METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MODELO

ESTANDAR DE CONTROL INTERNO - MECI EN EMCALI EICE
ESP
EQUIPO SUBSISTEMA DE CONTROL ESTRATÉGICO
EMCALI - UNIVALLE

Santiago de Cali, Noviembre de 2007

 TABLA DE CONTENIDO

PRESENTACIÓN ....................................................................................................................... 2
INTRODUCCIÓN ....................................................................................................................... 3
1. OBJETIVOS ........................................................................................................................ 4
1.1 GENERAL ........................................................................................................................... 4
1.2 ESPECIFICOS .................................................................................................................... 4
2. DIRECTRICES GENERALES.............................................................................................. 5
3. REQUERIMIENTOS............................................................................................................ 6
4. MARCO LEGAL O NORMATIVO ......................................................................................... 7
5. MARCO CONCEPTUAL ...................................................................................................... 8
6. METODOLOGÍA................................................................................................................ 10
GLOSARIO .............................................................................................................................. 29
BIBLIOGRAFÍA ........................................................................................................................ 31

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 1

 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS

PRESENTACIÓN

En el marco del proyecto de Implementación del Modelo Estándar de Control Interno MECI
1000:2005, que se lleva a cabo por parte de EMCALI EIC ESP con la Asesoría de la
Universidad del Valle, se plantea la necesidad de desarrollar metodologías para la
implementación de elementos de control descritos por el modelo Estándar de Control Interno;
una de estas metodologías, corresponde al componente Administración de Riesgos; dicho
Componente tiene una importancia vital para el buen funcionamiento de las entidades del sector
público y es por esto, que la metodología aquí planteada es acorde con un proceso de mejora
de la administración pública; de esta forma se da cumplimiento a lineamientos nacionales sobre
el control interno que deben ejecutar las empresas de servicios públicos domiciliarios en la
actualidad.

Se espera entonces, que esta guía sirva para la consolidación de los Sistemas de Control
Interno de la Empresa y aporte a la implementación, socialización e interiorización de la cultura
de Autogestión, Autocontrol y Autoevaluación y que sea un importante apoyo para el proceso
de planeación en busca de cumplir con los Objetivos Estratégicos Institucionales, de tal manera
que los fines del Estado y los principios establecidos en la Constitución Política de Colombia se
cumplan de buena forma.

La consigna es que la implementación de una Administración de Riesgos efectiva y eficiente,

sea una práctica incorporada al interior de la entidad como una política de gestión por parte de
la alta dirección y cuente con la participación y respaldo de todos los servidores públicos; tarea
que se facilitará con la implementación de la metodología aquí presentada, la cual permite
prevenir los riesgos que afectan a al Entidad y poder de esta manera, fortalecer el Sistema de
Control Interno para lograr el más alto grado de eficacia y eficiencia.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 2

 INTRODUCCIÓN

La Administración de Riesgos es un método que en la actualidad las entidades tanto públicas

como privadas, están prestando especial atención, en la medida que comprenden que es un
herramienta de apoyo a la gestión de los procesos, que contribuye al mejoramiento continuo de
estos y que además, cuenta con un enfoque que ubica a las organizaciones en un contexto
dinámico y permite orientar sus objetivos hacia la sostenibilidad de dichas organizaciones.

La Administración de Riesgos se ha considerado importante para Empresas Municipales de Cali

EMCALI E.I.C.E. E.S.P., tal como lo muestra la existencia de evidencias significativas en el
desarrollo del tema; lo anterior, facilitará la ejecución de la presente metodología, contando
entonces con importantes avances tanto técnicos como culturales (Internos) que permitirán
llevar a cabo con éxito este propósito.

El desarrollo de una metodología clara y de fácil familiarización para quienes intervienen en el

proceso, es un punto de partida importante para lograr con éxito la implementación de la
Administración de Riesgos, lo cual se concluye con la formulación de políticas que permitirán
mediante acciones ejecutables (Controles), el normal funcionamiento de la Entidad.

La metodología que se presenta, se ha construido con fundamento en los parámetros dados en

el Manual de Implementación, en el sentido que se construye manteniendo la
complementariedad e interrelación existente entre los elementos de control del Componente
Administración de Riesgos; así mismo, se consideran los elementos Procedimientos y
Controles del Subsistema Control de Gestión, con la finalidad de armonizar de manera integral y
sistemática, todos los eventos que hacen parte del componente que se trata. Al final de la
aplicación de esta metodología, se tienen las políticas que identifican las opciones para tratar y
manejar los riesgos con base en su valoración, para que todos los funcionarios coordinen y
administren los eventos que pueden inhibir el logro de los objetivos de la Entidad.

Esta metodología también se fundamenta desde diferentes fuentes: La establecida por el

Departamento Administrativo de la Función Pública – DAFP, la cual es considerada como guía

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

general para la implementación en las entidades públicas, Modelo de control Interno para
Entidades del Estado - Manual de Implementación CASALS & ASSOCIATES y el Modelo
elaborado por la Universidad del Valle.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 3

 1. OBJETI VOS

1.1 GENER AL

Establecer una metodología que a la luz del Modelo de Administración de Riesgos tratado en
Empresas Municipales de Cali, brinde la orientación clara para su aplicación a nivel institucional,
propiciando la efectiva toma de decisiones con respecto a los riesgos que tienden a afectar el
logro de su misión y sus objetivos institucionales.

1.2 ESPECI FICOS

 Identificar las experiencias, desarrollos y nivel de implementación que posee Empresas

Municipales de Cali en la Administración de Riesgos.

 Analizar y evaluar herramientas e instrumentos que permitan fortalecer el modelo de

Riesgos actualmente utilizado por EMCALI, generando una mayor consistencia y eficacia
del modelo a implementar.

 Propiciar en el nivel directivo el compromiso para convertir el modelo de Riesgos en una

herramienta base para la toma de decisiones en todos los niveles de la organización.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 4

 2. DIRECTRICES GENER ALES

 Compromiso de la alta y media dirección: Para el éxito en la Implementación de una

adecuada administración del riesgo, es indispensable el compromiso de la alta gerencia
como encargada, en primera instancia, de definir las políticas y en segunda instancia, de
estimular la cultura de la identificación y prevención del riesgo. Para lograrlo, es importante
la definición de canales directos de comunicación y el apoyo a todas las acciones
emprendidas en este sentido, propiciando los espacios y asignando los recursos
necesarios.

 Conformación de un equipo de trabajo: Es importante conformar un equipo de trabajo

que junto con la Oficina de Control Interno se encargue de liderar el proceso de
administración del riesgo dentro de la Entidad y cuente con un canal directo de
comunicación con la alta dirección. Dicho equipo lo deben integrar personas de diferentes
áreas que conozcan muy bien la Organización y el funcionamiento de los diferentes
procesos, para que se facilite la administración del riesgo y la construcción de los mapas de
riesgos institucionales.

 Capacitación en la metodología: Definido el equipo o equipos de trabajo, debe

capacitarse a sus integrantes en la metodología de la administración del riesgo.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 5

 3. REQUERIMIENTOS

A continuación se presentan los requerimientos que permiten obtener los productos del
componente Administración de Riesgos.

