Metodologia Sistema Admon Riesgos

ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2

METODOLOGÍA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

OPERACIONALES
Versión 2.0
DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES
DIRECCIÓN DE GESTIÒN ORGANIZACIONAL
SUBDIRECCIÓN DE GESTIÓN DE PROCESOS Y COMPETENCIAS LABORALES
COORDINACIÒN DE LA DINÀMICA DE LOS PROCESOS
Bogotá, D.C., Diciembre de 2009
1
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009

ANEXO 2

INDICE
INTRODUCCIÓN .................................................................................................... 4
1. MARCO CONCEPTUAL............................................................................ 5
2. METODOLOGÍA PARA EL DESARROLLO DEL SISTEMA DE
ADMINISTRACIÓN DE RIESGOS OPERACIONALES ............................ 6
2.1. ALCANCE Y DEFINICIÓN METODOLÓGICA ___________________________6
2.2. ESTRUCTURA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS________7

2.2.1. Estructura de Dirección y Responsabilidad................................................................................ 8
2.2.2. Marco para la administración del riesgo ..................................................................................... 8
2.2.3. Implementación de la Administración del Riesgo...................................................................... 9
2.2.3.1. Valoración de Riesgos......................................................................................................... 9
2.2.3.2. Tratamiento de Riesgos .................................................................................................... 10
2.2.3.3. Monitoreo de Riesgos........................................................................................................ 11
2.2.4. Seguimiento y Revisión al Sistema de Administración de Riesgos...................................... 11
2.2.5. Mejoramiento Continuo del Sistema ......................................................................................... 11
3. DESARROLLO DE LA METODOLOGÍA ................................................ 11
3.1. DEFINICIÓN DE LA ESTRUCTURA DE DIRECCIÓN Y RESPONSABILIDAD

DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES ___11
3.2. DISEÑO DEL MARCO PARA LA ADMINISTRACIÓN DEL SISTEMA DE

RIESGOS OPERACIONALES ______________________________________12
3.2.1. Contextos en la DIAN .................................................................................................................. 12
3.2.1.1. Contexto Estratégico ......................................................................................................... 12
3.2.1.2. Contexto Organizacional ................................................................................................... 13
3.2.1.3. Contexto de Riesgos ......................................................................................................... 14
3.2.2. Principios Rectores del Sistema ................................................................................................ 15
3.2.3. Objetivos del Sistema.................................................................................................................. 16
3.2.4. Políticas de administración de riesgos...................................................................................... 16
3.2.5. Criterios de Medición ................................................................................................................... 17
3.2.5.1. Tabla de Medición del Impacto ......................................................................................... 17
3.2.5.2. Tabla de Medición de la Probabilidad ............................................................................... 17
3.2.5.3. Mapa de Riesgo ................................................................................................................ 17
3.2.6. Herramientas del Sistema de Administración de Riesgos Operacionales .......................... 18
3.2.6.1. Formato 1387 Valoración de Riesgos Operacionales....................................................... 18
3.2.6.2. Formato 1453 Identificación o Modificación de Riesgos Operacionales .......................... 18
2

ANEXO 2

3.2.6.3. Formato 1367 Acciones Correctivas y Preventivas .......................................................... 18

3.2.6.4. Formato 1146 Identificación o Modificación de Riesgos Operacionales .......................... 18
3.3. IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

OPERACIONALES _______________________________________________19
3.3.1. Identificación de Riesgos ............................................................................................................ 19
3.3.1.1. Antecedentes..................................................................................................................... 19
3.3.1.2. Consolidación de la información e identificación final de los riesgos ............................... 20
3.3.1.3. Modificación de riesgos e identificación de nuevos eventos de riesgo............................. 21
3.3.2. Análisis de Riesgos...................................................................................................................... 21
3.3.2.1. Medición del Riesgo puro, absoluto o inherente ............................................................... 22
3.3.2.2. Ejemplo Medición del Riesgo Inherente para el Mapa de Riesgo Institucional ................ 23
3.3.3. Evaluación de Riesgos ................................................................................................................ 26
3.3.3.1. Eficiencia de los Controles ................................................................................................ 27
3.3.3.2. Mapa de Riesgos Residuales............................................................................................ 28
3.3.3.3. Ejemplo Medición del Riesgo Residual para el Mapa de Riesgo Institucional ................. 28
3.3.4. Tratamiento de Riesgos .............................................................................................................. 31
3.3.5. Monitoreo de Riesgos.................................................................................................................. 32
3.3.5.1. Reporte de Eventos de Riesgos Operacionales Materializados....................................... 32
3.3.5.2. Seguimiento al Nivel de Severidad de los Eventos de Riesgo Operacionales................. 33
3.3.5.3. Medición de Indicadores del Sistema de Administración de Riesgos Operacionales ...... 33
3.3.5.4. Seguimiento a la ejecución de los planes de mejoramiento ............................................. 34
3.4. SEGUIMIENTO Y REVISIÓN DEL SISTEMA DE ADMINISTRACIÓN DE

RIESGOS OPERACIONALES ______________________________________34
3.5. MEJORAMIENTO CONTINUO DEL SISTEMA _________________________35

Anexo 1: Clasificaciones de Riesgo .................................................................. 36
Anexo 2: Tabla de Riesgos Institucionales....................................................... 37
Anexo 3: Tabla de medición del impacto .......................................................... 41
Anexo 4: Tabla de medición de la probabilidad ............................................... 43
Anexo 5: Mapa de Riesgos ................................................................................. 44
Anexo 6: Evaluación de Controles .................................................................... 45
Anexo 7: Tipos de Tratamiento .......................................................................... 50
Anexo 8: Indicadores del Sistema de Administración de Riesgos
Operacionales...................................................................................................... 52
3

ANEXO 2

INTRODUCCIÓN
Durante los últimos años la Dirección de Impuestos y Aduanas Nacionales, DIAN, ha

dedicado recursos y especial atención a la identificación de los principales riesgos
operacionales que pueden surgir en su operación. Atendiendo las orientaciones
consagradas en la normatividad nacional en materia de calidad y control interno en la
Gestión Pública, la entidad ha intensificado sus esfuerzos a fin de contar con un Sistema
idóneo de ADMINISTRACIÓN DE RIESGOS OPERACIONALES para enfrentar de
manera solvente las contingencias que pudieran comprometer el logro de sus objetivos
institucionales.
El presente documento contiene la metodología en la que se apoya la DIAN, para el

diseño, implementación, mantenimiento y gestión de su Sistema de Administración de
Riesgos Operacionales. Este Sistema es resultado de un trabajo multidisciplinario y de
amplia participación, adelantado al interior de la entidad con la colaboración de los
funcionarios que intervienen en los diversos procesos institucionales, liderado por un
Grupo de Gestores de Riesgo y acompañados por un equipo de consultores externos, con
experiencia en el diseño e implementación de Sistemas de gestión de riesgos
corporativos.
El documento está estructurado en tres secciones. En la primera de ellas se presenta de

manera sencilla un marco conceptual acerca de lo que puede entenderse por Sistema de
Administración de Riesgos Operacionales y la pertinencia de su aplicación en la DIAN; en
la segunda, se describen brevemente los principales elementos o etapas que conforman
la gestión del riesgo. Por último, la sección tres presenta la metodología para el desarrollo
del Sistema de riesgos operacionales en la DIAN, la cual incluye, la definición de la
estructura de dirección y responsabilidad, el diseño del marco para la administración del
riesgo, la implementación de las etapas de la administración del riesgo, el seguimiento y
revisión del Sistema y el Mejoramiento continuo del Sistema.
4

ANEXO 2

1. MARCO CONCEPTUAL
Se entiende por riesgo “toda posibilidad de ocurrencia de aquella situación que pueda
entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus
objetivos” 1 y/o como el efecto de incertidumbre sobre los objetivos2.
En la DIAN se entiende como riesgo operacional todo evento adverso que se presente o
pueda presentarse en el desarrollo y/o ejecución de los procesos de la Entidad que esté o
no bajo el control de la misma y pueda afectar en alguna medida el logro de los objetivos
institucionales. Los riesgos operacionales se clasifican de acuerdo con las categorías
establecidas en el Anexo 1: Clasificaciones de Riesgo3.
La administración de riesgos, por su parte, “es el término aplicado a un método lógico y

sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados con una actividad, función o proceso de una forma que
permita a las organizaciones minimizar pérdidas y maximizar oportunidades.”4
Se trata de una herramienta de gestión, liderada desde la alta dirección de las

organizaciones, incorporada en la definición de sus estrategias básicas e igualmente
aplicables en ámbitos más específicos de las instituciones.
El análisis de riesgos operacionales está diseñado para identificar eventos potenciales

que puedan afectar a la organización, gestionarlos y brindar una seguridad razonable
sobre la consecución de los objetivos de la entidad.
Las entidades de la administración pública no pueden ser ajenas a la materialización de

eventos de riesgo y deben prepararse para gestionarlos adecuadamente, partiendo de la
base de su razón de ser y su compromiso con la sociedad; por esto se debe tener en
cuenta que los riesgos no sólo son de carácter económico y están directamente
relacionados con entidades financieras o con lo que se ha denominado riesgos
profesionales sino que hacen parte de cualquier gestión que se realice5.

1 Departamento Administrativo de la Función Pública. Guía Administración del Riesgo. Segunda edición. Colombia 2004.
2 Organización Internacional de Estandarización. ISO 31000 Risk management. Principles and guidelines.. 2009.
3 La definición de Riesgos Operacionales obedece a la adecuación realizada por la DIAN de la normatividad vigente para identificar su Sistema de
Administración de Riesgos y normalizarlo de acuerdo con sus necesidades.
4 Standars Australia. Administración de Riesgos, AS/NZS 4360:1999 Estándar Australiano. (El estándar australiano es una metodología con
reconocimiento internacional, sobre la cual se basó el ICONTEC para el desarrollo de la Norma Técnica Colombiana NTC 5254).
5 Op. Cit,. Departamento Administrativo de la Función Pública. 2004.
5

ANEXO 2

Por supuesto, la DIAN, al igual que todas las organizaciones de carácter público, se
encuentra permanentemente expuesta a estos eventos de riesgo, y por ello es necesario
crear mecanismos efectivos de control que permitan reducir la vulnerabilidad de la
organización ante los mismos, es decir, que la entidad debe realizar las acciones
necesarias, viables y efectivas con el objetivo de prevenir la ocurrencia o minimizar el
impacto de los eventos que puedan afectar el logro de sus objetivos y la adecuada gestión
de los procesos.
La presencia latente de múltiples riesgos en torno a la gestión de la DIAN podría poner en

peligro la seguridad fiscal del Estado colombiano y el orden público económico nacional,
si no se cuenta con un adecuado manejo de estas contingencias. La DIAN es una entidad
de gran importancia en la sociedad colombiana en tanto que su misión permite recaudar
la mayor parte de los ingresos corrientes de la nación y, por ello, un principio básico de
responsabilidad social exige que la administración tributaria cuente con un Sistema que le
permita hacer frente a eventos riesgosos sin afectar de manera sustancial sus objetivos
fundamentales.
El Sistema de Administración de Riesgos Operacionales debe incorporarse en el diseño

de la planeación estratégica institucional, al igual que en la formulación de los
instrumentos de planeación de periodicidad anual. Este Sistema debe constituir un
proceso continuo de periódica actualización.
Esta clase de herramientas se emplea tanto para gestionar los riesgos en el conjunto de
la entidad como también en los distintos niveles que la integran. Consecuentemente, se
requiere que el Sistema de Administración de Riesgos Operacionales de la entidad sea
conocido por los funcionarios en todos los niveles de la organización.
2. METODOLOGÍA PARA EL DESARROLLO DEL SISTEMA DE

ADMINISTRACIÓN DE RIESGOS OPERACIONALES
La metodología para el desarrollo del Sistema de Administración de Riesgos

Operacionales en la DIAN, está soportada en la Norma Técnica Colombiana NTC 5254
editada por el Instituto Colombiano de Normas Técnicas y Certificación y el Estándar
Internacional ISO 31000 “Risk management Principles and guidelines” emitido por el
Organismo Internacional de Estandarización.
2.1. ALCANCE Y DEFINICIÓN METODOLÓGICA

La NTC 5254 – Gestión del Riesgo, presentada por el Instituto Colombiano de Normas
Técnicas y Certificación – ICONTEC -, que tomó como referencia el estándar australiano
AS/NZ 4360:1999, provee una guía genérica para el establecimiento e implementación del
6

ANEXO 2

proceso de administración de riesgos involucrando el establecimiento del contexto y la

identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de
los riesgos.
El Estándar Internacional ISO 31000 “Risk Management Principles and Guidelines”

emitido por el Organismo Internacional de Estandarización, proporciona una guía para la
implementación de un Sistema de Administración de Riesgos que conciba no solo la
implementación de las etapas del proceso de administración de riesgos sino que permita
establecer su estructura, el marco de gestión, elementos para su seguimiento, revisión y
mejoramiento.
2.2. ESTRUCTURA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

El Sistema de Administración de Riesgos Operacionales de la DIAN se estructura de
acuerdo con las siguientes etapas:
1. Estructura de Dirección y Responsabilidad
2. Marco para la Administración del Riesgo
3. Implementación de la Administración del Riesgo: que contiene:
3.1 Valoración: involucra la identificación, análisis y evaluación de los riesgos.
3.2 Tratamiento: Define los planes de mejoramiento
3.3 Monitoreo del Riesgo: Refleja las actividades de seguimiento y revisión

aplicables al Sistema para validar su conformidad.
4. Seguimiento y Revisión del Sistema de Administración de Riesgos Operacionales
5. Mejoramiento Continuo del Sistema
En el siguiente esquema se representa la estructura del Sistema de Administración de

Riesgos Operacionales de la DIAN:
7

ANEXO 2

g p
1. Definición de la Estructura de 3.1 Valoración de Riesgos
Dirección y Responsabilidad
3.1.1. Identificación de Riesgos
2. Diseño del marco para la
administración del riesgo
3.1.2. Análisis de Riesgos
3. Implementación de la
administración del riesgo 3.1.3. Evaluación de Riesgos
4. Seguimiento y Revisión del

Sistema 3.2. Tratamiento de Riesgos
5. Mejoramiento Continuo del 3.3. Monitoreo de Riesgos

