Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión de Riesgos
2020
Guía Metodológica Gestión de Riesgos CODIGO
1 Tabla de contenido
2 PRESENTACIÓN...........................................................................................................................3
3 ASPECTOS GENERALES ...............................................................................................................4
3.1 Objetivo de la Guía .............................................................................................................4
3.2 Alcance ...............................................................................................................................4
3.3 Marco Legal ........................................................................................................................4
3.4 Documentos de Referencias ...............................................................................................5
3.5 Definiciones ........................................................................................................................5
4 METODOLOGÍA...........................................................................................................................6
4.1 Contexto Estratégico ..........................................................................................................7
4.2 Identificación de Riesgo......................................................................................................8
4.3 Clasificación del Riesgo .......................................................................................................8
4.4 Valoración del Riesgo .........................................................................................................9
4.4.1 Tabla para la Valoración del Riesgo Institucional por Proceso ..................................10
4.5 Evaluación del Riesgo .......................................................................................................12
4.6 Medidas de Mitigación .....................................................................................................13
4.7 Políticas de Administración de Riesgo ..............................................................................13
5 ELABORACIÓN DEL MAPA RIESGO ............................................................................................14
6 MATRIZ DE TRATAMIENTO DEL RIESGO ...................................................................................15
7 EDICIÓN, PUBLICACIÓN Y ACTUALIZACIÓN .............................................................................16
8 DISTRIBUCIÓN DEL DOCUMENTO ............................................................................................16
9 HISTORIAL DE MODIFICACIONES ..............................................................................................17
2 PRESENTACIÓN
3 ASPECTOS GENERALES
Añadir el máximo valor sostenible a todas las actividades de la institución, por medio de la
reducción de fallos, incertidumbre e impacto en la consecución de los objetivos.
Integrar la gestión de riesgos en los procesos de la institución, tanto a nivel estratégico como a
nivel operativo.
Establecer una metodología institucional para el análisis, evaluación y tratamiento de los riesgos
asociados a las estructuras, los procesos, procedimientos.
3.2 Alcance
Esta guía aplica para todos los procesos y procedimientos de la institución en sus diferentes
dependencias y cubre desde la identificación de los riesgos institucionales hasta la elaboración de
los planes de gestión de riesgos y matrices de mapa de riesgos.
Ley No 10-07, que instituye el Sistema Nacional de Control Interno y de la Contraloría General de
la República.
Las NOBACI 1.5.2 (Normas básicas de control interno), según Resolución 65-04.
Guía para la Valoración del Riesgo por Proceso, República de Colombia, Abril 2009
3.5 Definiciones
Evaluación del Riesgo: Proceso utilizado para prioridades en la administración del riesgo con base
en la evaluación de la probabilidad y el impacto.
Gestión de Riesgos: Es un proceso efectuado por la junta directiva de una entidad, la gerencia y el
personal, que aplica el planteamiento de la estrategia y a lo largo de la entidad, está diseñado para
identificar eventos potenciales que podrían afectar a la entidad y permite administrar el riesgo
dentro de los límites aceptados, proveyendo la seguridad razonable para la consecución de los
objetivos de la entidad.
Identificación de Riesgo: Proceso para determinar que puede suceder, por qué y cómo.
Indicador: Valoración de una variable que informan sobre una situación y soportan la toma de
decisiones. Es un criterio de medición y de evaluación cuantitativa o cualitativa.
Mapas de Riesgo: Herramienta metodológica que permite hacer un inventario de los riesgos de
manera ordenada y sistemática, definiéndolos describiéndolos a cada uno de ellos y las posibles
consecuencias. Puede estar representado en forma grafica.
Objetivo: Expresión de los resultados hacia los que se encaminaran los recursos, conjunto de
metas necesarias para alcanzar los resultados.
Probabilidad: Es una estimación de que un riesgo se materialice, puede ser una razón matemática
o un juicio de valor.
Riesgo: Es la probabilidad que ocurra un evento que afecte negativamente el logro de los objetivos
de una entidad. Es medido en términos de impacto y probabilidad.
Técnicas para Manejar el Riesgo: Métodos específicos que se utilizan para administrar los riesgos,
tales como evitar o prevenir, reducir y aceptar el riesgo.
