Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
1
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
INDICE
INTRODUCCIÓN .................................................................................................... 4
1. MARCO CONCEPTUAL............................................................................ 5
2. METODOLOGÍA PARA EL DESARROLLO DEL SISTEMA DE
ADMINISTRACIÓN DE RIESGOS OPERACIONALES ............................ 6
2
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
3
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
INTRODUCCIÓN
4
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
1. MARCO CONCEPTUAL
Se entiende por riesgo “toda posibilidad de ocurrencia de aquella situación que pueda
entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus
objetivos” 1 y/o como el efecto de incertidumbre sobre los objetivos2.
En la DIAN se entiende como riesgo operacional todo evento adverso que se presente o
pueda presentarse en el desarrollo y/o ejecución de los procesos de la Entidad que esté o
no bajo el control de la misma y pueda afectar en alguna medida el logro de los objetivos
institucionales. Los riesgos operacionales se clasifican de acuerdo con las categorías
establecidas en el Anexo 1: Clasificaciones de Riesgo3.
1 Departamento Administrativo de la Función Pública. Guía Administración del Riesgo. Segunda edición. Colombia 2004.
2 Organización Internacional de Estandarización. ISO 31000 Risk management. Principles and guidelines.. 2009.
3 La definición de Riesgos Operacionales obedece a la adecuación realizada por la DIAN de la normatividad vigente para identificar su Sistema de
Administración de Riesgos y normalizarlo de acuerdo con sus necesidades.
4 Standars Australia. Administración de Riesgos, AS/NZS 4360:1999 Estándar Australiano. (El estándar australiano es una metodología con
reconocimiento internacional, sobre la cual se basó el ICONTEC para el desarrollo de la Norma Técnica Colombiana NTC 5254).
5 Op. Cit,. Departamento Administrativo de la Función Pública. 2004.
5
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Por supuesto, la DIAN, al igual que todas las organizaciones de carácter público, se
encuentra permanentemente expuesta a estos eventos de riesgo, y por ello es necesario
crear mecanismos efectivos de control que permitan reducir la vulnerabilidad de la
organización ante los mismos, es decir, que la entidad debe realizar las acciones
necesarias, viables y efectivas con el objetivo de prevenir la ocurrencia o minimizar el
impacto de los eventos que puedan afectar el logro de sus objetivos y la adecuada gestión
de los procesos.
Esta clase de herramientas se emplea tanto para gestionar los riesgos en el conjunto de
la entidad como también en los distintos niveles que la integran. Consecuentemente, se
requiere que el Sistema de Administración de Riesgos Operacionales de la entidad sea
conocido por los funcionarios en todos los niveles de la organización.
6
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
7
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
g p
1. Definición de la Estructura de 3.1 Valoración de Riesgos
Dirección y Responsabilidad
3.1.1. Identificación de Riesgos
2. Diseño del marco para la
administración del riesgo
3.1.2. Análisis de Riesgos
3. Implementación de la
administración del riesgo 3.1.3. Evaluación de Riesgos
En esta etapa igualmente deben ser definidos algunos elementos como la política de
administración de riesgos y los indicadores de desempeño del Sistema asegurándose del
cumplimiento normativo.
8
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
El análisis del riesgo permite establecer la severidad de los eventos de riesgo, la cual se
obtiene de la combinación entre la estimación de la probabilidad de ocurrencia y el
impacto de sus consecuencias. Esta primera calificación proporciona una aproximación al
máximo riesgo al que se encuentra expuesta la Entidad y a la capacidad requerida para la
administración de sus riesgos.
9
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
De este ejercicio, surge como producto el mapa de riesgos residuales, con base en lo cual
se priorizan los eventos de riesgo y se determinan los tratamientos respectivos de
acuerdo con lo definido en la siguiente fase de implementación.
A partir del grado de exposición al riesgo se priorizan los eventos de riesgo de acuerdo
con su severidad frente al logro de los objetivos de la entidad, y de acuerdo a esta
clasificación se definen y ejecutan las acciones tomadas para evitar, gestionar, transferir o
asumir las causas del riesgo.
