Gua para la Administracin del Riesgo

Departamento Administrativo de la Funcin Pblica

Direccin de Control Interno y Racionalizacin de Trmites

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA

ELIZABETH RODRGUEZ TAYLOR Directora JORGE LUS TRUJILLO ALFARO Subdirector MARA DEL PILAR ARANGO VIANA Directora de Control Interno y Racionalizacin de Trmites JULIA GUTIRREZ DE PIERES JALILIE Directora de Empleo Pblico CLAUDIA PATRICIA HERNNDEZ LEN Directora Oficina Jurdica JOSE FERNANDO BERRO BERRO Director De Desarrollo Organizacional CELMIRA FRASSER ACEVEDO Jefe Oficina Asesora de Planeacin VICTORIA EUGENIA DAZ ACOSTA Jefe Oficina de Sistemas

Bogot, D.C., Septiembre DE 2011 Cuarta Edicin

ACTUALIZACIN: MYRIAN CUBILLOS BENAVIDES CARIDAD JIMNEZ GIRALDO NGELA MEJA JARAMILLO JUAN FELIPE RUEDA GARCIA ANDRS MNDEZ JIMNEZ MARIANNE SALNAVE SANIN

Contenido
Tabla de contenido Presentacin Introduccin Objetivos de la Administracin del Riesgo Referente normativo Conceptos bsicos:
Qu es el riesgo? Clases de riesgos Qu significa gestionar el riesgo?

1 3 4 6 7 10

Metodologa para administrar el Riesgo:

Cmo se gestiona el riesgo? Qu es el contexto estratgico? Cmo se identifica el riesgo? Cmo se analiza el riesgo? Cmo se valora el riesgo?

14

Polticas de Administracin del Riesgo Comunicacin y Consulta Monitoreo y Revisin

40 41 42

Contenido
Trminos y Definiciones Bibliografa 43 46

Presentacin
El dinamismo actual de la Administracin Pblica ha implicado que las polticas pblicas se encuentren en constante revisin y redimensionamiento; por ello el Departamento Administrativo de la Funcin Pblica DAFP, presenta la actualizacin del documento original denominado Administracin del Riesgo, que tiene como fin entregar lineamientos y aclaraciones sobre la aplicacin de la metodologa planteada en la gua emitida en el ao 2009, esto considerando la importancia cada vez mayor, que para las entidades representa su aplicacin como elemento bsico en su planeacin estratgica. La administracin del riesgo ayuda al conocimiento y mejoramiento de la entidad, contribuye a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindndole un manejo sistmico a la entidad. La consigna es que la administracin del riesgo sea incorporada al interior de las entidades como una poltica de gestin por parte de la alta direccin y cuente con la participacin y respaldo de todos los servidores pblicos; tarea que se facilitar con la implementacin de la metodologa aqu presentada, lo cual permite establecer mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente estn expuestas y poder de esta manera fortalecer el Sistema de Control Interno permitiendo el cumplimiento de los objetivos misionales y los fines esenciales del Estado.

ELIZABETH RODRGUEZ TAYLOR Directora

Introduccin
La administracin del riesgo para las entidades pblicas en todos sus rdenes, cobra hoy mayor importancia, dado el dinamismo y constantes cambios, que el mundo globalizado de hoy exige. Estos cambios hacen que dichas entidades deban enfrentarse a factores internos y externos que pueden crear incertidumbre sobre el logro de sus objetivos. As el efecto que dicha incertidumbre tiene en los objetivos de una organizacin se denomina riesgo1. Es importante recordar que el Estado Colombiano mediante el Decreto 1537 de 2001, estableci una serie de elementos tcnicos requeridos para el desarrollo adecuado y fortalecimiento del Sistema de Control Interno de las diferentes entidades y organismos de la Administracin Pblica, uno de ellos la Administracin del Riesgo, considerando que la identificacin y anlisis del riesgo, entrega informacin suficiente y objetiva que les permitir aumentar la probabilidad de alcanzar sus objetivos institucionales. As mismo a travs del Decreto 1599 de 2005 se adopt el Modelo Estndar de Control Interno MECI para todas las entidades del Estado, donde la Administracin del Riesgo ha sido contemplada como uno de los componentes del Subsistema de Control Estratgico y ha sido definida en el Anexo Tcnico como el conjunto de elementos de control que al interrelacionarse, permiten a la entidad pblica evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su funcin. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pblica autocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos. Al ser un componente del Subsistema de Administracin del Riesgo se sirve de la (misin, visin, establecimiento de objetivos, de xito), del campo de aplicacin (procesos,
1 NORMA TCNICA COLOMBIANA NTC-ISO31000 4

Control Estratgico, la planeacin estratgica metas, factores crticos proyectos, unidades de

negocio, sistemas de informacin), del Componente Ambiente de Control y todos sus elementos.2 Su mirada sistmica contribuye a que la entidad no solo garantice la gestin institucional y el logro de los objetivos sino que fortalece el ejercicio del Control Interno en las entidades de la Administracin Pblica. La actualizacin de la Cartilla Gua Administracin del Riesgo, obedece a la armonizacin entre el Modelo Estndar de Control Interno -MECI y la Norma Tcnica de Calidad NTCGP1000:2009, donde se sugiere adoptar la metodologa planteada por la Direccin de Control Interno y Racionalizacin de Trmites del Departamento Administrativo de la Funcin Pblica, con el fin de facilitarle a las entidades el ejercicio de la administracin del Riesgo. Cabe anotar que el ICONTEC a travs de la norma NTC ISO 31000 actualiz la norma NTC5254 base para el documento original.