 Direccionamiento Estratégico de la entidad

 Planes y Programas

 Modelo de Operación por procesos de la Empresa

 Estructura Organizacional

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 6

 4. M ARCO LEG AL O NORM ATIVO

 LEY 87 DE 1993. Articulo 2 - literal a): "por la cual se establecen normas para el ejercicio
del control interno en las entidades y organismos del estado”

 DECRETO 1599 DE 2005. “por el cual se adopta el Modelo Estándar de Control Interno
para el Estado Colombiano”

 DECRETO 1537 DE 2001. Articulo 4. instituye para las entidades públicas, establecer y
aplicar políticas de administración de riesgos como parte integral del fortalecimiento de los
sistemas de control interno.

 RESOLUCIÓN 048 DE 2004. “por la cual se dictan disposiciones relacionadas con el

control interno contable”.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 7

 5. M ARCO CONCEPTUAL

En este marco conceptual se considera el Modelo Estándar de Control Interno MECI 1000:2005
en donde se establece los elementos o etapas en una secuencia lógica que le permite a la
entidad autocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos,
habilitando entonces a la entidad para realizar acciones que le permitan el manejo de dichas
situaciones o eventos amenazantes; finalmente, los cinco elementos que forman el componente
en mención, conducen a la definición de criterios base para la formulación del estándar de
control que se consolida en las políticas de Administración de Riesgos.

La correcta administración de Riesgos, toma como base inicialmente la identificación de las

situaciones tanto externas como internas, que pueden afectar el desarrollo de la función
administrativa de la entidad. Una vez establecidas estas situaciones de riesgo, se deben
identificar los riesgos, constituidos por todos aquellos eventos que ponen en peligro el
cumplimiento de los objetivos institucionales; estos riesgos se ubican en las actividades que
correspondan en los procedimientos que ya se tengan definidos, de acuerdo con los procesos
determinados en el Modelo de Operación por Procesos. Luego se analizan los riesgos para
obtener una lista de riesgos calificados y evaluados de la Entidad; se conforma entonces un
listado de Actividades que tengan asociados riesgos, para que se realice el trabajo de Controles
sobre aquellos calificados como Inaceptables, Importantes y Moderados; estos resultados serán
entregados nuevamente a la Administración de Riesgos para que los valore y finalmente se
definan las directrices o políticas orientadas a garantizar la consecución de los objetivos
institucionales. Todo lo anterior se puede observar en la siguiente gráfica, donde las flechas
muestran la interrelación entre los pasos de las metodologías correspondientes a la
Administración de Riesgos, Procedimientos y Controles; todo esto, de acuerdo con lo
determinado en el Manual de Implementación de la Norma MECI 1000:2005.

Gráfica 1. Modelo Conceptual para la administración de riesgos

ADMINIST RACIÓN DE RIESGOS PROCEDIMIENT OS

1. Contexto estratégico

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

1. Criterios y parámetros.
2. Identif icación de riesgos institucionales 2. Instrucciones sobre MOP, criterios y parámetros
3. Análisis de riesgos. Lista calif icada y 3. Describir y documentar
evaluada. 4. Diagramas de f lujo.
4. Valoración de riesgos. 5. Socializar
5. Políticas de Admon de Riesgos. 6. Analizar y aprobar.
6. Consideración del CCCI. 7. Revisión y ajustes periódicos.
7. Adoptar y divulgar políticas.

CONT ROLES
1. Criterios y parámetros.
2. Asistencia técnica
3. Retomar lista de riesgos inaceptables,
imp ortantes y moderados para la respectiva
Actividad
4. Diseñar controles.
5. Analizar y aprobar.
6. Medir Ef icacia.
7. Medir Ef iciencia.
8. Medir Ef ectividad.
9. Conf rontar ef ectividad con Calif icación Riesgo.
10. Revisiones periódicas.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 8

Tal como se muestra en la gráfica, cuando se tienen identificados los riesgos institucionales se
ubican en las Actividades que se describen en Procedimientos y en el respectivo diagrama de
flujo; esto se entrega a Controles simultáneamente con la lista calificada de riesgos. Se diseñan
los controles y se entregan los resultados para que hagan parte de la documentación de los
procedimientos y se valoren los riesgos. La Administración de los Riesgos toma como base los
resultados de dicha valoración y la calificación de riesgos, para definir las correspondientes
políticas.

En general, el presente componente de Control al igual que los demás que constituyen el
Sistema de Control Interno, toma como insumo los productos de otros componentes, los cuales
son metodológicamente aprovechados y finalmente bajo un enfoque hacia los procesos,
transformados en productos válidos para el desarrollo de otros componentes/subsistemas; de
esta manera, la Administración de Riesgos se consolida a partir de un Ambiente de Control
adecuado a la entidad y de un Direccionamiento Estratégico que fija la orientación clara y
planeada de la gestión, aportando a su vez en forma integral con estos dos primeros
componentes del Sistema de Control estratégico, las bases para el desarrollo adecuado de los
elementos que constituyen el Componente Actividades de Control, específicamente para
Políticas de operación, Procedimientos y Controles; en ellos se convertirá en acciones
especificas, necesarias para la ejecución de la operación de la Entidad.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 9

 6. METODOLOGÍ A

La metodología mediante la cual se desarrollará el componente Administración de Riesgos, se

ha elaborado teniendo en cuenta el ciclo Planear, Hacer, Verificar y Actuar (PHVA), el cual
permite contar con un modelo dinámico que se retroalimenta de manera interna, a través del
desarrollo de cada uno de sus elementos; esto teniendo en cuenta que la ejecución de la
metodología se debe realizar de manera continua y su control se facilite de acuerdo con la
actuación directa de la Oficina de Control Interno. La figura 1. Permite observar la relación
entre elementos y los productos de cada uno de ellos.

Figura 1. Modelo Conceptual para la Administración de Riesgos

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

La Figura 2. ilustra de manera más detallada los cinco elementos que se tratan en la
metodología; en ella se visualiza de manera clara aspectos relevantes de cada elemento y la
interrelación existente entre estos:

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 10

Figura 2. Metodología
CONTEXTO IDENTIFICACIÓN ANÁLISIS VALORACIÓN POLÍTICAS
ESTRATÉGICO RIESGO RIESGOS

INSUMO RIESGO F5 PROBALIDAD Fi.8, ANÁLISIS RIESGOS

F9 Fi.1
(DOFA- CONTROLES 3 PRIORIZADOS
Amenazas, EXISTENTES
CLASIFICACIÓN IMPACTO Fi.9,
Debilidades)
F6 F9 ANÁLISIS
Y DESCRIPCIÓN
GRADO DE
DE RIESGO CAUSAS
CONTEXTO GRADO DE ESPOSICIÓN
ESTRATÉGICO EXPOSICIÓN DE LA ENTIDAD
DETERMINAR F6 y Matriz Y MEDIDAS DE Matriz FORMULAR
EXTERNO E DE LA ENTIDAD
AGENTES ESP. Riesgos1 Suav.
INTERNO Y MEDIDAS DE RESPUESTA POLÍTICAS DE
GENERADORES, Pescado,
RESPUESTA (Nueva zona de ADMINISTRACIÓN
CAUSAS Y 5 por
ubicación del DE RIESGOS
SITUACIÓN DE F3 y F5 EFECTOS qué?
RIESGO Riesgo)

PRIORIZACIÓN F12
(Primer
Criterio/Zona de Fi.15,
Riesgo y Segundo F 10
Criterio/Objetivos
Nivel de Estudio)

MAPA DE
F11
RIESGO

Los FI corresponden a los formatos que se muestran en los cuadros correspondientes a la

variable I; así: F1 corresponde al Cuadro 1... F10 corresponde al Cuadro 10.

