Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La gestión de Riesgos es una parte fundamental de la Gobernabilidad corporativa que busca contribuir eficientemente
en la identificación, análisis, tratamiento, comunicación y monitoreo de los riesgos del negocio.
La gestión de riesgos se puede aplicar a toda la organización, en todas sus áreas y niveles, en cualquier momento, así como
REFERENCIAS BIBIOGRAFICAS
NTC 5254 - GESTION DE RIESGOS
AS/NZ 4360:2004 - ESTANDAR AUSTRALIANO
NTC 31000 - GESTION DE RIESGO
Guía de para la Administración del riesgo / Departamento Administrativo de la Función Pública
ntribuir eficientemente
o.
N. ACTIVIDAD DEL
DESCRIPCIÓN DEL RIESGO CAUSA DEL RIESGO
DE (QUE) (POR QUE) PROCESO
RIESGO (DONDE)
R5
E RIESGOS ANÁLISIS DEL RIESGO IN
CALIFICACIÓN
TRATAMIENTO DEL N.
ZONA DE RIESGO
O SEVERIDAD RIESGO SEGÚN LA DE
SEVERIDAD CONTROL
* Reducir el riesgo
* Evitar el riesgo
Alto C1
* Compartir o
transferir el riesgo
* Reducir el riesgo
* Evitar el riesgo
Alto C2
* Compartir o
transferir el riesgo
* Reducir el riesgo
* Evitar el riesgo
Moderado C3
* Compartir o
transferir el riesgo
* Reducir el riesgo
* Evitar el riesgo C4
Alto
* Compartir o
transferir el riesgo
* Reducir el riesgo
* Evitar el riesgo
Moderado C5
* Compartir o
transferir el riesgo
Quién lleva a cabo el control (Responsable)
Frecuencia del Control (Cada cuanto se realiza)
Qué busca hacer el control (objetivo)
Cómo se lleva a cabo el control (procedimiento)
Que pasa con las desviaciones y/o excepciones
(Investigación y análisis)
Evidencia de la ejecución del control (La firma no es
evidencia suficiente de que un control se ejecuto)
VALORACIÓN DE RI
IDENTIFICACIÓN DE CONTROLES
PROBABILIDAD / IMPACTO
EVALUACIÓN DE CONTROLES
¿ESTÁN DEFINIDOS LOS RESPONSABLES ¿LA HERRAMIENTA PARA EJERCER EL ¿LA FRECUENCIA DE EJECUCIÓN DEL
DE LA EJECUCIÓN DEL CONTROL Y DEL CONTROL Y SEGUIMIENTO ES
CONTROL, SE APLICA?
SEGUIMIENTO? ADECUADA?
15 0 25
15 0 25
15 0 25
15 0 25
15 0 25
EVALUACIÓN DEL RIESGO RESIDUAL
CALIFICACIÓN EVALUACIÓN
0 55 PROBABLE MENOR
0 55 RARO MODERADO
0 55 POCO PROBABLE MENOR
0 55 POSIBLE MODERADO
0 55 POSIBLE MENOR
0
0
GO RESIDUAL PLANES DE ACCIÓN
EVALUACIÓN
No
DESCRIPCIÓN FECHA DE
TRATAMIENTO DEL ACCIÓN DE LA ACCIÓN INICIO
RIESGO PREVENTIVA
Establecer programas
de recompensas y
beneficios para
REDUCIR A1 incentivar la 4/1/2024
participación activa de
los usuarios y
beneficiarios.
Establecer políticas y
procedimientos de
seguridad claros y
REDUCIR A2 comunicarlos a todos 4/1/2024
los miembros del
equipo.
ACEPTAR A3 4/1/2024
Solicitar comentarios y
sugerencias de los
usuarios para mejorar
constantemente la
experiencia de uso.
Realizar un análisis
periódico del mercado
y la competencia para
REDUCIR A4 identificar nuevas 4/1/2024
características y
tendencias relevantes.
Establecer planes de
contingencia y realizar
copias de seguridad
regulares de los datos
REDUCIR A5 para minimizar el 4/1/2024
impacto de posibles
interrupciones o fallas.