2 Modelo Estndar de Control Interno MECI. Manual de Implementacin versin 2. Mayo 2009. 5

Objetivos de la Administracin del Riesgo

Cuando la administracin del riesgo se implementa y se mantiene, le permite a la entidad3:

Aumentar

la

probabilidad

de

alcanzar

los

objetivos

proporcionar a la administracin un aseguramiento razonable con respecto al logro de los mismos. Ser consciente de la necesidad de identificar y tratar los riesgos en todos los niveles de la entidad. Involucrar y comprometer a todos los servidores de las entidades de la Administracin Pblica en la bsqueda de acciones encaminadas a prevenir y administrar los riesgos. Cumplir con los requisitos legales y reglamentarios pertinentes. Mejorar el Gobierno. Proteger los recursos del Estado. Establecer una base confiable para la toma de decisiones y la planificacin. Asignar y usar eficazmente los recursos para el tratamiento del riesgo. Mejorar la eficacia y eficiencia operativa. Mejorar el aprendizaje y la flexibilidad organizacional.

3 NORMA TCNICA COLOMBIANA NTC-ISO31000. Pg. 16 6

Referente normativo
El Riesgo y su administracin estn fundamentados en el siguiente marco normativo:

Contenido
Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011) Artculo 2 OBJETIVOS DEL CONTROL INTERNO: literal a). Proteger los recursos de la organizacin, buscando su adecuada administracin ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organizacin y que puedan afectar el logro de los objetivos Estatuto Bsico de Organizacin y Funcionamiento de la Administracin pblica Captulo VI. Sistema Nacional de Control Interno Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administracin Pblica del Orden Nacional y territorial y se dictan otras disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000).(y por el Art. 8. de la ley 1474 de 2011)

Norma

Directiva presidencial 09 de 1999

Decreto 2145 de 1999

Ley 489 de 1998

Ley 87 de 1993

Lineamientos para la implementacin de la poltica de lucha contra la corrupcin

Contenido
Decreto 2593 del 2000 Por el cual se modifica noviembre 4 de 1999. parcialmente el Decreto 2145 de

Norma

Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos tcnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado Pargrafo del Artculo 4 seala los objetivos del sistema de control interno () define y aplica medidas para prevenir los riesgos, detectar y corregir las desviacionesy en su Artculo 3 establece el rol que deben desempear las oficinas de control interno () que se enmarca en cinco tpicos () valoracin de riesgos. As mismo establece en su Artculo 4 la Administracin de riesgos, como parte integral del fortalecimiento de los sistemas de control interno en las entidades publicas (). Por el cual se adopta el Modelo Estndar de Control Interno para el Estado Colombiano y se presenta el anexo tcnico del MECI 1000:2005. 1.3 Componentes de administracin del riesgo Por el cual se adopta la actualizacin de la NTCGP a su versin 2009. Numeral 4.1 Requisitos Generales literal g) establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfaccin del cliente y el logro de los objetivos de la entidad cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder. Este decreto aclara la importancia de la Administracin del riesgo en el Sistema de Gestin de la Calidad en las entidades.

Decreto 4485 de 2009

Decreto 1599 de 2005

Decreto 1537 de 2001

Contenido
Estatuto Anticorrupcin. Artculo 73. Plan Anticorrupcin y de Atencin al Ciudadano que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupcin, las medidas concretas para mitigar esos riesgos, las estrategias antitrmites y los mecanismos para mejorar la atencin al ciudadano. Ley 1474 de 2011

Norma

Conceptos bsicos
Qu es el Riesgo?
El concepto de Administracin del Riesgo se introduce en las entidades pblicas, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamao y razn de ser estn permanentemente expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia. Desde la perspectiva del Control Interno , el modelo COSO (Committee on Sponsoring Organisations of the Treadway Commissions), adaptado para Colombia por el ICONTEC mediante la Norma Tcnica NTC5254, actualizada y reemplazada en 2011 por la Norma Tcnica NTC-ISO31000, interpreta que la eficiencia del control est en el manejo de los riesgos, es decir: el propsito principal del control es la reduccin de los mismos propendiendo porque el proceso y sus controles garanticen, de manera razonable que los riesgos estn minimizados o se estn reduciendo y por lo tanto, que los objetivos de la entidad van a ser alcanzados y establece que la administracin del riesgo es: Un proceso efectuado por la Alta Direccin de la entidad y por todo el personal para proporcionar a la administracin un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodologa, sino logrando que la evaluacin de los riesgos se convierta en una parte natural del proceso de planeacin.4 Para los efectos de este documento se aplica la siguiente definicin: Riesgo es la posibilidad de que suceda algn evento que tendr un impacto sobre los objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y consecuencias.

4 INTOSAI: GUA PARA LAS NORMAS DE CONTROL INTERNO DEL SECTOR PBLICO http://www.intosai.org 10

La tendencia ms comn es la valoracin del riesgo como una amenaza, en este sentido, los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia Pero existe tambin la percepcin del riesgo como una oportunidad, lo cual implica que su gestin est dirigida a maximizar los resultados que stos generan.

Clases de Riesgos:
El Riesgo est vinculado con todo el quehacer; se podra afirmar que no hay actividad de la vida, los negocios o cualquier asunto que deje de incluir el riesgo como una posibilidad. Las entidades, durante el proceso de identificacin del riesgo, pueden hacer una clasificacin de los mismos, con el fin de formular polticas de operacin para darles el tratamiento indicado, as mismo este anlisis servir de base para el impacto o consecuencias durante el proceso de anlisis del riesgo contemplado dentro de la metodologa.

Se debe tener en cuenta que los riesgos no son slo de carcter econmico o estn nicamente relacionados con entidades financieras o con lo que se ha denominado riesgos profesionales; stos hacen parte de cualquier gestin que se realice.

Entre las clases de riesgos que pueden presentarse estn5:

5 Casals & Associates Inc, PriceWaterhouseCoopers, USAID, Documento Mapas de Riesgos, octubre 2003, p.6-7 11

Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad por parte de la alta gerencia. Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por parte de la ciudadana hacia la institucin. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de informacin institucional, de la definicin de los procesos, de la estructura de la entidad, de la articulacin entre dependencias. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la comunidad. Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misin.

Qu significa gestionar el Riesgo?