4 METODOLOGÍA
El cumplimiento de los objetivos institucionales se puede ver afectado por la presencia de riesgos,
ocasionados por factores internos y externos, por lo cual se hace necesario contar con acciones
tendientes a administrarlos. Con el fin de asegurar el adecuado manejo de los riesgos, es
importante que se establezca:
Contexto Estratégico
Identificación de Riesgo
Clasificación de Riesgo
Valoración de Riesgo
Medidas de Mitigación
Políticas de Administración de Riesgos
Este contexto estratégico es la base para la identificación de los riesgos en los procesos y
procedimientos.
El análisis se realiza a partir del conocimiento de situaciones del entorno de la institución, tanto de
carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos.
Se deben aplicar varias técnicas y herramientas, tales como: reuniones con los Directivos,
encargados y analistas, evaluaciones, entrevistas, entre otros.
Con la realización de esta etapa se busca que la institución obtenga los siguientes resultados:
Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el
análisis de la información externa y los planes y programas de la institución.
Factores externos:
o Económicos
o Medioambientales
o Políticos
o Sociales
o Tecnológicos
Identificar los factores internos que pueden ocasionar la presencia de riesgos con base en el
análisis de los componentes Ambiente Control, Direccionamiento Estratégico, la Cultura
Organizacional y el Clima Laboral.
Factores Internos
o Infraestructura
o Personal
o Procesos
o Tecnología
El proceso de la identificación del riesgo debe ser permanente e interactivo, basado tanto en el
resultado del análisis del Contexto Estratégico como en el proceso de planeación y debe partir de
la calidad de los objetivos estratégicos de la institución para la obtención de los resultados.
Para identificar los riesgos, basta con prever las incertidumbres que se pueden presentar respecto
de estos factores. Una forma de iniciar es hacernos preguntas respecto de ellos, preguntas tales
como: Cuento con el personal adecuado?, Están bien identificados los objetivos?, El método
utilizado es efectivo respecto del cumplimiento del objetivo?, Tengo las provisiones necesarias?
los plazos establecidos son técnica y operativamente factibles?
A través de la utilización Mapas de Riesgos, el cual permite hacer un inventario de estos, todos los
directores, encargados y analistas, conocen y visualizan los riesgos, definiendo en primer lugar las
causas o factores de riesgos, tanto internos como externos, presentando una descripción de cada
uno de estos y definiendo los posibles efectos.
Durante el proceso de identificación del riesgo se recomienda clasificarlos teniendo en cuenta los
siguientes conceptos:
Riesgos Operativos: comprende los riesgos relacionados tanto con la parte operativa como con la
técnica de la Institución, incluye riesgos provenientes de deficiencia en los sistemas de
información, en la definición de los procesos, en la estructura de la Institución, la desarticulación
entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción de los
compromisos institucionales.
Riesgos Financieros: se relacionan con el manejo de los recursos de la Institución, que incluye la
ejecución presupuestaria, la eficiencia y transparencia en el manejo de los recursos.
Riesgos de Cumplimiento: se asocian con la capacidad de la Institución para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
ciudadanía.
Preventivos: aquellos que actúan para eliminar las causas del riesgo, para prevenir su
ocurrencia o materialización.
Esta tabla permite conocer el resultado de la asignación realizada con criterio de experto, a cada
riesgo por proceso, tanto cualitativa como cuantitativamente. Dicho resultado surge de la
multiplicación de las variables Probabilidad e Impacto.
BL: Riesgo con probabilidad de ocurrencia baja e impacto leve en la consecución de los objetivos
del proceso. Su valor corresponde a un 11% del valor máximo otorgable a un riesgo. Se identifica
con color Verde que indica una prioridad de atención baja.
ML: Riesgo con probabilidad de ocurrencia media e impacto leve en la consecución de los
objetivos del proceso. Su valor corresponde a un 22% del valor máximo otorgable a un riesgo. Se
identifica con color Verde que indica una prioridad de atención baja.
AL: Riesgo con probabilidad de ocurrencia alta e impacto leve en la consecución de los objetivos
del proceso. Su valor corresponde a un 33% del valor máximo otorgable a un riesgo. Se identifica
con color Amarillo que indica una prioridad de atención media.
BM: Riesgo con probabilidad de ocurrencia baja e impacto moderado en la consecución de los
objetivos del proceso. Su valor corresponde a un 22% del valor máximo otorgable a un riesgo. Se
identifica con color Verde que indica una prioridad de atención baja.
MM: Riesgo con probabilidad de ocurrencia media e impacto moderado en la consecución de los
objetivos del proceso. Su valor corresponde a un 44% del valor máximo otorgable a un riesgo. Se
identifica con color Amarillo que indica una prioridad de atención media.