La metodología que se detalla establece la secuencia de las actividades a realizar para llevar a
cabo el desarrollo de la Administración de Riesgos en la Entidad, ubicándola en un contexto
que le permita orientarla hacia la eficiente toma de decisiones frente al tratamiento de los
riesgos a los cuales se encuentra expuesta y que pueden afectar el logro de su objetivos
misionales.

Esta metodología contempla ocho etapas en donde las cinco primeras se enuncian a
continuación:

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

 Contexto Estratégico.
 Identificación de Riesgos.
 Análisis de Riesgos.
 Valoración de Riesgos.
 Políticas de Administración de Riesgos.

El desarrollo de cada uno de estos elementos planteados en el Modelo estándar de Control

Interno MECI 1000:2005 y que constituyen las cinco etapas fundamentales de la presente
metodología, darán como resultado el Mapa de Riesgos de la entidad y las respectivas políticas
para administrarlos.

Para la aplicación de la metodología de Riesgos se requiere contar con los insumos planteados
en el MECI, los cuales se detallan a continuación:

 Diagnostico estratégico para la gestión de la Entidad.

 Planes y Programas que regulen y orienten el desarrollo de la función constitucional.
 Modelo de Operación que garantice una gestión efectiva.
 Estructura Organizacional flexible y efectiva.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 11

Al desarrollarse los insumos descritos, generarán una serie de productos que servirán de
insumo para otros componentes, como es el caso de Actividades de Control, el cual requiere de
los productos específicos que proporcionan los elementos Identificación de riesgos y Análisis de
riesgos, para desarrollar sus elementos y a la vez entregar productos para otros componentes.

Figura 3. Ilustración Insumos y Productos del componente Administración de Riesgos

Planes y Programas que regulan y
orienten el desarrollo de la f unción
Constitucional
Diagnóstico estratégico para la
gestión de la entidad
Modelo de Operación que
garantice una gestión ef ectiva
Estructura Organizacional f lexible
y ef ectiva
SUBSISTEMA CONTROL ESTRATEGICO
COMPONENTE ADMINISTRACIÓN DE
RIESGOS
ELEMENTOS
CONTEXTO ESTRATÉGICO
IDENTIFICACIÓN DE RIESGOS
VALORACIÓN DE RIESGOS
POLÍTICAS DE ADMINISTRACIÓN DE
RIESGOS
Análisis de los aspectos
externos e internos
implican exposición al
riesgo
Reconocimiento de
situaciones de riesgo a
los riesgos que af ectan
el cumplimiento de los
objetivos de la entidad
Medidas de respuesta
ante los riesgos
Identif icados

Políticas de
Administración de
Riesgos Identif icados

A continuación se precisan las etapas y pasos a seguir para desarrollar el Modelo de

Administración de Riesgos, tal como se mostró en la Figura 2. Metodología.

Como se ilustra en la figura en mención, para el efectivo desarrollo del primer elemento es
necesario contar con los siguientes insumos, los cuales son suministrados por el Componente
Direccionamiento Estratégico y constituyen la base fundamental para la correcta identificación
de situaciones de amenazas y debilidades que permitirán la posterior identificación de Riesgos.
Dichos insumos se describen a continuación:

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

 Análisis Interno y Externo - DOFA (interno: Debilidades y Fortalezas; Externo:
Oportunidades y Amenazas))
 Misión, Visión
 Estrategias y objetivos estratégicos
 Planes, programas y Proyectos

Los anteriores insumos serán consolidados utilizando el formato: Análisis Estratégico Externo e
Interno (Cuadro 1, Cuadro 2).

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 12

Cuadro 1. Formato Análisis Estratégico Externo – Planes y programas
Oportunidades/Amenazas
Oportunidades Amenazas

Factores
1. Económicos
1.1 Inflación.
1.2 Devaluación.
1.3 Incrementos salariales de aplicación general.
1.4 Instrumentos Gravám enes.
1.5 Políticas de precios.
1.6 Políticas de transferencia de recursos.
1.7 Estabilidad cambiaria.
1.8 Estabilidad política monetaria.
1.9 Tendencias Inflacionarias.
1.10 Crecim iento económ ico.
2. Políticos
2.1 Estabilidad Política.
2.2 Credibilidad en las instituciones del Estado.
2.1 Norm as que afectan los objetivos de la Entidad.
2.2 Modificaciones legales a las fuentes de ingreso de la
Entidad.
2.5 Modificaciones legales a la estructura de gastos
de la Entidad.
2.6 Decisiones sobre el ingreso y retiro de servidores
Públicos.
3. Sociales
3.1. Porcentaje de Población que presenta necesidades
básicas insatisfechas
3.2. Diversidades éticas y culturales.
3.3. Situaciones de orden público.
3.4. Situaciones de desplazam iento social
3.5. Nivel de empleo
3.6. Nivel de delincuencia
4. Tecnologógicos

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

4.1. Automatización de Procesos
4.2. Resistencia a cam bios tecnológicos
4.3. Capacidad y com promiso para acceder a nuevas
tecnologías
4.4. Eficientes sistemas de Comunicación.
5. Competitivos
5.1. Regulaciones específicas que afectan la Entidad
5.2. Alianzas estratégicas para ejecutar Programas y
Proyectos
5.3. Formación y competencia de los servidores públicos
5.4. Apoyo de la Cooperación Internacional
6. Geográficos
6.1. Facilidad de acceso y transporte que rodea el entorno
de la Entidad.
6.2. Nivel de desarrollo económico y social de las regiones
que rodean la Entidad.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 13

Cuadro 2. Formato Análisis Estratégico Interno – Planes y programas
F o rta le z a s /D e b ilid a d e s
F o rta le z a s D e b ilid a d e s
G ru p o - C a p a c id a d e s
1. C a p a c id a d D ire c tiv a

1 .1 Im a g e n q u e p ro ye c ta e l N ive l
D ire c tivo d e la E n tid a d
1 .2 C a p a c id a d d e d e fin ic ió n d e
p la n e s E s tra té g ico s y o p e ra tivo s
1 .3 O rie n ta c ió n d e la E n tid a d a l
c u m p lim ie n to d e s u s fu n c io n e s y
o b je tivo s
1 .4 A d e c u a d a E s tru c tu ra
O rg a n iza c io n a l p a ra la T o m a d e
d e c is io n e s

1 .5 C o m u n ic a c ió n y c o n tro l d ire c tivo

a la O p e ra c ió n e la E n tid a d .
2. C a p a c id a d T e c n o ló g ic a

2 .1 H a b ilid a d té c n ic a d e é tic a p a ra
e je c u ta r lo s p ro c e s o s q u e le c o m p e te n .