En trminos generales la gestin del riesgo se refiere a los principios y metodologa para la gestin eficaz del riesgo, mientras que gestionar el riesgo se refiere a la aplicacin de stos principios y metodologa a riesgos particulares. La administracin del Riesgo comprende el conjunto de Elementos de Control y sus interrelaciones, para que la institucin evale e intervenga aquellos eventos, tanto internos como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos institucionales. La administracin del riesgo, contribuye a que la entidad consolide su Sistema de Control Interno y a que se genere una cultura de Autocontrol y autoevaluacin al interior de la misma.

12

Las etapas sugeridas para una adecuada administracin del Riesgo son las siguientes: Compromiso de las alta y media direccin, como encargadas de estimular la cultura de la identificacin y prevencin del riesgo y de definir las polticas para la gestin de los riesgos identificados y valorados entre las que se encuentran la definicin de canales directos de comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. As mismo, debe designar a un directivo de primer nivel (debe ser el mismo que tiene a cargo el desarrollo o sostenimiento del MECI y el Sistema de Gestin de la Calidad) que asesore y apoye todo el proceso de diseo e implementacin del Componente. Conformacin de un Equipo MECI o de un grupo interdisciplinario: Es importante conformar un equipo que se encargue de liderar el proceso dentro de la entidad y cuente con un canal directo de comunicacin con los designados de la direccin y de las diferentes dependencias. Dicho equipo lo deben integrar personas de diferentes dependencias que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos para que se facilite la aplicacin de la metodologa y la construccin de los mapas de riesgos por proceso e institucionales. Capacitacin en la metodologa: Definido el Equipo MECI o el grupo interdisciplinario, debe capacitarse a sus integrantes en la metodologa sobre administracin del Riesgo y su relacin con los dems Subsistemas y Elementos del Modelo Estndar de Control Interno- MECI, de modo que se conviertan en multiplicadores de esta informacin al interior de cada uno los procesos donde sea que participen. Ellos se convertirn en capacitadores de otros servidores o bien podrn acompaar el levantamiento de los mapas al interior de sus procesos.

13

Metodologa
Las entidades de la administracin pblica deben darle cumplimiento a su misin constitucional y legal, a travs de sus objetivos institucionales, los cuales se desarrollan a partir del diseo y ejecucin de los diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos puede verse afectada por factores tanto internos como externos que crean riesgos frente a todas sus actividades, razn por la cual se hace necesario contar con acciones tendientes a administrarlos. El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificacin, anlisis, valoracin y definicin de las alternativas de acciones de mitigacin de los riesgos, esto en desarrollo de los siguientes elementos: Contexto Estratgico Identificacin de riesgos Anlisis de riesgos Valoracin de riesgos Polticas de Administracin de Riesgos

14

Al ser un componente del Subsistema de Control Estratgico, para una adecuada administracin del Riesgo se debe tener en cuenta: La planeacin estratgica (misin, visin, objetivos, metas, factores crticos de xito) establecimiento de

El campo de aplicacin (procesos, proyectos, unidades de negocio, sistemas de informacin)

El Componente Ambiente de Control y todos sus elementos (Acuerdos, Compromisos y Protocolos ticos, las polticas de Desarrollo del Talento Humano y el Estilo de Direccin)

La identificacin de eventos (internos y externos) y de los resultados generados por el Componente Direccionamiento Estratgico y sus Elementos de Control ( Planes y Programas, Modelo de Operacin y Estructura Organizacional)

El Elemento Controles del Subsistema de Control de Gestin al momento de realizar la valoracin de los riesgos (identificacin, medicin y priorizacin) y la formulacin de la poltica (para evitar, aceptar, reducir, transferir el riesgo).

15

Proceso para la Administracin del Riesgo6

6 Comunicar y consultar es una actividad que se refiere al conocimiento previo que deben tener quienes participan en la gestin del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en informacin pertinente y actualizada. Estos deberan incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y las medidas que se toman para tratarlo. Esta comunicacin es eficaz para garantizar que los responsables de implementar las actividades relacionadas con la gestin del riesgo entiendan las bases sobre las cuales se toman las decisiones. 16

Qu es el contexto estratgico?
Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misin y objetivos de una institucin. Las situaciones del entorno o externas pueden ser de carcter social, cultural, econmico, tecnolgico, poltico y legal, bien se internacional, nacional o regional segn sea el caso de anlisis. Las situaciones internas estn relacionadas con la estructura, cultura organizacional, el modelo de operacin, el cumplimiento de los planes y programas, los sistemas de informacin, los procesos y procedimientos y los recursos humanos y econmicos con los que cuenta una entidad.

EJEMPLO DE FACTORES INTERNOS Y EXTERNOS DE RIESGO FACTORES EXTERNOS Econmicos: disponibilidad de capital, emisin de deuda o no pago de la misma, liquidez, mercados financieros, desempleo, competencia Medioambientales: emisiones y residuos, energa, catstrofes naturales, desarrollo sostenible Polticos: cambios de legislacin, polticas regulacin gobierno, pblicas, FACTORES INTERNOS Infraestructura: disponibilidad de activos, capacidad de los activos, acceso al capital

Personal: capacidad salud, seguridad

del

personal,

Procesos: capacidad, ejecucin, proveedores, salidas, conocimiento

diseo, entradas,

Sociales: demografa, responsabilidad social, terrorismo Tecnolgicos: interrupciones, comercio electrnico, datos externos, tecnologa emergente

Tecnologa: integridad de datos, disponibilidad de datos y sistemas, desarrollo, produccin, mantenimiento

Se recomienda establecer los objetivos, las estrategias, el alcance y los parmetros de las actividades de la entidad7 o de aquellos procesos donde se aplicar la metodologa para poder iniciar el anlisis de contexto estratgico.
7 NORMA TCNICA COLOMBIANA NTC31000. Pg. 37 17

Para determinar el contexto estratgico de la institucin es posible utilizar herramientas y tcnicas como las que se relacionan a continuacin8: 1. Inventario de Eventos Son listas de eventos posibles utilizadas con relacin a un proyecto, proceso o actividad determinada. Son tiles para asegurar una visin coherente con otras actividades similares dentro de la entidad.
EJEMPLO: Antes de emprender un proyecto de desarrollo de software, la entidad realiza un inventario de riesgos genricos inherentes a los proyectos de este tipo. Dicho inventario constituye una manera til de aprovechar el conocimiento acumulado por otras personas sobre el riesgo experimentado en esa rea.

