Administracion De Riesgos[1]

Guía

Administración

del Riesgo

Guía

Administración

del Riesgo

Departamento Administrativo

de la Función PúblicaRepública de Colombia

Guía Administración del Riesgo

Departamento Administrativo de la Función Pública

1

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA

Fernando Grillo RubianoDIRECTOR

Carla Liliana Henao CarmonaSUBDIRECTORA

Carlos Humberto Moreno BermúdezDIRECTOR DE EMPLEO PÚBLICO

Elber Eliécer Rojas MéndezDIRECTOR DE DESARROLLO ORGANIZACIONAL

Martha Cecilia Martelo de CastroDIRECTORA DE CONTROL INTERNO

Y RACIONALIZACIÓN DE TRÁMITES

Claudia Patricia Hernández LeónJEFE OFICINA ASESORA JURÍDICA

Alejandro Enrique Lobo SagreJEFE OFICINA ASESORA DE PLANEACIÓN

Juan Manuel Cortés GaonaJEFE OFICINA DE CONTROL INTERNO

Celmira Frasser AcevedoJEFE OFICINA DE SISTEMAS (E)

Bogotá, D.C., junio de 2004

Segunda Edición

ELABORACIÓN DE TEXTOS:Sol Beatriz Arango Ramírez

María Andrea Palacio PalacioGustavo Olaya Ferreira

Luis Rogelio Bautista CotrinoMaría del Consuelo Arias Prieto

========

DISEÑO Y DIAGRAMACIÓN

Gabriela Osorio ValderramaÁrea de Comunicaciones DAFP.

IMPRESIÓN:Imprenta Nacional de Colombia

Junio de 2004



2

resentaciónresentación

Después de dos años de la publicación de laCartilla de Administración del Riesgo y tenien-do en cuenta las experiencias recogidas duran-te este tiempo, fruto de los espacios generadospara debatir tan importante tema con entida-des tanto del sector público como privado, espara el Departamento Administrativo de la Fun-ción Pública muy grato presentar la actualiza-ción de la metodología, acorde con el accio-nar de la administración pública y teniendo encuenta los lineamientos internacionales quesobre el tema se aplican en la actualidad.

Se espera que dicha guía sirva como comple-mento a la consolidación de los Sistemas deControl Interno de las entidades y contribuya ala implementación e interiorización de una cul-tura de Autocontrol y autoevaluación que par-ta del proceso de planeación y del cumplimien-to de los objetivos estratégicos institucionales,de tal manera que los fines del Estado y los prin-cipios establecidos en la Constitución Políticade Colombia se cumplan a cabalidad.

PP


3


El direccionamiento en la administración del ries-go ayuda al conocimiento y mejoramiento dela entidad, contribuye a elevar la productividady a garantizar la eficiencia y la eficacia en losprocesos organizacionales, permitiendo definirestrategias de mejoramiento continuo, brindán-dole un manejo sistémico a la entidad.

La consigna es que la administración del ries-go sea incorporada al interior de las entida-des como una política de gestión por parte dela alta dirección y cuente con la participacióny respaldo de todos los servidores públicos; ta-rea que se facilitará con la implementación dela metodología aquí presentada lo cual per-mite establecer mecanismos para identificar,valorar y minimizar los riesgos a los que cons-tantemente están expuestas y poder de estamanera fortalecer el sistema de control inter-no para lograr el más alto grado de eficacia yeficiencia.

FERNANDO GRILLO RUBIANODirector



4

abla de contenidoabla de contenido

1 OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO ................. 91.1 GENERALES .............................................................................. 111.2 ESPECÍFICOS ............................................................................ 112. MARCO LEGAL ....................................................................... 133. MARCO CONCEPTUAL........................................................... 174. METODOLOGÍA....................................................................... 214.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO .......... 244.2 VALORACIÓN DEL RIESGO .................................................... 244.2.1 Identificación del riesgo ........................................................ 244.2.2 Análisis del riesgo.................................................................... 274.2.3 Determinación del nivel del riesgo ...................................... 294.3 MANEJO DEL RIESGO ............................................................. 304.3.1 Consideración de Acciones ................................................. 304.3.2 Elaboración del Mapa de Riesgos ....................................... 314.3.3 Implementación de Acciones .............................................. 334.4 MONITOREO ............................................................................ 335. DEFINICIÓN DE TÉRMINOS...................................................... 37

ANEXO I ................................................................................... 43ANEXO II ................................................................................... 51BIBLIOGRAFÍA .......................................................................... 63

TT


5




6

ntroducciónntroducción

El estudio y manejo de los riesgos no es un tema nuevo, de alguna uotra forma, las entidades, negocios y grandes empresas han venidodesarrollando planes, programas y proyectos tendientes a darle unmanejo adecuado a los riesgos, con el fin de lograr de la maneramas eficiente el cumplimiento de sus objetivos y estar preparadospara enfrentar cualquier contingencia que se pueda presentar. Esasí como se encuentra que existen diferentes formas de abordar eltema de los riesgos dependiendo del tamaño de la entidad, losobjetivos que persigue, la cultura administrativa, la complejidad desus operaciones y la disponibilidad de recursos, entre otros.

El riesgo es un concepto que se puede considerar fundamental, porsu vínculo con todo el quehacer, casi se podría afirmar que no hayactividad de la vida, los negocios o de cualquier asunto que noincluya la palabra riesgo, es por ello que la humanidad desde susinicios buscó maneras de protegerse contra las contingencias ydesarrolló - al igual que la mayoría de las especies animales - ma-neras de evitar, minimizar o asumir riesgos a través de acciones pre-ventivas1 .

II

1 ESTUPIÑÁN GAITÁN, Rodrigo, La gerencia de riesgo y el nuevo enfoque de control interno plan-teado por el “COSO”


7




8

Actualmente la dirección moderna concibió una disciplina deno-minada “Administración de riesgos” o Gerencia de riesgos” que esuna función de muy alto nivel dentro de la organización para defi-nir un conjunto de estrategias que a partir de los recursos (físicos,humanos y financieros) busca, en el corto plazo mantener la estabi-lidad financiera de la empresa, protegiendo los activos e ingresosy, en el largo plazo, minimizar las pérdidas ocasionadas por la ocu-rrencia de dichos riesgos.

En este contexto, las entidades de la administración pública no pue-den ser ajenas al tema de los riesgos y deben buscar como manejar-los partiendo de la base de su razón de ser y su compromiso con lasociedad; por esto se debe tener en cuenta que los riesgos no sóloson de carácter económico y están directamente relacionados conentidades financieras o con lo que se ha denominado riesgos profe-sionales, sino que hacen parte de cualquier gestión que se realice.