Sistema
2.2.1. Estructura de Dirección y Responsabilidad

El primer elemento requerido para la implantación del Sistema de Administración de
Riesgos Operacionales y que asegura en gran medida su efectividad es la definición de
las responsabilidades desde la Dirección General hacia todos los niveles que se vean
involucrados en dicha gestión.
En esta etapa igualmente deben ser definidos algunos elementos como la política de
administración de riesgos y los indicadores de desempeño del Sistema asegurándose del
cumplimiento normativo.
2.2.2. Marco para la administración del riesgo

El segundo elemento involucra el entendimiento del entorno en el cual se desarrolla el
objeto social de la Entidad, la adopción de la política de administración de riesgos y la
definición de los elementos y criterios requeridos para la implantación del Sistema tales
como los recursos, integración con los procesos y mecanismos de medición, monitoreo y
reporte.
Lo correspondiente al establecimiento del contexto, consiste en definir los parámetros

básicos dentro de los cuales se va a gestionar el riesgo; estos parámetros deben ser
determinados desde tres contextos: el estratégico, el organizacional y el de la gestión del
riesgo.
8

ANEXO 2

2.2.3. Implementación de la Administración del Riesgo

En esta etapa se establecen las fases de implementación del Sistema de Administración
de Riesgos Operacionales, así como las herramientas que deben ser utilizadas para su
ejecución. Se divide en la Valoración, tratamiento y monitoreo de riesgos.
2.2.3.1. Valoración de Riesgos
2.2.3.1.1. Identificación de Riesgos

El primer elemento de la valoración de los riesgos operacionales corresponde a la
identificación, en esta fase se busca identificar todos los riesgos que estén o no bajo el
control de la organización y que puedan afectar en alguna medida el logro de los objetivos
corporativos. La identificación de los riesgos posibilita definir las causas y los efectos de
situaciones que pueden afectar el logro de los objetivos institucionales enmarcados en la
estructura de dirección y responsabilidad definida y en el marco para la administración del
riesgo. Este trabajo se realiza utilizando diferentes fuentes de información pero
principalmente con la participación de los empleados públicos que día a día gestionan los
procesos en calidad de expertos.
Para la identificación de riesgos pueden utilizarse varias herramientas y técnicas, como

son: análisis de flujos y procesos, juicios basados en la experiencia, lluvia de ideas, listas
de chequeo, etc., lo importante es que estas herramientas permitan determinar la lista de
eventos que podrían afectar a la organización en la consecución de sus principales
objetivos y en el desarrollo de sus procesos.
La información generada de la ejecución de esta etapa debe ser documentada en la

matriz de riesgo que la Entidad haya definido para este fin.
2.2.3.1.2. Análisis de Riesgos

Una vez identificados los riesgos, se avanza a la siguiente fase que consiste en
establecer la frecuencia o la probabilidad con la que se podrían materializar los eventos
riesgosos y su grado de incidencia en la operación de las organizaciones sin tener en
cuenta el efecto de los controles
El análisis del riesgo permite establecer la severidad de los eventos de riesgo, la cual se
obtiene de la combinación entre la estimación de la probabilidad de ocurrencia y el
impacto de sus consecuencias. Esta primera calificación proporciona una aproximación al
máximo riesgo al que se encuentra expuesta la Entidad y a la capacidad requerida para la
administración de sus riesgos.
9

ANEXO 2

Las consecuencias y probabilidad de ocurrencia de un riesgo se pueden estimar utilizando

análisis estadísticos, o mediante valoraciones cualitativas en las que prima la ordinalidad6.
En esta etapa el principal producto es un mapa de riesgos inherente a la operación de la

organización. En el mapa se combinan las dos dimensiones del plano, la probabilidad y el
impacto, determinando en cada punto específico un nivel de severidad del evento
riesgoso.
2.2.3.1.3. Evaluación de Riesgos

Durante esta etapa se identifican los controles que la entidad ha establecido para
gestionar los riesgos operacionales inherentes a los procesos. Se estima la efectividad de
los controles y de acuerdo con este cálculo se estima el nivel de severidad de los riesgos
analizándolos nuevamente en su probabilidad e impacto. Al calificar los riesgos teniendo
en cuenta la incidencia de los controles sobre los mismos ya no se habla de riesgos
inherentes sino de riesgos residuales, aludiendo con tal denominación a la porción del
evento de riesgo que persiste aún después de haberse aplicado los controles diseñados
por la entidad; cuanto más alta sea la efectividad del control más baja será la severidad
del riesgo.
De este ejercicio, surge como producto el mapa de riesgos residuales, con base en lo cual
se priorizan los eventos de riesgo y se determinan los tratamientos respectivos de
acuerdo con lo definido en la siguiente fase de implementación.
2.2.3.2. Tratamiento de Riesgos

En esta etapa se toman decisiones entre una gama de opciones para definir, qué
tratamiento se aplicará a los riesgos residuales, incluyendo ajustes en los controles ya
establecidos.
A partir del grado de exposición al riesgo se priorizan los eventos de riesgo de acuerdo
con su severidad frente al logro de los objetivos de la entidad, y de acuerdo a esta
clasificación se definen y ejecutan las acciones tomadas para evitar, gestionar, transferir o
asumir las causas del riesgo.
Los tratamientos definidos independientemente de la zona de riesgo en la que este

clasificado el evento se manejan como planes de mejoramiento e impactan los planes
operativos establecidos en la Entidad.

6 Se entiende por ordinalidad, la asignación de un número que exprese la idea de orden o sucesión; p. ej., primero, segundo, quinto, sexto. En el caso
de riesgos este orden se debe al incremento en la probabilidad de ocurrencia o al incremento en el impacto asociado a los eventos de riesgo.
10

ANEXO 2

2.2.3.3. Monitoreo de Riesgos

En el monitoreo se definen los mecanismos que permitirán llevar a cabo un adecuado
seguimiento del Sistema y su respectiva retroalimentación asegurando así su
actualización en el tiempo y la generación de información pertinente para la toma de
decisiones.
El monitoreo permite detectar nuevos riesgos, modificar los eventos de riesgo ya

identificados, hace posible asegurar la aplicación de los controles y verificar su efectividad
así como la eficacia de las acciones de tratamiento definidas.
2.2.4. Seguimiento y Revisión al Sistema de Administración de Riesgos

En esta etapa se establecen los mecanismos a través de los cuales de manera periódica
se validará la conformidad de los elementos definidos en el marco de la administración del
riesgo y se determinan los ajustes que deban ser realizados al mismo para asegurar su
efectividad y la generación de información fiable para la toma de decisiones.
2.2.5. Mejoramiento Continuo del Sistema

En esta etapa se modifican los elementos y etapas que de acuerdo con el seguimiento y
revisión del Sistema deban ser objeto de ajustes o complementos y debe involucrar los
objetivos, estrategias y acciones para incrementar la capacidad del Sistema de
Administración de Riesgos operacionales en la eliminación o mitigación de los riesgos de
mayor severidad teniendo como objetivo principal incrementar la cultura de prevención y
gestión de riesgos en la Entidad.
3. DESARROLLO DE LA METODOLOGÍA
3.1. DEFINICIÓN DE LA ESTRUCTURA DE DIRECCIÓN Y RESPONSABILIDAD DEL

SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES
En la DIAN con el propósito de estructurar el Sistema de Administración de Riesgos

Operacionales y acorde con la normatividad vigente se definieron las responsabilidades
de las diferentes dependencias para el diseño, implementación, mantenimiento y mejora
del Sistema y las mismas se establecen en la orden administrativa Nº .
11

ANEXO 2

3.2. DISEÑO DEL MARCO PARA LA ADMINISTRACIÓN DEL SISTEMA DE

RIESGOS OPERACIONALES

En la DIAN el marco para la administración del Sistema de Riesgos, contiene los
siguientes elementos:
3.2.1. Contextos en la DIAN

3.2.1.1. Contexto Estratégico

La DIAN es una entidad del gobierno central, adscrita al Ministerio de Hacienda y Crédito
público, que tiene entre sus competencias la responsabilidad de administrar los
principales tributos del orden nacional, dirigir la gestión aduanera y garantizar el
cumplimiento del régimen cambiario por importación y exportación de bienes y servicios.
La DIAN, tal como ocurre con otras administraciones tributarias, es una de las
instituciones públicas de mayor interacción directa con los ciudadanos. Sus actuaciones
son un importante referente en la percepción social de la institucionalidad de un país.
En general, las administraciones tributarias son instituciones a las cuales se confía un

conjunto de recursos humanos, financieros y tecnológicos, que deben articularse de la
manera más eficiente posible a fin de garantizar el cumplimiento de las obligaciones
tributarias que la normatividad ha impuesto a una sociedad.
La DIAN desarrolla esa misión brindando a los contribuyentes servicios que facilitan el
cumplimiento de sus obligaciones, efectuando al mismo tiempo, los controles necesarios y
enmarcando su actuación en los principios constitucionales y legales que regulan la
gestión pública.
Frente a la DIAN las personas naturales y jurídicas declaran la renta que han obtenido
durante la vigencia fiscal y bimestralmente los responsables del IVA le informan mediante
declaraciones el comportamiento de sus ventas y de sus obligaciones tributarias. Al
mismo tiempo, la DIAN interactúa con personas naturales y jurídicas que mensualmente
reportan las retenciones en la fuente por ellas practicadas. Esta información se constituye
como el insumo principal para el cumplimiento de la misión de la entidad.
Al menos una vez en el año los importadores o exportadores emplean los servicios de
facilitación del comercio exterior que brinda la DIAN.
En el mediano plazo la entidad pretende consolidar la autoridad fiscal del Estado y la

autonomía de la administración tributaria, alcanzar altos niveles de cumplimiento
voluntario de las obligaciones impositivas y lograr que la sociedad colombiana se
sensibilice frente a la importancia de contar con un Sistema tributario más simple.
La misión y visión de la DIAN forman parte de una estrategia de modernización
institucional puesta en práctica en el año 2003 y que ha contado con el apoyo y confianza
12

ANEXO 2

del gobierno nacional, de tal manera que con la introducción de los ajustes necesarios
puede afirmarse que la organización ha logrado consolidar una planeación estratégica de
mediano plazo.
Sin embargo, las contingencias internas, así como las provenientes de su entorno
económico, político y social, pueden afectar negativa y significativamente la gestión de la
entidad. Es por ello que la DIAN considera de importancia capital la incorporación del
análisis de riesgos en su planeación estratégica.
Actualmente el análisis de riesgos hace parte integral del Mapa Estratégico, del Código de
Buen Gobierno, y de los Planes y Proyectos de la entidad. También es revelador de la
construcción de una cultura de análisis de riesgos en la entidad, el hecho que en Las
Evaluaciones Anuales al Plan Estratégico, los Informes de Gestión (rendición de cuentas),
y el Diagnóstico del Desarrollo Institucional, se establecen las debilidades y amenazas a
los que se enfrenta la DIAN y, a la vez, cada uno de sus procesos, subprocesos y
procedimientos aporta información relevante sobre la cual se va actualizando el mapa de
eventos de riesgos.
La DIAN expidió la Resolución 10621 el 31 de octubre de 2008, por medio de la cual

adoptó su Código de Buen Gobierno, el Código de Ética y los Valores Institucionales, que
hacen parte de los soportes de la estrategia de la institución.
3.2.1.2. Contexto Organizacional

El proceso de modernización de la administración tributaria nacional que Colombia ha
adelantado durante los últimos años, ha llevado paulatinamente a que la entidad se
transforme para enfatizar su orientación hacia la prestación de servicios de facilitación y
asistencia a los contribuyentes, al tiempo que se han fortalecido los controles necesarios
para afianzar el cumplimiento de las obligaciones tributarias.
La globalización de la economía a nivel internacional con sus exigencias en materia de

competitividad y el aumento de las responsabilidades fiscales a cargo del gobierno
nacional han sido dos rasgos fundamentales que caracterizan el entorno en el que opera
la administración impositiva colombiana. Esa realidad se ha expresado en importantes
reformas al Sistema tributario nacional con la consecuencia para la DIAN de incrementar
notablemente sus metas de recaudo, el número de clientes directos, los procesos bajo su
responsabilidad y la cantidad de información relevante para su gestión. Estos retos
crecientes han debido afrontarse en medio de una legislación tributaria cuya persistente
complejidad es generadora de riesgos para el logro de los objetivos institucionales.
En este entorno la DIAN ha definido y gestionado las acciones necesarias para armonizar
sus recursos humanos y tecnológicos y la estructura organizacional con la estrategia de
modernización. Por otra parte, desde su rol propositivo, la DIAN también ha continuado
llamando la atención sobre la importancia que para el desarrollo del país tiene la
13

ANEXO 2

simplificación del Sistema tributario y permanentemente realiza aportes técnicos en tal

dirección.
La modernización institucional empezó a concretarse con la creación de un nuevo modelo

de gestión apoyado en el uso intensivo de tecnologías de la información y en el aporte del
conocimiento especializado de su talento humano. En el nuevo modelo de gestión las
funciones y competencias trascienden el espacio que tradicionalmente ocupaban dentro
de cada dependencia de la organización y se articulan ahora mediante procesos,
subprocesos y procedimientos institucionales, claramente identificados, estandarizados y
formalizados.
El modelo de gestión se complementa y consolida con la reciente aprobación de las

iniciativas que la DIAN había planteado ante el Ministerio de Hacienda, el Departamento
Nacional de Planeación y el Departamento Administrativo de la Función Pública, que
permiten a la entidad contar con una estructura organizacional y una planta de
funcionarios alineadas con la estrategia de modernización.
Otro de los principales logros en materia organizacional es la integración de los diferentes

Sistemas con que venía engranando sus acciones la entidad en los campos de Gestión de
la Calidad (NTCGP 1000:2004) y Control Interno (MECI 1000:2005), de manera que la
DIAN pueda responder adecuadamente a los requerimientos planteados en dicha
normatividad a través de un único Sistema de gestión de calidad y control interno, que
además de integrar estas disposiciones, facilita su aplicación y desarrollo.
Específicamente, el Modelo Estándar de Control Interno incluye un componente de
análisis de riesgos, ahora comprendido dentro de la norma integral que regula la gestión
de la DIAN.
El Sistema de Gestión de Calidad y Control Interno se adopta y define mediante la

Resolución No. 01131 de Diciembre 4 del 2008 y el Mapa de Procesos de la entidad se
adoptó con la Resolución 10621 del 31 de Octubre de 2008, con la finalidad de mejorar el
desempeño de la entidad y su capacidad de proporcionar productos y servicios que
respondan a las necesidades y expectativas de sus clientes, y a la vez fortalecer el control
y la evaluación interna, orientando a la entidad hacia el cumplimiento de sus objetivos
institucionales.
3.2.1.3. Contexto de Riesgos