2. Talleres de Trabajo Habitualmente renen a funcionarios de diversas funciones o niveles. El propsito es aprovechar el conocimiento colectivo del grupo y desarrollar una lista de acontecimientos que estn relacionados con un proceso, proyecto o programa.
EJEMPLO: Paralelamente con el establecimiento de objetivos de un proyecto, el lder de proceso y su equipo irn identificando eventos que podran afectar el logro de los objetivos del mismo.

8 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005 18

3. Anlisis de Flujo de Procesos: Representacin esquemtica de interrelaciones de ENTRADAS, TAREAS, SALIDAS Y RESPONSABILIDADES. Una vez realizado el esquema los eventos son analizados frente a los objetivos del proceso. Esta tcnica puede utilizarse para tener una visin a cierto nivel de detalle del proceso analizado.
EJEMPLO:

Igualmente pueden utilizarse diferentes fuentes de informacin tales como registros histricos, experiencias significativas registradas, informes de aos anteriores. El contexto estratgico es la base para la identificacin del riesgo, dado que de su anlisis suministrar la informacin sobre las CAUSAS del riesgo.
19

EJEMPLO APLICADO A LA METODOLOGA9:

CONTEXTO ESTRATGICO
PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. FACTORES FACTORES CAUSAS CAUSAS EXTERNOS EXTERNOS Nueva tecnologa disponible No se realizan las actualizaciones de hardware y software. No. equipos insuficientes y algunos obsoletos.

Tecnologa

Normatividad

Cambios normativos.

Talento humano

- Desconocimiento de normatividad aplicada - Resistencia al cambio. - Desmotivacin.

la

Relacin con entidades.

otras

Demoras en la respuesta de comunicaciones enviadas a otras entidades relacionadas. Incremento en el nmero de solicitudes por alta demanda de usuarios, desbordando la capacidad instalada.

Sistemas de informacin

-Proceso manual, que puede generar registros errneos o falta de registros. -Informacin desactualizada Fallas en el seguimiento a los procedimientos del proceso.

Necesidades comunidad.

de

la

Procedimientos

9 El ejemplo utilizado fue producto de un ejercicio realizado con la Gobernacin del Meta. 2011 20

Cmo se identifica el Riesgo?

La identificacin del riesgo se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos. Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos, es a travs de la utilizacin del formato de identificacin de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia las causas con base en los factores de riesgo internos y externos (contexto estratgico), presentando una descripcin de cada uno de estos y finalmente definiendo los posibles efectos (consecuencias). Es importante centrarse en los riesgos ms significativos para la entidad relacionados con los objetivos de los procesos y los objetivos institucionales. Es all donde, al igual que todos los servidores, la gerencia pblica adopta un papel proactivo en el sentido de visualizar en sus contextos estratgicos y misionales los factores o causas que pueden afectar el curso institucional, dada la especialidad temtica que manejan en cada sector o contexto socioeconmico. Entender la importancia del manejo del riesgo implica conocer con ms detalle los siguientes conceptos:

Proceso: Nombre del proceso. Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para el proceso al cual se le estn identificando los riesgos. Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.

21

Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Descripcin: Se refiere a las caractersticas generales o las formas en que se observa o manifiesta el riesgo identificado. Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daos fsicos y fallecimiento, sanciones, prdidas econmicas, de informacin, de bienes, de imagen, de credibilidad y de confianza, interrupcin del servicio y dao ambiental. Algunas entidades durante el proceso de identificacin del riesgo, pueden hacer una clasificacin de los mismos, con el fin de establecer con mayor facilidad el anlisis del impacto, considerado en el siguiente paso del proceso de anlisis del riesgo.
Riesgo Estratgico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad por parte de la alta gerencia. Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por parte de la ciudadana hacia la institucin. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de informacin institucional, de la definicin de los procesos, de la estructura de la entidad, de la articulacin entre dependencias. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la comunidad. Riesgos de Tecnologa: Estn relacionados con la capacidad tecnolgica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misin.
22

EJEMPLO APLICADO A LA METODOLOGA

IDENTIFICACIN DEL RIESGO

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. CONSECUENCIAS CAUSAS RIESGO DESCRIPCIN POTENCIALES No. equipos insuficientes y algunos obsoletos.

No se realizan las actualizaciones de hardware y software. -Proceso manual, que puede generar registros errneos o falta de registros. -Informacin desactualizada - Desconocimiento de la normatividad aplicada Resistencia al cambio. - Desmotivacin. Fallas en el seguimiento a los procedimientos del proceso.

Incumplimiento en la generacin de respuestas a los usuarios.

No se generan las respuestas dentro de los trminos legales.

Sanciones Demandas.

Generacin de respuestas inadecuadas o errneas a los usuarios.

Respuestas sin la competencia tcnica o no acorde a lo requerido.

Prdida de imagen y alto nivel de quejas por parte de los usuarios.

Preguntas claves para la identificacin del riesgo. Qu puede suceder? Cmo puede suceder? Es importante observar que el proceso de identificacin del riesgo es posible realizarlo a partir de varias causas que pueden estar relacionadas.

23

Cmo se analiza el Riesgo?

El anlisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, ste ltimo aspecto puede orientar la clasificacin del riesgo, con el fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar. El anlisis del riesgo depende de la informacin obtenida en la fase de identificacin de riesgos.
Pasos claves en el anlisis de riesgos - Determinar probabilidad - Determinar consecuencias - Clasificacin del Riesgo - Estimar el nivel del riesgo

Se han establecido dos aspectos a tener en cuenta en el anlisis de los riesgos identificados, Probabilidad e Impacto. Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: nmero de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque ste no se haya materializado. Por Impacto se entienden las consecuencias que puede ocasionar a la organizacin la materializacin del riesgo. Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos: Calificacin del riesgo y Evaluacin del riesgo Calificacin del riesgo: se logra a travs de la estimacin de la probabilidad de su ocurrencia y el impacto que puede causar la materializacin del riesgo. Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones10:
10 ICONTEC HB141Gua para la Financiacin del Riesgo. Apndice A. 2008. 24

Tabla de Probabilidad NIVEL 1 2 3 4 5 DESCRIPTOR Raro Improbable Posible Probable Casi Seguro DESCRIPCIN El evento puede ocurrir solo en circunstancias excepcionales. El evento puede ocurrir en algn momento El evento podra ocurrir en algn momento El evento probablemente ocurrir en la mayora de las circunstancias Se espera que el evento ocurra en la mayora de las circunstancias FRECUENCIA No se ha presentado en los ltimos 5 aos. Al menos de 1 vez en los ltimos 5 aos. Al menos de 1 vez en los ltimos 2 aos. Al menos de 1 vez en el ltimo ao. Ms de 1 vez al ao.

Bajo el criterio de Impacto, el riesgo se debe medir a partir de las siguientes especificaciones:
Tabla de Impacto NIVEL 1 2 3 4 5 DESCRIPTOR Insignificante Menor Moderado Mayor Catastrfico DESCRIPCIN Si el hecho llegara a presentarse, tendra consecuencias o efectos mnimos sobre la entidad. Si el hecho llegara a presentarse, tendra bajo impacto o efecto sobre la entidad. Si el hecho llegara a presentarse, tendra medianas consecuencias o efectos sobre la entidad. Si el hecho llegara a presentarse, tendra altas consecuencias o efectos sobre la entidad Si el hecho llegara a presentarse, tendra desastrosas consecuencias o efectos sobre la entidad.

Para determinar el impacto se pueden utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificacin del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado11

11 Las tablas propuestas representan los impactos de mayor ocurrencia en las entidades del Estado, no obstante cada entidad puede incluir otros tipos de impacto segn su particularidad. 25

IMPACTO DE CONFIDENCIALIDAD DE LA INFORMACIN12

NIVEL 1 2 3 4 5 CONCEPTO Personal Grupo de Trabajo Relativa al Proceso Institucional Estratgica

IMPACTO DE CREDIBILIDAD O IMAGEN13

NIVEL 1 2 3 4 5 CONCEPTO Grupo de Funcionarios Todos los funcionarios Usuarios Ciudad Usuarios Regin Usuarios Pas

IMPACTO LEGAL14
NIVEL 1 2 3 4 5 CONCEPTO Multas Demandas Investigacin Disciplinaria Investigacin Fiscal Intervencin Sancin

12 El impacto de confidencialidad de la informacin se refiere a la prdida o revelacin de la misma. Cuando se habla de informacin reservada institucional se hace alusin a aquella que por la razn de ser de la entidad slo puede ser conocida y difundida al interior de la misma; as mismo, la sensibilidad de la informacin depende de la importancia que esta tenga para el desarrollo de la misin de la entidad. 13 El impacto de credibilidad se refiere a la perdida de la misma frente a diferentes actores sociales o dentro del a entidad. 14 El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su funcin administrativa, ejecucin presupuestal y normatividad aplicable. 26

IMPACTO OPERATIVO15
NIVEL 1 2 3 4 5 CONCEPTO Ajustes a una actividad concreta Cambios en Procedimientos Cambios en la interaccin de los procesos Intermitencia en el Servicio Paro Total del Proceso

Ahora bien, considerando que para un proceso es posible analizar ms de un impacto, se pueden ir agrupando en el siguiente cuadro, donde se van estableciendo ms concretamente cada impacto:
TIPO DE IMPACTO INSIGNIFICANTE (1) Se afect al grupo de funcionarios del proceso. MENOR (2) Se afect a todos los funcionarios de la entidad. MODERADO (3) Se afect a los usuarios locales. MAYOR (4) Se afect a los usuarios locales y regionales. CATASTRFICO (5) Se afect a los usuarios en el Orden Nacional

Imagen16

15 El impacto operativo aplica en la mayora de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos dentro de la misma. 16 En el ejemplo se muestra un anlisis sobre el Impacto de Credibilidad o Imagen. En este mismo sentido se puede ir incluyendo otros impactos del proceso que se est analizando. 27

Evaluacin

permite comparar los resultados de la calificacin del riesgo, con los criterios definidos para establecer el grado de exposicin de la entidad al mismo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.
del Riesgo:

Para facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta una matriz que contempla un anlisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Las categoras relacionadas con el Impacto son: insignificante, menor, moderado, mayor y catastrfico. Las categoras relacionadas con la Probabilidad son: raro, improbable, posible, probable y casi seguro.

Matriz de Calificacin, Evaluacin y Respuesta a los Riesgos

IMPACTO PROBABILIDAD Insignificante (1) Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5) B B B M A Menor (2) B B M A A Moderado (3) M M A A E Mayor (4) A A E E E Catastrfico (5) A E E E E

B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir

28

EJEMPLO APLICADO A LA METODOLOGA17

ANLISIS DEL RIESGO

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. Evaluacin CALIFICACIN Tipo Medidas de RIESGO Impacto Respuesta Zona de Probabilidad Impacto Riesgo Incumplimiento en la generacin de Evitar, reducir, respuestas a los Zona Riesgo compartir o 4 3 Legal usuarios (trminos Alta transferir el establecidos por la riesgo. ley).