Para efectos de esta guía, se va a considerar el riesgo como todaposibilidad de ocurrencia de aquella situación que pueda entorpe-cer el normal desarrollo de las funciones de la entidad y le impidanel logro de sus objetivos, por lo que se entrega a la administraciónpública como una herramienta que le permita a las institucioneshacer un manejo adecuado de los riesgos desde la planeación ycontribuir así al logro de los objetivos.

La actualización de la Cartilla Guía Administración del riesgo, es elresultado de la labor realizada por un grupo de trabajo de la Direc-ción de Control Interno y Racionalización de Tramites del Departa-mento Administrativo de la Función Pública.

Tiene por objeto fortalecer aspectos relevantes de la Función de laAdministración Pública, enunciados en el artículo 209 de la Consti-tución Política de Colombia, el artículo 3 de la Ley 489 de 1998 y elDecreto 1537 de 2001; además de dar cumplimiento a los principiosconstitucionales de igualdad, moralidad, eficacia, economía, ce-leridad, imparcialidad y publicidad, mediante la descentralización,la delegación y la desconcentración de funciones, recordando queuna de la finalidades sociales del Estado es el bienestar general y elmejoramiento de la calidad de vida de la población, acorde conlos enunciados contenidos en el artículo 366 de la Carta Magna y elartículo 4 de la Ley 489 de 1998.

Pretende que el usuario de la guía pueda identificar, analizar ymanejar permanentemente el riesgo, garantizando el cumplimien-to de los objetivos institucionales, la supervivencia de la entidad yfortaleciendo continuamente la credibilidad de la misma ante elciudadano.



9

1.

OBJETIVOS DE LAADMINISTRACIÓN

DEL RIESGO



10



11

1.1 GENERALES

Facilitar el cumplimiento de la misión y objetivos institucionales de lasentidades de la administración pública a través de la prevención yadministración de los riesgos.

1.2 ESPECÍFICOS

Generar una visión sistémica acerca de la administración y eva-luación de riesgos, así como del papel de la alta y media geren-cia en coordinación con la Oficina de Control Interno, con rela-ción a los mismos.

Proteger los recursos del Estado.

Introducir dentro de los procesos y procedimientos la administra-ción del riesgo.

Involucrar y comprometer a todos los servidores de cualquier en-tidad de la administración pública, en la búsqueda de accionesencaminadas a prevenir y administrar los riesgos.

Propender porque cada entidad interactúe con otras, para for-talecer su desarrollo.

Asegurar el cumplimiento de normas, leyes y regulaciones.



12



13

2.

MARCO LEGAL



14



15

5.

Ley 87 de 1993, por la cual se establecen normaspara el ejercicio del control interno en las entidadesy organismos del Estado y se dictan otras disposicio-nes, artículo 2 literal a). Proteger los recursos de laorganización, buscando su adecuada administra-ción ante posibles riesgos que los afectan. Artículo 2literal f). Definir y aplicar medidas para prevenir losriesgos, detectar y corregir las desviaciones que sepresenten en la organización y que puedan afectarel logro de los objetivos.

Ley 489 de 1998. ESTATUTO BÁSICO de Organizacióny funcionamiento de la administración pública.

Decreto 2145 de 1999, por el cual se dictan normassobre el Sistema Nacional de Control Interno de lasEntidades y Organismos de la Administración públi-ca del orden nacional y territorial y se dictan otrasdisposiciones. Modificado parcialmente por el De-creto 2593 del 2000.

Directiva presidencial 09 de 1999, lineamientos parala implementación de la política de lucha contra lacorrupción.

Decreto 1537 de 2001, por el cual se reglamentaparcialmente la Ley 87 de 1993 en cuanto a elemen-tos técnicos y administrativos que fortalezcan el sis-tema de control interno de las entidades y organis-mos del Estado. Cuarto parágrafo. Son objetivos delsistema de control interno (…) definir y aplicar medi-das para prevenir los riesgos, detectar y corregir lasdesviaciones… Artículo 3. El rol que deben desem-peñar las oficinas de control interno (…) se enmar-ca en cinco tópicos (…) valoración de riesgos. Artí-culo 4. Administración de riesgos. Como parte inte-gral del fortalecimiento de los sistemas de controlinterno en las entidades publicas (…).

Decreto 188 de 2004, por el cual se modifica la es-tructura del Departamento Administrativo de la Fun-ción Pública y se dictan otras disposiciones.

5.

3.

1.

6.

4.4.

2.2.

6.

3.

1.



16



17

3.

MARCO CONCEPTUAL



18

La administración pública al ocuparse de los fenómenos de orga-nización y gestión, no puede ser ajena a las herramientas disponibles ya las nuevas tendencias en administración, para lo cual requiere estaren constante actualización y estar abierta al cambio y a la aplicaciónde diferentes instrumentos que le permitan a las entidades ser cadavez más eficientes, por lo que se hace necesario tener en cuenta todosaquellos hechos o factores que puedan afectar en un momento de-terminado el cumplimiento de los objetivos institucionales.

Por lo anterior, se hace necesario introducir el concepto de administra-ción del riesgo en las entidades, teniendo en cuenta que todas las or-ganizaciones independientemente de su naturaleza, tamaño y razónde ser están permanentemente expuestas a diferentes riesgos que pue-den poner en peligro su existencia. Desde la perspectiva del control, elmodelo COSO interpreta que la eficiencia del control es la reducciónde los riesgos, es decir: el propósito principal del control es la elimina-ción o reducción de los riesgos, es lograr que el proceso y sus controlesgaranticen, de manera razonable que los riesgos están minimizados ose están reduciendo y por lo tanto, que los objetivos de la organizaciónvan a ser alcanzados2 .

Para el caso de las organizaciones públicas, dada la diversidad y par-ticularidad de las entidades en cuanto a funciones, estructura, manejopresupuestal, contacto con la ciudadanía y compromiso social entreotros, es preciso identificar o precisar las áreas, los procesos, los proce-dimientos, las instancias y controles dentro de los cuales puede actuar-se e incurrirse en riesgos que atentan contra la buena gestión y la obtención de resultados para tener un adecuado manejo del riesgo.

Igualmente, es importante tener en cuenta que los riesgos están deter-minados por factores de carácter externo, también denominados delentorno y factores de carácter interno.