2 .2 C a p a c ita c ió n d e In n o va c ió n
2 .3 N ive l d e te c n o lo g ía u tiliza d a e n
lo s p ro c e s o s d e la e n tid a d .

2 .4 N ive l d e In te g ra c ió n d e su s
s is te m a s co m p u ta riza d a s

2 .5 C o n tro le s e x is te n te s s o b re la
T e c n o lo g ía a p lic a d a

3 . C a p a c id a d d e l T a le n to H u m a n o
3 .1 . N ive l d e C o m p e te n c ia d e l T a le n to
H u m a n o e n la e n tid a d .
3 .2 . N ive l d e p e rte n e n c ia d e lo s
s e rvid o re s p ú b lic o s c o n la e n tid a d .
3 .3 . S u fic ie n c ia d e l R e c u rs o H u m a n o
p a ra a te n d e r la s c a rg a s la b o ra le s
4 . C a p a c id a d C o m p e titiv a
4 .1 . Im p a cto d e lo s b ie n e s y s e rvicio s

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

e n tre g a d o s p o r la e n tid a d a s u s g ru p o s
d e in te ré s .
4 .2 . C o b e rtu ra y e fic ie n c ia d e lo s
s e rvic io s q u e p re s ta o b ie n e s q u e
s u m in is tra la e n tid a d .
4 .3 . C o n o cim ie n to o p o rtu n o y
c a p a c id a d d e a te n ció n a la s q u e ja s y
re c la m o s d e su s g ru p o s d e in te ré s .
4 .4 . E x is te p ro ce so s q u e p e rm ita n
c o n o c e r la s q u e ja s y re c la m o s d e lo s
g ru p o s d e in te ré s .
4 .5 . A lia n za s e stra té g ic a s c o n o tra s
e n tid a d e s .
5 . C a p a c id a d F in a n c ie ra
5 .1 . D é fic it/S u p e ra vit a c u m u la d o o
p ro ye c ta d o
5 .2 . E s tru c tu ra d e In g re s o s
5 .3 . E s trc u tu ra d e G a s to s
5 .4 . E fe c to (F is ca l - e c o n ó m ic o -
F is c a l) d e la s p o lític a s d e In g re s o s .
5 .5 . E fe c to (F is ca l - e c o n ó m ic o -
F is c a l) d e la s p o lític a s d e G a sto s.
5 .6 . E s tru c tu ra y s o s te n ib ilid a d d e la
Deuda.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 14

CONTEXTO ESTRATÉGICO

Figura 4. Proceso Administración de Riesgos – Contexto Estratégico

COMPONENTE
DIRECCIONAMIENTO ESTRATÉGICO
• Análisis Externo e Interno Políticas
Insumos Contexto Identif icación Análisis de Valoración
• Misión y Visión Administración
Estratégico de Riesgos Riesgos de Riesgos
• Estrategias y Objetivos de Riesgos
Estratégicos
• Planes, Programas y Proyectos

• Contexto
Estratégico Interno

• Contexto
Estratégico Externo

Si bien es cierto que el análisis DOFA se constituye en un insumo valioso para el desarrollo del
elemento Contexto Estratégico, de este solo se toman las amenazas y debilidades para estudiar
dicho Contexto, dejando de lado las oportunidades y fortalezas, debido a que la presente
metodología está orientada a contrarrestar los aspectos negativos a los cuales se encuentra
expuesta la entidad (de la administración de los riesgos) y no al posible desaprovechamiento de
aspectos positivos u oportunidades.

A partir de los insumos antes mencionados se consideran las debilidades definidas en el

análisis DOFA y se trasladan al formato Contexto Estratégico - Análisis Interno (Cuadro 3.),
ubicándolas de acuerdo a los factores descritos en la primera columna de dicho cuadro, una
vez ubicadas se debe identificar, para cada una de las debilidades, las situaciones de Riesgo
que afectan los objetivos de la institución. De la misma manera, se aplica dicha instrucción para
las amenazas planteadas en el DOFA, las cuales son registradas en el formato Contexto
estratégico - Análisis Externo (Cuadro 4.)

Es importante resaltar que tanto para los formatos contexto estratégico Análisis Externo y
Análisis Interno mencionados anteriormente, los factores definidos en la primera columna

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

pueden ser ampliados o ajustados de acuerdo con las condiciones específicas de la Entidad.
Las situaciones de Riesgo deben ser claramente identificadas; de ello depende la aplicación
exitosa de las siguientes actividades; con el fin de facilitar el entendimiento y la identificación de
cada situación de Riesgo, se recomienda consultar el glosario de términos que aparece en el
numeral 8 de este escrito.

Para desarrollar de manera objetiva la identificación de las situaciones de Riesgo se

recomienda aplicar las siguientes herramientas, las cuales pueden ser utilizadas de manera
individual o complementaria:

 Datos Históricos que evidencien Riesgos ocurridos: Documentos o archivos en los

cuales se evidencie un inventario de Riesgos ocurridos en la entidad.

 Experiencias obtenidas por otras entidades similares: Información acerca de Riesgos

materializados en otras entidades del mismo sector, que sean útil como referenciación para
la identificación de las situaciones de Riesgo de la Entidad.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 15

 Panel de expertos: De acuerdo a lo mencionado en las directrices generales donde se
sugiere la conformación de equipos de trabajo, los cuales son multidisciplinarios y con
amplia experiencia y conocimiento del sector y de la entidad, se genera la identificación de
las situaciones de Riesgo según los factores identificados en la matriz DOFA.

La aplicación de las actividades anteriores (herramientas) consolidadas en los formatos

correspondientes, se constituyen en el producto resultante del presente elemento,
convirtiéndose en el insumo básico del siguiente, denominado Identificación de Riesgos.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 16

Cuadro 3. Formato contexto Estratégico – Análisis Interno
Componente: Administracion de Riesgos
Elemento: Contexto Estrategico
Formato: Contexto Estratégico - Análisis Interno
Debilidad / Riesgo
Debilidades Situación de Riesgo
Grupo - Capacidades
1. Capacidad Directiva

1.1 Imagen que proyecta el Nivel

Directivo de la Entidad
1.2 Capacidad de definición de
planes Estratégicos y operativos
1.3 Orientación de la Entidad al
cumplimiento de sus funciones y
objetivos
1.4 Adecuada Estructura
Organizacional para la Toma de
decisiones

1.5 Comunicación y control directivo

ala Operación e la Entidad.
2. Capacidad Tecnológica

2.1 Habilidad técnica de ética para

ejecutar los procesos que le competen.