Para la adecuada administración de los riesgos en la DIAN, se cuenta con documentos
guías que contienen los lineamientos generales de implementación del Sistema tales
como objetivos y políticas operacionales, incluyendo las actividades requeridas para su
implementación y mantenimiento y la respectiva estructura organizacional para su
desarrollo.
Este Sistema se integra en todas sus fases con los procesos, subprocesos y
procedimientos establecidos en la Resolución 10621 de 2008 a través de metodologías de
reconocido valor técnico en la administración de riesgos, las cuales contienen
14

ANEXO 2

mecanismos que permiten su escalamiento del Sistema a todos los niveles y su

respectiva divulgación a todos los funcionarios.
La Coordinación de la Dinámica de los Procesos de la Subdirección de Gestión de

Procesos y Competencias Laborales es responsable de diseñar y coordinar la gestión del
sistema de administración de riesgos operacionales, componente del Sistema de Gestión
de calidad y Control Interno. La principal labor de esta Coordinación será la de ejecutar
las acciones necesarias para garantizar la eficiente operación del Sistema de
Administración de Riesgos Operacionales de la DIAN, dando la orientación técnica y
metodológica para el desarrollo de las fases de implementación del Sistema en los
distintos niveles de la entidad.
3.2.2. Principios Rectores del Sistema

Las etapas definidas y la evolución del Sistema de Administración del Riesgo en la
entidad están soportadas en los siguientes principios:
a. Prevención
Adoptar las acciones necesarias, viables y efectivas para prevenir la ocurrencia o
minimizar el impacto de los riesgos que puedan afectar o entorpecer el logro de los
objetivos y la gestión de los procesos.
b. Autorregulación
La administración de los riesgos se fundamenta en la utilización de métodos y
procedimientos idóneos, aplicados de manera participativa en los distintos niveles
de la organización, bajo un entorno de integridad, eficiencia y transparencia.
c. Autocontrol
La administración de riesgos proporciona controles adecuados que permiten a la
organización detectar oportunamente la ocurrencia de un evento riesgoso, a fin de
efectuar las acciones preventivas y correctivas que sean necesarias.
d. Razonabilidad
Se otorga prioridad al tratamiento de los riesgos de mayor severidad de
conformidad con las decisiones que en tal materia tome la alta dirección de la
organización. Los recursos asignados al tratamiento de los riesgos y a la
implantación de controles guardan proporcionalidad con su incidencia y
probabilidad de materialización.
e. Atenuabilidad
La administración del riesgo se enfoca en la necesidad de mitigación efectiva de
un riesgo considerando su real impacto en el logro de los objetivos estratégicos y
en el desarrollo de los procesos institucionales.
15

ANEXO 2

3.2.3. Objetivos del Sistema

Tres son los objetivos generales que pretende alcanzar el sistema de ADMINISTRACIÓN
de riesgos:
a. Consolidar la capacidad organizacional para cumplir la misión y lograr la visión.

b. Asegurar la confiabilidad de los procesos, subprocesos y procedimientos
c. Modificar, alinear y blindar los procesos contra la subjetividad, la corrupción y la
contravención de los valores.
Otros objetivos específicos que deben tenerse en perspectiva para el diseño, construcción
y operación del sistema son:
Articular, evaluar y controlar los riesgos que pueden afectar o impedir el desarrollo
de los procesos institucionales.
Interiorizar en la cultura institucional el concepto de riesgo y la concientización
sobre los aportes que todos los funcionarios de la entidad pueden realizar para
fortalecer la capacidad de administrar los eventos riesgosos.
Lograr que los Directores de Gestión, Jefes de Oficina y Subdirectores administren
el sistema de riesgos de manera participativa, técnica y preventiva.
3.2.4. Políticas de administración de riesgos

En su Código de Buen Gobierno la DIAN establece un conjunto de directrices que
determinan el marco de actuación de la gestión institucional de manera que se garantice
la coherencia entre sus propósitos y sus prácticas. Estas directrices constituyen las
políticas de buen gobierno y en materia de análisis de riesgos la entidad adoptó las
siguientes políticas:
a. Sobre metodología
Los responsables de los procesos en la DIAN administrarán los riesgos
operacionales de manera participativa, técnica y preventiva, utilizando
metodologías que le permitan determinar causas y efectos, establecer la
probabilidad de su ocurrencia, medir el impacto de sus consecuencias y definir
criterios de calificación y evaluación de los riesgos con el fin de identificar
prioritariamente aquellos que le impidan alcanzar los objetivos institucionales.
b. Sobre control
Sin excepción, la DIAN implementará los controles razonables en términos de
suficiencia, comprensión, eficacia, economía y oportunidad sobre los riesgos
adecuadamente identificados, analizados y valorados que sea necesario combatir
para el logro pleno de los objetivos de los procesos.
16

ANEXO 2

c. Sobre tratamiento
Los responsables de los procesos en la DIAN, con el propósito de alcanzar los
objetivos institucionales, administrarán las acciones preventivas y/o correctivas
tendientes a evitar, reducir o transferir el riesgo bajo criterios de autorregulación y
autocontrol.
3.2.5. Criterios de Medición

Para el análisis y la evaluación de los riesgos operacionales de la DIAN se definieron
criterios de medición que incluyen una tabla de medición del impacto, una tabla de
medición de la probabilidad y los parámetros para la construcción y lectura del mapa de
riesgo.
Para la definición de estos criterios el equipo de trabajo inicialmente discutió las diferentes
dimensiones que podrían tener los tres instrumentos de medición requeridos en esta
etapa (5×5, 4×4, 3×3), y adoptó finalmente una estructura en 4 dimensiones básicas,
tanto para el impacto como para la probabilidad, a fin de evitar los sesgos de
conveniencia que usualmente son adoptados por evaluadores, analistas o encuestados y
que tienden a generar calificaciones agrupadas en el punto central.
3.2.5.1. Tabla de Medición del Impacto

En esta tabla se encuentran asociados los diferentes tipos de consecuencias que puede
traer para la organización la materialización de un riesgo así como las posibles
dimensiones en que el mismo puede ser evaluado. Está información se encuentran en el
Anexo 3 “Tabla de Medición del Impacto” de esta metodología.

3.2.5.2. Tabla de Medición de la Probabilidad

En esta tabla se encuentra asociada una medida porcentual que refleja la periodicidad en
la que se puede evidenciar un evento de riesgo operacional. Esta información se
encuentra en el Anexo 4 “Tabla de Medición de la Probabilidad” de esta metodología.
3.2.5.3. Mapa de Riesgo

Los mapas de riesgo constituyen una herramienta gerencial que brinda criterios de
decisión a la alta dirección frente a los cambios que deben ser realizados en la entidad
para controlar los riesgos existentes y prevenir su materialización.
El mapa de riesgo es un plano en el que se representan simultáneamente las escalas de

impacto y de probabilidad propias de cada uno de los riesgos. En razón a que se
definieron 4 niveles de impacto y 4 rangos de probabilidad de ocurrencia, el plano esta
integrado por las 16 posibles combinaciones que surgen al reunir las dos evaluaciones del
riesgo.
17

ANEXO 2

El impacto y la probabilidad determinan en forma conjunta la severidad del riesgo, con

una representación particular en el mapa (un punto). Esta herramienta fue dividida en
zonas de severidad del riesgo las cuales fueron definidas por el equipo de trabajo y
aprobadas por la Dirección de Gestión Organizacional.
La información de este criterio de medición se encuentra en el Anexo 5 “Mapa de

Riesgos” de esta metodología.
3.2.6. Herramientas del Sistema de Administración de Riesgos Operacionales

A continuación se describen los formatos que serán utilizados durante la ejecución de las
fases de la etapa de implementación del Sistema de Administración de Riesgos
Operacionales. Cada uno de estos formatos cuenta con un instructivo en el que se
establecen las pautas para su diligenciamiento y que podrán ser consultados en el in situ.
3.2.6.1. Formato 1387 Valoración de Riesgos Operacionales

Este formato incluye la información de los riesgos operacionales por procedimiento en su
etapa de identificación, análisis y evaluación. Con la información de este formato
automáticamente la herramienta de Administración de Riesgos construye el mapa de
riesgo inherente y residual del procedimiento.
3.2.6.2. Formato 1453 Identificación o Modificación de Riesgos Operacionales

Este formato es utilizado para solicitar la adición de un nuevo riesgo o para la
modificación de uno de los atributos del mismo (nombre, descripción, clasificación,
causas, consecuencias, calificación inherente o residual y controles).
3.2.6.3. Formato 1367 Acciones Correctivas y Preventivas

Este formato es utilizado para la documentación de riesgos operacionales que requieran
tratamiento en el mediano plazo dentro del ámbito de la ejecución de los procesos y
procedimientos sin que se requieran cambios estructurales.
3.2.6.4. Formato 1146 Identificación o Modificación de Riesgos Operacionales

Este formato permite registrar la información de las principales características del
procedimiento incluyendo los riesgos a los cuales esta expuesto y las actividades del
control diseñadas para su mitigación. De este formato hace parte integral el formato 1387
“Valoración de Riesgos Operacionales”.
18

ANEXO 2

3.3. IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

OPERACIONALES
3.3.1. Identificación de Riesgos

La identificación de los riesgos pretende además de la designación nominal y descripción
de los eventos de riesgo, clasificar estos sucesos, establecer las fuentes de generación y
las causas que los originan, así como las áreas de impacto en la organización y las
consecuencias que puede generar su materialización.
Las fuentes de riesgo son usualmente clasificadas en grupos que integran elementos
homogéneos tales como el recurso humano, la tecnología, la infraestructura, los procesos,
eventos externos, etc. Las principales áreas de impacto de los sucesos riesgosos son los
procesos de la entidad, pudiendo tener especial incidencia en los subprocesos y
procedimientos que los conforman.
En el caso específico de los eventos de riesgos ocupacionales y ambientales tal como se

indico en la Orden Administrativa Nº primará la aplicación de la normatividad
vigente y de las mejores prácticas en la materia. Las áreas responsables de la gestión
de los riesgos ocupacionales y ambientales deben suministrar a la Coordinación de la
Dinámica de los Procesos la información correspondiente a los eventos de riesgo
identificados, con su respectivo análisis y evaluación para que los mismos sean
evidenciados en las matrices y mapas de riesgo operacionales.
Para evidenciar dichos eventos, la Coordinación de la Dinámica de los Procesos

establecerá los criterios que permitan homologar las calificaciones asignadas por los
responsables de la gestión de los riesgos ocupacionales y ambientales con los riesgos
globales definidos en el Sistema de Administración de Riesgos Operacionales,
posteriormente los calificará e incluirá en la Tabla de Riesgos Institucionales, en las
matrices y mapas de riesgo operacionales.
3.3.1.1. Antecedentes

Durante el periodo comprendido entre los años 2005 a 2007 las diferentes áreas de la
DIAN identificaron una serie de riesgos siguiendo la metodología del Sistema de Gestión
de Calidad y Control Interno dentro del levantamiento de los procesos que hizo a nivel de
la organización.
En el año 2008 con el trabajo realizado para la caracterización de procesos se retomaron

los riesgos identificados inicialmente. Adicionalmente se consultó la relación de riesgos
operacionales contemplada en el Comité de Basilea del año 2004, efectuándose un
proceso de depuración de la base inicial a través de una agrupación por afinidad de
acuerdo con el tipo de riesgo. Como resultado de esta labor se construyó la tabla
preliminar de riesgos operacionales contenida en el Prevalidador de Información de
19

ANEXO 2

Procesos y Talento Humano, la cual contenía 11 tipos de riesgos y una opción para que
los usuarios identificaran otros riesgos y los relacionaran.
La información recolectada fue incluida en los formatos de caracterización 1146, en los

que los riesgos se identifican al nivel más detallado del mapa de procesos, es decir a nivel
de procedimiento. La opción “otros riesgos” contemplada en el instrumento diseñado para
la captura de la información fue profusamente diligenciada por los funcionarios, dando
lugar nuevamente a un amplio conjunto de riesgos, que estaban clasificados solamente
en dos categorías, riesgos operacionales y riesgos ocupacionales.
La base de datos así construida constituye el punto de partida para la definición y

elaboración de la primera versión del Sistema de Administración de Riesgos
Operacionales de la DIAN.
3.3.1.2. Consolidación de la información e identificación final de los riesgos

Los resultados alcanzados por la DIAN en los antecedentes se convirtieron en una base
de datos que fue suministrada al equipo de trabajo conformado por el grupo básico de
gestión de riesgos y la consultoría y a partir de tal información se llevaron a cabo las
siguientes actividades:
a. Análisis, depuración y consolidación de la base de datos inicial, conformando una

base de datos con riesgos revisados a nivel de procedimiento.
b. Identificación de posibles eventos que no estaban contenidos en la base inicial,
especialmente los relacionados con procesos estratégicos de la DIAN.
c. Asociación de cada uno de los riesgos identificados a nivel de procedimiento con
sus correspondientes subprocesos y procesos.
d. Revisión y consolidación de las causas reales y potenciales que pueden originar la
materialización de los riesgos.
e. Revisión y consolidación de las consecuencias que produce en la entidad la
ocurrencia de cada uno de los eventos de riesgo identificados.
f. Redefinición de la agrupación de los riesgos, pasando de las dos tipologías
iniciales (riesgos operacionales y riesgos ocupacionales) a la clasificación de
riesgos establecida en el Anexo 1 de la presente metodología.
g. Revisión final para consolidar los riesgos identificados, asociando en un único
riesgo aquellos en los que se reconoció gran afinidad. Esta unificación implicó
realizar ajustes en la denominación, definición, causas y consecuencias del riesgo
unificado, de manera que éste fuera comprensivo de los eventos que le dieron
origen.
El producto obtenido en esta etapa de la aplicación de la metodología es la identificación

de 44 riesgos que pueden comprometer el desarrollo de la misión, el logro de la visión y el
alcance de los objetivos institucionales; a su vez, se asociaron a cada uno de los 15
procesos de la DIAN, los riesgos que inciden directamente en su desarrollo.
20

ANEXO 2

El objeto de la depuración y consolidación de los riesgos identificados en la DIAN en una

