclusión social de los hogares y las comunidades.
Objetivo No 4: Mejorar la gestión de los procesos de soporte de la Entidad
Objetivo No 5: Fortalecer la comunicación estratégica y la participación ciudadana.
FASES DE LA
ADMINISTRACIÓN DEL
RIESGO

ÍNDICE
Políticas de Administración
del riesgo
Comunicación y Consulta

Párrafo - Quinto nivel

Seguimiento y Evaluación
Determinar el contexto
estratégico

Identificar riesgo

Análisis de Riesgo

Valoración del Riesgo


1. POLÍTICA ADMINISTRACIÓN
DEL RIESGO

La Alta Dirección estableció los lineamientos para la Administración del Riesgo, a través de los siguientes
directrices:

• Identificar el Contexto Estratégico de la Entidad (Contexto Externo, Contexto Interno, Contexto del Proceso e
Identificación de Activos), es decir los parámetros internos y externos que afectan positiva o negativamente el
cumplimiento de la misión y los objetivos de la entidad.

• Identificar y documentar de riesgos de gestión (estratégicos, operativos, financieros, tecnológicos,


cumplimiento, imagen), corrupción y de seguridad digital en los programas, proyectos, planes y procesos.

• Establecer los controles preventivos y detectivos para los riesgos identificados.

• Formular acciones correctivas y oportunas ante la materialización de los riesgos identificados.


1. POLÍTICA ADMINISTRACIÓN
DEL RIESGO

• Estas directrices tendrán un alcance Nacional y Regional y deben ser extensibles y aplicadas a todos los
procesos, planes, programas, proyectos e instancias de Prosperidad Social.

• La administración del riesgo se gestiona en estricto cumplimiento del Modelo Integrado de Planeación y
Gestión - MIPG II, atendiendo la responsabilidad del mismo, mediante la aplicación de las tres líneas de
defensa durante las etapas de desarrollo de la gestión institucional.

• Para la gestión del riesgo en Prosperidad Social, se elaborará una Guía de Administración del Riesgo que
atienda los lineamientos establecidos por el Departamento Administrativo de la Función Pública sobre la
materia y se gestionará, a través del aplicativo definido por la Entidad para tal efecto.

• De igual manera, Prosperidad Social establece las acciones a seguir por los líderes de los procesos ante la
materialización del riesgo de corrupción, gestión y de seguridad digital.
2. IDENTIFICACIÓN DE
RIESGOS
Establecimiento del Contexto Estratégico

Determinación de condiciones internas y del entorno que pueden generar eventos que originan oportunidades o
afectan negativamente el cumplimiento de la misión y objetivos de una institución, y que se han de tener en
cuenta para la administración del riesgo, a partir de los factores que se definan es posible establecer las causas
de los riesgos a identificar.

Contexto Externo: Características o aspectos esenciales del entorno en cual opera la entidad como: políticos,
Económicos, Sociales, Culturales, Tecnológicos, Ambientales, Legales.

Contexto Interno: Características o aspectos esenciales del ambiente en el cual la organización busca alcanzar
sus objetivos. Se pueden considerar factores como: financieros, personal, Tecnología, estratégicos, estructura
organizacional, comunicación interna.

Contexto del Proceso: Características o aspectos esenciales del proceso y sus interrelaciones se pueden
considerar factores como: diseño del proceso, interacción con otros procesos, procedimientos asociados, activos
de seguridad digital del proceso.
2. IDENTIFICACIÓN DE
RIESGOS
Tipología de Riesgos

Estratégicos: posibilidad de ocurrencia de eventos que afecten los procesos gerenciales de la alta dirección y los
objetivos estratégicos de la organización pública y por tanto impactan toda la entidad.

Operativos: posibilidad de ocurrencia de eventos que afecten los procesos de la entidad.

Financieros: posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas
involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de cuentas,
costos, etc.

Tecnológicos: posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura


tecnológica (hardware, software, redes, etc.) de una entidad.