2.2 Capacitación de Innovación

2.3 Nivel de tecnología utilizada en
los procesos de la entidad.

2.4 Nivel de Integración de sus

sistemas computarizadas

2.5 Controles existentes sobre la

Tecnología aplicada

3. Capacidad del Talento Humano

3.1. Nivel de Competencia del Talento
Humano en la entidad.
3.2. Nivel de pertenencia de los
servidores públicos con la entidad.
3.3. Suficiencia del Recurso Humano
para atender las cargas laborales
4. Capacidad Competitiva
4.1. Impacto de los bienes y servicios
entregados por la entidad a sus grupos
de interés.
4.2. Cobertura y eficiencia de los
servicios que presta o bienes que
suministra la entidad.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

4.3. Conocimiento oportuno y
capacidad de atención a las quejas y
reclamos de sus grupos de interés .
4.4. Existe procesos que permitan
conocer las quejas y reclamos de los
grupos de interés.
4.5. Alianzas estratégicas con otras
entidades.
5. Capacidad Financiera
5.1. Déficit/Superavit acumulado o
proyectado
5.2. Estructura de Ingresos
5.3. Estrcutura de Gastos
5.4. Efecto (Fiscal - económico -
Fiscal) de las políticas de Ingresos.
5.5. Efecto (Fiscal - económico -
Fiscal) de las políticas de Gastos.
5.6. Estructura y sostenibilidad de la
Deuda.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 17

Cuadro 4. Formato Contexto Estratégico – Análisis Externo
Componente: Administracion de Riesgos
Elemento: Contexto Estrategico
Formato: Contexto Estratégico - Análisis Externo

Amenaza / Riesgo
Amenazas Situación de Riesgo

Factores
1. Económicos
1.1 Inflación.
1.2 Devaluación.
1.3 Incrementos salariales de aplicación general.
1.4 Instrumentos Gravámenes.
1.5 Políticas de precios.
1.6 Políticas de transferencia de recursos.
1.7 Estabilidad cambiaria.
1.8 Estabilidad política monetaria.
1.9 Tendencias Inflacionarias.
1.10 Crecimiento económico.
2. Políticos
2.1 Estabilidad Política.
2.2 Credibilidad en las instituciones del Estado.
2.1 Normas que afectan los objetivos de la Entidad.
2.2 Modificaciones legales a las fuentes de ingreso de la
Entidad.
2.5 Modificaciones legales a la estructura de gastos
de la Entidad.
2.6 Decisiones sobre el ingreso y retiro de servidores
Públicos.
3. Sociales
3.1. Porcentaje de Población que presenta necesidades
básicas insatisfechas
3.2. Diversidades éticas y culturales.
3.3. Situaciones de orden público.
3.4. Situaciones de desplazamiento social
3.5. Nivel de empleo
3.6. Nivel de delincuencia

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

4. Tecnologógicos
4.1. Automatización de Procesos
4.2. Resistencia a cambios tecnológicos
4.3. Capacidad y compromiso para acceder a nuevas
tecnologías
4.4. Eficientes sistemas de Comunicación.
5. Competitivos
5.1. Regulaciones específicas que afectan la Entidad
5.2. Alianzas estratégicas para ejecutar Programas y
Proyectos
5.3. Formación y competencia de los servidores públicos
5.4. Apoyo de la Cooperación Internacional
6. Geográficos
6.1. Facilidad de acceso y transporte que rodea el entorno
de la Entidad.
6.2. Nivel de desarrollo económico y social de las regiones
que rodean la Entidad.

IDENTIFICACIÓN DE RIESGOS

La identificación de los Riesgos, tiene su fundamento en el Análisis estratégico Interno y

Externo (cuadro 3 y 4) y en la definición precisa de los objetivos institucionales. Con los
anteriores insumos se procede a la identificación de riesgos correspondiente a cada situación

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 18

 de riesgo definida inicialmente; es importante resaltar que el Riesgo está determinado por el
evento potencial que pone en peligro el logro de los objetivos de la Entidad.

Figura 5. Proceso Administración de Riesgos – Identificación de Riesgos

Contexto Políticas
Insumos Identif icación Análisis de Valoración
Estratégico Administración
de Riesgos Riesgos de Riesgos
de Riesgos
• Contexto
Estratégico Análisis
Interno (Situaciones
de Riesgos)
• Diagnóstico Causa
Ef ecto
• Contexto
• Identif icación de
Estratégico Análisis
Causas
Externo
Fundamentales
(Situaciones de
• Definición de los
Riesgos)
Riesgos
• Riesgos Identif icados

Para desarrollar este elemento se debe tener en cuenta las herramientas de apoyo
mencionadas en el anterior elemento:

 Datos Históricos que evidencien riesgos ocurridos

 Experiencias obtenidas por otras entidades
 Panel de expertos

Para lo anterior se contempla la siguiente secuencia de pasos:

I. Lluvia de ideas para identificar los Riesgos que pueden afectar el cumplimiento del
objetivo de la Institución, área o proceso: Los Riesgos se identifican de acuerdo a las
situaciones de Riesgo ya definidas en el elemento Contexto Estratégico, se sugiere tomar
como referencia el glosario de Riesgos (anexo a este documento); sin embargo, estos son

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

responsabilidad del equipo de trabajo (Panel de Expertos), y el método de lluvia de ideas,
el cual propicia el enriquecimiento de gran cantidad de Riesgos. Los resultados anteriores
se consolidan en el cuadro 6., arrojando finalmente un inventario de riesgos coherente y
confiable.

Cuadro 5. Formato Identificación de Riesgos

COMPONENTE: Administración de Riesgos
ELEMENTO: Identificación de Riesgos
FORMATO: Identificación de Riesgos

Situación de Riesgo (Definidas en

Objetivos Institucionales Riesgos
Contexto Estratégico)

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 19

II. Agrupar, clasificar, describir el riesgo e identificar el efecto de su ocurrencia: Con el
fin de ahondar en el tema de criticidad de Riesgos y desarrollar una efectiva formulación de
políticas, es conveniente agrupar los Riesgos que se han identificado como resultado de la
lluvia de ideas empleada en la técnica Panel de Expertos, dicha agrupación debe
elaborarse bajo el liderazgo de uno de sus participantes, de manera que se realice una
lectura de todos los Riesgos propuestos y simplificar los que de fondo presenten
semejanza, la idea es evitar duplicidad, aumentar el grado de precisión y confiabilidad en el
desarrollo de los siguientes elementos y evitar que el proceso se convierta en una tarea
compleja y dispendiosa para el personal responsable del proceso; como segunda medida
los riesgos deben clasificarse de acuerdo a su naturaleza, las clases a considerar son las
siguientes:

 Riesgos Estratégicos: Se asocia con la forma en que se administra la Entidad. El

manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y
el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia.

 Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa
como técnica de la entidad; incluye riesgos provenientes de deficiencias en los sistemas
de información, en la definición de los procesos, en la estructura de la entidad, la
desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de
corrupción e incumplimiento de los compromisos institucionales.

 Riesgos Financieros: Se relacionan con el manejo de los recursos financieros.

 Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir su

compromiso ante la comunidad.

 Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la

tecnología disponible satisfaga las necesidades.

A continuación se procede a describir en qué consiste cada uno de los Riesgo; con la

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

finalidad de facilitar el entendimiento del mismo, se sugiere tomar de referencia el “glosario
de Riesgos”, para poder hacer la descripción, si en el glosario indicado no se encuentra el
riesgo a describir, el equipo analiza el riesgo y lo describe de acuerdo a la experiencia que
tengan de la entidad. Posteriormente se identifican los efectos que impactan el objeto de
estudio; en caso de que el riesgo sea materializado, la siguiente lista de consecuencias
facilita la acción planteada:

 Consecuencias:
 Daños Físicos
 Fallecimientos
 Sanciones
 Pérdidas Económicas
 Pérdida de Información
 Pérdida de Bienes
 Interrupción del Servicio
 Daño Ambiental
 Pérdida de Imagen
 Pérdida del Mercado

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 20

 Toda la información anterior se consolida en el cuadro 6. Que se presenta a continuación:

Cuadro 6. Formato Inventario de Riesgos

COMPONENTE: Administración de Riesgos
ELEMENTO: Identificación de Riesgos
FORMATO: Inventario de Riesgos

Objetivos Riesgos
Riesgos Afinados Clasificación del Riesgo Descripción del Riesgo Efectos
Institucionales Identificados

Objetivo 1
Objetivo 2
Objetivo 3
Objetivo 4
Objetivo 5
Objetivo n

III. Identificar causas por las cuales se generan los riesgos, utilizando la herramienta
“Causa – Efecto o Espina de pescado”: Teniendo identificados los Riesgos y la
clasificación de estos, se procede a agrupar los riesgos por clasificación, es decir, se
escogen los riesgos estratégicos, los operativos, los de cumplimiento, etc.; y se agrupan,
como causas encabezando las espinas principales, y se identifican los causas
generadores de cada Riesgo ubicándolas en las espinas secundarias, los cuales nos
orientan hacia el conocimiento de las causas específicas que generan cada Riesgo; para
esto se utilizará una técnica que corresponde a la aplicación de las 5M1, con base en esta
información se emplea la herramienta “Espina de pescado”, la cual se ha de desarrollar con
la orientación del Panel de Expertos y mediante la técnica lluvia de ideas, permitiendo
alimentar dicho gráfico de manera tal que este sea consistente y converja con las
experiencias obtenidas por la entidad, en el tema. A continuación se ilustra el gráfico
“Espina de Pescado”:

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

Figura 6. Espina de Pescado (Diagrama Causa – Efecto)

R1 R2 R3

TIPO DE
RIESGO
CAUSAS
(Asociadas a las 5M)
R4 R5 Rn
(Estratégico,
Operativo, de
Cumplimiento,
Tecnológico y
Financiero)

1
Las 5 M son: Mano de Obra, Materiales, Métodos, Medio ambiente, Maquinaria.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 21

 Espina de Pescado (Diagrama Causa – Efecto): La espina de pescado permitirá
visualizar de manera gráfica las causas que originan los Riesgos a partir de la clasificación
de estos; la categoría o tipo de riesgo se ubica en la cabeza del pescado y los riesgos en
las espinas principales de acuerdo a su clasificación: Es importante aclarar que se debe
realizar un diagrama “Espina de Pescado” hasta cubrir los riesgos que agrupan dicha
clasificación. Las causas asociadas a los agentes generadores (5M) se sitúan en las
espinas secundarias del diagrama de acuerdo a la clasificación de los riesgos.

Después de obtener todos los aspectos propios del presente elemento, es necesario
consolidar la información, con el fin de facilitar su manipulación en los siguientes elementos
de control a los cuales suministra resultados; el siguiente cuadro es útil para tal efecto:

Cuadro 8. Formato Causa – Efecto

COMPONENTE: Administración de Riesgos

ELEMENTO: Identificación de Riesgos
FORMATO: Causa - Efecto
Clasificación del Agentes Generadores /Causas
Riesgos
Riesgo Mano de Obra Materiales Métodos Medio Ambiente Maquinaria Efectos

En el cuadro 8. Formato Causa – Efecto, se ubican las causas de cada riesgo de acuerdo
a su clasificación teniendo en cuenta el agente generador que lo ocasiona;; los demás
aspectos del cuadro se extraen de su original ubicación (Cuadro 5. y Cuadro 6.) y
finalmente se consolidan en este último, considerando entonces los dos anteriores como

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

cuadros de manejo intermedio, con el fin de facilitar la obtención de la información
requerida.

ANÁLISIS DE RIESGOS

Figura 7. Proceso Administración de Riesgos – Análisis de Riesgos

Identif icación Políticas

Insumos Análisis de Valoración
de Riesgos Administración
Riesgos de Riesgos
de Riesgos
• Riesgos
identif icados

• Agentes
generadores
• Determinar la
calif icación de la
• Causas Ef ectos
probabilidad e impacto
(Formato de Causas
• Matriz de riesgo
– Ef ectos)
• Calif icación y
evaluación de riesgo

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 22

 El análisis de Riesgos tiene como propósito establecer la probabilidad (P) de ocurrencia de los
Riesgos y el impacto (I) de sus efectos en los objetivos de la Institución; además, de calificar
dichas variables y evaluar los Riesgos a fin de determinar su nivel y las respuestas a tener en
cuenta de acuerdo a la capacidad de la entidad para la aceptación o manejo del Riesgo
evaluado.

Hay dos métodos principales para analizar los riegos, estos son:

 Análisis Cualitativo
 Análisis Semi-cuantitativo

I. Determinación de la Probabilidad con el Método Semi - Cuantitativo

No todos los riesgos identificados son críticos ni a todos se les pueden prestar el mismo
nivel de atención. Para asignar la mayor cantidad de recursos a los riesgos que más lo
justifican, es necesario poder evaluar y priorizar los riesgos; para ello se debe tener en
cuenta:

 Considerar cada uno de los Riesgos y sus características.

 Analizar y Estimar la probabilidad de ocurrencia del Riesgo.
 Analizar y estimar el Impacto en caso de materialización del riesgo considerado.

