Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Evaluación Del Riesgo Inicial en Un Proceso Misional de Una Caja de Compensación Familiarcon Base en La Norma Ntciso 31000
Evaluación Del Riesgo Inicial en Un Proceso Misional de Una Caja de Compensación Familiarcon Base en La Norma Ntciso 31000
Palabras clave: NTC ISO 31000:2011 – riesgo – riesgo organizacional – caja de compensación.
JEL: M1, M5.
ABSTRACT
Risk management is a proactive, systematic process that provides organizations with a set of strategies designed to identify
events that can have a negative impact on the achievement of the institution’s goals. This article evaluates initial critical risk
levels in the process of managing the contributions of the Benefit Society Credit Union Cf from the perspective of NTC ISO
31000:2011. Documental analysis, direct observation, and brainstorming as interviewing methods made it possible to identify
35 concrete causes of 9 potential risks, as well as the potential consequences a corporation can face. The results indicate t hat it
is advisable to apply the NTC ISO 31000 methodology to estimate the extent of the risk the Benefit Society Credit Union Cf is
exposed to. Said methodology can demonstrate that (i) it increases the chances of achieving set goals by properly managing
risks; and it (ii) prevents financial, information, or reputation losses associated with the materialization of negative events for
the organization. This has improved the efficacy and efficiency of the operation. This study can be used as a reference to
manage risks in any organization, regardless of their size or nature.
Keywords: NTC ISO 31000:2011 standard – risk – organizational risk – Compensation Fund.
163
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
EVALUACIÓN DEL RIESGO INICIAL EN UN PROCESO MISIONAL DE UNA CAJA DE COMPENSACIÓN FAMILIAR CON
BASE EN LA NORMA NTC-ISO 31000:2011
A continuación se describen cada una de las diferencias en los valores, las necesidades, los
actividades que conforman el proceso para la conceptos y los intereses de las partes.
gestión del riesgo.
Establecimiento del contexto (5.3). Esta actividad
Comunicación y consulta (5.2). Esta actividad, tiene como propósito efectuar un análisis de los
transversal al proceso de gestión del riesgo, permite factores internos y externos a la empresa que pueden
integrar a todas las partes involucradas y a las influir en el cumplimiento de los objetivos de la
personas responsables de la administración de los institución (Mejía, 2004). Este proceso contempla
riesgos en la organización con el fin de comprender dos aspectos: análisis del contexto externo y análisis
la base de la gestión y sus planes y acciones con del contexto interno.
relación al riesgo.
El análisis del contexto externo incluye aspectos
La pertinencia de esta actividad radica en que financieros, políticos, legales, reglamentarios,
permite conocer la percepción que tienen las partes económicos, tecnológicos, sociales y culturales,
interesadas sobre cada uno de los riesgos entre otros, considerados fuentes potenciales de
identificados. Nótese que estas opiniones pueden riesgo debido a que están por fuera del control de la
variar debido al contexto en el que se desarrollan las organización (Lascano, Caro y Arcieri, 2008).
actividades de la organización; pueden existir así Respecto al contexto interno, este abarca factores
165
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868
EVALUACIÓN DEL RIESGO INICIAL EN UN PROCESO MISIONAL DE UNA CAJA DE COMPENSACIÓN FAMILIAR CON
BASE EN LA NORMA NTC-ISO 31000:2011
Identificación del riesgo. El propósito de esta Análisis del riesgo. Esta actividad busca estimar la
actividad es identificar aquellos eventos que pueden probabilidad de ocurrencia de cada riesgo
afectar la capacidad de la organización para cumplir identificado y medir la magnitud del impacto de
con los objetivos trazados. Es relevante determinar presentarse, con el propósito de valorar el nivel de
las fuentes de riesgo, las áreas de impacto, los riesgo en función del grado de amenaza que
eventos y sus causas y consecuencias potenciales representa para la organización (Pulido, 2015). En la
(Icontec, 2011). En el desarrollo de este proceso se tabla 1 se presentan los criterios de factibilidad
deben aplicar las herramientas y técnicas de adoptados por el Departamento Administrativo de la
identificación del riesgo que sean adecuadas a sus Función Pública (DAFP) para estimar la oportunidad
objetivos y capacidades, y a los riesgos que se de materialización de un riesgo. Estos criterios se
enfrentan. Además, es importante involucrar al asignan bajo una escala cualitativa representada por
personal con el conocimiento idóneo ya que este números de 0 a 5 como valor propio.