Entre los factores externos se destacan: la normatividad en la medidaque se hace parte de un Estado social de derecho; a vía de ejemplose pueden mencionar cambios constitucionales como el de 1991; juris-prudenciales como los que se expresan en sentencias que declaran sinefecto normas que venían aplicándose y que en un momento deter-minado pueden afectar las funciones específicas de una entidad pú-

2 PORTAL, Juan Manuel, Autoevaluación del control, III Encuentro nacional de control interno,noviembre de 1997.



19



20

blica y por lo tanto sus objetivos. También pueden mencionarse las re-formas a la administración y los constantes recortes presupuestales queafectan la capacidad de gestión de las entidades públicas, lo cualsumado a la reducción o eliminación total del presupuesto de inver-sión, obliga a considerar en todo momento el riesgo en que incurre laentidad de no poder cumplir con su objeto social.

Entre los factores internos se destacan: el manejo de los recursos, laestructura organizacional, los controles existentes, los procesos y pro-cedimientos, la disponibilidad presupuestal, la forma como se vinculanlas personas a la entidad, los intereses de los directivos, el nivel del ta-lento humano, la motivación y los niveles salariales, entre otros.

Es así como se hace necesario además de la identificación de factoresy riesgos en las entidades, su análisis, valoración e implementación deun plan de manejo el cual se materialice en un mapa de Riesgos, alcual se le haga una evaluación y monitoreo permanentes.

Para llevar a cabo dicho proceso se considera importante señalar elpapel de la Oficina de Control Interno, el cual es de dos clases, directoe indirecto:

Rol directo: Liderar y coordinar el proceso de levantamiento de losMapas de Riesgos institucionales y con base en ellos, realizar recomen-daciones preventivas y/o correctivas con los responsables de los pro-cesos. Igualmente, la Oficina de Control Interno debe hacer un moni-toreo periódico y realizar seguimiento a la evolución de los riesgos y alcumplimiento de las acciones propuestas, con el fin de verificar el cum-plimiento de las mismas y proponer mejoras.

Rol indirecto: Velar porque al interior de la entidad se implementenpolíticas de administración del riesgo y se conformen equipos de tra-bajo que apoyen dicho proceso y propendan por que se implementenmecanismos reales para la administración del riesgo.

Igualmente el Decreto 1537 de 2001 en su artículo 4: “Administraciónde riesgos” especifica que la identificación y el análisis del riesgo debeser un proceso permanente e interactivo entre la administración y lasoficinas de control interno o quien haga sus veces con miras a estable-cer acciones efectivas, representadas en actividades de control, acor-dadas entre los responsables de las áreas o procesos y dichas oficinas.3

3 DECRETO 1537 DE 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993



21

4.

METODOLOGÍA



22

La metodología presentada, contiene algunos pequeños ajus-tes que más que cambios pueden considerarse complemento a laGuía entregada hace dos años. Dichos ajustes, responden a la expe-riencia recogida durante la divulgación de la cartilla anterior, a travésde talleres, asesorías directas a las entidades y la participación en di-ferentes foros tanto con entidades del sector público, como empresasdel sector privado que trabajan el tema desde hace varios años.

Las entidades de la administración pública tienen unos objetivos insti-tucionales definidos por su norma de constitución, los cuales debendesarrollar a través de diferentes planes, programas y proyectos. Elcumplimiento de dichos objetivos se puede ver afectado por la pre-sencia de riesgos, razón por la cual se hace necesario contar con unametodología para administrar los mismos dentro de la organización.

En este sentido y partiendo de la razón de ser de las entidades, la ad-ministración del riesgo debe ser una política institucional definida y res-paldada por la alta dirección que se comprometa a manejar el temadentro de la organización.

En el anexo II se adjunta un cuestionario que le va a facilitar a las enti-dades establecer cómo se encuentran respecto a la administracióndel riesgo.

DIRECTRICES GENERALES

Las etapas sugeridas para una adecuada Administración del Ries-go son las siguientes:

♦ Compromiso de la alta y media dirección: Para el éxito en laImplementación de una adecuada administración del ries-go, es indispensable el compromiso de la alta gerencia comoencargada, en primera instancia, de definir las políticas y ensegunda instancia de estimular la cultura de la identificacióny prevención del riesgo. Para lograrlo es importante la defini-ción de canales directos de comunicación y el apoyo a to-das las acciones emprendidas en este sentido, propiciandolos espacios y asignando los recursos necesarios.

♦ Conformación de un equipo de trabajo: Es importante con-formar un equipo de trabajo que junto con la Oficina deControl Interno se encargue de liderar el proceso de admi-



23



24

nistración del riesgo dentro de la entidad y cuente con uncanal directo de comunicación con la alta dirección. Di-cho equipo lo deben integrar personas de diferentes áreasque conozcan muy bien la entidad y el funcionamiento delos diferentes procesos para que se facilite la administracióndel riesgo y la construcción de los mapas de riesgos institu-cionales.

♦ Capacitación en la metodología: Definido el equipo o equi-pos de trabajo, debe capacitarse a sus integrantes en lametodología de la administración del riesgo, para lo cualse podrá contar con el apoyo del Departamento Adminis-trativo de la Función Pública.

4.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO

Como cualquier otro proceso institucional, la administración del ries-go debe planearse y programarse de manera que haga parte detodo el quehacer de la entidad.

Para el diseño de esta planeación es fundamental tener claridaden la misión institucional, en sus objetivos y tener una visión sistémi-ca de manera que no se perciba la administración del riesgo comoalgo aislado. Igualmente es necesario conocer sobre el tema deriesgos y la metodología propuesta.

Dicha planeación debe contener: ¿Cuándo va a empezar a ma-nejarse el tema dentro de la entidad?, ¿Quiénes van a participardirectamente en el proceso? , ¿Cuándo van a realizarse las capa-citaciones y a quién van a ir dirigidas? y ¿Cómo se va a articular eltema dentro de la planeación y con los procesos?, entre otros.

4.2 VALORACIÓN DEL RIESGO

La valoración del riesgo consta de tres etapas: la identificación, elanálisis y la determinación del nivel del riesgo. Estas etapas son desingular interés para desarrollar con éxito la administración del ries-go e implementar una política al respecto en la entidad; para cadauna de ellas se sugiere tener en cuenta la mayor cantidad de datosdisponibles y contar con la participación de las personas que eje-cutan los procesos para lograr que las acciones determinadas al-cancen los niveles de efectividad esperados.

4.2.1 Identificación del riesgo

El proceso de la identificación del riesgo debe ser permanente einteractivo integrado al proceso de planeación y debe partir de la



25claridad de los objetivos estratégicos de la entidad para la obten-ción de resultados.

Previa la identificación de los riesgos es importante tener en cuenta talcomo se mencionó anteriormente, los factores que pueden incidir enla aparición de los mismos, los cuales pueden ser externos e internos yllegar a afectar la organización en cualquier momento.