6 Se entiende por ordinalidad, la asignación de un número que exprese la idea de orden o sucesión; p. ej., primero, segundo, quinto, sexto. En el caso
de riesgos este orden se debe al incremento en la probabilidad de ocurrencia o al incremento en el impacto asociado a los eventos de riesgo.
10
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
3. DESARROLLO DE LA METODOLOGÍA
11
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
La DIAN, tal como ocurre con otras administraciones tributarias, es una de las
instituciones públicas de mayor interacción directa con los ciudadanos. Sus actuaciones
son un importante referente en la percepción social de la institucionalidad de un país.
La DIAN desarrolla esa misión brindando a los contribuyentes servicios que facilitan el
cumplimiento de sus obligaciones, efectuando al mismo tiempo, los controles necesarios y
enmarcando su actuación en los principios constitucionales y legales que regulan la
gestión pública.
Frente a la DIAN las personas naturales y jurídicas declaran la renta que han obtenido
durante la vigencia fiscal y bimestralmente los responsables del IVA le informan mediante
declaraciones el comportamiento de sus ventas y de sus obligaciones tributarias. Al
mismo tiempo, la DIAN interactúa con personas naturales y jurídicas que mensualmente
reportan las retenciones en la fuente por ellas practicadas. Esta información se constituye
como el insumo principal para el cumplimiento de la misión de la entidad.
Al menos una vez en el año los importadores o exportadores emplean los servicios de
facilitación del comercio exterior que brinda la DIAN.
12
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
del gobierno nacional, de tal manera que con la introducción de los ajustes necesarios
puede afirmarse que la organización ha logrado consolidar una planeación estratégica de
mediano plazo.
Sin embargo, las contingencias internas, así como las provenientes de su entorno
económico, político y social, pueden afectar negativa y significativamente la gestión de la
entidad. Es por ello que la DIAN considera de importancia capital la incorporación del
análisis de riesgos en su planeación estratégica.
Actualmente el análisis de riesgos hace parte integral del Mapa Estratégico, del Código de
Buen Gobierno, y de los Planes y Proyectos de la entidad. También es revelador de la
construcción de una cultura de análisis de riesgos en la entidad, el hecho que en Las
Evaluaciones Anuales al Plan Estratégico, los Informes de Gestión (rendición de cuentas),
y el Diagnóstico del Desarrollo Institucional, se establecen las debilidades y amenazas a
los que se enfrenta la DIAN y, a la vez, cada uno de sus procesos, subprocesos y
procedimientos aporta información relevante sobre la cual se va actualizando el mapa de
eventos de riesgos.
En este entorno la DIAN ha definido y gestionado las acciones necesarias para armonizar
sus recursos humanos y tecnológicos y la estructura organizacional con la estrategia de
modernización. Por otra parte, desde su rol propositivo, la DIAN también ha continuado
llamando la atención sobre la importancia que para el desarrollo del país tiene la
13
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Este Sistema se integra en todas sus fases con los procesos, subprocesos y
procedimientos establecidos en la Resolución 10621 de 2008 a través de metodologías de
reconocido valor técnico en la administración de riesgos, las cuales contienen
14
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
a. Prevención
Adoptar las acciones necesarias, viables y efectivas para prevenir la ocurrencia o
minimizar el impacto de los riesgos que puedan afectar o entorpecer el logro de los
objetivos y la gestión de los procesos.
b. Autorregulación
La administración de los riesgos se fundamenta en la utilización de métodos y
procedimientos idóneos, aplicados de manera participativa en los distintos niveles
de la organización, bajo un entorno de integridad, eficiencia y transparencia.
c. Autocontrol
La administración de riesgos proporciona controles adecuados que permiten a la
organización detectar oportunamente la ocurrencia de un evento riesgoso, a fin de
efectuar las acciones preventivas y correctivas que sean necesarias.
d. Razonabilidad
Se otorga prioridad al tratamiento de los riesgos de mayor severidad de
conformidad con las decisiones que en tal materia tome la alta dirección de la
organización. Los recursos asignados al tratamiento de los riesgos y a la
implantación de controles guardan proporcionalidad con su incidencia y
probabilidad de materialización.
e. Atenuabilidad
La administración del riesgo se enfoca en la necesidad de mitigación efectiva de
un riesgo considerando su real impacto en el logro de los objetivos estratégicos y
en el desarrollo de los procesos institucionales.