Tabla de Riesgos Institucionales es estandarizar y definir riesgos a nivel organizacional,
consolidar del Sistema de Administración de Riesgos Operacionales en la Entidad y
facilitar su aplicación a nivel de procesos, subprocesos y procedimientos
Los eventos de riesgo identificados y vigentes para la entidad se encuentran

documentados en el Anexo 2 de esta metodología “Tabla de Riesgos Institucionales”.
3.3.1.3. Modificación de riesgos e identificación de nuevos eventos de riesgo

Para la DIAN teniendo en cuenta que existe un trabajo previo frente a la definición de los
eventos de riesgo a los que están expuestos cada uno de los procesos en la Entidad, se
pueden presentar las siguientes situaciones:
- Identificación de Riesgos por procedimiento: La identificación de los riesgos

operacionales por procedimientos estará a cargo de los empleados públicos
seleccionados por los Directores de Gestión, Jefes de Oficina y Subdirectores y se
debe realizar teniendo en cuenta la tabla de de riesgos institucionales con la cual
se determina dentro de ellos los riesgos que afectan la ejecución del
procedimiento evidenciándolos en la primera hoja del formato 1387.
- Modificación de los eventos de riesgo documentados en la “Tabla de Riesgos

Institucionales”. Todos los empleados públicos de la DIAN tienen conocimiento y
acceso a la “Tabla de Riesgos Institucionales” de la Entidad y participan en los
procesos de revisión de los mismos, lo cual permite validar si los eventos
identificados y documentados en la “Tabla de Riesgos Institucionales” están
acordes con la realidad del proceso y de la organización y si tienen documentada
toda la información requerida en la matriz de riesgo. En el caso que está
información no cumpla con los criterios mencionados se deberá solicitar la
modificación de la información que se consideren pertinentes a través del
diligenciamiento del formato 1453.
- Identificación de eventos de riesgo que no hayan sido considerados en análisis

previos y que no se encuentren documentados en la “Tabla de Riesgos
Institucionales”. En los procesos de la Entidad, se pueden presentar eventos de
riesgo que no se hayan contemplado durante la fase de identificación y que
impliquen el incumplimiento parcial o total de los objetivos del proceso y por lo
tanto de los objetivos corporativos. En el caso de que está situación se presente
se deberá diligenciar el formato 1453 incluyendo el nombre del evento de riesgo
potencial o real, su descripción, clasificación, causas y consecuencias.
3.3.2. Análisis de Riesgos

La etapa de análisis de riesgo tiene el propósito de medir los eventos de riesgos a los que
se encuentra expuesta la entidad en términos de probabilidad de ocurrencia y de
21

ANEXO 2

magnitud de su impacto. En el caso de la DIAN implica medir los eventos de riesgo que
se encuentran documentados en la “Tabla de Riesgos Institucionales” para cada uno de
los procesos y posteriormente llevar esté análisis a nivel de procedimientos.
Cuando se realiza el análisis del riesgo con relación a su impacto puede que este no sea
igual en las 4 dimensiones consideradas, de hecho algunos riesgos únicamente afectaran
una o dos dimensiones. Sin embargo, es necesario obtener una sola valoración del
impacto institucional del riesgo por lo que se establece como una política de operación
que el impacto del riesgo corresponde al nivel más alto que se haya registrado en
cualquiera de las dimensiones.
Es importante señalar que en la etapa previa de identificación, se determinaron los

riesgos específicos que afectan a cada proceso institucional. Un riesgo puede incidir
sobre uno o más procesos o procedimientos y su impacto sobre cada uno de ellos se
evalúan en forma independiente.
3.3.2.1. Medición del Riesgo puro, absoluto o inherente

Para llevar a cabo la medición inherente de los riesgos identificados en todos los procesos
y/o procedimientos de la Entidad se debe medir para cada evento de riesgo su nivel de
impacto y probabilidad, empleando para ello los instrumentos de medición previamente
diseñados y que fueron descritos en el numeral 3.2.5 Criterios de Medición de esta
metodología así como la información histórica o la experiencia del empleado público
designado para el proceso o procedimiento objeto de análisis.
Esta calificación es asignada sin tener en cuenta la incidencia de los controles que la
entidad tiene implementados para mitigar la frecuencia y la incidencia de los riesgos
operacionales identificados sin olvidar el contexto estratégico, organizacional y de riesgos
ya establecido.
La metodología para obtener el mapa institucional de riesgos inherentes consiste

fundamentalmente en sintetizar las evaluaciones, tanto de impacto como de probabilidad,
otorgadas a los riesgos operacionales en cada uno de los procesos, calificación que a su
vez se obtiene de condensar las calificaciones asignadas a cada riesgo operacional en
cada uno de los procedimientos que lo integran antes de la aplicación de controles.
La asignación de cada calificación trae consigo una valoración de orden nominal como se
estableció en las tablas de impacto y probabilidad y como se indica en la siguiente tabla.
Asignación de una escala cuantitativa para evaluaciones cualitativas
Impacto Probabilidad Escala

LEVE BAJA 1
MODERADO MEDIA 2
GRAVE ALTA 3
CRÍTICO MUY ALTA 4
22

ANEXO 2

Mediante esta convención es posible obtener una cuantificación promedio de varias

evaluaciones cualitativas7. Sin embargo, el promedio no necesariamente corresponderá a
un número entero por lo cual es preciso traducir este resultado cuantitativo en escalas
cualitativas de la manera que se indica seguidamente.
Traducción de un promedio en escalas cualitativas
Promedio (P) Impacto Probabilidad

P=1 LEVE BAJA
1 <P <=2 MODERADO MEDIA
2 <P <=3 GRAVE ALTA
P >3 CRÍTICO MUY ALTA
3.3.2.2. Ejemplo Medición del Riesgo Inherente para el Mapa de Riesgo

Institucional

A continuación se propone un sencillo ejemplo que ilustra la metodología observada en lo
relacionado con la consolidación de las calificaciones para construir el mapa de riesgos
institucional.
Se supone para tal efecto que en la organización se han identificado 4 riesgos y que
existen 3 procesos fundamentales. En consecuencia la matriz de calificación del impacto y
de la probabilidad tendrán una dimensión 4*3 (Nº riesgos x Nº procesos).
Impacto de los riesgos en la DIAN

EJEMPLO PARA ILUSTRAR LA METODOLOGÍA
Impacto Contribución relativa de cada riesgo

promedio de los En el total de En el impacto
Conceptos Proceso 1 Proceso 2 Proceso 3
riesgos en la eventos promedio sobre la
DIAN riesgosos DIAN
Riesgo 1 MODERADO LEVE MODERADO 25,0% 15,0%
Riesgo 2 GRAVE MODERADO GRAVE 25,0% 25,0%
Riesgo 3 LEVE LEVE 12,5% 5,0%
Riesgo 4 CRÍTICO CRÍTICO GRAVE CRÍTICO 37,5% 55,0%
Impacto promedio de los
riesgos en cada proceso GRAVE GRAVE MODERADO GRAVE
Riesgos de cada proceso / 37,5% 25,0% 37,5% 100,0%

Total de eventos riesgosos
Contribución de cada
proceso en el impacto 40,0% 30,0% 30,0% 100,0%
promedio de la DIAN

7
En esta versión del sistema de administración de riesgos de la DIAN, se asumirá que los procesos tienen el mismo peso
relativo para la entidad.: En versiones posteriores se contempla la posibilidad de asignar ponderaciones diferentes por
grupos de procesos, otorgando por ejemplo mayor peso relativo a los procesos misionales que a los de apoyo.
23

ANEXO 2

Esta matriz muestra que el riesgo 1 no tiene incidencia sobre el primer proceso pero que
afecta de manera moderada al proceso 2 y en forma leve al proceso 3. Para sintetizar
estos dos efectos se acude a la primera equivalencia y se asignan valoraciones
cuantitativas para los dos eventos: 2 en el caso del impacto moderado y 1 para el impacto
leve. El promedio simple de estas calificaciones es 1,5 y entonces se acude a la segunda
equivalencia a fin de traducir este resultado en una evaluación cualitativa. Así puede
afirmarse que en promedio el riesgo 1 impacta de manera moderada la institución.
De igual forma se aprecia en una lectura vertical de la matriz 1 que el proceso 2 es

afectado solamente por dos de los riesgos considerados. El riesgo 1 que tiene un impacto
moderado y el riesgo 2 con un impacto crítico. Acudiendo nuevamente a la primera
equivalencia, los dos impactos se convierten respectivamente en 2 y 4 con un promedio
de 3. El promedio a su turno se traduce en una evaluación cualitativa con el empleo de la
segunda escala y se concluye que, en promedio, los riesgos institucionales relevantes
para el proceso 2 lo impactan de forma grave.
Un resultado general de gran importancia es la incidencia del conjunto de riesgos sobre la

entidad. Este resultado se encuentra en la intersección de fila y columna de “impacto
promedio”. En el ejemplo considerado los riesgos identificados impactan de manera grave
a la institución, antes de considerar los controles establecidos. El impacto general se
puede calcular tomando las evaluaciones de la totalidad de los riesgos y empleando las
equivalencias cuantitativas y cualitativas ya descritas, siguiendo estos pasos:
Convertir en cantidades cada una de las calificaciones cualitativas inicialmente

asignadas a cada riesgo en cada proceso (8 eventos en el caso del ejemplo).
Obtener el promedio simple de las cantidades de que trata el paso precedente.
Emplear la segunda equivalencia para traducir el promedio del paso anterior en una
evaluación general de tipo cualitativo.
La última columna de la Matriz 1 permite establecer el aporte relativo con que cada uno
de los riesgos contribuye al impacto total sobre la entidad. Conocido el hecho de que el
impacto general de los riesgos es “grave”, la última columna advierte que el 55% de tal
resultado se explica por la incidencia del riesgo 4, seguido en importancia por las
contribuciones relativas de los riesgos 2 y 1 respectivamente.
El riesgo 3 únicamente contribuye con el 5% en la explicación del impacto sobre la

entidad, en primer lugar porque por sí sólo tan sólo tiene un impacto “leve” y, en segundo
término, porque este riesgo es relevante apenas para uno de los tres procesos o, desde
otra perspectiva, tan sólo es generador de 1 de los 8 riesgos relevantes (ponderación del
12,5% que aparece en la penúltima columna de la Matriz 1). De manera análoga, la
última fila de la Matriz 1 indica que el proceso 1 es el que mayoritariamente contribuye en
el impacto sobre toda la institución.
24

ANEXO 2

La interpretación de la Matriz 2 es exactamente igual, con la diferencia de que la

probabilidad de ocurrencia se halla graduada con denominaciones diferentes a las
empleadas en la matriz de impacto.
Probabilidad de ocurrencia de los riesgos en la DIAN

Contribución relativa de cada riesgo

Probabilidad promedio
En el total de En la probabilidad
Conceptos Proceso 1 Proceso 2 Proceso 3 de ocurrencia del riesgo
eventos promedio de ocurrencia de
en la DIAN
riesgosos un riesgo en la DIAN
Riesgo 1 MEDIA ALTA ALTA 25,0% 31,3%
Riesgo 2 BAJA BAJA BAJA 25,0% 12,5%
Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%
Riesgo 4 ALTA BAJA BAJA MEDIA 37,5% 31,3%
Probabilidad promedio de
ocurrencia de los riesgos en ALTA MEDIA MEDIA MEDIA
cada proceso
Riesgos de cada proceso /
37,5% 25,0% 37,5% 100,0%
proceso en la probabilidad
50,0% 18,8% 31,3% 100,0%
promedio de ocurrencia de
riesgos en la DIAN
El riesgo 4 tiene una alta probabilidad de ocurrir en el proceso 1 pero esa probabilidad es
baja en los procesos 2 y 3. En términos cuantitativos las tres probabilidades corresponden
respectivamente a 4, 1 y 1, según se propuso en la primera equivalencia. El promedio
simple de los tres valores es 2 y la segunda equivalencia indica que, en promedio, el
riesgo 4 se presenta en la entidad con una probabilidad media.
El resultado general de la Matriz 2, intersección de la fila y columna de “probabilidad

promedio” concluye que los riesgos relevantes para la entidad ocurren con una
probabilidad “media”.
Las matrices 1 y 2 aportan para el caso del ejemplo los elementos necesarios para definir
el grado de severidad de los riesgos institucionales. Teniendo en cuenta esa información
así como las zonas de riesgo establecidas en el apartado 3.3.3 de este documento, es
posible construir el “mapa de riesgos inherentes de la organización”.
Elementos para determinar el grado de severidad de los riesgos en la DIAN

Probabilidad
Cód. Conceptos Impacto promedio Zona de riesgo
promedio
01 Riesgo 1 MODERADO ALTA ZONA DE RIESGO IMPORTANTE
02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO
03 Riesgo 3 LEVE MUY ALTA ZONA DE RIESGO MODERADO
04 Riesgo 4 CRÍTICO MEDIA ZONA DE RIESGO INACEPTABLE
© Total riesgos GRAVE MEDIA ZONA DE RIESGO IMPORTANTE
25

ANEXO 2

Mapa de riesgos inherentes de la DIAN para un ejemplo hipotético

MAPA DE RIESGO INHERENTE
MUY ALTA 03
P 01
R
O ALTA
B Zona Riesgo Inaceptable
A
Zona Riesgo Importante
B
I Zona Riesgo Moderado
L Zona Riesgo Aceptable
I
D MEDIA
A 04
D ©
02
BAJA
LEVE MODERADO GRAVE CRÍTICO
CONSECUENCIA - IMPACTO
Los resultados obtenidos en este ejemplo indican que los 4 riesgos considerados (antes
de la aplicación de los controles) podrían generar, en promedio, un impacto “grave” sobre
la organización si llegaran a materializarse. La probabilidad promedio de que estos
riesgos efectivamente tengan ocurrencia es “media” en el conjunto de la institución. La
asociación entre un impacto “grave” y una probabilidad “media” se traduce en nivel de
exposición o de severidad del riesgo “importante”.
La metodología observada también permite jerarquizar los riesgos de acuerdo con su

nivel de severidad. En el ejemplo que apoya la explicación y en el que aún no se han
aplicado controles, el riesgo 4 se califica como inaceptable, es decir, el que mayor gestión
demanda por parte de la entidad. En segundo lugar de severidad aparece el riesgo 1,
catalogado como “importante”, mientras que los riesgos con menor grado de severidad
son el 1 y el 2, severidad “moderada”.
3.3.3. Evaluación de Riesgos

En la etapa precedente se analizaron los riesgos potenciales o inherentes, en los que no
se tiene en cuenta el efecto de los controles establecidos por la entidad, a fin de morigerar
su impacto y probabilidad de ocurrencia. En la etapa de valoración se vuelven a examinar
los riesgos pero evaluando esta vez la forma en que los controles atenúan el nivel de
exposición al riesgo.
Los riesgos potenciales o inherentes reducen su severidad como resultado de la

aplicación de controles. Sin embargo la magnitud de tal reducción depende de la
26

ANEXO 2

efectividad de las acciones que haya dispuesto la organización para administrar sus
riesgos. La valoración que se realiza incluyendo los efectos de los controles da lugar a
los riesgos residuales.
Riesgos inherentes - Efecto controles = Riesgos Residuales
3.3.3.1. Eficiencia de los Controles

Para determinar los controles con los que la Entidad cuenta para reducir la severidad de
los riesgos identificados se puede acudir a diferentes fuentes tales como los controles
reportados en el formato 1146 (Caracterización de Procedimientos),los informes
trimestrales de autoevaluación que las dependencias de la Entidad que son reportados a
través del Sistema Estadístico de Gestión Global, SEGG y la información que suministren
los funcionarios que participan en la caracterización de los procedimientos institucionales
o en la metodología de valoración de riesgos. Cada control identificado debe ser
evaluado frente a los siguientes atributos para determinar su efectividad:
a. Tipo: preventivo, detectivo o correctivo.