AM: Riesgo con probabilidad de ocurrencia alta e impacto moderado en la consecución de los
objetivos del proceso. Su valor corresponde a un 66% del valor máximo otorgable a un riesgo. Se
identifica con color Rojo que indica una prioridad de atención inmediata.
BS: Riesgo con probabilidad de ocurrencia baja e impacto significativo en la consecución de los
objetivos del proceso. Su valor corresponde a un 33% del valor máximo otorgable a un riesgo. Se
identifica con color Amarillo que indica una prioridad de atención media.
MS: Riesgo con probabilidad de ocurrencia media e impacto significativo en la consecución de los
objetivos del proceso. Su valor corresponde a un 66% del valor máximo otorgable a un riesgo. Se
identifica con color Rojo que indica una prioridad de atención inmediata.
AS: Riesgo con probabilidad de ocurrencia alta e impacto significativo en la consecución de los
objetivos del proceso. Su valor es del 100%, valor máximo otorgable a un riesgo. Se identifica con
color Rojo que indica una prioridad de atención inmediata.
PROBABILIDAD
B M A
(1) (2) (3)
L BL ML AL
(1) 11% 22% 33%
Aceptable Aceptable Tolerable
IMPACTO
M BM MM AM
(2) 22% 44% 66%
Aceptable Tolerable Intolerable
S BS MS AS
(3) 33% 66% 100%
Tolerable Intolerable Intolerable
Para realizar la evaluación del riesgo se debe tener en cuenta la posición del riesgo en la Matriz,
según la celda que ocupa, aplicando los siguientes criterios: Si el Riesgo se ubica en la Zona de
Riesgo Aceptable, significa que su probabilidad es Baja y su Impacto es Leve, lo cual permite a la
Institución asumirlo, es decir, el riesgo se encuentra en un nivel que pueda aceptarlo sin
necesidad de tomar otras medidas de control diferentes a las que se poseen.
Las medidas dependen de la celda en la cual se ubica el riesgo, así: Los riesgos de Impacto
Leve y Probabilidad Alta se previenen; los riesgos con Impacto Moderado y Probabilidad Leve,
se reduce o se comparte el riesgo , si es posible; también es viable combinar estas medidas con
evitar el riesgo cuando esté presente una Probabilidad Alta y Media, y el Impacto sea
Moderado o Significativo.
Identifican las actividades preventivas o correctivas que deben ser realizadas para mitigar el
riesgo.
Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la
valoración de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la
Administración del Riesgo, a su vez transmiten la posición de la Dirección y establecen las
guías de acción necesarias a todos los funcionarios de la Institución.
Se deben tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse
cada una de ellas independientemente, interrelacionadas o en conjunto.
Evitar el riesgo
Tomar las medidas encaminadas a prevenir su materialización. Se logra cuando al interior de
los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación,
resultado de unos adecuados controles y acciones emprendidas.
Reducir el riesgo
Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de
prevención), como el impacto (medidas de protección).
Asumir un riesgo
Luego de que el riesgo ha sido reducido o trasferido puede quedar un riesgo residual que
se mantiene, en este caso el líder del proceso simplemente acepta la pérdida residual
probable y elabora planes de contingencia para su manejo.
El Mapa de Riesgos contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la
Institución, permitiendo conocer las políticas inmediatas de respuesta ante ellos tendientes a
evitar, reducir, compartir o transferir el riesgo; o asumir el riesgo residual, y la aplicación de
acciones, así como los responsables y el cronograma.
No obstante se considera recomendable, elaborar un mapa de riesgos por cada proceso para
facilitar la administración del riesgo , el cual debe elaborarse al finalizar la etapa de valoración del
Riesgo.
Tipo de Riesgo:
Área:
Dependencia Responsable
Clasificación
No. Supuesto Riesgos Tratamiento
Probabilidad Impacto Valoración
Esta guía corresponde como una herramienta para el desempeño de la Gestión de Procesos
dentro del Departamento de Desarrollo Organizacional. Su distribución se realizará de acuerdo a
los lineamientos del Control Documental y deberá ser distribuida a:
Director de Planificación de Desarrollo.
Encargado Departamento de Desarrollo Organizacional.
Encargado División de Gestión de Procesos.
Analistas de Procesos.
9 HISTORIAL DE MODIFICACIONES