Debe considerarse además de los factores previamente citados, fac-tores externos relacionados con la entidad como son: económicos,sociales, de orden público, políticos, legales y cambios tecnológicos,entre otros y como factores internos: la naturaleza de las actividadesde la entidad, la estructura organizacional, los sistemas de informa-ción, los procesos y procedimientos y los recursos económicos.

Para la identificación se recomienda la aplicación de varias herra-mientas y técnicas como por ejemplo: entrevistas estructuradas conexpertos en el área de interés, reuniones con directivos y con personasde todos los niveles en la entidad, evaluaciones individuales usandocuestionarios, lluvias de ideas con los servidores de la entidad, entre-vistas e indagaciones con personas ajenas a la entidad, usar diagra-mas de flujo, análisis de escenarios y hacer revisiones periódicas defactores económicos y tecnológicos que puedan afectar la organiza-ción, entre otros.

Igualmente pueden utilizarse diferentes fuentes de información de laentidad, tales como registros históricos, experiencias significativas regis-tradas, opiniones de especialistas y expertos, informes de años anterio-res, los cuales pueden proporcionar información importante, la técnicautilizada dependerá de las necesidades y naturaleza de la entidad.

Una manera de visualizar los riesgos es a través de la utilización delformato de identificación de riesgos el cual permite hacer un inventa-rio de los mismos, definiendo en primera instancia los riesgos, posterior-mente presentando una descripción de cada uno de estos y finalmentedefiniendo las posibles consecuencias. Es importante centrarse en losriesgos más significativos para la entidad.

Formato de identificación de riesgos

POSIBLESCONSECUENCIASDESCRIPCIÓNRIESGO



26

Riesgo: posibilidad de ocurrencia de aquella situación que puedaentorpecer el normal desarrollo de las funciones de la entidad y leimpidan el logro de sus objetivos.

Descripción: se refiere a las características generales o las formasen que se observa o manifiesta el riesgo identificado.

Posibles consecuencias: corresponde a los posibles efectos oca-sionados por el riesgo, los cuales se pueden traducir en daños detipo económico, social, administrativo, entre otros.

Clasificación del riesgo

Durante el proceso de identificación del riesgo se recomienda hacer unaclasificación de los mismos teniendo en cuenta los siguientes concep-tos4 :

Riesgo Estratégico: Se asocia con la forma en que se administra la Enti-dad. El manejo del riesgo estratégico se enfoca a asuntos globales rela-cionados con la misión y el cumplimiento de los objetivos estratégicos, laclara definición de políticas, diseño y conceptualización de la entidadpor parte de la alta gerencia.

Riesgos Operativos: Comprende los riesgos relacionados tanto con la parteoperativa como técnica de la entidad, incluye riesgos provenientes dedeficiencias en los sistemas de información, en la definición de los proce-sos , en la estructura de la entidad, la desarticulación entre dependen-cias, lo cual conduce a ineficiencias, oportunidades de corrupción e in-cumplimiento de los compromisos institucionales.

Riesgos de Control: Están directamente relacionados con inadecuadoso inexistentes puntos de control y en otros casos, con puntos de controlobsoletos, inoperantes o poco efectivos.

Riesgos Financieros: Se relacionan con el manejo de los recursos de laentidad que incluye, la ejecución presupuestal, la elaboración de los es-tados financieros, los pagos, manejos de excedentes de tesorería y elmanejo sobre los bienes de cada entidad. De la eficiencia y transparen-cia en el manejo de los recursos, así como su interacción con las demásáreas dependerá en gran parte el éxito o fracaso de toda entidad.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidadpara cumplir con los requisitos legales, contractuales, de ética pública yen general con su compromiso ante la comunidad.

4 Casals & Associates Inc, PriceWaterhouseCoopers, USAID, Documento Mapas de Riesgos, octu-bre 2003, p.6-7



27Riesgos de Tecnología: Se asocian con la capacidad de la Enti-dad para que la tecnología disponible satisfaga las necesida-des actuales y futuras de la entidad y soporten el cumplimientode la misión.

4.2.2 Análisis del riesgo

El objetivo del análisis es el de establecer una valoración y prioriza-ción de los riesgos con base en la información obtenida en el for-mato de identificación de riesgos elaborados en la etapa de iden-tificación, con el fin de obtener información para establecer el ni-vel de riesgo y las acciones que se van a implementar. El análisis delriesgo dependerá de la información sobre el mismo, de su causa yla disponibilidad de datos. Para adelantarlo es necesario diseñarescalas que pueden ser cuantitativas o cualitativas.

Se han establecido dos aspectos para realizar el análisis de los ries-gos identificados:

Probabilidad: la posibilidad de ocurrencia del riesgo; esta puedeser medida con criterios de frecuencia o teniendo en cuenta la pre-sencia de factores internos y externos que pueden propiciar el ries-go, aunque éste no se haya materializado.

Impacto: consecuencias que puede ocasionar a la organización lamaterialización del riesgo.

A continuación se presentan algunos ejemplos de las escalas quepueden implementarse para analizar los riesgos.

Análisis cualitativo: se refiere a la util ización de formas des-criptivas para presentar la magnitud de consecuencias poten-ciales y la posibilidad de ocurrencia. Se diseñan escalas ajus-tadas a las circunstancias de acuerdo a las necesidades par-ticulares de cada organización o el concepto particular delriesgo evaluado.

Escala de medida cualitativa de PROBABILIDAD: se deben estable-cer las categorías a utilizar y la descripción de cada una de ellas,con el fin de que cada persona que aplique la escala mida a tra-vés de ella los mismos ítems, por ejemplo:

ALTA: es muy factible que el hecho se presente.

MEDIA: es factible que el hecho se presente.

BAJA: es muy poco factible que el hecho se presente.



28

Ese mismo diseño puede aplicarse para la escala de medida cuali-tativa de IMPACTO, estableciendo las categorías y la descripción,por ejemplo:

ALTO: Si el hecho llegara a presentarse, tendría alto impacto oefecto sobre la entidad

MEDIO: Si el hecho llegara a presentarse tendría medio impactoo efecto en la entidad

BAJO: Si el hecho llegara a presentarse tendría bajo impacto oefecto en la entidad

Con base en los ejemplos anteriormente expuestos, los equipos detrabajo en coordinación con los encargados de adelantar los pro-cesos pueden construir sus propias escalas de acuerdo a la natura-leza de la entidad y a las características de los procesos y procedi-mientos, de forma que estas escalas se ajusten al análisis de los ries-gos identificados.

Análisis cuantitativo: Este análisis contempla valores numéricos paralos cuales se pueden construir tablas; la calidad depende de lo exac-tas y completas que estén las cifras utilizadas. La forma en la cual laprobabilidad y el impacto es expresada y las formas por las cualesellos se combinan para proveer el nivel de riesgo puede variar deacuerdo al tipo de riesgo.