15
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Otros objetivos específicos que deben tenerse en perspectiva para el diseño, construcción
y operación del sistema son:
Articular, evaluar y controlar los riesgos que pueden afectar o impedir el desarrollo
de los procesos institucionales.
Interiorizar en la cultura institucional el concepto de riesgo y la concientización
sobre los aportes que todos los funcionarios de la entidad pueden realizar para
fortalecer la capacidad de administrar los eventos riesgosos.
Lograr que los Directores de Gestión, Jefes de Oficina y Subdirectores administren
el sistema de riesgos de manera participativa, técnica y preventiva.
a. Sobre metodología
Los responsables de los procesos en la DIAN administrarán los riesgos
operacionales de manera participativa, técnica y preventiva, utilizando
metodologías que le permitan determinar causas y efectos, establecer la
probabilidad de su ocurrencia, medir el impacto de sus consecuencias y definir
criterios de calificación y evaluación de los riesgos con el fin de identificar
prioritariamente aquellos que le impidan alcanzar los objetivos institucionales.
b. Sobre control
Sin excepción, la DIAN implementará los controles razonables en términos de
suficiencia, comprensión, eficacia, economía y oportunidad sobre los riesgos
adecuadamente identificados, analizados y valorados que sea necesario combatir
para el logro pleno de los objetivos de los procesos.
16
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
c. Sobre tratamiento
Los responsables de los procesos en la DIAN, con el propósito de alcanzar los
objetivos institucionales, administrarán las acciones preventivas y/o correctivas
tendientes a evitar, reducir o transferir el riesgo bajo criterios de autorregulación y
autocontrol.
Para la definición de estos criterios el equipo de trabajo inicialmente discutió las diferentes
dimensiones que podrían tener los tres instrumentos de medición requeridos en esta
etapa (5×5, 4×4, 3×3), y adoptó finalmente una estructura en 4 dimensiones básicas,
tanto para el impacto como para la probabilidad, a fin de evitar los sesgos de
conveniencia que usualmente son adoptados por evaluadores, analistas o encuestados y
que tienden a generar calificaciones agrupadas en el punto central.
17
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
18
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Las fuentes de riesgo son usualmente clasificadas en grupos que integran elementos
homogéneos tales como el recurso humano, la tecnología, la infraestructura, los procesos,
eventos externos, etc. Las principales áreas de impacto de los sucesos riesgosos son los
procesos de la entidad, pudiendo tener especial incidencia en los subprocesos y
procedimientos que los conforman.
3.3.1.1. Antecedentes
Durante el periodo comprendido entre los años 2005 a 2007 las diferentes áreas de la
DIAN identificaron una serie de riesgos siguiendo la metodología del Sistema de Gestión
de Calidad y Control Interno dentro del levantamiento de los procesos que hizo a nivel de
la organización.
19
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Procesos y Talento Humano, la cual contenía 11 tipos de riesgos y una opción para que
los usuarios identificaran otros riesgos y los relacionaran.
20
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
21
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
magnitud de su impacto. En el caso de la DIAN implica medir los eventos de riesgo que
se encuentran documentados en la “Tabla de Riesgos Institucionales” para cada uno de
los procesos y posteriormente llevar esté análisis a nivel de procedimientos.
Cuando se realiza el análisis del riesgo con relación a su impacto puede que este no sea
igual en las 4 dimensiones consideradas, de hecho algunos riesgos únicamente afectaran
una o dos dimensiones. Sin embargo, es necesario obtener una sola valoración del
impacto institucional del riesgo por lo que se establece como una política de operación
que el impacto del riesgo corresponde al nivel más alto que se haya registrado en
cualquiera de las dimensiones.