Los controles preventivos, dependiendo de su grado de efectividad, permiten
reducir la probabilidad de ocurrencia del evento. Los controles detectivos pueden
mitigar tanto la probabilidad de ocurrencia del suceso como su impacto, mientras
que los correctivos fundamentalmente actúan disminuyendo la magnitud del
impacto.
b. Documentación: El riesgo está documentado, no hay documentación.

Los controles deben estar debidamente documentados para facilitar su
comprensión y aplicación. En el evento que tal documentación no exista se reduce
la efectividad de la acción de control.
c. Aplicación: El control está siendo aplicado, no se aplica.

La respuesta básica en este atributo es de tipo binario: Sí o No. Cuando no se
aplica el control evidentemente no existe ningún nivel de efectividad mientras que
la aplicación del mismo aplaza la calificación de la efectividad en función de los
resultados observados en los demás atributos.
d. Mitigación: Alta, media y baja.

La forma específica que asume la mitigación depende del grado de cumplimiento
del objetivo para el que fue diseñado el control y de las debilidades que pueda
presentar. Una mitigación alta ocurre cuando el control cumple su objetivo y las
debilidades detectadas se pueden subsanar fácilmente. La mitigación media se
presenta cuando el control cumple parcialmente su objetivo y las deficiencias son
más significativas.
27

ANEXO 2

Finalmente, la mitigación baja corresponde a una situación en la que el control no

cumple el objetivo y las deficiencias implican costos importantes.
e. Frecuencia del control: Permanente, diaria, semanal, mensual, etc.

La frecuencia del control debe guardar relación con la periodicidad con la que se
presenta el evento riesgoso. Potencialmente podría plantearse que los controles
se aplicaran siempre que ocurriera el riesgo. Sin embargo esto puede resultar muy
costoso para la organización y es por ello que se debe definir la frecuencia de los
controles tomando en cuenta el costo de aplicación y la efectividad deseada.
De acuerdo con la calificación asignada a cada uno de los atributos del control
mencionados previamente se pueden establecer de acuerdo con la siguiente escala la
efectividad del control:
Calificación Impacto de la calificación

A Control que reduce máximo 2 escalas el nivel de probabilidad y/o de impacto
B Control que disminuye en una escala el nivel de probabilidad y/o impacto
C Control que no tiene efecto sobre la probabilidad y/o el impacto del evento.
La combinación de los criterios para llegar a la calificación del control y su incidencia

sobre la calificación se encuentra en el Anexo 6 Evaluación de Controles.
3.3.3.2. Mapa de Riesgos Residuales

Una vez establecido el nivel de efectividad e identificados los tipos de control, estos deben
ser aplicados a los eventos de riesgo calificados en la matriz de riesgos inherentes,
obteniendo una nueva valoración del impacto y la probabilidad de ocurrencia. De la
asociación de estas nuevas valoraciones surge la “matriz de riesgos residuales” del
proceso, la cual representa el grado de severidad de los riesgos analizados después de
considerar la incidencia de los respectivos controles.
Para realizar la medición residual de los riesgos identificados en todos los procesos y/o
procedimientos de la Entidad al igual que para la medición del riesgo inherente se debe
medir para cada evento de riesgo su nivel de impacto y probabilidad, empleando para ello
los instrumentos de medición previamente diseñados y que fueron descritos en el numeral
3.2.5 Criterios de Medición de esta metodología así como la información histórica o la
experiencia del empleado público designado para el proceso o procedimiento objeto de
análisis.
3.3.3.3. Ejemplo Medición del Riesgo Residual para el Mapa de Riesgo

Institucional

A manera de ilustración, se establece un control para cada uno de los 4 riesgos del
ejemplo desarrollado anteriormente, y se identifica en cada caso el grado de mitigación y
el tipo al cual pertenece. Bajo el supuesto de que los controles son implementados y se
28

ANEXO 2

encuentran documentados, se determina el grado de efectividad, el cual está

correlacionado de manera directa con el grado de mitigación.
Controles aplicados sobre los riesgos inherentes de la DIAN

Nombre Aplicado a Tipo Mitigación Efectividad

Control 1 Riesgo 1 Detectivo Alto A
Control 2 Riesgo 2 Correctivo Bajo C
Control 3 Riesgo 3 Preventivo Medio B
Control 4 Riesgo 4 Correctivo Alto A
En el literal a. del subapartado 3.4.1 se indicó que la tipología de los controles define si su
efectividad permite reducir el impacto y/o la probabilidad del riesgo. Así mismo, el grado
de efectividad determina la magnitud de esta disminución.
Teniendo en cuenta estas consideraciones se construyen nuevamente las matrices 1 y 2,

expuestas en el subapartado 3.3.5. Siguiendo este procedimiento, por una parte, se
obtiene el impacto promedio de los riesgos residuales y de otra, la probabilidad promedio
de ocurrencia de riesgo residual, a partir de la información obtenida para cada proceso.
Las matrices resultantes del ejemplo se presentan a continuación.
Impacto de los riesgos en la DIAN una vez aplicados los controles

Contribución relativa de cada

Impacto riesgo
promedio de los
Conceptos Proceso 1 Proceso 2 Proceso 3 En el total de En el impacto
riesgos en la
DIAN eventos promedio
riesgosos sobre la DIAN
Riesgo 1 LEVE LEVE LEVE 25,0% 15,4%
Riesgo 2 GRAVE MODERADO GRAVE 25,0% 38,5%
Riesgo 3 LEVE LEVE 12,5% 7,7%
Riesgo 4 MODERADO MODERADO LEVE MODERADO 37,5% 38,5%
Impacto promedio de
los riesgos en cada MODERADO MODERADO MODERADO MODERADO
Riesgos de cada
proceso / Total de 37,5% 25,0% 37,5% 100,0%
eventos riesgosos
proceso en el impacto 46,2% 23,1% 30,8% 100,0%
promedio de la DIAN
29

ANEXO 2

Probabilidad de ocurrencia de los riesgos en la DIAN una vez aplicados los controles
Contribución relativa de cada

riesgo
Probabilidad promedio En la
Conceptos Proceso 1 Proceso 2 Proceso 3 de ocurrencia del riesgo En el total de probabilidad
en la DIAN eventos promedio de
riesgosos ocurrencia
de un riesgo
Riesgo 1 MEDIA ALTA ALTA 25,0% 31,3%
Riesgo 2 BAJA BAJA BAJA 25,0% 12,5%
Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%
Riesgo 4 ALTA BAJA BAJA MEDIA 37,5% 31,3%
Probabilidad promedio de
ocurrencia de los riesgos en ALTA MEDIA MEDIA MEDIA
cada proceso
Riesgos de cada proceso /
37,5% 25,0% 37,5% 100,0%
proceso en la probabilidad
50,0% 18,8% 31,3% 100,0%
promedio de ocurrencia de
riesgos en la DIAN
La relación entre el impacto y la probabilidad promedio de los riesgos indica el grado de

severidad de los riesgos residuales, a partir de la cual se construye el “mapa de riesgos
residuales de la organización”.
Elementos para determinar el grado de severidad de los riesgos residuales en la DIAN

Probabilidad
Cód. Conceptos Impacto promedio Zona de riesgo
promedio
01 Riesgo 1 LEVE BAJA ZONA DE RIESGO ACEPTABLE
02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO
03 Riesgo 3 LEVE ALTA ZONA DE RIESGO MODERADO
04 Riesgo 4 MODERADO MEDIA ZONA DE RIESGO MODERADO
© Total riesgos MODERADO MEDIA ZONA DE RIESGO MODERADO
30

ANEXO 2

Mapa de riesgo residual

MAPA DE RIESGO RESIDUAL
MUY ALTA
P
R
Zona Riesgo Inaceptable
O ALTA 03
B Zona Riesgo Importante
A Zona Riesgo Moderado
B Zona Riesgo Aceptable
I
L
I
D MEDIA
A 04
D ©
01
02
BAJA
LEVE MODERADO GRAVE CRÍTICO
CONSECUENCIA - IMPACTO
3.3.4. Tratamiento de Riesgos

Después de calificar los riesgos residuales se deben priorizar dichos eventos por su nivel
de severidad y proceder al envío de la información a los responsables del tratamiento
establecidos en el numeral 5.3.2 Tratamiento de la Orden Administrativa N° .
En general la administración de los riesgos residuales exige revisar la efectividad de los

controles existentes, verificando fundamentalmente si éstos cubren todas o la mayoría de
las causas que los originan, así como el grado de mitigación alcanzado. Además se debe
contemplar la posibilidad de introducir nuevos controles que complementen los existentes.
Después de validar lo anterior se pueden presentar las siguientes situaciones:
a. El riesgo se mantiene en una zona diferente a la “Zona de Riesgo Aceptable”: En

este caso y de acuerdo con las responsabilidades establecidas en el numeral 5.3.2
Tratamiento de la Orden Administrativa N° se deberá determinar el tipo de
tratamiento a implementar, el cual deberá quedar registrado en el formato 1367
“Acciones Correctivas y Preventivas” estableciendo con este el plan de
mejoramiento que deberá verse reflejado en el plan operativo respectivo. De igual
manera el plan de tratamiento deberá ser registrado en la herramienta denominada
Sistema Experto por parte de los responsable de la definición del Tratamiento, los
cuales se muestran en la siguiente tabla:
31

ANEXO 2

Responsables de la definición del Tratamiento
Zona del mapa de riesgo Nivel Central Nivel Seccional
Inaceptable Director General Director Seccional
Importante Directores de Gestión Jefes de División
Moderado Subdirectores y Jefes de Oficina Jefes de Grupo
Aceptable Jefes de Coordinación Jefes de Grupo
b. El riesgo baje a una zona de riesgo menor pero que esta no sea la “Zona de
Riesgo Aceptable”. En este caso se deberá seguir el procedimiento descrito en el
literal anterior.
c. El riesgo se lleve a la “Zona de Riesgo Aceptable”. En este caso y si la entidad

decide continuar gestionando el riesgo se deberá seguir el procedimiento descrito
en el literal a; si la entidad decide no seguir realizando gestión sobre el evento de
riesgo esta decisión deberá quedar documentada en un oficio en el que se
justifique la decisión tomada y además se comprometa la dependencia remitente
en mantener los controles documentados para tal fin.
Los tratamientos específicos que pueden aplicarse en cualquiera de las anteriores

situaciones sobre los riesgos residuales de la DIAN se encuentran en el Anexo 7 “Tipos
de Tratamientos”.
Cuando el tratamiento a aplicar sea “Asumir”, dicho riesgo se deberá borrar del mapa de
riesgo del procedimiento o proceso respectivo sin que esta acción implique que el riesgo
haya sido eliminado del procedimiento, proceso o de la Entidad ya que el mismo puede
escalar hacia otra zona de riesgo si llegan a fallar los controles o se cambian las
condiciones de la actividad a la cual está atado. La Coordinación de la Dinámica de los
Procesos deberá contar con un registro en el que se evidencien los riesgos asumidos por
procedimiento así como la fecha y el registro que soporta dicha decisión.
3.3.5. Monitoreo de Riesgos

El Monitoreo de los riesgos operacionales de la DIAN se debe realizar de acuerdo con las
siguientes acciones de las cuales siempre debe generarse un informe respecto de su
cumplimiento.
3.3.5.1. Reporte de Eventos de Riesgos Operacionales Materializados
Cada vez que se materialice un evento de riesgo el mismo debe ser reportado a la
Coordinación de la Dinámica de los Procesos a través del Sistema Experto, tanto a nivel
32

ANEXO 2

local como delegado de acuerdo con las responsabilidades establecidas en la Orden

Administrativa Nº . Este reporte tiene por objeto consolidar una base de datos de
eventos de pérdida de la Entidad y actualizar las calificaciones de probabilidad e impacto
asignadas a los eventos de riesgo.
La base de datos creada permitirá a largo plazo llevar el Sistema de Administración de

Riesgos Operacionales a la cuantificación de la probabilidad y el impacto de la ocurrencia
de los eventos de riesgo a través de análisis estadísticos de la información recolectada.
3.3.5.2. Seguimiento al Nivel de Severidad de los Eventos de Riesgo

Operacionales

La Gestión del Sistema de Administración de Riesgos Operacionales se evidencia en los
cambios de nivel de severidad de cada uno de los eventos de riesgo identificados en la
DIAN y que se encuentran en el Anexo 2 “Tabla de Riesgos Institucionales” a nivel
organizacional, de procesos y procedimientos.
Para realizar este seguimiento la Coordinación de la Dinámica de los Procesos debe

elaborar informes trimestrales en los que de forma comparativa se muestre el nivel de
severidad inicial del riesgo y el nivel de riesgo resultante después de la gestión realizada
durante el período de análisis.
Para la elaboración del informe se debe tener en cuenta los históricos de los mapas,
matrices e indicadores de comportamiento de riesgos operacionales para cada uno de los
procedimientos, subprocesos y procesos de la Entidad y las Actas o demás documentos
que soporten los cambios en las calificaciones asignadas. Esta información proviene de
los informes trimestrales de autoevaluación en lo referente a la gestión de riesgos que
sean enviados por los Directores de Gestión, Jefes de Oficina y Subdirectores, los cuales
deben contener la evaluación de los riesgos operacionales al corte trimestral
especificando los cambios en la calificación de la probabilidad y/o el impacto de los
eventos de riesgo operacionales asociados a su proceso, subproceso y/o procedimiento.
Los informes resultantes del seguimiento realizado a los riesgos operacionales por parte
de la Coordinación de la Dinámica de los Procesos deberán ser enviados a las Directores
de Gestión, Jefes de Oficina y Subdirectores correspondientes en caso de que la
calificación de riesgo se incremente o no se vean cambios en su calificación después de
tres trimestres consecutivos.
3.3.5.3. Medición de Indicadores del Sistema de Administración de Riesgos