Ejemplo de escala de probabilidad:

Probabilidadde ocurrencia

0 - 25 Baja 1

26- 70 Media 2

71- 100 Alta 3

Al igual que para determinar las escalas cualitativas, el diseño delas escalas cuantitativas debe contar con la participación de laspersonas encargadas de los procesos y con el grupo encargadode liderar la administración del riesgo.

Priorización de los riesgos

Una vez realizado el análisis de los riesgos con base en los aspectosde probabilidad e impacto, se recomienda utilizar la matriz de prio-rización que permite determinar cuales requieren de un tratamien-to inmediato.

Nivel Calificación



29Matriz de priorización de riesgos

Cuando se ubican los riesgos en la matriz se define cuáles de ellosrequieren acciones inmediatas, que en este caso son los del cua-drante B, es decir los de alto impacto y alta probabilidad. Los que norequieren acciones inmediatas (pero desde luego requieren que seformulen) son los ubicados en el cuadrante C bajo impacto y bajaprobabilidad. Respecto a los ubicados en las casillas A y D, es la enti-dad la que debe seleccionar de acuerdo a la naturaleza del riesgocuáles va a trabajar primero, los de alto impacto pero baja probabi-lidad o los de alta probabilidad y bajo impacto, ya que estos puedenser peligrosos para el logro de los objetivos institucionales, por las con-secuencias que presentan en el caso de los ubicados en la casilla D,o por lo constante de su presencia en el caso de la casilla A.

4.2.3 Determinación del nivel del riesgo

La determinación del nivel de riesgo es el resultado de confrontar elimpacto y la probabilidad con los controles existentes al interior delos diferentes procesos y procedimientos que se realizan. Para ade-lantar esta etapa se deben tener muy claros los puntos de controlexistentes en los diferentes procesos, los cuales permiten obtenerinformación para efectos de tomar decisiones, estos niveles de ries-go pueden ser:

ALTO: Cuando el riesgo hace altamente vulnerable a la enti-dad o unidad. (Impacto y probabilidad alta vs controles)

MEDIO: Cuando el riesgo presenta una vulnerabilidad media.(Impacto alto - probabilidad baja o Impacto bajo - probabili-dad alta vs controles).

BAJO: Cuando el riesgo presenta vulnerabilidad baja.( Impactoy probabilidad baja vs controles).

A B

C DIMPACTO

FRECUENCIA

ALTA

BAJA

BAJO ALTO



30

Un ejemplo de la determinación del nivel del riesgo y del grado deexposición al mismo:

Riesgo: Perdida de información debido a la entrada de un virusen la red de información de la entidad.

Probabilidad: Alta, porque todos los computadores de la enti-dad están conectados a la red de Internet e intranet.

Impacto: Alto, porque la perdida de información traería conse-cuencias graves para el quehacer de la entidad.

Controles existentes: la entidad tiene establecidos controles se-manales haciendo backup o copias de seguridad y vacunandotodos los programas y equipos; además guarda la información másrelevante desconectada de la red en un centro de información.

Resultado Nivel de riesgo: Medio por los controles establecidos

Lo anterior significa que a pesar de que la probabilidad y el impac-to son altos confrontado con los controles, se puede afirmar que elnivel de riesgo es medio y por lo tanto las acciones que se imple-menten entrarán a reforzar los controles existentes y a valorar la efec-tividad de los mismos.

4.3 MANEJO DEL RIESGO

Cualquier esfuerzo que emprendan las entidades en torno a la va-loración del riesgo llega a ser en vano, si no culmina en un adecua-do manejo y control de los mismos.

4.3.1 Consideración de Acciones

Para el manejo de los riesgos se deben analizar las posibles accio-nes a emprender las cuales deben ser factibles y efectivas, talescomo: la implementación de políticas, definición de estándares, op-timización de procesos y procedimientos y cambios físicos entreotros.

Se pueden tener en cuenta algunas de las siguientes opciones, lascuales pueden considerarse cada una de ellas independientemen-te, interrelacionadas o en conjunto.

Evitar el riesgo: es siempre la primera alternativa a considerar. Selogra cuando al interior de los procesos se generan cambios sustan-ciales por mejoramiento, rediseño o eliminación, resultado de unosadecuados controles y acciones emprendidas. Un ejemplo de esto



31puede ser el control de calidad, manejo de los insumos, manteni-miento preventivo de los equipos, desarrollo tecnológico, etc.

Reducir el riesgo: si el riesgo no puede ser evitado porque crea gran-des dificultades operacionales, el siguiente paso es reducirlo al másbajo nivel posible. La reducción del riesgo es probablemente el méto-do más sencillo y económico para superar las debilidades antes deaplicar medidas más costosas y difíciles. Se consigue mediante la op-timización de los procedimientos y la implementación de controles.Ejemplo: Planes de contingencia.

Dispersar y atomizar el riesgo: Se logra mediante la distribución o loca-lización del riesgo en diversos lugares. Es así como por ejemplo, la in-formación de gran importancia se puede duplicar y almacenar en unlugar distante y de ubicación segura, en vez de dejarla concentradaen un solo lugar.

Transferir el riesgo: Hace referencia a buscar respaldo y compartir conotro parte del riesgo como por ejemplo tomar pólizas de seguros, estatécnica es usada para eliminar el riesgo de un lugar y pasarlo a otro ode un grupo a otro. Así mismo, el riesgo puede ser minimizado com-partiéndolo con otro grupo o dependencia.

Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferidopuede quedar un riesgo residual que se mantiene, en este caso el ge-rente del proceso simplemente acepta la pérdida residual probable yelabora planes de contingencia para su manejo.

Una vez establecidas cuales de las anteriores opciones de manejo delriesgo se van a concretar, estas deben evaluarse con relación al be-neficio-costo para proceder a elaborar el mapa de riesgos, el cualpermitirá visualizar todo el proceso de valoración, análisis y manejo delos riesgos.

4.3.2 Elaboración del Mapa de Riesgos

Para la consolidación del Mapa de Riesgos, adicional a las considera-ciones expuestas, es necesario identificar las causas que los puedenocasionar

5, lo cual facilita el proceso de definición de acciones para

mitigar los mismos.

La selección de las acciones más convenientes debe considerar laviabilidad jurídica, técnica, institucional, financiera y económica yse puede realizar con base en los siguientes factores:

5 Definidas estas como los medios, circunstancias y agentes que generan riesgos



32

a) El nivel del riesgob) El balance entre el costo de la implementación de cada

acción contra el beneficio de la misma.