Esta calificación es asignada sin tener en cuenta la incidencia de los controles que la
entidad tiene implementados para mitigar la frecuencia y la incidencia de los riesgos
operacionales identificados sin olvidar el contexto estratégico, organizacional y de riesgos
ya establecido.
La asignación de cada calificación trae consigo una valoración de orden nominal como se
estableció en las tablas de impacto y probabilidad y como se indica en la siguiente tabla.
22
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Se supone para tal efecto que en la organización se han identificado 4 riesgos y que
existen 3 procesos fundamentales. En consecuencia la matriz de calificación del impacto y
de la probabilidad tendrán una dimensión 4*3 (Nº riesgos x Nº procesos).
7
En esta versión del sistema de administración de riesgos de la DIAN, se asumirá que los procesos tienen el mismo peso
relativo para la entidad.: En versiones posteriores se contempla la posibilidad de asignar ponderaciones diferentes por
grupos de procesos, otorgando por ejemplo mayor peso relativo a los procesos misionales que a los de apoyo.
23
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Esta matriz muestra que el riesgo 1 no tiene incidencia sobre el primer proceso pero que
afecta de manera moderada al proceso 2 y en forma leve al proceso 3. Para sintetizar
estos dos efectos se acude a la primera equivalencia y se asignan valoraciones
cuantitativas para los dos eventos: 2 en el caso del impacto moderado y 1 para el impacto
leve. El promedio simple de estas calificaciones es 1,5 y entonces se acude a la segunda
equivalencia a fin de traducir este resultado en una evaluación cualitativa. Así puede
afirmarse que en promedio el riesgo 1 impacta de manera moderada la institución.
La última columna de la Matriz 1 permite establecer el aporte relativo con que cada uno
de los riesgos contribuye al impacto total sobre la entidad. Conocido el hecho de que el
impacto general de los riesgos es “grave”, la última columna advierte que el 55% de tal
resultado se explica por la incidencia del riesgo 4, seguido en importancia por las
contribuciones relativas de los riesgos 2 y 1 respectivamente.
24
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
El riesgo 4 tiene una alta probabilidad de ocurrir en el proceso 1 pero esa probabilidad es
baja en los procesos 2 y 3. En términos cuantitativos las tres probabilidades corresponden
respectivamente a 4, 1 y 1, según se propuso en la primera equivalencia. El promedio
simple de los tres valores es 2 y la segunda equivalencia indica que, en promedio, el
riesgo 4 se presenta en la entidad con una probabilidad media.
Las matrices 1 y 2 aportan para el caso del ejemplo los elementos necesarios para definir
el grado de severidad de los riesgos institucionales. Teniendo en cuenta esa información
así como las zonas de riesgo establecidas en el apartado 3.3.3 de este documento, es
posible construir el “mapa de riesgos inherentes de la organización”.
Probabilidad
Cód. Conceptos Impacto promedio Zona de riesgo
promedio
01 Riesgo 1 MODERADO ALTA ZONA DE RIESGO IMPORTANTE
02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO
03 Riesgo 3 LEVE MUY ALTA ZONA DE RIESGO MODERADO
04 Riesgo 4 CRÍTICO MEDIA ZONA DE RIESGO INACEPTABLE
© Total riesgos GRAVE MEDIA ZONA DE RIESGO IMPORTANTE
25
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
MUY ALTA 03
P 01
R
O ALTA
B Zona Riesgo Inaceptable
A
Zona Riesgo Importante
B
I Zona Riesgo Moderado
L Zona Riesgo Aceptable
I
D MEDIA
A 04
D ©
02
BAJA
CONSECUENCIA - IMPACTO
Los resultados obtenidos en este ejemplo indican que los 4 riesgos considerados (antes
de la aplicación de los controles) podrían generar, en promedio, un impacto “grave” sobre
la organización si llegaran a materializarse. La probabilidad promedio de que estos
riesgos efectivamente tengan ocurrencia es “media” en el conjunto de la institución. La
asociación entre un impacto “grave” y una probabilidad “media” se traduce en nivel de
exposición o de severidad del riesgo “importante”.