SEGUIMIENTO A LOS PLANES DE
LANES DE ACCIÓN ACCIÓN
Casi Cierto
Probable R1 - R4
Posible R3 R5
Poco probable
Raro R2
Probabilidad/Impacto Insignificante (1) Menor (5) Moderado (25) Mayor (125) Catastrófico (625)
Casi Cierto (5) 5 25 125 625 3125
Probable (4) 4 20 100 500 2500
Posible (3) 3 15 75 375 1875
Poco probable (2) 2 10 50 250 1250
Raro (1) 1 5 25 125 625
RESULTADO
Menor o Igual a 10 Bajo
Entre 15 y 75 Moderado
Entre 100 y 500 Alto
Mayor a 625 Extremo
SEVERIDAD DEL RIESGO
Bajo
Moderado
Alto
Extremo
MAPA DE RIESGOS RESIDUAL PROCESO:
Casi Cierto
Probable R1
Posible R5 R4
Poco probable R3
Raro R2
Probabilidad/Impacto Insignificante (1) Menor (5) Moderado (25) Mayor (125) Catastrófico (625)
Casi Cierto (5) 5 25 125 625 3125
Probable (4) 4 20 100 500 2500
Posible (3) 3 15 75 375 1875
Poco probable (2) 2 10 50 250 1250
Raro (1) 1 5 25 125 625
RESULTADO
Menor a Igual a 10 Bajo
Entre 15 y 75 Moderado
Entre 100 y 500 Alto
Mayor a 625 Extremo
SEVERIDAD DEL RIESGO
Bajo
Moderado
Alto
Extremo
CLASIFICACIÓN DE LOS RIESGOS
Son aquellos que se asocian con toda posibilidad de que suceda algo relacionado con el cumplimiento de los objetivos
ESTRATÉGICOS estratégicos y la misión institucional, la sostenibilidad y subsistencia de la entidad en el corto, mediano y largo plazo.
Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la entidad, tiene que ver con
IMAGEN conocimiento de prácticas corruptas, manejo desacertado de los medios de comunicación, insatisfacción ciudadana
por el mal servicio, incumplimiento de planes, programas y proyectos.
Son aquellos relacionados con la parte operativa y técnica de la entidad que provienen de la operación cotidiana y
específica de cada proceso. Dentro de ellos se pueden encontrar deficiencias en los flujos de información y
OPERATIVO comunicación, cifras, así como desarticulación entre procesos, debilidades en infraestructura, dotación y talento
humano, lo cual conduce a ineficiencias, corrupción e incumplimiento de los objetivos institucionales.
Son aquellos asociados a la probabilidad de que un evento adverso o alguna fluctuación financiera reporte
FINANCIERO consecuencias negativas en una empresa; hace referencia a la incertidumbre producida en el rendimiento de una
inversión o a los sobrecostos o perdidas economicas como consecuación de una acción dentro de la empresa.
Son todos los relacionados con la capacidad de la entidad para cumplir con los requisitos, aca están inmersos los
CUMPLIMIENTO requisitos regulativos, legales, contractuales, políticas internas, solicitudes de información, ética, calidad, entre otros.
Son los relacionados con la capacidad de la entidad, para que la tecnología disponible y proyectada satisfaga las
necesidades actuales, futuras y de soporte de la entidad. Esto tiene que ver con Software (compatibilidad,
TECNOLOGÍA configuración), Hardware (capacidades, desempeños, obsolescencia), Sistemas (Diseños, especificidades,
complejidad)
AMBIENTALES Y DE Son aquellos generados por la exposición a factores internos y externos que afectan el medio ambiente de la entidad
SALUD (la contaminación, ambientes poco saludables, malos hábitos) inherentes a las actividades que desarrolla en cada
OCUPACIONAL proceso.
PROBABILIDAD:
La probabilidad de ocurrencia es la posibilidad que un evento se materialice. Para determinar la probabilidad se puede utilizar
el análisis cualitativo o cuantitativo, así como la estadística de la situación. El análisis cualitativo se utiliza para aquellos casos en
los cuales no existen datos para generar estadísticas; ésta se asocia al criterio de frecuencia (medida de las veces que se sucede
un evento expresado como la cantidad de ocurrencias en un tiempo dado).
TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN (FACTIBILIDAD) FRECUENCIA CALIFICACION
El evento puede ocurrir solo en circunstancias No se ha presentado en
1 RARO 1
excepcionales los últimos 5 años.