Así mismo en el Mapa de Riesgos se deben identificar los controlesexistentes, las áreas o dependencias responsables de llevar a cabolas acciones, definir un cronograma y unos indicadores que permi-tan verificar el cumplimiento para tomar medidas correctivas cuan-do sea necesario. (Ver formato)

MAPA DE RIESGOS

Control Nivel de Respon- Crono- Existente Riesgo sables grama

Descripción del Mapa de riesgos

Riesgo: posibilidad de ocurrencia de aquella situación que puedaentorpecer el normal desarrollo de las funciones de la entidad y leimpidan el logro de sus objetivos.

Impacto: consecuencias que puede ocasionar a la organización lamaterialización del riesgo.

Probabilidad entendida como la posibilidad de ocurrencia del ries-go; esta puede ser medida con criterios de frecuencia o teniendoen cuenta la presencia de factores internos y externos que puedenpropiciar el riesgo aunque este no se haya presentado nunca.

Control existente: especificar cuál es el control que la entidad tieneimplementado para combatir, minimizar o prevenir el riesgo.

Nivel de riesgo: El resultado de la aplicación de la escala escogidapara determinar el nivel de riesgo de acuerdo a la posibilidad deocurrencia, teniendo en cuenta los controles existentes.

Causas: Son los medios, circunstancias y agentes que generan los riesgos.

Acciones: es la aplicación concreta de las opciones del manejodel riesgo que entrarán a prevenir o a reducir el riesgo y harán par-te del plan de manejo del riesgo.

Riesgo Impacto Probabilidad Causas Acciones Indicadores



33Responsables: Son las dependencias o áreas encargadas de adelantarlas acciones propuestas.

Cronograma: son las fechas establecidas para implementar las ac-ciones por parte del grupo de trabajo.

Indicadores: se consignan los indicadores diseñados para evaluarel desarrollo de las acciones implementadas.

Finalmente, partiendo de que el fin último de la administración del riesgoes propender por el cumplimiento de la misión y objetivos instituciona-les, los cuales están consignados en la planeación anual de la enti-dad, se sugiere articular el mapa de riesgos con la planeación de ma-nera que no sean planes aislados sino complementarios.

4.3.3 Implementación de acciones

Definido el Mapa de Riesgos con sus acciones, responsables ycronogramas, es fundamental comenzar a ejecutar dichas accionescon el fin de determinar su efectvidad en el menor tiempo posible.

4.5 MONITOREO

Una vez diseñado y validado el plan para administrar los riesgos, enel mapa de riesgos, es necesario monitorearlo teniendo en cuentaque estos nunca dejan de representar una amenaza para la orga-nización.

El monitoreo es esencial para asegurar que las acciones se estánllevando a cabo y evaluar la eficiencia en su implementación ade-lantando revisiones sobre la marcha para evidenciar todas aque-llas situaciones o factores que pueden estar influyendo en la apli-cación de las acciones preventivas.

El monitoreo debe estar a cargo de la Oficina de Control Interno ylos responsables de las diferentes áreas y su finalidad principal serála de aplicar y sugerir los correctivos y ajustes necesarios para ase-gurar un efectivo manejo del riesgo. La Oficina de Control Internodentro de su función asesora comunicará y presentará luego delmonitoreo, sus resultados y propuestas de mejoramiento y tratamien-to a las situaciones detectadas.

A continuación se presenta un diagrama que consolida todo el pro-ceso de administración del riesgo y puede facilitar la comprensióndel mismo al momento de llevar a cabo la tarea de levantamientodel Mapa de Riesgos. (Ver página siguiente)



34

DIAGRAMA PROCESO DE ADMINISTRACIÓN DEL RIESGO

LA ADMINISTRACIÓN DEL RIESGO COMO POLÍTICA INSTITUCIONAL

Conocimientogeneral de la

institución

ETAPA 1PLANEACION

Diseño del plan

Identificacióndel riesgo

Análisisdel Riesgo

Determinacióndel nivel de

riesgo

ETAPA 2VALORACIÓN

DEL RIESGO

⇒⇒

⇒⇒

⇒⇒

⇒⇒

⇒⇒

⇒⇒

⇒⇒

1. Identificar la Misión2. Identificar objetivos

estratégicos3. Identificar procesos

estratégicos

1. Definir objetivos en ma-teria de administracióndel riesgo

2. Diseño cronograma deactividades

3. Capacitación en lametodología

1. Identificación de facto-res internos y externos

2. Diligenciamiento delformato de identifica-ción del Riesgo

3. Clasificación de losriesgos

1. Medir impacto y pro-babilidad

2. Jerarquizar los riesgosacorde con la escalade medición definida(comenzando por losde mayor impacto yprobabilidad)

3. Seleccionar los riesgosde mayor impacto yprobabilidad

1. Identificar los controlesexistentes para cadauno de los riesgos se-leccionados

2. Confrontar el impacto yla probabilidad frente alos controles existentes

3. Seleccionar los riesgosde mayor incidenciapara el cumplimientode los objetivos



35

Elaboración delmapa de Riesgos

Implementaciónde acciones

Elaboracióndel plan deseguimiento

Ejecución delseguimiento

Presentación deresultados ypropuestas

ETAPA 3MANEJO

DEL RIESGO

ETAPA 4MONITOREO

⇒⇒

⇒⇒

⇒⇒

⇒⇒

⇒⇒

⇒⇒

⇒⇒

DIAGRAMA PROCESO DE ADMINISTRACIÓN DEL RIESGO

LA ADMINISTRACIÓN DEL RIESGO COMO POLÍTICA INSTITUCIONAL

Consideraciónde Acciones ⇒⇒

1. Estudio de posiblesacciones para mitigarlos riesgos

1. Definición de las cau-sas que propician losriesgos

2. Definición de accionespara mitigar los riesgos

3. Análisis costo beneficiode las acciones

4. Diligenciamiento delformato de Mapa deRiesgos

1. Ejecución de los com-promisos adquiridos

2. Seguimiento a las ac-ciones por parte de losresponsables

1. Definir los riesgos a loscuales se va a hacerseguimiento

2. Elaborar cronogramade seguimiento

3. Definición de responsa-bles del seguimiento

1. Revisión de los compro-misos adquiridos paramitigar los riesgos selec-cionados

2. Verificación de la im-plementación de lasactividades

1. Consolidación de lainformación

2. Presentación de suge-rencias y recomenda-ciones

3. Elaboración del informe



36



37

5.