En la tabla 2 se especifican los criterios propuestos por el DAFP para estimar el impacto esperado ante la
materialización de una amenaza.
Tabla 2. Criterios de impacto definidos en la guía para la administración del riesgo DAFP v3
166
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868
Jeniffer Tatiana Orozco-Sánchez, Adriana Castro-Rivera y Gerardo Martínez-Díaz
Evaluación del riesgo. Esta actividad tiene por la entidad, y otro con la caracterización del proceso,
objetivo estimar el nivel de riesgo inherente y suministrado por el jefe del Departamento de Aportes
determinar cuáles riesgos necesitan tratamiento y la y Subsidio. En la reunión con los funcionarios se les
prioridad para su implementación (Calzada y Galarza solicitó (1) indicar si estaban de acuerdo con el
de León, 2010). El nivel de riesgo dependerá de la objetivo del proceso de gestión de aportes, (2)
combinación de los valores de probabilidad e describir situaciones que dificultan el cumplimiento
impacto calculados en la fase anterior. En este de este, y (3) suministrar información sobre eventos
proceso se utiliza la herramienta matriz de ocurridos durante los últimos dos años y que han
probabilidad e impacto, que permite clasificar los afectado el proceso.
riesgos por zonas de criticidad (baja, moderada, alta
y extrema), con lo cual se pueden priorizar las A continuación se presenta el resultado del análisis
acciones para el tratamiento. obtenido en construcción colaborativa con los
funcionarios de nivel profesional y asistencial del
Tratamiento del riesgo. Esta actividad implica la Departamento de Aportes y Subsidio.
selección y la implementación de una o varias
opciones para modificar el nivel de criticidad de los Establecimiento del contexto externo:
riesgos. Esta fase se encuentra inmersa en un ciclo de
revisión y seguimiento permanente, en el cual la 1. Cambios en la legislación fiscal que inciden
organización identifica los riesgos relevantes y en la reducción de aportes parafiscales.
determina los controles que debe implementar para 2. Relación con entidades bancarias que
responder ante ellos (Liuksiala, 2012). El desarrollo afectan la conciliación del recaudo de
de esta tarea no se contempla en el alcance del aportes.
proceso investigativo. 3. Eliminación de aportes parafiscales por
mandato legal.
Monitoreo y revisión. Es una actividad esencial para 4. Disminución de factores salariales en la
asegurar la adecuada implementación del proceso de liquidación de aportes parafiscales.
gestión del riesgo en las organizaciones. Su 5. Relación con proveedores de servicios de
relevancia radica en que permite monitorear y telecomunicaciones que afectan la ejecución
documentar el comportamiento de los riesgos, de las actividades del proceso.
analizando el nivel de eficiencia de las acciones 6. Competencia de nuevas empresas que
propuestas para eliminar o mitigar su impacto (Mejía prestan servicios de subsidio familiar.
y Villanueva, 2014). Esta fase no se contempla en la 7. Desmonte de la territorialidad de
presente investigación; su ejecución le corresponde operaciones de la caja.
al funcionario autorizado por la alta dirección de la 8. La obligatoriedad de cumplimiento de
entidad. normatividad de los empleadores.
9. Pérdida de credibilidad por baja oportunidad
RESULTADOS de respuesta ante las partes interesadas.
10. Desactualización de la infraestructura de
Establecimiento del contexto hardware y software.
En esta primera fase de la metodología se 11. Sanciones por incumplimientos con entes de
identificaron aquellos factores internos o externos a control.
la caja de compensación que podrían influir en el Establecimiento del contexto interno:
normal desarrollo de los objetivos de la gestión de 1. Desconocimiento por parte de los
aportes. Este análisis se adelantó mediante la técnica funcionarios de la normatividad, las políticas
de lluvia de ideas formal, tomando como referentes y los lineamientos generales propios del
un documento con el análisis del contexto estratégico proceso de gestión de aportes.