Se emplea el análisis Semi – Cuantitativo, para determinar la probabilidad de ocurrencia de

cada uno de los riesgos, utilizando para ello el panel de Expertos o Equipo de Trabajo
definido. Para lo anterior, es importante considerar las causas que generan cada riesgo lo
mismo que su efecto; información que fue obtenida en el punto anterior, la cual brinda
contexto para determinar la probabilidad correspondiente. Es de valiosa ayuda contar con
datos históricos, que permitan la aplicación de métodos cuantitativos que eliminen la
subjetividad al momento de asignar la calificación a la variable evaluada. Con el fin de
mejorar las condiciones futuras para determinar la probabilidad de ocurrencia, se
recomienda construir una base de datos para el registro de los riesgos que se materialicen
y de esa manera, contar con información estadística que enriquecerá el análisis de riesgos
posteriores.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

A través del Panel de Expertos se puede evaluar el riesgo y determinar la probabilidad en
baja, media o alta de acuerdo a la experiencia de ellos; esta probabilidad considera los
siguientes rangos:

Cuadro 9. Escala de Calificación de probabilidad

PROBABILIDAD ESCALA CALIFICACION
BAJA 0 –5% 1
MEDIA 6% - 19% 2
ALTA >20% 3

II. Determinación del Impacto con el Método Cualitativo

Para medir el impacto que produce un riesgo, se utiliza este análisis con los siguientes
pasos:

 Considerar las diferentes consecuencias probables

 Determinar el impacto de acuerdo al análisis del panel de expertos en Leve, Moderado o
Catastrófico.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 23

Se define como consecuencias, situación que se puede producir a raíz de un riesgo,
considerando las condiciones predominantes. Los impactos de ocurrencia de un evento
relacionado con un riesgo en particular se pueden agrupar en las siguientes categorías:

 Daños Físicos y Fallecimientos

 Pérdidas Económicas
 Perdida de Bienes
 Daño Ambiental
 Pérdida de Imagen de la Institución
 Sanciones
 Perdida de Información
 Interrupción del Servicio
 Deterioro de la Calidad del Servicio
 Pérdida de mercado

Soportado en la técnica de Panel de Expertos, los participantes deben analizar con criticidad
cada categoría y considerar de dicha lista las consecuencias que impacten a la empresa en
caso de la materialización del riesgo en análisis, al igual que definir de acuerdo a dicha
consecuencia, que tanto impacta el objetivo de la institución.
Teniendo en cuenta lo anterior, se procede a tomar cada riesgo y determinar el impacto
según el siguiente cuadro:

Cuadro 10. Escala de Calificación del Impacto

IMPACTO CALIFICACION
LEVE 5
MODERADO 10
CATASTROFICO 20

Cuando se han clasificado las probabilidades a través del método Semi - Cuantitativo y los
impactos con el método cualitativo, se aplica la siguiente fórmula para evaluar el riesgo.

EVALUACION DEL RIESGO= P * I

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

Con dicho resultado se ubican los riesgos en la matriz de evaluación y respuesta a los
Riesgos; esta matriz grafica en el eje Y, las probabilidades y en el eje X los impactos:

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 24

 Cuadro 11. Matriz de Riesgos

PROBABILIDAD VALOR MATRIZ DE EVALUACION Y RESPUESTA DE RIESGOS

15 30 60

RIESGO RIESGO RIESGO

MODERADO IMPORTANTE INACEPTABLE
ALTA 3 Evitar el Riesgo
Prevenir la Prevenir el
Prevenir el
Entidad Riesgo
Riesgo
Proteger la Proteger la
Proteger la
Entidad Entidad
Entidad
Compartir Compartir
Compartir

10 20 40

RIESGO RIESGO RIESGO

TOLERABLE MODERADO IMPORTANTE
MEDIA 2 Prevenir la Prevenir el
Proteger la Entidad Riesgo
Entidad Proteger la Proteger la
Compartir Entidad Entidad
Compartir Compartir

5 10 20

RIESGO RIESGO RIESGO

ACEPTABLE TOLERABLE MODERADO
BAJA 1 Prevenir la
Proteger la Entidad
Aceptar el
Entidad Proteger la
Riesgo
Compartir Entidad
Compartir

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

IMPACTO LEVE MODERADO CATASTROFICO
VALOR 5 10 20

La evaluación del riesgo consiste en correlacionar la probabilidad de ocurrencia del

riesgo con su impacto, estableciendo el grado de Exposición de la Entidad al Riesgo y
definiendo medidas de respuesta.

La matriz tiene 5 zonas, en donde se ubican cada uno de los riesgos calificados; por
ejemplo, los riesgos cuyo resultado es 5 se sitúa en una zona de riesgo aceptable cuya
probabilidad baja y su impacto leve; si la probabilidad es alta y el impacto catastrófico, el
resultado de la evaluación es 60, y por lo tanto se sitúa en una zona de riesgo inaceptable.
En la matriz los riesgos se clasifican en con su respectivo color y definen el grado de
Exposición:

 Aceptable Color Verde

 Tolerable Color Amarillo

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 25

 Moderado Color Violeta
 Importante Color Naranja
 Inaceptable Color Rojo
Las medidas de respuesta para tratar el riesgo se definen así:

 Evitar o Eliminar el Riesgo: Cuando su probabilidad e impacto son altos

 Compartir el Riesgo: Reduce su efecto a través de la transferencia de pérdidas a otras
organizaciones (Ejemplo: Seguros, contratos de riesgo compartido, etc.)
 Reducir el Riesgo. Tomar medidas encaminadas a disminuir tanto la probabilidad
(medidas de prevención), como el impacto (medidas de protección).
 Aceptar el Riesgo: Asumirlo, porque su probabilidad es baja y no representa ningún
peligro para la entidad.
Según en donde se ubique el riesgo dentro de la matriz, se establece las siguientes
medidas:

Cuadro 12. Caracterización Matriz de Riesgos

RIESGO COLOR MEDIDA DEFINICION
En esta zona, el riesgo se acepta y
Aceptable Verde Aceptar el Riesgo se asume por parte de la entidad,
pero se monitorea para que no pase
a otra zona.

Proteger la Entidad En esta zona se establecen controles

- Compartir para proteger la Entidad o se
Tolerable Amarillo Comparte el Riesgo

Prevenir el Riesgo, En esta zona, la medida a seguir de

Proteger la entidad, prevenir el Riesgo, se protege o se
Moderado Violeta Compartir comparte

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

Prevenir el Riesgo, En esta zona, la medida a seguir de
Proteger la entidad, prevenir el Riesgo, se protege o se
Importante Naranja Compartir comparte

Evitar el Riesgo, Esta zona es de alto impacto, en

Prevenir el Riesgo, donde el riesgo se debe evitar, o se
Inaceptable Rojo Proteger la entidad, previene, se protege o se comparte.
Compartir En esta zona los riesgo son de mayor
importancia y hay que atacarlos para
que no se presenten

Es importante tener en cuenta que esta matriz de riesgos, evidencia la ubicación de ellos
bajo el supuesto de que la institución no posee controles; o sea, que está completamente
expuesta; situación que no es necesariamente cierta y que se ajustara en la etapa
siguiente.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 26

VALORACIÓN DE RIESGOS

Figura 8. Proceso Administración de Riesgos – Valoración de Riesgos

Análisis de Políticas
Insumos Valoración
Riesgos Administración
de Riesgos
de Riesgos

• Matrices de Riesgos

• Análisis de los
Controles Existentes
• Matriz de Riesgos
Suavizada
• Priorización de
Riesgos
• Mapa de Riesgos

A partir de la matriz anterior, se ubican los riesgos para su respectiva valoración, mediante la
cual se pretende identificar los diferentes controles y su nivel de efectividad, con el fin de ubicar
los riesgos en su real dimensión, determinado el grado de exposición de la institución, área o
proceso en estudio.