DEFINICIÓNDE TÉRMINOS



38



39• Administración de riesgos: Una rama de administración que

aborda las consecuencias del riesgo. Consta de dos etapas: i Eldiagnóstico o valoración, mediante Identificación, Análisis ydeterminación del Nivel, y ii El manejo o la administración pro-piamente dicha, en que se elabora, ejecuta y hace seguimien-to al Plan de manejo que contiene las Técnicas de Administra-ción del Riesgo propuestas por el grupo de trabajo, evaluadasy aceptadas por la alta dirección.

• Análisis de Beneficio-Costo: Una herramienta de Administra-ción de Riesgos usada para tomar decisiones sobre las técni-cas propuestas por el grupo para la administración de los ries-gos, en la cual se valoran y comparan los costos, financieros yeconómicos, de implementar la medida, contra los beneficiosgenerados por la misma. Una medida de administración deriesgos será aceptada siempre que el beneficio valorado su-pere al costo.

• Análisis de riesgos: Determinar el Impacto y la Probabilidad delriesgo. Dependiendo de la información disponible pueden em-plearse desde modelos de s imulación, hasta técnicascolaborativas.

• Causa: Son los medios, circunstancias y agentes que generanlos riesgos.

• Control: Es toda acción que tiende a minimizar los riesgos, signi-fica analizar el desempeño de las operaciones, evidenciandoposibles desviaciones frente al resultado esperado para la adop-ción de medidas preventivas. Los controles proporcionan unmodelo operacional de seguridad razonable en el logro de losobjetivos.

• Costo: Se entiende por costo las erogaciones, directas e indi-rectas en que incurre la entidad en la producción, prestaciónde un servicio o manejo de un riesgo.

• Factores de riesgo: Manifestaciones o características mediblesu observables de un proceso que indican la presencia de Ries-go o tienden a aumentar la exposición, pueden ser internos oexternos a la entidad.

• Identificación de riesgos: Establecer la estructura del riesgo;fuentes o factores, internos o externos, generadores de riesgos;puede hacerse a cualquier nivel: total entidad, por áreas, porprocesos, incluso, bajo el viejo paradigma, por funciones; des-de el nivel estratégico hasta el más humilde operativo.



40

• Impacto: consecuencias que puede ocasionar a la organiza-ción la materialización del riesgo.

• Indicador: es la valoración de una o más variables que informasobre una situación y soporta la toma de decisiones, es un crite-rio de medición y de evaluación cuantitativa o cualitativa.

• Mapas de riesgos: herramienta metodológica que permite ha-cer un inventario de los riesgos ordenada y sistemáticamente,definiéndolos, haciendo la descripción de cada uno de estos ylas posibles consecuencias

• Nivel de riesgo (determinación del): Es el resultado de confrontarel impacto y la probabilidad, con los controles existentes.

• Plan de contingencia: Parte del plan de manejo de riesgos quecontiene las acciones a ejecutar en caso de la materializacióndel riesgo, con el fin de dar continuidad a los objetivos de laentidad.

• Plan de manejo de riesgos: Plan de acción propuesto por el gru-po de trabajo, cuya evaluación de beneficio costo resulta posi-tiva y es aprobado por la gerencia.

• Plan de mejoramiento: Parte del plan de manejo que contienelas técnicas de administración del riesgo orientadas a prevenir,evitar, reducir, dispersar, transferir o asumir riesgos.

• Probabilidad: Una medida (expresada como porcentaje o ra-zón) para estimar la posibilidad de que ocurra un incidente oevento. Contando con registros, puede estimarse a partir de suFrecuencia histórica mediante modelos estadísticos de mayoro menor complejidad.

• Responsables: Son las dependencias o áreas encargadasde adelantar las acciones propuestas.

• Retroalimentación: Información sistemática sobre los resultadosalcanzados en la ejecución de un plan, que sirven para actua-lizar y mejorar la planeación futura.

• Riesgo: posibilidad de ocurrencia de toda aquella situación quepueda entorpecer el normal desarrollo de las funciones de laentidad y le impidan el logro de sus objetivos.

• Riesgo absoluto: el máximo riesgo sin los efectos mitigantes dela administración del riesgo.



41• Riesgo residual: es el riesgo que queda cuando las técnicas de

administración del riesgo han sido aplicadas.

• Seguimiento: Recolección regular y sistemática sobre la ejecu-ción del plan, que sirven para actualizar y mejorar la planea-ción futura.

• Sistema: Conjunto de cosas o partes coordinadas, ordenada-mente relacionadas entre sí, que contribuyen a un determina-do objetivo.

• Técnicas para manejar el riesgo: Evitar o prevenir, reducir, dis-persar, transferir y asumir riesgos.

• Valoración del riesgo: Primera fase en la administración de ries-gos, diagnóstico que consta de la identificación, análisis y de-terminación del nivel de riesgo.



42



43

ANEXO I

EJEMPLO SOBRE LA APLICACIÓN DE LA ADMINISTRACIÓN DEL RIESGO

Metodología utilizada por una oficina para la elaboración del mapade riesgos:

Con el ánimo de aprender haciendo y adquirir mayor experiencia so-bre la administración del riesgo, el Jefe de una Oficina de Control Inter-no de un organismo del Estado, impartió instrucciones para el diseño,estructuración y elaboración del Mapa de Riesgos de la Oficina. Paratal efecto, se conformó un equipo de trabajo multidisciplinario con re-presentantes de cada una de las áreas de la entidad al cual se le brin-dó la capacitación correspondiente para adelantar dicha tarea.

Aprovechando la organización por procesos de la oficina y tomandocomo base el Decreto 1537/2001, así como la Guía Preliminar emitidapor el Consejo Asesor del Gobierno Nacional en materia de ControlInterno, se dispuso elaborar el Mapa de Riesgos, definiendo un procesoespecífico y un procedimiento y definiendo actividades y asignandolos responsables para cada una de éstas y se fijaron los plazos parapresentar el trabajo.

Al proceso al que se le adelantó el respectivo Mapa de Riesgos es elrelativo al “Fortalecimiento del Sistema de Control Interno” para el Pro-cedimiento “Fortalecimiento de la Cultura de Contro”.

A continuación se presenta el cuadro de actividades diseñado paraadelantar el levantamiento del Mapa :



44



45CUADRO DE ACTIVIDADES Y RESPONSABLESDE LA ELABORACIÓN DEL MAPA DE RIESGOS

Se presenta el esquema de trabajo elaborado por la oficinapara el grupo de trabajo encargado de realizar la valoraciónde los riesgos y la elaboración del mapa de riesgos.