26
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
efectividad de las acciones que haya dispuesto la organización para administrar sus
riesgos. La valoración que se realiza incluyendo los efectos de los controles da lugar a
los riesgos residuales.
27
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
De acuerdo con la calificación asignada a cada uno de los atributos del control
mencionados previamente se pueden establecer de acuerdo con la siguiente escala la
efectividad del control:
Para realizar la medición residual de los riesgos identificados en todos los procesos y/o
procedimientos de la Entidad al igual que para la medición del riesgo inherente se debe
medir para cada evento de riesgo su nivel de impacto y probabilidad, empleando para ello
los instrumentos de medición previamente diseñados y que fueron descritos en el numeral
3.2.5 Criterios de Medición de esta metodología así como la información histórica o la
experiencia del empleado público designado para el proceso o procedimiento objeto de
análisis.
28
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
En el literal a. del subapartado 3.4.1 se indicó que la tipología de los controles define si su
efectividad permite reducir el impacto y/o la probabilidad del riesgo. Así mismo, el grado
de efectividad determina la magnitud de esta disminución.
29
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Probabilidad de ocurrencia de los riesgos en la DIAN una vez aplicados los controles
EJEMPLO PARA ILUSTRAR LA METODOLOGÍA
Probabilidad
Cód. Conceptos Impacto promedio Zona de riesgo
promedio
01 Riesgo 1 LEVE BAJA ZONA DE RIESGO ACEPTABLE
02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO
03 Riesgo 3 LEVE ALTA ZONA DE RIESGO MODERADO
04 Riesgo 4 MODERADO MEDIA ZONA DE RIESGO MODERADO
© Total riesgos MODERADO MEDIA ZONA DE RIESGO MODERADO
30
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
MUY ALTA
P
R
Zona Riesgo Inaceptable
O ALTA 03
B Zona Riesgo Importante
A Zona Riesgo Moderado
B Zona Riesgo Aceptable
I
L
I
D MEDIA
A 04
D ©
01
02
BAJA
CONSECUENCIA - IMPACTO
31
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
b. El riesgo baje a una zona de riesgo menor pero que esta no sea la “Zona de
Riesgo Aceptable”. En este caso se deberá seguir el procedimiento descrito en el
literal anterior.
Cuando el tratamiento a aplicar sea “Asumir”, dicho riesgo se deberá borrar del mapa de
riesgo del procedimiento o proceso respectivo sin que esta acción implique que el riesgo
haya sido eliminado del procedimiento, proceso o de la Entidad ya que el mismo puede
escalar hacia otra zona de riesgo si llegan a fallar los controles o se cambian las
condiciones de la actividad a la cual está atado. La Coordinación de la Dinámica de los
Procesos deberá contar con un registro en el que se evidencien los riesgos asumidos por
procedimiento así como la fecha y el registro que soporta dicha decisión.
Cada vez que se materialice un evento de riesgo el mismo debe ser reportado a la
Coordinación de la Dinámica de los Procesos a través del Sistema Experto, tanto a nivel
32
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Para la elaboración del informe se debe tener en cuenta los históricos de los mapas,
matrices e indicadores de comportamiento de riesgos operacionales para cada uno de los
procedimientos, subprocesos y procesos de la Entidad y las Actas o demás documentos
que soporten los cambios en las calificaciones asignadas. Esta información proviene de
los informes trimestrales de autoevaluación en lo referente a la gestión de riesgos que
sean enviados por los Directores de Gestión, Jefes de Oficina y Subdirectores, los cuales
deben contener la evaluación de los riesgos operacionales al corte trimestral
especificando los cambios en la calificación de la probabilidad y/o el impacto de los
eventos de riesgo operacionales asociados a su proceso, subproceso y/o procedimiento.
Los informes resultantes del seguimiento realizado a los riesgos operacionales por parte
de la Coordinación de la Dinámica de los Procesos deberán ser enviados a las Directores
de Gestión, Jefes de Oficina y Subdirectores correspondientes en caso de que la
calificación de riesgo se incremente o no se vean cambios en su calificación después de
tres trimestres consecutivos.