de la organización, suministrado por la dirección de
167
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868
EVALUACIÓN DEL RIESGO INICIAL EN UN PROCESO MISIONAL DE UNA CAJA DE COMPENSACIÓN FAMILIAR CON
BASE EN LA NORMA NTC-ISO 31000:2011
[4] [5] [12] [13] [14] R2 Retrasos o incumplimientos en la atención Reprocesos y desgaste
de las solicitudes de afiliación de empresas administrativo, afiliación tardía
y trabajadores que se reciben por medio de de empresas y empleados,
correo electrónico sanciones y demandas
169
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868
EVALUACIÓN DEL RIESGO INICIAL EN UN PROCESO MISIONAL DE UNA CAJA DE COMPENSACIÓN FAMILIAR CON
BASE EN LA NORMA NTC-ISO 31000:2011
[18] [19] [20] [21] R4 Detrimento patrimonial por evasión, Investigaciones, sanciones
elusión y morosidad en el pago de las disciplinarias y fiscales. Pérdida
obligaciones parafiscales de imagen y credibilidad
[6] [15] [16] [17] R5 Incumplimiento en la prestación legal del Investigaciones, sanciones
[22] [23] [24] subsidio familiar por parte de los disciplinarias y fiscales. Pérdida
funcionarios del proceso de gestión de de imagen, credibilidad y
aportes confianza. Incumplimiento de
metas
[25] [26] [27] [28] R6 Incumplimiento en la ejecución del Investigaciones, demandas,
[29] programa anual de auditorías sanciones disciplinarias y
fiscales. Pérdida de imagen,
credibilidad y confianza,
aprovechamiento de los
recursos de forma oportuna
[30] [34] [35] R7 Pérdidas económicas que disminuyen el Investigaciones, demandas,
monto dinerario del subsidio familiar sanciones disciplinarias y
fiscales. Pérdida de imagen,
credibilidad y confianza
[8] [29] R8 Fuga de información Pérdida de imagen, credibilidad
y confianza. Afectación de las
dimensiones de seguridad de la
información (confidencialidad,
integridad, disponibilidad,
trazabilidad y autenticidad)
[31] [32] [33] R9 Pérdida de la información Pérdida de imagen y
credibilidad. Afectación
dimensiones de seguridad de la
información
Fuente: elaboración propia basada en DAFP (2014).
170
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868
Jeniffer Tatiana Orozco-Sánchez, Adriana Castro-Rivera y Gerardo Martínez-Díaz
Probable
4 8 12 16 20
ocurrencia
De acuerdo con lo anterior, fue posible agrupar compensación familiar Cf indican que, de los nueve
los riesgos en cinco zonas de criticidad: riesgos identificados, el 88,8 % se encuentran por
1. Catastrófica. En esta zona se ubican los encima del nivel de tolerancia, considerados por su
riesgos críticos para la organización: R8 y naturaleza riesgos críticos e importantes; y el 11,2 %
R9. De no establecerse medidas de control restante está dentro del límite de tolerancia, bajo un
que mitiguen su impacto, podrían afectar el nivel moderado. En función de la ubicación de los
cumplimiento de los objetivos del proceso. riesgos en la matriz se logró determinar que los más
2. Mayor. En esta zona se ubican los riesgos críticos corresponden a: R8 (pérdida de información)
importantes R1 y R4, que en conjunto y R9 (afectación de la integridad de los datos del
representan el 22 % de los riesgos valorados proceso).
en su estado inicial.
3. Moderada. En esta zona se ubican los Este panorama evidenció una alta exposición a
riesgos de importancia media: R2, R3, R5 y riesgos de origen tecnológico en la organización,
R6. derivados de una inadecuada capacitación y
4. Menor: Esta zona contiene un único riesgo: concientización de los funcionarios en políticas y
R7. estándares de seguridad de la información, la
5. Insignificante: No existen riesgos para esta ausencia de mecanismos de seguridad idóneos para
zona. salvaguardar datos personales sensibles y reservados
de usuarios y clientes corporativos, el desarrollo de
Los resultados obtenidos en la evaluación del riesgo actividades en equipos de cómputo con un software
inherente a la gestión de aportes de la caja de de protección desactualizado, y la ausencia de
171
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868
EVALUACIÓN DEL RIESGO INICIAL EN UN PROCESO MISIONAL DE UNA CAJA DE COMPENSACIÓN FAMILIAR CON
BASE EN LA NORMA NTC-ISO 31000:2011
acuerdos de confidencialidad debidamente firmados y Ortiz (2011), “el daño, interrupción, alteración o
por los funcionarios del proceso. Por tanto, de no falla derivada del uso de las tecnologías de la
realizarse seguimiento y tratamiento oportuno a estos información puede implicar pérdidas significativas
riesgos, se podría ver comprometida alguna de las en las organizaciones, pérdidas financieras, multas o
dimensiones de la seguridad de la información (esto acciones legales, afectación de la imagen de una
corresponde a la confidencialidad, la integridad, la organización y causar inconvenientes a nivel
disponibilidad, la trazabilidad y la autenticidad). operativo y estratégico” (p. 57).