Operacionales

El Sistema de Administración de Riesgos Operacionales requiere de un seguimiento
permanente y uno de los mecanismos para su realización es la medición de indicadores
que permitan evaluar los resultados de la gestión sobre los riesgos operacionales
identificados en la Entidad.
33

ANEXO 2

La medición de estos indicadores es realizada por la Coordinación de la Dinámica de los

Procesos de acuerdo con la información reportada desde todos los procesos,
subprocesos y procedimientos a través de los informes trimestrales de autoevaluación
enviados por los Directores de Gestión, Jefes de Oficina y Subdirectores conforme al
procedimiento que la Dirección de Gestión Organizacional establezca.
En el anexo 8 “Indicadores del Sistema de Administración de Riesgos Operacionales”, se

listan los indicadores a medir y a cada uno se le establece la fórmula para su medición y
la periodicidad con la que los mismos deben ser analizados.
3.3.5.4. Seguimiento a la ejecución de los planes de mejoramiento

Toda acción de tratamiento que se establezca en el Sistema de Administración de
Riesgos Operacionales debe ser considerada como un plan de mejoramiento, lo que
implica que su registro, control y seguimiento deben ser realizados conforme a lo
establecido en la Orden Administrativa 007 de agosto de 2009.
3.4. SEGUIMIENTO Y REVISIÓN DEL SISTEMA DE ADMINISTRACIÓN DE

RIESGOS OPERACIONALES
Esta etapa requiere de la revisión mínimo anual por parte de la Coordinación de la

Dinámica de los Procesos de los elementos definidos en la etapa de la definición de la
estructura de dirección y de responsabilidad y el diseño del marco para la administración
del riesgo.
La revisión debe ser realizada sobre los siguientes elementos:
• Objetivos del Sistema de Administración de Riesgos Operacionales

• Políticas del Sistema de Administración de Riesgos Operacionales
• Principios rectores del Sistema de Administración de Riesgos Operacionales
• Contextos para la administración de los riesgos operacionales.
• Criterios de calificación de los riesgos operacionales en términos de probabilidad y
consecuencia.
• Configuración del mapa de riesgos (establecimiento de las zonas de riesgo)
• Criterios establecidos para determinar los tratamientos a implementar en los riesgos
objeto de análisis y evaluación.
• Metodología y medios de capacitación en riesgos
• Mecanismos de reporte establecidos para allegar información de los eventos de
riesgo materializados.
Cada uno de los elementos mencionados deben ser verificados frente a los resultados
obtenidos en el año evaluado con el objeto de determinar si estos deben ser modificados
34

ANEXO 2

o ajustados. Entre algunos de los casos que generarían cambios en los mencionados
elementos son:
• Incumplimiento permanente de los objetivos y/o políticas definidas para el Sistemas

de Administración de Riesgos Operacionales
• Cambios en las políticas de la DIAN o en sus modelos de operación.
• Imposibilidad de asignar calificaciones a los riesgos identificados por las escalas
manejadas en las tablas de probabilidad e impacto.
• Falta de oportunidad en la atención de los riesgos materializados por parte de los
empleados públicos y vinculados de la DIAN.
• Falta de operatividad del Sistema debida a la rigidez de la estructura de dirección y
responsabilidad definida.
• Desconocimiento del funcionamiento del Sistema de Administración de Riesgos
Operacionales por parte de los empleados públicos y vinculados de la DIAN.
De la revisión realizada debe quedar un informe en el que se detallen los cambios en los
elementos que componen el Sistema y se describa la situación generadora de los
mismos.
3.5. MEJORAMIENTO CONTINUO DEL SISTEMA

En esta etapa se deberán realizar las acciones pertinentes a que haya lugar para la
actualización, adecuación, modificación y mejora del Sistema de Administración de
Riesgos Operacionales teniendo en cuenta que este hace parte del Sistema de Gestión
de Calidad y Control Interno y conforme a lo establecido en el numeral 8.5 de la Norma
Técnica Corporativa – Sistema de Gestión de Calidad y Control Interno.
Las acciones adelantadas deberán partir de los resultados obtenidos de la revisión por la
dirección al Sistema de Gestión de Calidad y de Control Interno y de las revisiones
realizadas al Sistema de Riesgos Operacionales por la Coordinación de la Dinámica de
los Procesos, la Oficina de Control Interno y los órganos externos de control.
35

ANEXO 2

Anexo 1: Clasificaciones de Riesgo
Riesgo Estratégico: Está asociado a la administración de la Entidad. Como

deficiencia o falta de políticas, diseño de estrategias, cumplimiento de metas.
Riesgo Operativo: Relacionado con las deficiencias de infraestructura y

organización. Como desarticulación de las dependencias, fallas de los
sistemas de información, falta de documentación de los procesos, etc.
Riesgo Financiero: Se relaciona con el manejo eficiente y transparente de los

recursos financieros. Como Dificultades y retrasos en la ejecución
presupuestal, Descontrol de los pagos, demoras en la elaboración de los
estados financieros.
Riesgo de Cumplimiento: Capacidad para el cumplimiento de los requisitos

legales, contractuales, de ética pública.
Riesgo de Tecnología: Asociado a la capacidad y seguridad de la tecnología

disponible y su adaptación a las necesidades actuales y futuras.
Riesgo Ocupacional: Relacionado con los efectos y consecuencias que

producen al personal de la entidad el desarrollo de sus actividades laborales.
Riesgo Ambiental: Asociado al deterioro de las condiciones que pueden afectar

la persona, los bienes, el ambiental y los ecosistemas como resultado de la
ejecución de actividades en cumplimiento de la operación.
36

ANEXO 2

Anexo 2: Tabla de Riesgos Institucionales
Nº CLASIFICACIÓN NOMBRE DEL RIESGO DESCRIPCIÓN

Posibilidad de que se acceda, manipule y/o divulgue sin
01 OPERATIVO Uso indebido de la información autorización la información privilegiada o de reserva que se origine,
suministre o custodie en la entidad.
Imposibilidad de atender
Posibilidad de que las restricciones legales, la disponibilidad de
02 FINANCIERO oportunamente las devoluciones de
TIDIS o de efectivo retrasen las devoluciones de impuestos.
impuestos
Dificultad en la suscripción de Posibilidad de que se impida la realización de los convenios
03 OPERATIVO
convenios internacionales internacionales o los mismos no generen cooperación efectiva
Posibilidad de que el cambio recurrente en la normatividad aplicable
04 CUMPLIMIENTO Inestabilidad jurídica afecte negativamente la eficiencia, eficacia y efectividad de los
procedimientos.
Posibilidad de que la capacitación dada al personal de la entidad no
05 OPERATIVO Capacitación deficiente e insuficiente cumpla parcial o totalmente con las expectativas y necesidades de
cada una de las áreas para la gestión de sus procedimientos
Posibilidad de que se presenten daños o fallas en el funcionamiento
Daños, deterioro o pérdida de de vehículos, muebles y enseres, elementos de laboratorio,
06 OPERATIVO equipos y herramientas de trabajo elementos de almacenaje y cualquier herramienta que utilicen los
excepto hardware y software funcionarios en desarrollo de sus actividades y que no esté
clasificada como hardware o software.
Posibilidad de que se presenten fenómenos naturales tales como
Afectación de la DIAN por la terremotos, sismos, avalanchas, inundaciones, granizadas, etc., que
07 OPERATIVO
ocurrencia de fenómenos naturales puedan afectar el normal desarrollo de los procedimientos de la
DIAN en cualquiera de sus dependencias.
Dificultad para obtener o acceder a la información necesaria,
Deficiencia en los insumos de
08 OPERATIVO suficiente y apropiada requerida para desarrollar las actividades de
información del proceso
los procedimientos.
Dificultades para desarrollar los procesos de la entidad ante la
posibilidad de no contar con los recursos logísticos físicos
Deficiencia en los recursos logísticos
09 OPERATIVO necesarios y/o de baja calidad, tales como: escáneres, mobiliario,
físicos (excepto hardware y software)
equipos de transporte, elementos de seguridad industrial,
herramientas, entre otros.
Dificultad de acceder u obtener insumos de calidad diferentes a
Deficiencia en los insumos diferentes
10 OPERATIVO información que sean necesarios y suficientes para desarrollar las
a información
tareas de los procedimientos.
Desactualización normativa de las Posibilidad de que el sistema informático que compila las normas
11 OPERATIVO
bases de datos del sistema jurídico aplicables por la entidad se encuentre desactualizado.
37

ANEXO 2


Falta de compromiso por parte del
personal de otros procesos para Ausentismo y desinterés durante la realización de actividades que
12 OPERATIVO
participar en las actividades se programen con otros procesos.
programadas
Deterioro, pérdida y/o daño de Posibilidad de que los bienes y/o mercancía aprehendida,
13 OPERATIVO mercancía y bienes a cargo de la decomisada, abandonada o recibida en dación de pago y que este
entidad. en poder de la entidad. se deteriore, pierda o dañe.
Deterioro, pérdida y/o daño de la Posibilidad de que la muestra tomada de las mercancías se
14 OPERATIVO
muestra deteriore, pierda y/o dañe.
Posibilidad de ocurrencia de daños o colapsos en la infraestructura
15 OPERATIVO Falla en la Infraestructura física
física de la entidad.
Posibilidad de que se presenten fallas en el hardware y/o en el
Deficiencias en el hardware y/o en el
16 TECNOLÓGICO software que destina la entidad para el desarrollo de sus
software
operaciones.
Posibilidad de que se presenten fallas en las telecomunicaciones
Fallas en las telecomunicaciones y/o
17 TECNOLÓGICO (Internet, redes, intranet, servicio telefónico) o en el fluido eléctrico
en el fluido eléctrico
de la entidad utilizadas para el desarrollo de sus operaciones.
Posibilidad de que actos mal intencionados de los funcionarios
18 OPERATIVO Falta a la ética y valores
afecten el normal desarrollo de los procedimientos.
Deficiencia en la información suministrada a los clientes internos y
Deficiencias en la información de
19 OPERATIVO externos acorde con los atributos de confidencialidad, integridad,
salida del procedimiento
disponibilidad, efectividad, eficiencia y confiabilidad.
Posibilidad de que las obras de ingeniería civil, consultoría y
Incumplimiento en la ejecución de
20 CUMPLIMIENTO actividades que se contraten no se ejecuten de acuerdo con lo
contratos
planeado y/o estipulado.
Deficiencia en la asignación de Posibilidad de que el personal requerido para gestionar los
21 OPERATIVO personal para gestionar los procedimientos no sea suficiente o no reúna las competencias
procedimientos necesarias para las funciones a desempeñar.
Pérdida de documentos, bienes y/o Posibilidad de que los documentos, bienes y/o información a cargo
22 OPERATIVO
información de la entidad se extravíen o sean destruidos total o parcialmente.
Posibilidad de que terceros accedan fraudulentamente a los
sistemas de la entidad con el fin de obtener información privilegiada
23 OPERATIVO Piratería informática y confidencial o causar daños a los mismos sistemas. Incluye
también la descarga o instalación de software no autorizado o que
no cumpla con los requisitos de derechos de autor.
Situación que conlleva que la entidad se vea obligada a archivar los
24 OPERATIVO Prescripción acción penal procesos penales en contra de personas que presumiblemente han
violado las normas de resorte de la entidad.
Inadecuada divulgación de la Posibilidad de que la información contable presente deficiencias en
25 OPERATIVO
información contable sus características de confiabilidad, relevancia y comprensibilidad.
Terceros que utilizan la información e identificación de otros para
26 OPERATIVO Suplantación de clientes
adelantar gestiones en la entidad.
38

ANEXO 2


Posibilidad de que en la atención o interacción con clientes
27 OPERATIVO Clientes de difícil manejo alterados, estos puedan afectar la integridad física y/o psicológica
de los funcionarios
Posibilidad de que se presenten diferentes interpretaciones,
28 CUMPLIMIENTO Vacíos normativos carencias o ausencia de la normatividad tributaria, aduanera y
cambiaria
Deficiencias en la planeación estratégica y operativa de la entidad
Deficiencias en la planeación
29 ESTRATÉGICO tales como definición de políticas, establecimiento de instrucciones
estratégica y operativa de la entidad
de carácter general, entre otros.
Disminución de la credibilidad en las Posibilidad de que los ciudadanos perciban la gestión del Estado
30 ESTRATÉGICO
instituciones del Estado negativamente.
Desactualización del Registro Único Posibilidad de que la información contenida en el RUT esté
31 ESTRATÉGICO
Tributario (RUT) desactualizada.
Posibilidad de que por política nacional los organismos encargados
Recortes al presupuesto de inversión
32 ESTRATÉGICO asignen menor presupuesto a la entidad afectando su
por parte del sector Hacienda y DNP
funcionamiento.
Cobertura parcial o insuficiente de los Imposibilidad de que la DIAN pueda hacerle control mínimo al
33 ESTRATÉGICO
programas de control universo de contribuyentes
Posibilidad de que otorgamientos de beneficios tributarios y
Continuidad en la concesión de aduaneros coexistan y perduren con el régimen tributario y
34 ESTRATÉGICO
tratamientos tributarios preferenciales aduanero ordinario, lo cual hace al sistema más complejo y más
difícil de administrar.
Posibilidad de que las aprehensiones sean valoradas
35 FINANCIERO Sobrevaluación de las aprehensiones
inadecuadamente
Situaciones que afecten el comportamiento, expectativas y
36 ESTRATÉGICO Deterioro en el clima organizacional
dinámicas del entorno laboral.
Deficiencia en la capacidad de Imposibilidad de actuar de la entidad por desconocimiento de
37 ESTRATÉGICO respuesta a los cambios del entorno operaciones de difícil control que se crean con los cambios del
económico. entorno económico.
Posibilidad de que se afecte la salud humana por exposición a
Afectación por exposición a agentes agentes biológicos (microorganismos, bacterias, hongos, virus,
38 OCUPACIONAL
biológicos ácaros, entre otros) en los lugares y condiciones de trabajo o donde
se realicen los procedimientos.
Posibilidad de daños en la salud de los trabajadores por el
desarrollo de actividades con alta exposición a la crítica interna y
39 OCUPACIONAL Afectación psicolaboral
pública, agresión de compañeros y superiores, trabajo bajo presión
y otros.
Situaciones que ocurren en el desarrollo de las actividades propias
Condiciones de seguridad
40 OCUPACIONAL del trabajo, con la posibilidad de ocasionar daños en la integridad
insuficientes e inadecuadas
física de los funcionarios.
Exposición de los funcionarios a condiciones climáticas que afecten
41 OCUPACIONAL Condiciones climáticas adversas
la salud de los funcionarios
Exposición a elementos Posibilidad de que los funcionarios entren en contacto con
42 OCUPACIONAL
contaminantes y químicos. sustancias contaminantes y químicas, gases, malos olores que
39