33
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Cada uno de los elementos mencionados deben ser verificados frente a los resultados
obtenidos en el año evaluado con el objeto de determinar si estos deben ser modificados
34
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
o ajustados. Entre algunos de los casos que generarían cambios en los mencionados
elementos son:
De la revisión realizada debe quedar un informe en el que se detallen los cambios en los
elementos que componen el Sistema y se describa la situación generadora de los
mismos.
Las acciones adelantadas deberán partir de los resultados obtenidos de la revisión por la
dirección al Sistema de Gestión de Calidad y de Control Interno y de las revisiones
realizadas al Sistema de Riesgos Operacionales por la Coordinación de la Dinámica de
los Procesos, la Oficina de Control Interno y los órganos externos de control.
35
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
36
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
37
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
38
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
39
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
40
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
Costo asociado a la materialización del riesgo analizado desde la perspectiva del costo fiscal, es
DIMENSIÓN
decir, la disminución en el recaudo de los tributos y desde la perspectiva del costo financiero para
ECONÓMICA
la entidad, entendido como el deterioro del presupuesto asignado para su funcionamiento.
DIMENSIÓN Detrimento de la imagen de la entidad evaluado desde la percepción del cliente, teniendo en
IMAGEN cuenta el volumen de quejas, reclamos, sugerencias y peticiones (QRSP), las posibles sanciones
INSTITUCIONAL por parte de entes de control y el nivel que alcance la divulgación de los riesgos materializados.
DIMENSIÓN Retraso en la operación de la entidad evaluado con base en la duración del evento y la cantidad
OPERACIONAL de información que pueda verse afectada o comprometida por la ocurrencia del evento de riesgo.
DIMENSIÓN Daños que pueden presentarse en la integridad física de funcionarios o clientes debido a la
HUMANA materialización del riesgo
Y para medir el impacto del riesgo en cada una de estas dimensiones se definieron cuatro
niveles que gradúan en forma ascendente la incidencia del evento en la entidad:
o Leve;
o Moderado;
o Grave y,
o Crítico.
41
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
DIMENSIÓN ECONÓMICA
DIMENSIÓN DIMENSIÓN DIMENSIÓN
CATEGORIA
IMAGEN INSTITUCIONAL OPERACIONAL HUMANA
RECAUDO PRESUPUESTO
Conocimiento de la situación en medios Retraso en las actividades de la Muerte o lesión que implique a largo
masivos de comunicación a nivel organización por tres o más días. Que plazo una limitación total y permanente
CRITICO
(VALOR=4)
x > 500.000 UVT x> 50.000 UVT nacional e internacional. Multas o se pierda información confidencial o de las condiciones físicas y/o
sanciones por parte de los entes de estratégica y no se pueda recuperar o psicológicas de la persona afectada
control. si se recupera, esta es parcialmente. (funcionario o cliente).
no estratégica, ni confidencial y se
perjuicios la persona afectada.
logre recuperar menos del 90% de la
misma.
42
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de
2009
ANEXO 2
Para medir la frecuencia con la que se podrían materializar los eventos de riesgo se
plantearon cuatro intervalos de probabilidad:
o Baja
o Media
o Alta
o Muy alta.
PROBABILIDAD DE OCURRENCIA
MUY ALTA
(VALOR=4)
El evento ocurre más del 50% de los casos
DESCRIPCIÓN
ALTA
(VALOR=3)
El evento ocurre mayor al 30% y menor o igual al 50% de los casos
MEDIO
(VALOR=2)
El evento ocurre mayor al 5% y menor o igual al 30% de los casos
BAJA
(VALOR=1)
El evento que ocurra menos del 5% de los casos.