gestion-de-riesgos-en-contratos-de- 73532015000500002
construccion-bajo-el-standar-ISO- Purdy, G. (2010). ISO 31000:2009 setting a
31000-orientado.pdf?sequence=1 new standard for risk management.
Perspective, 30(6), 881-886. Doi:
Liuksiala, A. (2012). The use of the risk 10.1111/j.1539-6924.2010.01442.x
management standard ISO 31000 in
finnish organizations (Tesis de Ramírez, C. A. y Ortiz, B. Z. (2011). Gestión de
maestría). Recuperado de riesgos tecnológicos basada en ISO
http://tampub.uta.fi/bitstream/handle/1 31000 e ISO 27005 y su aporte a la
0024/84249/gradu06462.pdf;sequence continuidad de negocios. Ingeniería,
=1 16(2), 56-66. Recuperado de
https://dialnet.unirioja.es/servlet/articul
Mejía, R. (2004). La administración de riesgos o?codigo=4797252
empresariales. Revista Ad-Minister,
1(5), 74-85. Recuperado de Rodríguez, T. Y. (2016). Diseño y formulación
http://publicaciones.eafit.edu.co/index. de un sistema de gestión de riesgos
php/administer/article/view/679/605 basados en los lineamientos
establecidos por la norma NTC -ISO
Mejía, R. y Villanueva, E. (2014). Metodología 31000 versión 2011 para la empresa
para monitorear riesgos estratégicos. SIMMA LTDA (Tesis de pregrado).
Revista de investigaciones de la Recuperado de
Universidad de Quindio, 26(1), 122- http://tangara.uis.edu.co/biblioweb/tesi
132. Recuperado de s/2016/163435.pdf
http://blade1.uniquindio.edu.co/uniquin
dio/revistainvestigaciones/adjuntos/pdf Santofimio, C. Y. y Manrique, V. C. (2015).
/c059_122-132.pdf Técnicas de evaluación del riesgo para
determinar la viabilidad del proyecto en
Oliver, A. (2015). Gestión del riesgo (Risk la etapa de formulación (Tesis de
Management ISO 31000). Aplicación especialización). Recuperado de
práctica en una empresa de seguridad http://bibliotecadigital.usb.edu.co/bitstr
electrónica (Tesis de maestría). eam/10819/3063/1/Tecnicas_evaluacio
Recuperado de n_riesgo_santofimio_2015.pdf
https://rdu.unc.edu.ar/bitstream/handle/
11086/2681/Olive%2C%20Antonio.% Uribe, I. J. (2012). Propuesta metodológica
20Gesti%C3%B3n%20del%20riesgo.p para la aplicación de la norma ISO
df?sequence=1&isAllowed=y 31000:2009 en el sistema de gestión de
calidad de la Universidad Libre en la
Preve, L. (2015). Gestionar riesgos nos permite sede Bosque Popular para el proceso de
hacer más negocios. IEEM Revista de servicios generales en el subproceso de
Negocios, 1(6), 54-55. mantenimiento (Tesis de
Pulido, R. A. (2015). Methodological design especialización). Recuperado de
for the prevention of risk in production http://repository.unilibre.edu.co/bitstre
processes. Revista DYNA, 82(193), 16- am/handle/10901/9905/MONOGRAFI
22. Recuperado de A.pdf?sequence=1
http://www.scielo.org.co/scielo.php?scr
ipt=sci_arttext&pid=S0012-
175
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868
EVALUACIÓN DEL RIESGO INICIAL EN UN PROCESO MISIONAL DE UNA CAJA DE COMPENSACIÓN FAMILIAR CON
BASE EN LA NORMA NTC-ISO 31000:2011
176
Clío América / ISSN 1909-941X / Vol. 12, No. 24, julio – diciembre de 2018
DOI: http://dx.doi.org/10.21676/23897848.2868