ANEXO 2


afecten su salud.
Posibilidad de que los funcionarios estén expuestos a condiciones

Exposición a condiciones físicas
43 OCUPACIONAL de trabajo donde los factores como la luz, ruido, calor y frío los
desfavorables
afecten negativamente.
Posibilidad de que la realización de actividades monótonos,
44 OCUPACIONAL Afectación a la integridad física repetitivas, de fuerza extrema, inseguras afecten la salud física del
funcionario.
Incumplimiento de los téminos legales (prescripción, caducidad) en
45 OPERATIVO Vencimiento de Términos las actuaciones que debe realizar la DIAN en cumplimiento de sus
funciones
Falta, omisión o fallas en la aplicación Posibilidad de que no se apliquen, se apliquen de manera deficiente
46 OPERATIVO de criterios técnicos para la o se desconozcan los criterios de riesgos y los análisis o estudios
selectividad de casos y/o programas. técnicos para seleccionar los casos o programas
Limitaciones en la administración de la entidad, seguimiento y
47 ESTRATÉGICO Deficiencias en la función gerencial evaluación de los resultados y operación de la Entidad por parte de
la Alta Gerencia.
La información correspondiente a las causas y consecuencias de los riesgos

operacionales de la DIAN será publicada en in situ para el conocimiento de todos los
empleados públicos de la Entidad.
40

ANEXO 2

Anexo 3 Tabla de medición del impacto
Para evaluar las consecuencias que se deriven de la ocurrencia de un evento de riesgo se

definieron las siguientes dimensiones:
DESCRIPCIÓN DE LAS DIMENSIONES UTILIZADAS EN LA TABLA DE IMPACTO PARA LA MEDICIÓN DE

RIESGOS
Costo asociado a la materialización del riesgo analizado desde la perspectiva del costo fiscal, es
DIMENSIÓN
decir, la disminución en el recaudo de los tributos y desde la perspectiva del costo financiero para
ECONÓMICA
la entidad, entendido como el deterioro del presupuesto asignado para su funcionamiento.
DIMENSIÓN Detrimento de la imagen de la entidad evaluado desde la percepción del cliente, teniendo en
IMAGEN cuenta el volumen de quejas, reclamos, sugerencias y peticiones (QRSP), las posibles sanciones
INSTITUCIONAL por parte de entes de control y el nivel que alcance la divulgación de los riesgos materializados.
DIMENSIÓN Retraso en la operación de la entidad evaluado con base en la duración del evento y la cantidad
OPERACIONAL de información que pueda verse afectada o comprometida por la ocurrencia del evento de riesgo.
DIMENSIÓN Daños que pueden presentarse en la integridad física de funcionarios o clientes debido a la
HUMANA materialización del riesgo
Y para medir el impacto del riesgo en cada una de estas dimensiones se definieron cuatro
niveles que gradúan en forma ascendente la incidencia del evento en la entidad:
o Leve;
o Moderado;
o Grave y,
o Crítico.
41

ANEXO 2

TABLA DE MEDICIÓN DEL IMPACTO POR OCURRENCIA DEL RIESGO
CONSECUENCIA - EFECTOS MATERIALIZACIÓN DEL RIESGO
DIMENSIÓN ECONÓMICA
DIMENSIÓN DIMENSIÓN DIMENSIÓN
CATEGORIA
IMAGEN INSTITUCIONAL OPERACIONAL HUMANA
RECAUDO PRESUPUESTO
Conocimiento de la situación en medios Retraso en las actividades de la Muerte o lesión que implique a largo
masivos de comunicación a nivel organización por tres o más días. Que plazo una limitación total y permanente
CRITICO
(VALOR=4)
x > 500.000 UVT x> 50.000 UVT nacional e internacional. Multas o se pierda información confidencial o de las condiciones físicas y/o
sanciones por parte de los entes de estratégica y no se pueda recuperar o psicológicas de la persona afectada
control. si se recupera, esta es parcialmente. (funcionario o cliente).
Retraso en las actividades de la

organización entre dos y tres días. Que
Conocimiento de la situación en medios Lesión que requiera hospitalización
la información confidencial o
locales. Multas o sanciones debido a la pero no implique a largo plazo una
GRAVE 5.000 UVT > x ≤ 500 UVT > x ≤ estratégica se pierda y se pueda
pérdida de un proceso judicial y al limitación total y permanente de las
(VALOR=3) 500.000 UVT 50.000 UVT recuperar o, que se pierda información
reconocimiento de los respectivos condiciones físicas y/o psicológicas de
CONSECUENCIA
no estratégica, ni confidencial y se
perjuicios la persona afectada.
logre recuperar menos del 90% de la
misma.

Conocimiento de la situación a nivel de organización desde dos horas hasta por
MODERADO 500 UVT > x ≤ 100 UVT > x ≤ Lesión que requiere de un tratamiento
la institución. Demandas por parte de un día. Que se pierda información no
(VALOR=2) 5000 UVT 500 UVT médico ambulatorio.
los clientes estratégica, ni confidencial y se puede
recuperar más del 90% de la misma.

Conocimiento de la situación al interior organización por dos horas o menos. Lesión que requiere atención de
LEVE 45 UVT > x ≤ 1 UVT > x ≤ 100
de un proceso. Quejas y/o reclamos por Que se pierda información no primeros auxilios que no implica
(VALOR=1) 500 UVT UVT
parte de los clientes estratégica, ni confidencial y se pueda tratamiento médico.
recuperar oportunamente.
x : valor de la pérdida de recaudo o de presupuesto.
42

000014 de diciembre 14 de
2009
ANEXO 2

Anexo 4 Tabla de medición de la probabilidad
Para medir la frecuencia con la que se podrían materializar los eventos de riesgo se
plantearon cuatro intervalos de probabilidad:
o Baja
o Media
o Alta
o Muy alta.
T AB L A DE ME DIC IÓ N DE L A P R O B AB IL IDAD DE O C UR R E NC IA DE L R IE S G O
PROBABILIDAD DE OCURRENCIA
MUY ALTA
(VALOR=4)
El evento ocurre más del 50% de los casos
DESCRIPCIÓN
ALTA
(VALOR=3)
El evento ocurre mayor al 30% y menor o igual al 50% de los casos
MEDIO
(VALOR=2)
El evento ocurre mayor al 5% y menor o igual al 30% de los casos
BAJA
(VALOR=1)
El evento que ocurra menos del 5% de los casos.
43
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de
2009

2009
ANEXO 2

Anexo 5: Mapa de Riesgos

El mapa de riesgos de la DIAN está dividido en cuatro zonas de severidad a saber:
a. Zona de riesgo aceptable.

b. Zona de riesgo moderado.
c. Zona de riesgo importante.
d. Zona de riesgo inaceptable.
Estas zonas se representan a través de colores en el plano, quedando:
SISTEMA DE ADMINISTRACIÓN DEL RIESGO - DIAN

MAPA DE RIESGO
MUY ALTA
ALTA
PROBABILIDAD
MEDIA
BAJA
LEVE MODERADA GRAVE CRITICA
IMPACTO
Zona Riesgo Inaceptable

Zona Riesgo Importante
Zona Riesgo Moderado
Zona Riesgo Aceptable

44
2009

2009
ANEXO 2

Anexo 6. Evaluación de Controles
Después de identificar y analizar los riesgos, la organización debe identificar los

controles existentes tal como se define en la etapa de “Valoración del Riesgo” y
evaluar nuevamente el riesgo identificado para obtener una calificación que refleje el
nivel de incidencia de dicho evento en el normal desarrollo de su operación, es decir
bajo un ambiente de control. Con el objeto de proveer mayores herramientas para la
asignación de la calificación, a continuación se presenta y explica una metodología
que evalúa los atributos del control como un mecanismo para modificar los niveles de
probabilidad e impacto de los riesgos evaluados.
A continuación se expone la metodología a seguir para llevar a cabo la calificación de

los controles para determinar el riesgo residual de la organización:
1. Se debe evaluar para cada control los atributos que se listan a continuación, de
acuerdo con la experiencia que se ha tenido en su aplicación:
¾ Documentación del Control

¾ Aplicación del Control
¾ Periodicidad del Control
¾ Nivel de mitigación del Control
2. Con la información generada en la anterior evaluación se establece la efectividad

del control, la cual está clasificada en los siguientes niveles:
CALIFICACIÓN VALOR DESCRIPCIÓN

A 3 Controles de efectividad Alta
B 2 Controles de efectividad Media
C 1 Controles de efectividad Baja
El cálculo de la efectividad de los controles se realiza a partir de la combinación de sus

atributos. A continuación se muestra un cuadro resumen en el que se incluyen todas
las posibles combinaciones de los atributos del Control y se muestra resaltado en
amarillo cual debería ser el nivel de efectividad asignado a dicho control:
TIPO DE ¿ESTÁ ¿SE NIVEL DE EFECTIVIDAD DEL

CONTROL DOCUMENTADO? APLICA? MITIGACIÓN CONTROL
Preventivo SI SI ALTA A
Preventivo SI SI MEDIA B
Preventivo SI SI BAJA B
Preventivo NO SI ALTA A
45
2009

2009
ANEXO 2

TIPO DE ¿ESTÁ ¿SE NIVEL DE EFECTIVIDAD DEL

CONTROL DOCUMENTADO? APLICA? MITIGACIÓN CONTROL
Preventivo NO SI MEDIA B
Preventivo NO SI BAJA C
Preventivo NO NO - C
Detectivo SI SI ALTA A
Detectivo SI SI MEDIA B
Detectivo SI SI BAJA B
Detectivo NO SI ALTA A
Detectivo NO SI MEDIA B
Detectivo NO SI BAJA C
Detectivo NO NO - C
Correctivo SI SI ALTA A
Correctivo SI SI MEDIA B
Correctivo SI SI BAJA B
Correctivo NO SI ALTA A
Correctivo NO SI MEDIA B
Correctivo NO SI BAJA C
Correctivo NO NO - C
3. Después de establecer el nivel de efectividad para cada control, se debe obtener la

incidencia consolidada de los controles sobre el riesgo evaluado. La incidencia se
obtiene a través del cálculo de un promedio simple de los valores nominales
asignados a las calificaciones de cada control identificado para el riesgo y teniendo
en cuenta la siguiente tabla:
PROMEDIO CALIFICACIÓN
P=3 A
2 <= P < 3 B
P<2 C
4. Después de establecer la efectividad del control, esta debe ser contrastada con la
Categoría/Tipo de control ya que es este último atributo es el que permite
determinar la variación sobre el nivel de probabilidad y/o consecuencia del riesgo y
por lo tanto modificar el nivel de severidad de riesgo inherente. En el siguiente
cuadro se muestran los posibles cambios en la calificación de la probabilidad e
impacto del riesgo de acuerdo con el nivel de efectividad y la categoría del control:
46
2009

2009
ANEXO 2

Categoría
Control
Preventivo Detectivo Correctivo
Efectividad
Control
Permite reducir hasta en dos escalas la
Permite reducir hasta en máximo dos probabilidad o la consecuncia. En caso Permite reducir máximo hasta en
A escalas la probabilidad de ocurrencia que afecte las dos dimensiones cada dos escalas la magnitud del
del riesgo una podrá reducirse máximo en una impacto del riesgo
escala
Permite reducir hasta en una escala la

Permite reducir hasta en máximo una probabilidad o la consecuncia. En caso Permite reducir máximo hasta en
B escala la probabilidad de ocurrencia que afecte las dos dimensiones deberá dos escalas la magnitud del
del riesgo analizarse en cual tiene mayor impacto del riesgo
incidencia y allí reducir la escala.
C Se mantiene sin cambios la calificación del riesgo
Partiendo de que el grupo de evaluación ha determinado tanto la efectividad

como la categoría del control, el paso final debe ser la asignación de las
nuevas calificaciones de probabilidad e impacto para el riesgo. Para tal
propósito a continuación se muestran dos cuadros con los diferentes cambios
que se podrían dar en las calificaciones de cada riesgo de acuerdo con la
evaluación realizada a los controles y para facilitar su lectura se muestra
previamente un mapa de riesgo de dimensión 4x4 y un mapa de riesgo de
dimensión 5x5 en el que se incluyen los nombres de las zonas de severidad.
Mapa Dimensión 4 x 4
47
2009

2009
ANEXO 2

MAPA DE RIESGO RESIDUAL - EVALUACIÓN DE CONTROLES
MUY ALTA Moderado 4 Importante 8 Inaceptable 12 Inaceptable 16
ALTA Moderado 3 Importante 6 Importante 9 Inaceptable 12
MEDIA Aceptable 2 Moderado 4 Importante 6 Inaceptable 8
BAJA Aceptable 1 Aceptable 2 Moderado 3 Importante 4
LEVE MODERADO GRAVE CRITICO
48
2009

ANEXO 2

Cuadro Afectación de atributos de control en la calificación residual para matriz dimensión 4 x 4
MATRIZ RIESGO AFECTADA POR CONTROLES

