Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Matriz de Riesgo PDF
Matriz de Riesgo PDF
Código: E-GES-IN-001
DIRECCIONAMIENTO INSTITUCIONAL
PROCESO GERENCIA ESTRATEGICA Versión: 2.0
ALCALDÍA MAYOR
DE BOGOTÁ D.C. Vigencia desde:
Intructivo para la Elaboración de la Matriz de Riesgos
GESTIÓN PÚBLICA
Departamento Administrativo del Servicio Civil
Septiembre de 2014
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
CONTENIDO
1. INFORMACIÓN GENERAL ................................................................................................................... 3
1.1. OBJETIVO: ................................................................................................................................................... 3
1.2. OBJETIVO ESPECIFICOS: .......................................................................................................................... 3
1.3. ALCANCE: .................................................................................................................................................... 3
1.4. GLOSARIO: .................................................................................................................................................. 4
1.5. MARCO LEGAL: ........................................................................................................................................... 6
2. ¿QUE ES EL RIESGO?: ....................................................................................................................... 6
3. CLASES DE RIESGOS ......................................................................................................................... 7
3.1. RIESGOS DE GESTIÓN: .............................................................................................................................. 7
3.2. RIESGOS DE CORRUPCIÓN: ..................................................................................................................... 8
4. ADMINISTRACION DEL RIESGO: ....................................................................................................... 9
5. CONTEXTO EXTRATEGICO .............................................................................................................. 10
6. IDENTIFICACION DEL RIESGO:........................................................................................................ 11
7. ANALISIS Y VALORACION DEL RIESGO: ........................................................................................ 13
Tabla 1. TABLA DE PROBABILIDADES .................................................................................................................. 14
7.1. EVALUACIÓN DEL RIESGO: ..................................................................................................................... 15
7.2. VALORACION DEL RIESGO: ..................................................................................................................... 16
8. SEGUIMIENTO Y EVALUACION DEL RIESGO: ................................................................................ 19
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
1. INFORMACIÓN GENERAL
1.1. OBJETIVO:
Este documento tiene como propósito general proporcionar una herramienta que permita
unificar los criterios para fortalecer la identificación, análisis, valoración y definición de las
alternativas de acciones de mitigación del riesgo, que pueda afectar los productos y/o servicios
generados para el cumplimiento de la misión y objetivos institucionales del Departamento
Administrativo del Servicio Civil Distrital.
- Definir y aplicar un método que facilite identificar, analizar y valorar los riesgos de manera
permanente.
- Identificar los riesgos críticos, a fin de implementar las acciones de mitigación sobre
aquellos que puedan causar mayor daño al momento de materializarse.
1.3. ALCANCE:
Esta Guía aplica a todos los procesos del Departamento Administrativo del Servicio Civil
Distrital DACS, que son responsables de la elaboración y actualización de la Matriz de Riesgos
por procesos de la entidad.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
1.5. GLOSARIO:
- Amenaza: situación externa que no controla la entidad y que puede afectar su operación
- Compartir el riesgo: Se asocia con la forma de protección para disminuir las pérdidas que
ocurran luego de la materialización de un riesgo, es posible realizarlo mediante contratos,
seguros, cláusulas contractuales u otros medios que puedan aplicarse.
- Control correctivo: acción orientada a eliminar las causas del riesgo materializado para
evitar que vuelva a ocurrir.
- Control preventivo: acción orientada a eliminar las causas del riesgo para prevenir su
ocurrencia o materialización.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
- Debilidad: situación interna que la entidad puede controlar y que puede afectar su
operación.
- Identificación del riesgo: paso que establece el riesgo con sus causas y consecuencias.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
- Riesgo residual: eventualidad que permanece después de aplicar los controles al riesgo
inherente.
- Riesgo: eventualidad que tendrá un impacto negativo sobre los objetivos institucionales o
del proceso.
- Ley 87 de 1993 “Por la cual se establecen normas para el ejercicio interno de las
entidades y organismos del Estado y se dictan otras disposiciones”.
- Ley 489 de 1998 “Estatuto Básico de Organización y Funcionamiento de la
Administración Pública”.
- Ley 1474 de 2011 Estatuto Anticorrupción. Art. 73. “Plan anticorrupción y de Atención al
Ciudadano” que deben elaborar anualmente todas las entidades, incluyendo el mapa de
riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias
antitrámites y los mecanismos para mejorar la atención al ciudadano.”
- Decreto 943 de 2014 “Por la cual se actualiza el Modelo Estándar de Control Interno
MECI “
- Decreto 4485 de 2009 (Numeral 4.1 Requisitos generales literal g) “Por el cual se adopta
la actualización de la NTCGP a su versión 2009. Este decreto aclara la importancia de la
Administración del riesgo en el Sistema de Gestión de la Calidad en las entidades”.
2. ¿QUE ES EL RIESGO?:
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
El Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los
objetivos institucionales o del proceso. Se expresa en términos de probabilidad y
Consecuencias.
La tendencia más común, es la valoración del riesgo como una amenaza; en este sentido, los
esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia.