PROBABILIDAD Insignificante (1) Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5) B B B M A Menor (2) B B M A A

IMPACTO Moderado (3) M M A A E Mayor (4) A A E E E Catastrfico (5) A E E E E

B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir Este primer anlisis del riesgo se denomina Riesgo Inherente18 y se define como aqul al que se enfrenta una entidad en ausencia de acciones por parte de la Direccin para modificar su probabilidad o impacto.
17 Para efectos del ejemplo slo se trabajar un (1) riesgo de los dos (2) inicialmente identificados. 18 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pgina 39 29

Cmo se valora el Riesgo?

Acciones fundamentales para valorar el riesgo. - Identificar controles existentes - Verificar efectividad de los controles - Establecer prioridades de tratamiento

La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijacin de polticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener informacin para efectos de tomar decisiones. Algunos ejemplos de tipos de control19:
Polticas claras aplicadas Seguimiento al plan estratgico y operativo Indicadores de gestin Tableros de control Seguimiento a cronograma Evaluacin del desempeo Informes de gestin Monitoreo de riesgos Conciliaciones Consecutivos Verificacin de firmas Listas de chequeo Registro controlado Segregacin de funciones Niveles de autorizacin Custodia apropiada Procedimientos formales aplicados Plizas Seguridad fsica Contingencias y respaldo Personal capacitado Aseguramiento y calidad Normas claras y aplicadas Control de trminos

Controles de Gestin

Controles Operativos

Controles Legales

19 Tomado de Superintendencia Financiera 30

Para realizar la valoracin de los controles existentes es necesario recordar que stos se clasifican en: Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin. Correctivos: aquellos que permiten el restablecimiento de la actividad, despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia.

El procedimiento para la valoracin del riesgo parte de la evaluacin de los controles existentes, lo cual implica: a. Describirlos (estableciendo si son preventivos o correctivos). b. Revisarlos para determinar si los controles estn documentados, si se estn aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. c. Es importante que la valoracin de los controles incluya un anlisis de tipo cuantitativo, que permita saber con exactitud cuntas posiciones dentro de la Matriz de Calificacin, Evaluacin y Respuesta a los Riesgos es posible desplazarse20, a fin de bajar el nivel de riesgo al que est expuesto el proceso analizado.

PROBABILIDAD

IMPACTO Insignificante (1) Menor (2) B B M A A Moderado (3) M M A A E Mayor (4) A A E E E Catastrfico (5) A E E E E

Raro (1) Improbable (2) Posible (3) Probable (4) Casi cierto (5)

B B B M A

20 Los controles luego de su valoracin permiten desplazarse en la matriz, de acuerdo a si cubren probabilidad o impacto, en el caso de la probabilidad desplazara casillas hacia arriba y en el caso del impacto hacia la izquierda, como se muestra en el grfico, de acuerdo a la valoracin de controles. 31

Cmo se valoran los Controles?

A continuacin se muestran dos cuadros orientadores para ponderar de manera objetiva los controles y poder determinar el desplazamiento dentro de la Matriz de Calificacin, Evaluacin y Respuesta a los Riesgos21
PARMETROS CRITERIOS Posee una herramienta para ejercer el control. Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva. Estn definidos los responsables de la ejecucin del control y del seguimiento. La frecuencia de ejecucin del control y seguimiento es adecuada. TOTAL
Probabilidad

TIPO DE CONTROL Impacto

PUNTAJES 15

Herramientas para ejercer el control

15

30

15

Seguimiento al control

25

100

RANGOS DE CALIFICACIN DE LOS CONTROLES Entre 0-50 Entre 51-75 Entre 76-100

DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA EN LA MATRIZ DE CALIFICACIN, EVALUACIN Y RESPUESTA A LOS RIESGOS CUADRANTES A DISMINUIR CUADRANTES A EN LA PROBABILIDAD DISMINUIR EN EL IMPACTO 0 1 2 0 1 2

21 LINEAMIENTOS PARA LA ADMINISTRACION DEL RIESGO. Gua versin 03. Presidencia de la Repblica. Junio 2011.

32

El resultado obtenido a travs de la valoracin del riesgo, es denominado tambin tratamiento del riesgo, ya que se involucra la seleccin de una o ms opciones para modificar los riesgos y la implementacin de tales acciones 22 as el desplazamiento dentro de la Matriz de Evaluacin y Calificacin determinar finalmente la seleccin de la opciones de tratamiento del riesgo, as: Evitar el riesgo, tomar las medidas encaminadas a prevenir su materializacin. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseo o eliminacin, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc. Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevencin), como el impacto (medidas de proteccin). La reduccin del riesgo es probablemente el mtodo ms sencillo y econmico para superar las debilidades antes de aplicar medidas ms costosas y difciles. Por ejemplo: a travs de la optimizacin de los procedimientos y la implementacin de controles. Compartir o Transferir el riesgo, reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como en el caso de los contratos de seguros o a travs de otros medios que permiten distribuir una porcin del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la informacin de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicacin segura, en vez de dejarla concentrada en un solo lugar, la tercerizacin. Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la prdida residual probable y elabora planes de contingencia para su manejo

22 NORMA TCNICA COLOMBIANA NTC-ISO31000. Pg. 39 y 40 33

Dicha seleccin implica equilibrar los costos y los esfuerzos para su implementacin, as como los beneficios finales, por lo tanto se deber considerar aspectos como: Viabilidad Jurdica. Viabilidad Tcnica. Viabilidad Institucional. Viabilidad Financiera o econmica. Anlisis de costo-beneficio. Una vez implantadas las acciones para el manejo de los riesgos, la valoracin despus de controles se denomina riesgo residual, ste se define como aquel que permanece despus que la direccin desarrolle sus respuestas a los riesgos.23

23 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 40 34

EJEMPLO APLICADO A LA METODOLOGA

VALORACIN DEL RIESGO

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN

VALORACIN24
Probabilidad

RIESGO

Impacto

CONTROLES
Tipo Contro Prob. o Impacto
PUNTAJE Herramientas para ejercer el control PUNTAJE Seguimiento al control

Puntaje Final

Incumplimiento en la generacin de respuestas a los usuarios (trminos establecidos por la ley).