Después de la ubicación del riesgo, el procedimiento para la valoración del riesgo es el

siguiente:

1. Identificar los controles existentes, describirlos estableciendo sin son preventivos o

correctivos y responder las siguientes preguntas:

 ¿Los Controles están identificados y documentados?

 ¿Se están aplicando en la actualidad?

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

 ¿Es Efectivo para minimizar el riesgo?

Es importante resaltar que los controles que se identifican en este ítem, son el resultado del
elemento controles, el cual se desarrolla en el componente actividades de Control, esto
retroalimentan esta metodología y contienen los niveles de eficacia, eficiencia y efectividad,
mediante las cuales se pueda dar respuesta precisa a las preguntas anteriores.

2. Cuando se haya respondido las anteriores preguntas se procede a realizar la valoración

así:

a. Calificados y evaluados los riesgos, analícelos frente a los controles existentes en cada
riesgo

b. Reubique cada uno de los riesgos identificados anteriormente en la zona que le

corresponda, de acuerdo a los resultados obtenidos según la tabla de valoración que se
ilustra a continuación. Tenga en cuenta las respuestas a las preguntas anteriormente
formuladas (los Controles se encuentran documentados, se aplican y son efectivos).

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 27

Cuadro 13. Criterios de Valoración
CRITERIOS VALORACION DEL RIESGO

Se mantiene el resultado de la evaluación

No existen controles documentados o si
existen pero no se aplican y no son
efectivos
correspondiente al análisis, por lo tanto se
mantiene el riesgo en la zona en la cual se
encuentra. (Por ejemplo: si un riesgo está en
Zona de Riesgo inaceptable antes de controles
a una valoración alta – 60, conserva dicha
posición.

Cambia el resultado de la evaluación antes de

controles bajando una casilla (Zona de Riesgo
Los Controles Existentes, se aplican y no importante o moderado) y equivaldría a una
son efectivos valoración Media – 40, 30, 20 o 15.

Los Controles Existentes, se aplican y Pasa la zona Tolerable o aceptable y

son efectivos para minimizar el riesgo equivaldría a una valoración Baja 10 o 5

En la siguiente matriz se puede ver más claramente los criterios establecidos:

Figura 14. Matriz de Evaluación y Respuesta de Riesgos – Controles Existentes

PROBABILIDAD VALOR MATRIZ DE EVALUACION Y RESPUESTA DE RIESGOS

15 30 60 No existen Controles
documentados so si existen
R1 pero no se aplican y no son
ALTA 3 R2 efectivos. Se mantiene el
R3 Resultado de evaluación

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

RIESGO RIESGO RIESGO
MODERADO IMPORTANTE INACEPTABLE
Los Controles existentes, se
10 20 40 aplican y no son efectivos.
Cambia el resultado de la
evaluación antes de los
MEDIA 2 R3 R2
controles bajando un casilla ya
RIESGO RIESGO RIESGO se zona Importante o
TOLERABLE MODERADO IMPORTANTE moderado
5 10 20
Los Controles Existentes, se
BAJA 1 aplican y son efectivos para
minimizar el riesgo. Pasa a la
RIESGO RIESGO RIESGO Zona Tolerable o Aceptable
ACEPTABLE TOLERABLE MODERADO
IMPACTO LEVE MODERADO CATASTROFICO
VALOR 5 10 20

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 28

 GLOS ARIO

AUTOCONTROL: Capacidad de controlar o regular la propia conducta.

AUTOEVALUACION: Método que consiste en valorar uno mismo su propia capacidad, así
como la calidad del trabajo realizado.

AUTOGESTIÓN: Capacidad institucional para coordinar las acciones que le permiten cumplir
con el Mandato Constitucional y con las competencias y normas que la rigen.

AUTOEVALUACION: Método que consiste en valorar uno mismo su propia capacidad, así
como la calidad del trabajo realizado.

DESAGREGADO: Nivel o grado de subdivisión por niveles jerárquicos de un modelo.

DIRECTRICES: Guías de acción. Instrucciones o normas generales para la ejecución de algo.

ESTRATEGIA: Esquema específico de utilización de los recursos con miras a alcanzar

objetivos a largo plazo.

INCERTIDUMBRE: Falta de certidumbre o Conocimiento seguro y claro de algo.

INSUMOS: Entradas del proceso, necesarias para la elaboración un producto.

INTERACCION: Acción que se ejerce recíprocamente entre dos o más objetos, agentes,
fuerzas, funciones, etc.

INTERDEPENDENCIA: Dependencia recíproca.

LINEAMIENTO: Dirección, tendencia. Rasgo característico de algo.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

MARCO DE ACCION: Conjunto de circunstancias o ámbito en donde se desarrolla una labor a
acción.

MAPA DE PROCESOS: Descripción ilustrada que permite visualizar un proceso entero e

identificar áreas de fortalezas y debilidades. Ayuda a reducir la duración y defectos de ciclo
mientras que reconoce el valor de contribuciones individuales.

METODOLOGIA: Conjunto de métodos que se siguen en una investigación científica o en una

exposición doctrinal.

MISION: La misión es el motivo, propósito, fin o razón de ser de la existencia de una empresa u
organización.

OPERACIONALIADAD: Relativo a la correcta operación de un proceso.

RIESGO: Situación o evento sobre una actividad, que afecte el funcionamiento para lograr los
objetivos del proceso, los cuales están alineados con los objetivos de la entidad.

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 29

SERVIDORES PÚBLICOS: Son los miembros de las corporaciones públicas, los empleados y
trabajadores del Estado y de sus entidades descentralizadas territorialmente y por servicios.

SISTEMICA: Perteneciente o relativo a la totalidad de un sistema; general, por oposición a

local. Perteneciente o relativo a un organismo en su conjunto.

VALORACIÓN DE RIESGOS: Es un Elemento del Componente Administración de Riesgos que

comprende el conjunto de acciones por las cuales se estima la magnitud de los riesgos
(frecuencia e impacto), y se evalúan para determinar si pueden aceptarse o no.

VISIÓN: Se define como el camino al cual se dirige la empresa a largo plazo y sirve de rumbo y
aliciente para orientar las decisiones estratégicas de crecimiento junto a las de competitividad.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 30

 BIBLIOGR AFÍ A

 REPÚBLICA DE COLOMBIA. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN

PÚBLICA. Manual de Implementación Modelo Estándar de Control Interno para el Estado
Colombiano MECI 1000:2005. Bogotá: DAFP, Marzo de 2005. p. 90.

 REPÚBLICA DE COLOMBIA. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN

PÚBLICA. Guía de Administración de Riesgos. Bogotá: DAFP, Junio de 2004. p. 66.

 ESTÁNDAR AS/NZ. 4360:1999, Administración del Riesgo.

 USAID CASALS. Modelo de control interno para entidades del estado – versión i. manual
de implementación. primera edición marzo 2004.

METODOLOGIA PARA LA ADMINISTRACIÓN DE RIESGOS

PROYECTO DE DISEÑO E IMPLANTACIÓN DEL MECI EN EMCALI EICE ESP 31