2 POCO PROBABLE El evento puede ocurrir en algún momento. Al menos de 1 vez en los 2
últimos 5 años.
Al menos de 1 vez en los
3 POSIBLE El evento podría ocurrir en algún momento. 3
últimos 2 años.
El evento probablemente ocurrirá en la mayoría de Al menos de 1 vez en el
4 PROBABLE 4
las circunstancias. último año.
5 CASI CIERTO Se espera que el evento ocurra en la mayoría de las Más de 1 vez al año. 5
circunstancias.
RESULTADO
0 a 50 puntos No hay disminución de Nivel de probabilidad
51 a 75 puntos Se disminuye en 1 nivel de probabilidad
76 a 100 puntos Se disminuye en 2 niveles de probabilidad
IMPACTO:
La magnitud del impacto es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, pe
definen rangos sobre los resultados posibles asociados a un evento.
TABLA DE IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
El evento no afectaría de manera importante la
1 INSIGNIFICANTE
continuidad del proceso ni sus resultados
El evento no afectaría la continuidad; pero si
2 MENOR
levemente los resultados esperados del proceso
RESULTADO
0 a 50 puntos No hay disminución de Nivel de impacto
51 a 75 puntos Se disminuye en 1 nivel de impacto
76 a 100 puntos Se disminuye en 2 niveles de impacto
titativamente, sea este una pérdida, perjuicio o desventaja. Se
CTO
MONTO DEL IMPACTO CALIFICACION
1 SMLV 1
10 SMLV 5
50 SMLV 25
15 0
15 0
15 0
25 0
30 0
100 0
TRATAMIENTO DEL RIESGO:
El tratamiento de los riesgo consiste en identificar las opciones para mitigar/tratar los riesgos
se realizar la evaluación de dichas opciones, se preparan los planes de mitigación de riesgos y
su implementación. Sin embargo, la Organización puede decidir aceptar el riesgo sin tomar
acciones adicionales.
* Asumir el riesgo
Moderado
* Reducir el riesgo
* Reducir el riesgo
* Reducir el riesgo
Se asume el riesgo.
Reducir el riesgo: Se implementan controles y sus acciones de manejo del riesgo
orientadas a disminuir la probabilidad de materialización del riesgo Y/O controles y sus
acciones de manejo del riesgo , orientadas a disminuir el impacto de la materialización del
riesgo. Lo anterior con el propósito de llevar el riesgo a la zona baja.
Reducir y evitar el riesgo: Se implementan controles y sus acciones de manejo del riesgo,
orientadas a disminuir o evitar la materialización del riesgo Y/O controles y sus acciones
de manejo del riesgo orientadas a disminuir o evitar el impacto de la materialización del
riesgo. Lo anterior con el propósito de llevar el riesgo a zona moderada.
Compartir o transferir el riesgo: se podría establecer el mantenimiento de pólizas de
seguros, tercerización, entre otras; como controles o acciones de manejo del riesgo
enfocadas a la protección. Esta opción de manejo se deberá tener en cuenta, con base
en la capacidad del proceso y/o la entidad, para asumir las consecuencias del impacto
producido por la materialización del riesgo.
Reducir y evitar el riesgo: Se implementan controlesy sus acciones de manejo del riesgo,
orientadas a disminuir o evitar la materialización del riesgo Y/O controles y sus acciones
de manejo del riesgo orientadas a disminuir o evitar el impacto de la materialización del
riesgo.
Compartir o transferir el riesgo: teniendo en cuenta que en esta zona de riesgo se pueden
producir pérdidas considerables para el proceso y/o la entidad, se hace necesario que se
implementen controles de protección y sus acciones de manejo del riesgo, en los cuales
se involucren pólizas, tercerizaciones, entre otras medidas que protejan el proceso y/o la
entidad.
Actividades de Control:
Las actividades de control son las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo
las instrucciones de la Dirección para mitigar los riesgos que inciden en el cumplimiento de los objetivos.
Se identifican los controles y se determina si estan bien diseñados para mitigar las causas y si funcionan tal como fueron diseñados.
Para que desde la lectura se pueda hacer una idea preliminar del diseño del control y que realmente sea un control, redactarlo en el siguinte orden:
Quien – Frecuencia - Cuando - Que - Como - Que pasa si hay excepciones - Evidencia