Cumplimiento: posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la


organización debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.
2. IDENTIFICACIÓN DE
RIESGOS

Tipología de Riesgos

Imagen o reputacional: posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre o
reputación de una organización, ante sus clientes y partes interesadas.

Corrupción: Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia
un beneficio privado.

Seguridad digital: Posibilidad de combinación de amenazas y vulnerabilidades en el entorno digital. Puede


debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad territorial, el
orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las
personas.
Existen tres tipos de riesgos:
• Pérdida de confidencialidad
• Pérdida de integridad
• Pérdida de la disponibilidad de los activos.
Técnicas para la
2. IDENTIFICACIÓN DE RIESGOS identificación de riesgos

Pregúntese:

¿Qué puede fallar que pueda afectar el logro del objetivo del proceso?

¿Cómo puede suceder?


¿Cuándo puede suceder?
¿Qué consecuencias tendría si llegase a suceder?

“Use la Caracterización del Proceso como insumo prioritario para la


identificación de los riesgos.”
Técnicas de Redacción
2. IDENTIFICACIÓN DE RIESGOS

• Evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que
denoten un factor de riesgo (causa) tales como: “ausencia de”, “falta de”, “poco(a)”,
“escaso(a)”, “insuficiente”, “deficiente”, “debilidades en…”

• Generar en el lector o escucha la imagen del evento como si ya estuviera sucediendo

• Para riesgos de corrupción tener en cuenta: Acción u omisión + uso del poder + desviación
de la gestión de lo público + el beneficio privado.
2. IDENTIFICACIÓN DE RIESGOS

Ejemplo de identificación del riesgo de gestión

PROCESO RIESGO TIPO DE RIESGO CAUSAS CONSECUENCIAS

Insuficiente
capacitación del
personal de contratos Incumplimiento en la entrega de bienes
Inoportunidad en la
y servicios
adquisición de
NOMBRE DEL Carencia de controles
bienes y servicios OPERATIVO
PROCESO en el procedimiento de Demandas y acciones jurídicas
requeridos por la
contratación
Entidad
Investigaciones disciplinarias
Inadecuadas políticas
de operación
2. IDENTIFICACIÓN DE RIESGOS

Ejemplo de identificación del riesgo de corrupción

PROCESO RIESGO TIPO DE RIESGO CAUSAS CONSECUENCIAS

Carencia de controles Pérdida de imagen


Recibir o solicitar
en el procedimiento de institucional
cualquier dádiva o
contratación
beneficio a nombre
NOMBRE DEL PROCESO CORRUPCIÓN Sanciones disciplinarias y
propio o de terceros
Presiones indebidas de legales
con el fin de celebrar
una autoridad superior
un contrato
Detrimento patrimonial
3. VALORACIÓN DE RIESGOS

probabilidad Impacto Riesgo Inherente

Definición de Controles Riesgo residual

Tratamiento del Riesgo


Mapa de Riesgo antes y después de
controles 3. VALORACIÓN DE RIESGOS
Definición de Controles
3. VALORACIÓN DE RIESGOS

Variables de un
control

Controles Responsable

Periodicidad

Preventivos Propósito (verifica, valida, concilia, coteja, compara, etc)


Detectivos
Cómo se realiza la actividad de control

Qué pasa con las observaciones o desviaciones en la ejecución del


control
Evidencia de la ejecución del control
3. VALORACIÓN DE RIESGOS Ejemplo de Control

Responsable Periodicidad Propósito (verifica, valida, concilia, coteja,


compara, etc)
El profesional de contratación cada vez que se va a realizar un contrato, verifica que la
información suministrada por el proveedor corresponda con los requisitos establecidos de
contratación, a través de una lista de chequeo donde están los requisitos de información y
la revisión de la información física suministrada por el proveedor. En caso de encontrar
información faltante, se le requiere al proveedor a través de correo, el suministro de la
información, para poder continuar con el proceso de contratación. Como evidencia se
conserva la respectiva lista de chequeo diligenciada con la información de la carpeta del
contrato y los correos solicitando la información faltante en los casos que aplique.