43
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de
2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de
2009
ANEXO 2
MUY ALTA
ALTA
PROBABILIDAD
MEDIA
BAJA
IMPACTO
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de
2009
ANEXO 2
1. Se debe evaluar para cada control los atributos que se listan a continuación, de
acuerdo con la experiencia que se ha tenido en su aplicación:
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de
2009
ANEXO 2
PROMEDIO CALIFICACIÓN
P=3 A
2 <= P < 3 B
P<2 C
4. Después de establecer la efectividad del control, esta debe ser contrastada con la
Categoría/Tipo de control ya que es este último atributo es el que permite
determinar la variación sobre el nivel de probabilidad y/o consecuencia del riesgo y
por lo tanto modificar el nivel de severidad de riesgo inherente. En el siguiente
cuadro se muestran los posibles cambios en la calificación de la probabilidad e
impacto del riesgo de acuerdo con el nivel de efectividad y la categoría del control:
46
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de
2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de
2009
ANEXO 2
Categoría
Control
Preventivo Detectivo Correctivo
Efectividad
Control
Permite reducir hasta en dos escalas la
Permite reducir hasta en máximo dos probabilidad o la consecuncia. En caso Permite reducir máximo hasta en
A escalas la probabilidad de ocurrencia que afecte las dos dimensiones cada dos escalas la magnitud del
del riesgo una podrá reducirse máximo en una impacto del riesgo
escala
Mapa Dimensión 4 x 4
47
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de
2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de
2009
ANEXO 2
48
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de
2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
49
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
a. Asumir: Cuando los riesgos tienen un bajo nivel de severidad (aceptable) los
costos generados por su materialización son relativamente bajos respecto de los
costos en los que habría que incurrir para crear controles. Se recomienda en estos
casos mantener un monitoreo con el fin de que el nivel de severidad no se
incremente. En todo caso el costo del monitoreo no debe sobrepasar el costo de la
realización del evento.
c. Transferir: En este caso se traslada el riesgo para que sea gestionado por un
tercero ajeno a la Entidad, el cual asume el costo en caso de la materialización del
evento. Esta alternativa también incluye la adquisición una póliza de seguro. La
transferencia de riesgos suele aplicarse sobre recursos físicos o sobre la
seguridad o integridad física de las personas que laboran en una organización. En
el caso de entidades públicas con funciones legalmente establecidas nunca se
trasfiere la responsabilidad sino el costo por la posible ocurrencia del riesgo.
50
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
51
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
52
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
FRECUENCIA DE
No. OBJETIVO NOMBRE DEL INDICADOR INDICADOR Metodología
MEDICIÓN
durante los 5 primeros días de cada mes se verificará en las
Asegurar y mantener la
Ausencia de documentos y No. de controles que no cuentan con evidencia matrices de riesgo la cantidad de controles existentes y el
5 evidencia de los controles Trimestral
registros No. Total de controles documentados número de estos que aún no cuenten con evidencia de su
existentes en los procesos
funcionamiento
Los 5 primeros después de finalizar el trimestre evaluado los
Asegurar el cumplimiento e
No. de tratamientos implementados en el diferentes procesos deberán reportar a los administradores
implementación de los planes Efectividad de la fase de
período del sistema los tratamientos implementados o el nivel de
6 de tratamiento diseñados tratamiento del sistema de Trimestral
No. De Tratamientos proyectados para avance en la implementación de los mismos para que está
para la mitigación de los administración de riesgo
implementar en el período información sea contrastada contra la matriz de tratamiento
riesgos
del proceso.
Los 5 primeros después de finalizar el trimestre evaluado se
Asegurar que los planes de
deberá extraer de la herramienta de "Registro de eventos de
tratamiento diseñados en la Nivel de mitigación del No. de eventos de riesgo materializado con
riesgo" la totalidad de eventos materializados para que los
7 entidad estén siendo Sistema de Administración de tratamientos asociados Trimestral
mismos sean contrastados frente a la matriz de tratamiento
utilizados para la gestión de riesgo No. total de eventos de riesgo materializados
con el objeto de verificar si tienen asociado un plan de
los riesgos materializados
mitigación.
53
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009
ORDEN ADMINISTRATIVA Nº
000014 de diciembre 14 de 2009
ANEXO 2
54
Metodología del Sistema de Administración de Riesgos Operacionales - Versión 2.0 - Diciembre de 2009