Pero existe también la percepción del riesgo como una oportunidad, lo cual implica que su
gestión está dirigida a maximizar los resultados que este genera.1
3. CLASES DE RIESGOS
El riesgo está vinculado con todo el quehacer; se podría afirmar que no hay actividad de la vida,
negocio o cualquier asunto que deje de incluirlos como una posibilidad.
La posibilidad de que suceda algún evento que tendrá un impacto negativo en el cumplimiento
de los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y
consecuencias.
- Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
1
Guía para la Administración del Riesgo DAFP
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
Se entiende por riesgo de corrupción aquel que se materializa por la conducta de los servidores
públicos en su acción u omisión, mediante el uso indebido del poder, de los recursos o de la
información, lesionando los intereses de la Entidad y en consecuencia del Estado, para obtener
beneficio particular. Todos los Riesgos de Gestión pueden ser a la vez Riesgos de Corrupción.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
Esta acción le corresponde impulsarla a la Alta dirección y es desarrollada por todos los
servidores públicos de la entidad, por ésta razón se señalan e implementan herramientas que
permitan el manejo de los eventos que puedan afectar el logro de los objetivos institucionales
por el surgimiento de diferentes tipos de riesgos, ocasionados por factores externos o
internos, por esta razón implementará acciones encaminadas a administrarlos.
- Contexto Estratégico.
- Identificación del Riesgo.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
En el siguiente esquema se sintetiza el proceso que llevan a cabo cada uno de estos elementos
para la Administración del Riesgo.
5. CONTEXTO EXTRATEGICO
El contexto Estratégico es la base para la identificación de los riesgos internos y del entorno, al
realizar esta etapa se busca obtener los siguientes resultados:
2
Guía para la Administración del riesgo
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
- Identificar los factores externos (AMENAZAS): Son los que pueden ocasionar la
presencia de riesgos, para lograrlo se hace con base en el análisis de la información y de
los procesos de la entidad, estos factores son: Económicos, Medioambientales, Políticos,
sociales, tecnológicos.
- identificar los factores internos (DEBILIDADES): Definidos Como los que pueden
ocasionar la presencia de riesgos teniendo en cuenta los factores de: Infraestructura,
Personal, Medioambiental y Tecnología , con base en el análisis de los componentes:
Ambiente de control.
Direccionamiento estratégico.
Estudios de cultura organizacional y el clima laboral adelantados por la entidad.
Cada uno de estos factores puede constituirse en causa o consecuencia del riesgo a identificar.
Para esta etapa del proceso hay que tener en cuenta que este es permanente e interactivo, y
basado tanto en el resultado del análisis del Contexto Estratégico como en el proceso de
planeación. Una vez definidas las causas con base a los factores internos y externos, se
identifican los eventos (riesgos) que afecten el logro de los objetivos de los procesos, siendo
ésta la base del análisis.
IDENTIFICACIÓN DE RIESGOS
Desactualización de los componentes de la • Fallas en el Sistema de información • Incumplimiento de normas que ordenan GERENCIA Formulaciòn y/o Actualizaciòn
1 ESTRATÉGICO NO
Plataforma Estratègica • Tema sin asignaciòn de responsable ajustes, cambios o nuevos instrumentos ESTRATÉGICA de la Plataforma Esrategìca
Incoherencias entre los componentes de la • Desconocimiento de una metodologìa • Hallazgos de Auditorías GERENCIA Formulaciòn y/o Actualizaciòn
2 ESTRATÉGICO NO
Plataforma Estratègica para evaluarla la Coherencia. • Informe imprecisos ESTRATÉGICA de la Plataforma Esrategìca
Baja ejecuciòn en los Objetivos Estratègicos • Baja ejecuciòn en los Objetivos por • Hallazgos de Auditorías GERENCIA Formulaciòn y Actualizaciòn
3 DE IMAGEN NO
de la Entidad proyecto, plan de acciòn del proceso, • Informe imprecisos ESTRATÉGICA de la Planeaciòn
- Causas (factores internos o externos): Son los medios, las circunstancias y agentes
generadores de riesgo. Los agentes generadores que se entienden como todos los
sujetos u objetos que tienen la capacidad de originar un riesgo
Para para proveer una identificación del riesgo se debe tener en cuenta una estructura en tres
partes:
Ejemplo:
Uso de un calendario tributario obsoleto (CAUSA) puede ocurrir que se presente una
declaración de impuestos extemporánea lo cual podría generar una sanción pecuniaria para la
entidad (FACTOR DE RIESGO) - generar una sanción disciplinaria para un(os) funcionario(s)
(EFECTO).
3
Guía para la Administración del Riesgo DAFP.
4
Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
Para esta etapa, el análisis del riesgo tiene como principal objetivo, establecer la probabilidad
de ocurrencia de los riesgos (frecuencia) y el impacto de las consecuencias este último aspecto
puede orientar la clasificación del riesgo con el fin de obtener información para establecer el
nivel del riego y las acciones que se van a implementar.
Determinar probabilidad
Determinar Consecuencia
Clasificación del riego
Estimar el nivel del riego
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
ZONA DE RIESGO
PROBABILIDAD IMPACTO
Severidad
Evaluación
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida
con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo
determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos
que pueden propiciar el riesgo, aunque éste no se haya materializado.