Cómo se realiza
Qué pasa con las observaciones o
desviaciones en la ejecución del control
Evidencia de la ejecución del control
3. VALORACIÓN DE RIESGOS Tratamiento de Riesgo

Aceptar

Evitar Tratamiento Reducir


del riesgo

Compartir
3. VALORACIÓN DE RIESGOS Tratamiento de Riesgo

ZONA DE RIESGO BAJO: ACEPTAR EL RIESGO

ZONA DE RIESGO MODERADA: REDUCIR EL RIESGO

ZONA DE RIESGO ALTA: REDUCIR O COMPARTIR EL RIESGO

ZONA DE RIESGO EXTREMA: REDUCIR, COMPARTIR, TRANSFERIR O EVITAR EL RIESGO

• Ningún Riesgo de Corrupción podrá ser Aceptado


• Los Riesgos de Corrupción se pueden compartir pero no se puede transferir su responsabilidad
• En todos los casos para los riesgos de corrupción, la respuesta será reducir, compartir o evitar
RESPONSABILIDADES POR LÍNEA DE DEFENSA
Línea Estratégica

Define el marco general para la gestión del riesgo y el control, supervisa su cumplimiento, está a cargo de la alta dirección y el
comité Institucional de Coordinación de Control Interno

Primera Línea de defensa Segunda Línea de defensa Tercera Línea de defensa

Propiedad y Gestión de los riesgos Monitoreo Seguimiento

Proporciona información sobre


efectividad del Sistema de
Desarrolla e implementa procesos de control y Asegura que los controles y los procesos de
Control Interno, a través de un
gestión de riesgos a través de su identificación, gestión de riesgos implementados por la primera
enfoque basado en riesgos,
análisis, valoración, monitoreo y acciones de línea de defensa, estén diseñados
incluida la operación de la
mejora apropiadamente y funciones como se pretende
primera y segunda línea de
defensa

A cargo de los servidores que tienen A cargo de la oficina de control


A cargo de los gerentes públicos y líderes de los
responsabilidades directas en el monitoreo y interno, auditoría interna o quien
procesos, programas y proyectos de la entidad.
evaluación de los controles y la gestión del haga sus veces. El rol principal:
Rol principal: diseñar, implementar y monitorear
riesgo: Jefes de planeación, supervisores e proporcionar un aseguramiento
los controles y gestionar de manera directa en
interventores de contratos o proyectos, basado en el más alto nivel de
el día a día los riesgos de la entidad. Así mismo,
coordinadores de otros sistemas de gestión de independencia y objetividad
orientar el desarrollo e implementación de
la entidad, comités de riesgos (donde existan), sobre la efectividad del S.C.I. El
políticas y procedimientos internos y asegurar
comités de contratación, entre otros. Rol alcance de este aseguramiento,
que sean compatibles con las metas y objetivos
principal: monitorear la gestión de riesgo y a través de la auditoría interna
de la entidad y emprender las acciones de
control ejecutada por la primera línea de cubre todos los componentes del
mejoramiento para su logro.
defensa, complementando su trabajo. S.C.I.
RESPONSABILIDADES POR LÍNEA DE DEFENSA

Información, Comunicación y Reporte

Primera Línea de defensa Segunda Línea de defensa Tercera Línea de defensa

Le corresponde a las Unidades de


Control Interno, realizar
evaluación (aseguramiento)
independiente sobre la gestión del
Corresponde al área encargada de la gestión
Corresponde a los jefes de área y/o grupo riesgo en la entidad,
del riesgo (segunda línea de defensa) la difusión
(primera línea de defensa) asegurarse de catalogándola como una unidad
y asesoría de la presente metodología, así como
implementar esta metodología para mitigar los auditable más dentro de su
de los planes de tratamiento de riesgo
riesgos en la operación, reportando a la segunda universo de auditoría, y por tanto
identificados en todos los niveles de la entidad,
línea sus avances y dificultades debe dar a conocer a toda la
de tal forma que se asegure su implementación.
entidad el Plan Anual de
Auditorias basado en riesgos, y los
resultados de la evaluación de la
gestión del riesgo.
¡GRACIAS!

También podría gustarte