MATRIZ RIESGO INHERENTE
A B C
Probabilidad R Impacto R Severidad R Severidad Preventivo Detectivo Correctivo Preventivo Detectivo Correctivo PDC
Baja 1 Leve 1 Aceptable 1 Aceptable1 Aceptable1 Aceptable1 Aceptable1 Aceptable1 Aceptable1 Aceptable1
Baja 1 Crítico 4 Importante 4 Importante4 Importante4 Aceptable2 Aceptable2 Importante4 Moderado3 Importante4
Baja 1 Moderado 2 Aceptable 2 Aceptable2 Aceptable2 Aceptable1 Aceptable1 Aceptable2 Aceptable1 Aceptable2
Puede asumir
Baja 1 Grave 3 Moderado 3 Moderado3 Moderado3 Aceptable1 Aceptable1 Moderado3 Aceptable2 Moderado3
cualquiera de
Alta 3 Leve 1 Moderado 3 Moderado3 Aceptable1 Aceptable1 Moderado3 Aceptable2 las opciones Moderado3 Moderado3
Alta 3 Crítico 4 Inaceptable 12 Inaceptable12 Importante4 Importante6 Importante6 Inaceptable8 planteadas Importante9 Inaceptable12
Alta 3 Moderado 2 Importante 6 Importante6 Aceptable2 Aceptable2 Moderado3 Moderado4 para el tipo de Moderado3 Importante6
Alta 3 Grave 3 Importante 9 Importante9 Moderado3 Aceptable4 Moderado3 Importante6 riesgo Importante6 Importante9
Muy Alta 4 Leve 1 Moderado 4 Moderado4 Aceptable2 Moderado3 Moderado4 Moderado3 preventivo o Moderado4 Moderado4
Muy Alta 4 Crítico 4 Inaceptable 16 Inaceptable16 Inaceptable8 Importante9 Importante8 Inaceptable12 correctivo Inaceptable12 Inaceptable16
cuando el
Muy Alta 4 Moderado 2 Importante 8 Importante8 Moderado4 Moderado3 Moderado4 Importante6 Moderado4 Importante8
control es
Muy Alta 4 Grave 3 Inaceptable 12 Inaceptable12 Importante6 Importante6 Moderado4 Importante9 calificados
Importante8 Inaceptable12
Media 2 Leve 1 Aceptable 2 Aceptable2 Aceptable1 Aceptable1 Aceptable2 Aceptable1 como B Aceptable2 Aceptable2
Media 2 Crítico 4 Inaceptable 8 Inaceptable8 Importante4 Moderado3 Moderado4 Importante4 Importante6 Inaceptable8
Media 2 Moderado 2 Moderado 4 Moderado4 Aceptable2 Aceptable1 Aceptable2 Aceptable2 Aceptable2 Moderado4
Media 2 Grave 3 Importante 6 Importante6 Moderado3 Aceptable2 Aceptable2 Moderado3 Moderado4 Importante6
49

ANEXO 2

Anexo 7. Tipos de Tratamiento

a. Asumir: Cuando los riesgos tienen un bajo nivel de severidad (aceptable) los
costos generados por su materialización son relativamente bajos respecto de los
costos en los que habría que incurrir para crear controles. Se recomienda en estos
casos mantener un monitoreo con el fin de que el nivel de severidad no se
incremente. En todo caso el costo del monitoreo no debe sobrepasar el costo de la
realización del evento.
b. Evitar: Se refiere a la implementación de controles preventivos con el fin de reducir

al máximo la probabilidad de ocurrencia del riesgo.
c. Transferir: En este caso se traslada el riesgo para que sea gestionado por un
tercero ajeno a la Entidad, el cual asume el costo en caso de la materialización del
evento. Esta alternativa también incluye la adquisición una póliza de seguro. La
transferencia de riesgos suele aplicarse sobre recursos físicos o sobre la
seguridad o integridad física de las personas que laboran en una organización. En
el caso de entidades públicas con funciones legalmente establecidas nunca se
trasfiere la responsabilidad sino el costo por la posible ocurrencia del riesgo.
d. Gestionar: Se relaciona con riesgos que presentan un grado de severidad

relativamente alto (zonas de riesgo importante o inaceptable según los
instrumentos propuestos en la sección 2 de este documento). Al igual que en la
alternativa que trata de evitar los riesgos, gestionarlos permite reducir la
probabilidad de ocurrencia pero adicionalmente esta clase de tratamiento permite
disminuir el impacto del evento, acudiendo generalmente a la aplicación de nuevos
controles correctivos o de la revisión de los ya existentes. Igualmente forma parte
de este tratamiento la implementación de planes de contingencia que buscan
mitigar las consecuencias en caso de la ocurrencia del evento.

50

ANEXO 2

51

ANEXO 2

Anexo 8. Indicadores del Sistema de Administración de Riesgos Operacionales

FRECUENCIA DE
No. OBJETIVO NOMBRE DEL INDICADOR INDICADOR Metodología
MEDICIÓN
los 5 primeros después de finalizar el trimestre evaluado, se

Eficacia del Sistema de verificará en la herramienta de "Registro de Eventos de
No. de Riesgos Materializados
Administración de Riesgos de Trimestral Riesgo" los riesgos que se hayan materializado y se
No. de Riesgos Identificados
Disminuir el porcentaje de la DIAN compararan con la totalidad de los riesgos identificados para
materialización de riesgos en la DIAN.
1
la compañía a nivel los 5 primeros después de finalizar el trimestre evaluado, se
corporativo y por proceso Eficacia del Sistema de verificará en la herramienta de "Registro de Eventos de
No. de Riesgos Materializados por proceso
Administración de Riesgos por Trimestral Riesgo" los riesgos que se hayan materializado y se
No. de Riesgos Identificados por proceso
proceso compararan con la totalidad de los riesgos identificados en el
proceso.
Cuantía de los eventos de riesgo Los 5 primeros después de finalizar el trimestre evaluado,
Mantener el nivel de impacto Incidencia de los eventos de materializados con pérdidas superiores a 500 serán identificados aquellos eventos de riesgo donde la
2 de los eventos de riesgo en riesgo con impacto mayor en UVT Trimestral cuantía sea superior a 500 UVT con el propósito de conocer
un nivel aceptable la entidad Cuantía de los eventos totales de riesgo la proporción de eventos de riesgo que tienen un impacto
materializados en UVT mayor en la DIAN.
Los 5 primeros días después de finalizar el trimestre
Disminuir el riesgo operativo evaluado y tomando como base los resultados obtenidos en
Reclamaciones de Clientes PQRS producto de un evento de riesgo
3 por quejas y reclamaciones Trimestral el Informe Trimestral de Gestión de la DIAN se cruzarán los
producto de eventos de riesgo No. total de PQRS
de los clientes datos contra los registros efectuados en el mismo periodo en
la herramienta de "Registro de eventos de riesgo".
52

ANEXO 2

Los 5 primeros después de finalizar el trimestre evaluado el

Asegurar que los canales de
proceso de Servicios Informáticos reportará el número de
comunicación y las No. total de caídas y fallos en las
Fallos de comunicación y veces que se presentaron fallas en las comunicaciones y en
4 aplicaciones susceptibles de comunicaciones y los aplicativos Trimestral
aplicaciones los aplicativos internos. Los administradores del sistema
fallos aumenten su N° total de eventos de riesgo materializados
cruzarán está información frente a los eventos ingresados en
confiabilidad y disponibilidad.
la herramienta de "Registro de eventos de riesgo".
FRECUENCIA DE
No. OBJETIVO NOMBRE DEL INDICADOR INDICADOR Metodología
MEDICIÓN
durante los 5 primeros días de cada mes se verificará en las
Asegurar y mantener la
Ausencia de documentos y No. de controles que no cuentan con evidencia matrices de riesgo la cantidad de controles existentes y el
5 evidencia de los controles Trimestral
registros No. Total de controles documentados número de estos que aún no cuenten con evidencia de su
existentes en los procesos
funcionamiento
Los 5 primeros después de finalizar el trimestre evaluado los
Asegurar el cumplimiento e
No. de tratamientos implementados en el diferentes procesos deberán reportar a los administradores
implementación de los planes Efectividad de la fase de
período del sistema los tratamientos implementados o el nivel de
6 de tratamiento diseñados tratamiento del sistema de Trimestral
No. De Tratamientos proyectados para avance en la implementación de los mismos para que está
para la mitigación de los administración de riesgo
implementar en el período información sea contrastada contra la matriz de tratamiento
riesgos
del proceso.
Los 5 primeros después de finalizar el trimestre evaluado se
Asegurar que los planes de
deberá extraer de la herramienta de "Registro de eventos de
tratamiento diseñados en la Nivel de mitigación del No. de eventos de riesgo materializado con
riesgo" la totalidad de eventos materializados para que los
7 entidad estén siendo Sistema de Administración de tratamientos asociados Trimestral
mismos sean contrastados frente a la matriz de tratamiento
utilizados para la gestión de riesgo No. total de eventos de riesgo materializados
con el objeto de verificar si tienen asociado un plan de
los riesgos materializados
mitigación.
53

ANEXO 2


deberán actualizar las matrices de riesgo de cada proceso y
Asegurar que la entidad no No. de eventos de riesgo con severidad
Nivel de riesgos inaceptables se extraerá de las mismas el número de riesgos residuales
8 afronte riesgos considerados inaceptable en el proceso Trimestral
en el proceso calificados con un nivel de severidad inaceptable y se
Inaceptables No. total de eventos de riesgo en el proceso
compararán frente a la totalidad de los riesgos identificados
en el proceso.
Reducir la proporción de deberán actualizar las matrices de riesgo de cada proceso y
No. de eventos de riesgo con severidad
riesgos importantes a los Nivel de riesgos de severidad se extraera de las mismas el número de riesgos residuales
9 importante en el proceso Trimestral
cuales se vea enfrentada la importante en el proceso calificados con un nivel de severidad importante y se
No. total de eventos de riesgo en el proceso
DIAN compararán frente a la totalidad de los riesgos identificados
en el proceso.
54

Metodologia Sistema Admon Riesgos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Metodologia Sistema Admon Riesgos

Cargado por

Copyright:

Formatos disponibles

METODOLOGÍA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALES

DIRECCIÓN DE GESTIÒN ORGANIZACIONAL

SUBDIRECCIÓN DE GESTIÓN DE PROCESOS Y COMPETENCIAS LABORALES

COORDINACIÒN DE LA DINÀMICA DE LOS PROCESOS

Bogotá, D.C., Diciembre de 2009

2.1. ALCANCE Y DEFINICIÓN METODOLÓGICA ___________________________6

2.2. ESTRUCTURA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS________7

3. DESARROLLO DE LA METODOLOGÍA ................................................ 11

3.1. DEFINICIÓN DE LA ESTRUCTURA DE DIRECCIÓN Y RESPONSABILIDAD

3.2. DISEÑO DEL MARCO PARA LA ADMINISTRACIÓN DEL SISTEMA DE

3.2.6.3. Formato 1367 Acciones Correctivas y Preventivas .......................................................... 18

3.3. IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

3.4. SEGUIMIENTO Y REVISIÓN DEL SISTEMA DE ADMINISTRACIÓN DE

3.5. MEJORAMIENTO CONTINUO DEL SISTEMA _________________________35

Durante los últimos años la Dirección de Impuestos y Aduanas Nacionales, DIAN, ha

El presente documento contiene la metodología en la que se apoya la DIAN, para el

El documento está estructurado en tres secciones. En la primera de ellas se presenta de

La administración de riesgos, por su parte, “es el término aplicado a un método lógico y

Se trata de una herramienta de gestión, liderada desde la alta dirección de las

El análisis de riesgos operacionales está diseñado para identificar eventos potenciales

Las entidades de la administración pública no pueden ser ajenas a la materialización de

La presencia latente de múltiples riesgos en torno a la gestión de la DIAN podría poner en

El Sistema de Administración de Riesgos Operacionales debe incorporarse en el diseño

2. METODOLOGÍA PARA EL DESARROLLO DEL SISTEMA DE

La metodología para el desarrollo del Sistema de Administración de Riesgos

2.1. ALCANCE Y DEFINICIÓN METODOLÓGICA

proceso de administración de riesgos involucrando el establecimiento del contexto y la

El Estándar Internacional ISO 31000 “Risk Management Principles and Guidelines”

2.2. ESTRUCTURA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

1. Estructura de Dirección y Responsabilidad

2. Marco para la Administración del Riesgo

3. Implementación de la Administración del Riesgo: que contiene:

3.1 Valoración: involucra la identificación, análisis y evaluación de los riesgos.

3.2 Tratamiento: Define los planes de mejoramiento

3.3 Monitoreo del Riesgo: Refleja las actividades de seguimiento y revisión

4. Seguimiento y Revisión del Sistema de Administración de Riesgos Operacionales

5. Mejoramiento Continuo del Sistema

En el siguiente esquema se representa la estructura del Sistema de Administración de

4. Seguimiento y Revisión del

5. Mejoramiento Continuo del 3.3. Monitoreo de Riesgos

2.2.1. Estructura de Dirección y Responsabilidad

2.2.2. Marco para la administración del riesgo

Lo correspondiente al establecimiento del contexto, consiste en definir los parámetros

2.2.3. Implementación de la Administración del Riesgo

2.2.3.1. Valoración de Riesgos

2.2.3.1.1. Identificación de Riesgos

Para la identificación de riesgos pueden utilizarse varias herramientas y técnicas, como

La información generada de la ejecución de esta etapa debe ser documentada en la

2.2.3.1.2. Análisis de Riesgos

Las consecuencias y probabilidad de ocurrencia de un riesgo se pueden estimar utilizando

En esta etapa el principal producto es un mapa de riesgos inherente a la operación de la

2.2.3.1.3. Evaluación de Riesgos

2.2.3.2. Tratamiento de Riesgos

Los tratamientos definidos independientemente de la zona de riesgo en la que este

2.2.3.3. Monitoreo de Riesgos

El monitoreo permite detectar nuevos riesgos, modificar los eventos de riesgo ya

2.2.4. Seguimiento y Revisión al Sistema de Administración de Riesgos

2.2.5. Mejoramiento Continuo del Sistema

3.1. DEFINICIÓN DE LA ESTRUCTURA DE DIRECCIÓN Y RESPONSABILIDAD DEL

En la DIAN con el propósito de estructurar el Sistema de Administración de Riesgos

3.2. DISEÑO DEL MARCO PARA LA ADMINISTRACIÓN DEL SISTEMA DE

3.2.1. Contextos en la DIAN

En general, las administraciones tributarias son instituciones a las cuales se confía un

Convertir en cantidades cada una de las calificaciones cualitativas inicialmente