Por impacto este se refiere al “resultado de un evento que afecta los objetivos” ocasionando la
materialización del mismo.
Determinación de la probabilidad.
Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz
que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias
potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Las categorías relacionadas
con el impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías
relacionadas con la probabilidad son muy improbables, improbables, posibles, probables y casi
seguras.
Bajo (B): Asumir el Riesgo Alto (A): Reducir riesgo / Evitar Riesgo / Compartir o Transferir
Moderado (M): Asumir riesgo / Reducir el Riesgo Extremo (E): Reducir riesgo / Evitar riesgo/ Compartir o Transferir
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
La valoración del Riesgo se debe realizar en dos momentos: primero identificando los
controles (preventivos o correctivos) que pueden disminuir la probabilidad de ocurrencia o
el impacto del riesgo; segundo, se deben evaluar los controles.
Preventivos: aquellos que actúan para eliminar las causas del riesgo y previenen su
ocurrencia o materialización.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
CORRECTIVO
PREVENTIVO
¿El control se está
DESCRIPCIÓN ACCIONES A REALIZAR O QUE SE ESTAN incluye el responsable y la efectivo (sirve o Opción de Manejo del
Valor
aplicando?
REALIZANDO. frecuencia de aplicación? cumple su función)? Riesgo
SI / NO
SI / NO SI / NO
De acuerdo a los resultados obtenidos de la calificación dada a cada uno de los criterios
descritos en la tabla anterior, se tendrá en cuenta los siguientes rangos de calificación:
El resultado final del riesgo será presentado en la Matriz 5x5, de probabilidad e impacto la cual
se usara para resaltar el estado de los riesgos.
Los riesgos de mayor probabilidad y alto impacto requieren más atención, y por lo tanto, esta
herramienta de evaluación será el mecanismo para que los responsables de procesos tengan
control y responsabilidad sobre el resultado final de los riesgos.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
66,7% INACEPTABLE
0 Riesgos
0 Riesgos
1 Riesgos
2 Riesgos
0 Riesgos
0 Riesgos
0 Riesgos
Impacto
60%
0% BAJO: Asumir
100% 33% 33,3% 33,3%
40% MODERADO: Asumir y Revisar
67%
20% 33%
ALTO: Reducir, evitar, compartir o transferir
0%
¿El control está ¿El control se está ¿El control es efectivo
documentado, incluye el aplicando? (sirve o cumple su EXTREMO: Reducir, evitar, compartir o
responsable y la función)? transferir
0,0%
frecuencia de aplicación? Sin valorar Probabilidad o Impacto
SI Parcialmente NO 33,3%
IMPACTO
PROBABILIDAD
INSIGNIFICANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTROFICO (5)
OPCIONES DE MANEJO
ALTO: Reducir, Evitar, Compartir o Transferir
BAJO: Asumir Riesgo
Riesgo
MODERADO: Asumir y Reducir EXTREMO: Reducir, Evitar, Compartir o
Riesgo Transferir Riesgo
RIESGOS DE CORRUPCIÓN = 0 Riesgos Autolevaluación del procesos: Los Riesgos… Valoración Control Interno:
0,0%
0,0%
0,0%
0,0%
Mitigación del Riesgo
ACEPTABLE: Asumir 0,0%
Se incrementaron 0,0%
BAJO: Asumir
Continuan Igual 33,3% 33,3% 33,3%
MODERADO: Asumir y
Revisar Se redujeron 33,3%
ALTO: Reducir, evitar,
compartir o transferir
Son mínimos 33,3%
EXTREMO: Reducir, 33,3%
evitar, compartir o
0% 10% 20% 30% 40%
transferir Alto Medio Bajo Ninguno
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
Una vez hecho el ejercicio anterior, en el momento del seguimiento trimestral, cada responsable
de proceso, conjuntamente con el líder operativo, debe volver a valorar las CAUSAS del riesgo,
identificando si:
- Se eliminaron
- Se redujeron
- Continúan Igual
- Se incrementaron
Matriz de Riesgos por Proceso DACSD / Seguimiento y Evaluación
SEGUIMIENTO Y EVALUACIÓN --> Corte: 31 de agosto de 2014
Una vez identificado deberá relacionar las evidencias que consideren prueban la acción.
Al final del Procedimiento se deben listar los documentos internos y externos del SIG que
fueron citados, los cuales se pueden descargar haciendo “clic” en el hipervínculo de cada uno
de ellos.
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.
CÓDIGO DOCUMENTO
Elaboración y Control de Documentos del Sistema
E-SIG-IN-001
Integrado de Gestión.
Se deben listar los documentos externos (es decir que tengan un autor diferente al
Departamento Administrativo del Servicio Civil Distrital), relacionados con el desarrollo del
procedimiento
CONTROL DE CAMBIOS:
VERSIÓN No. FECHA DESCRIPCIÓN DE LA MODIFICACIÓN
ecuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto se considera “Copia No Controlada”. La versión vigente se
encuentra publicada en la intranet y Aplicativo SIG del DASCD.