Aplicativo que permite mediante alarmas controlar las fechas lmite para las respuestas a los usuarios sobre las comunicaciones escritas recibidas. Plan de capacitaciones a los servidores, sobre la normatividad vigente y el manejo adecuado del sistema de informacin implementado.

Prob.

30

25

55

Prob.

30

25

55

Desplaza 2 casillas en Probabilidad25

24 Esta valoracin est relacionada con los cuadros de anlisis para al calificacin objetiva de controles. 25 Ver desplazamiento en la matriz siguiente pgina. 35

PROBABILIDAD Insignificante (1) Raro (1) Improbable (2) Posible (3) Probable (4) Casi Seguro (5) B B B M A Menor (2) B B M A A

IMPACTO Moderado (3) M M A A E Mayor (4) A A E E E Catastrfico (5) A E E E E

B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir

NUEVA VALORACIN DE ACUERDO A LOS CONTROLES IDENTIFICADOS

PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes. Evaluacin CALIFICACIN Tipo Medidas de RIESGO Impacto Respuesta Zona de Probabilidad Impacto Riesgo Incumplimiento en la generacin de Evitar, reducir, Zona respuestas a los compartir o 26 2 3 Legal Riesgo usuarios (trminos transferir el Moderado establecidos por la riesgo. ley).

26 Para el ejemplo aplicado, el riesgo identificado pas de la Zona de Riesgo Alta a la Zona de Riesgo Moderado. 36

Elaboracin del Mapa de Riesgos

El mapa de riesgos es una representacin final de la probabilidad e impacto de uno o ms riesgos27 frente a un proceso, proyecto o programa. Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento, como se sugiere a continuacin:

MAPA DE RIESGOS
PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN NUEVA CALIFIC A-CIN

Probabilidad

Impacto

27 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 53 37

Impacto

RIESGO

EVALUACIN RIESGO

Probabilidad

CONTROLES

NUEVA EVALUACIN

OPCIONES MANEJO

ACCIONES

RESP.

INDICADOR

Sin embargo dependiendo de la profundidad que se desea tener en la documentacin, podra incluirse un grfico como el que se muestra a continuacin28:

Cada letra dentro del grfico har alusin a los riesgos del proceso y visualmente muestra los riesgos que estn en las zonas ms altas.
Se debe tener en cuenta: Mapa de Riesgos Institucional: Contiene a nivel estratgico los mayores riesgos a los cuales est expuesta la entidad, permitiendo conocer las polticas inmediatas de respuesta ante ellos. Mapa de Riesgos por Proceso: facilita la elaboracin del mapa institucional, que se alimenta de stos, teniendo en cuenta que solamente se trasladan al institucional aquellos riesgos que permanecieron en las zonas ms altas de riesgo y que afecten el cumplimiento de la misin institucional y objetivos de la entidad.

28 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg. 55 38

EJEMPLO APLICADO A LA METODOLOGA

MAPA DE RIESGOS
PROCESO: ATENCIN AL USUARIO OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
CALIFICACIN NUEVA CALIFIC A-CIN

Probabilidad

Impacto

Impacto

RIESGO

EVALUACIN RIESGO

Probabilidad

CONTROLES

NUEVA EVALUACIN

OPCIONES MANEJO

ACCIONES

RESP.

INDICADOR

Incumplimien to en la generacin de respuestas a los usuarios (trminos establecidos por la ley).

Aplicativo que permite mediante alarmas controlar las fechas lmite para las respuestas a los usuarios sobre las comunicacione s escritas recibidas. 4 3 ZONA RIESGO ALTA Plan de capacitaciones a los servidores, sobre la normatividad vigente y el manejo adecuado del sistema de informacin implementado. 2 3 ZONA RIESGO MODERADA ASUMIR O REDUCIR EL RIESGO

Asignacin de identificaciones para uso del software por parte de los servidores del rea. Establecimiento de fechas para entrega de informes mensuales del cumplimiento.

Lder Proceso Tecnologa Lder Proceso Atencin al usuario

No. solicitudes contestadas en trminos/ Total de Solicitudes Reporte por funcionario entregado.

Elaboracin de Cronograma de capacitacin por grupos. Ejecutar Evaluaciones finales programadas sobre temas normativos. Establecer Resultados de las evaluaciones por funcionario

Lder Proceso Gestin Humana

Reporte quejas antes de la capacitacin con evaluacin posterior a 6 meses

Todas las acciones contempladas dentro del mapa, unido a la informacin reportada por los indicadores, suministrar la informacin requerida para el seguimiento respectivo a los mapas.

39

Polticas de administracin del Riesgo?

Para la consolidacin de las Polticas de Administracin de Riesgos se deben tener en cuenta todas las etapas anteriormente desarrolladas. Las polticas identifican las opciones para tratar y manejar los riesgos basadas en la valoracin de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posicin de la direccin y establecen las guas de accin necesarias a todos los servidores de la entidad. FORMULACIN DE LAS POLTICAS Est a cargo del Representante Legal de la entidad y el Comit de Coordinacin de Control Interno y se basa en el mapa de riesgos construido durante el proceso; la poltica seala qu debe hacerse para efectuar el control y su seguimiento, basndose en los planes estratgicos y los objetivos institucionales o por procesos. Debe contener los siguientes aspectos: Los objetivos que se esperan lograr. Las estrategias para establecer cmo se va a desarrollar las polticas, a largo, mediano y corto plazo. Los riesgos que se van a controlar. Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido. El seguimiento y evaluacin a la implementacin y efectividad de las polticas.

40

Comunicacin y Consulta
La comunicacin y consulta con las partes involucradas tanto internas como externas debera tener lugar durante todas las etapas (pasos dentro de la metodologa) del proceso para la gestin del riesgo. Esta comunicacin es importante para garantizar que aquellos responsables de la implementacin de las acciones dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones. Un enfoque de equipos de trabajo puede29: Ayudar a establecer correctamente el contexto estratgico. Garantizar que se toman en consideracin las necesidades de las partes involucradas. Ayudar a garantizar que los riesgos estn correctamente identificados. Reunir diferentes reas de experticia para el anlisis de los riesgos. Garantizar que los diferentes puntos de vista se toman en consideracin adecuadamente durante todo el proceso. Fomentar la administracin del riesgo como una actividad inherente al proceso de planeacin estratgica.

29 NORMA TCNICA COLOMBIANA NTC-ISO31000. Pg. 33 41

Monitoreo y Revisin
Una vez diseado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organizacin. El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y evaluar la eficiencia en su implementacin adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicacin de las acciones preventivas. El monitoreo debe estar a cargo de: Los responsables de los procesos y La Oficina de Control Interno

Su finalidad principal ser la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su funcin asesora comunicar y presentar luego del seguimiento y evaluacin propuestas detectadas. de mejoramiento y tratamiento a sus resultados y las situaciones

42

Trminos y Definiciones
Aceptar el Riesgo: decisin informada de aceptar las consecuencias y probabilidad de un riesgo en particular. Control correctivo: conjunto de acciones tomadas para eliminar la(s) causa(s) de una no conformidad detectada u otra situacin no deseable. Control preventivo: conjunto de acciones tomadas para eliminar la(s) causa(s) de una conformidad potencial u otra situacin potencial no deseable. Administracin de Riesgos: Conjunto de Elementos de Control que al interrelacionarse, permiten a la Entidad Pblica evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su funcin. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pblica autocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos. Anlisis de Riesgo: Elemento de Control, que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificndolos y evalundolos a fin de determinar la capacidad de la entidad pblica para su aceptacin y manejo. Se debe llevar a cabo un uso sistemtico de la informacin disponible para determinar cuan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias.

43

Autoevaluacin del Control: Elemento de Control que basado en un conjunto de mecanismos de verificacin y evaluacin, determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada rea organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas. Se basa en una revisin peridica y sistemtica de los procesos de la entidad para asegurar que los controles establecidos son an eficaces y apropiados. Compartir el Riesgo: Se asocia con la forma de proteccin para disminuir las prdidas que ocurran luego de la materializacin de un riesgo, es posible realizarlo mediante contratos, seguros, clusulas contractuales u otros medios que puedan aplicarse. Consecuencia: el resultado de un evento expresado cualitativa o cuantitativamente, sea este una prdida, perjuicio, desventaja o ganancia, frente a la consecucin de los objetivos de la entidad o el proceso. Evaluacin del Riesgo: proceso utilizado para determinar las prioridades de la Administracin del Riesgo comparando el nivel de un determinado riesgo con respecto a un estndar determinado. Evento: incidente o situacin, que ocurre en un lugar determinado durante un periodo de tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser nica o ser parte de una serie. Frecuencia: medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado. Identificacin del Riesgo: Elemento de Control, que posibilita conocer los eventos potenciales, estn o no bajo el control de la Entidad Pblica, que ponen en riesgo el logro de su Misin, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. Se puede entender como el proceso que permite determinar qu podra suceder, por qu sucedera y de qu manera se llevara a cabo.

44

Monitorear: comprobar, supervisar, observar, o registrar la forma en que se lleva a cabo una actividad con el fin de identificar posibles cambios. Prdida: consecuencia negativa que trae consigo un evento. Probabilidad: grado en el cual es probable que ocurra de un evento, que se debe medir a travs de la relacin entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir. Proceso de Administracin de Riesgo: aplicacin sistemtica de polticas, procedimientos y prcticas de administracin a las diferentes etapas del a Administracin del Riesgo Reduccin del Riesgo: aplicacin de controles para reducir las probabilidades de ocurrencia de un evento y/o su ocurrencia. Riesgo: Posibilidad de que suceda algn evento que tendr un impacto sobre los objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y consecuencias. Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la direccin para modificar su probabilidad o impacto. Riesgo Residual: nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo. Sistema de Administracin de Riesgo: conjunto de elementos del direccionamiento estratgico de una entidad concerniente a la Administracin del Riesgo.

45

Bibliografa
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN -ICONTEC. Norma Tcnica Colombiana NTCISO31000. 2011 INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN -ICONTEC. HB 141 Gua para la Financiacin del Riesgo. 2008. PRICEWATERHOUSECOOPERS. Administracin de Riesgos Corporativos. 2005 CASALS & ASSOCIATES INC, PRICEWATERHOUSECOOPERS, USAID, Documento Mapas de Riesgo, octubre 2003. CASALS & ASSOCIATES INC USAID; Marco Conceptual, Programa Fortalecimiento de la Transparencia y la Rendicin de Cuentas en Colombia. 2004. CEPEDA, GUSTAVO. Auditora y Control Interno. McGraw Hill, 1997. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA, Riesgos de corrupcin en la Administracin Pblica, Tercer Mundo, 2000 ESTUPIN GAITN, RODRIGO, La gerencia del riesgo y el nuevo enfoque de control interno planteado por el COSO GIL GALIO, PEDRO ORLANDO. Traduccin Administracin del Riesgo Estndar AS/NZ 4360:1999. 2001. COMPILADO POR DAVID MACNAMEE. MC2 MANAGEMENT CONSULTING. WS.2000.Glosario de Evaluacin del Riesgo. GONZLEZ SALAS DGAR. El Laberinto Institucional Colombiano. 1974-1994 Fescol. Universidad Nacional. 1998. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Gua bsica de las Oficinas de Control Interno. 1999. MCNAMEE, DAVID. Cuestionario sobre la administracin del riesgo. Contacto Informacin: Telfono 1-925-934-3847. 1997. ORTIZ, JOS JOAQUN Y ARMANDO ORTIZ. Auditora Integral. Interfinco. 2000. SALAZAR VARGAS, CARLOS. Las Polticas Pblicas. Pontificia Universidad Javeriana. 1999. http://www.coso.org/ERM-IntegratedFramework.htm
46