ACTIVIDAD RESPONSABLE

Instrucciones Generales Jefe OficinaIdentificación de los procesos a trabajar de Control Interno

Capacitación para el grupo encargado Jefe Oficina dede levantar el mapa brindándole los Control Internofundamentos conceptuales sobre la Jefe deadministración del riesgo acorde con la Talento Humanonormatividad vigente, así como con lasguías generadas en el DepartamentoAdministrativo de la Función Pública ylos lineamientos de la Presidencial dela República

Identificación de los factores Funcionarios miem-internos y externos. bros del grupo de

trabajo y responsa-ble de ejecutar pro-cedimiento.

Diligenciar el formato de identificación Funcionarios miem-de riesgos definiendo la descripción del bros del grupo deriesgo y las posibles consecuencias. trabajo y responsable

de ejecutar procedi-miento.

Taller de retroalimentación con la Coordinó: Jefe departicipación de todos los funcionarios Control Interno-de la oficina. Oficina de Talento

Humano.Duración: 10 horas.

1. En este taller cada funcionario Consolidó: Profesionalpresentó y justificó los Riesgos de su Universitariorespectivo procedimiento.

Logística: Oficina2. Los participantes aportaron, de Talento Humanosolicitaron modificaciones y/o eliminaronalgunos aspectos propuestos por elresponsable del procedimiento.



46

ACTIVIDAD RESPONSABLE

3. Se estableció la fecha parapresentación de los ajustes a lapresentación inicial, las acciones decontrol, los responsables de ejecutarla yel indicador de cumplimientopara la misma.

4. Cada funcionario realizó los ajustes Funcionariocorrespondientes a su formato de responsableacuerdo con los aportes de los de procedimiento.participantes en el taller.

5. Diligenciamiento del formatode mapa de riesgos.

Taller. Para revisar los mapas de riesgos Coordinó: Jefe delevantados con el fin de concertar las Control Interno.acciones a ejecutar, comprometer los Oficina deresponsables y definir indicadores. Talento Humano

Duración: 6 horas Consolidó: ProfesionalUniversitario

Participaron: El Jefe de la Oficina,las Jefes de Grupo y los funcionario Logística: Oficinaresponsables de procedimientos de Talento Humanode la oficina

Consolidación del documento Profesional UniversitarioMapa de Riesgos de los ProcedimientosOficina de Control Interno.

Aprobación y difusión del Mapa de Jefes de Área.Riesgos de la Oficina de Control Interno Jefe Oficina

de Control Interno.



47IDENTIFICACIÓN DE LOS RIESGOS

Una vez se realizó la identificación de los factores internos yexternos que pueden afectar a la Oficina se procedió a dili-genciar el formato de identificación de riesgos, establecien-do el riesgo, su descripción y las posibles consecuencias. Pos-teriormente se procedió a elaborar el Mapa de Riesgos (verformatos)

PROCESO: Fortalecimiento del Sistema de Control Interno

PROCEDIMIENTO: Fortalecimiento de la cultura del control

Formato de identificación de riesgos

DESCRIPCIÓN POSIBLESDEL RIESGO CONSECUENCIAS

1 Escasa cobertura y La planta de personal Desconocimiento delperiodicidad en el asignada a la Oficina tema de Controlfomento de la cultura de Control Interno, Interno por partedel control en la dado el tamaño de de gran parte de losentidad la entidad no permite servidores de la

ampliar la cobertura entidad.y periodicidad de las Se reducen lascapacitaciones. oportunidades para

fortalecer la culturadel control interno.Bajo compromiso delos funcionarios en laaplicación deherramientas deautocontrol y la autoevaluación.

2 Inadecuada selección Los procesos de selección Deterioro de lade personal para la no cumplen con el rigor imagen de la OficinaOficina técnico administrativo Falta de credibilidad

Insatisfacción de laDirecciónDesgaste administrativo

3 Deficiencia en la Los equipos de sistemas Información pococalidad de la así como el software confiableinformación utilizado no Inoportunidad en

corresponden a las las asesoríasnecesidades

No. RIESGO



48

No. RIESGO DESCRIPCIÓN POSIBLESDEL RIESGO CONSECUENCIAS

4 Insuficiente respaldo Por desconocimiento de Falta de compromisode la alta dirección los temas relacionados por parte de los

con control interno, funcionarios con elfalta respaldo y control internoparticipación por parte Rezago en materiade la alta dirección en de control internolas actividades Baja productividadorganizadas por laOficina de ControlInterno.

5 Falta de conoci- Las personas de la Asesorías inadecuadasmiento y claridad Oficina de Control Baja imagen deen la normatividad Interno, no tienen la Oficinarelacionada con claridad ni conocimiento Incumplimientos en laControl Interno de toda la normativi- entrega de informes

dad relacionada que pueden llevar acon control interno. incurrir en sanciones.



49M

APA

DE R

IESG

OS

DEP

END

ENC

IA: O

ficin

a d

e C

on

tro

l In

tern

oP

RO

CES

O: F

ort

ale

cim

ien

to d

el S

iste

ma

de

Co

ntr

ol I

nte

rno

PR

OC

EDIM

IEN

TO: F

ort

ale

cim

ien

to d

e la

Cu

ltura

de

l Co

ntr

ol

NIVE

LNo

.RI

ESG

OIM

PACT

O D

ELCA

USAS

ACCI

ONE

SRE

SPO

NSAB

LECR

ONO

GRA

MA

INDI

CADO

RRI

ESG

O

1Es

ca

sa c

ob

ertu

raA

ltoM

ed

ia1.

Ch

arla

s e

spo

rád

ica

sM

ed

io1.

Insu

ficie

nte

pe

rso

na

l1.

Inc

rem

en

tar l

as

1. R

ep

rese

nta

nte

y p

erio

dic

ida

d e

nso

bre

el t

em

aa

sign

ad

o a

la O

ficin

ap

ers

on

as

de

la O

ficin

aLe

ga

le

l fo

me

nto

de

la2.

Div

ulg

ac

ión

de

de

Co

ntr

ol I

nte

rno

de

Co

ntr

ol i

nte

rno

cul

tura

de

l co

ntro

ld

oc

um

en

tos

2. In

ad

ec

ua

da

2. E

lab

ora

r el p

lan

an

ua

l2.

Ofic

ina

de

CI

en

la e

ntid

ad

pla

ne

ac

ión

de

la O

ficin

ay

Ofic

ina

de

Inic

io:

No

.y

pro

gra

ma

ció

n.

pla

ne

ac

ión

en

ero

200

4f u

nc

ion

ario

s3.

Fa

lta d

e in

teré

s d

e3.

Ela

bo

rar d

oc

um

en

tos

3. O

ficin

a d

e C

Ia

ctu

ale

slo

s fu

nc

ion

ario

s e

no

gu

ías

de

se

nsib

iliza

ció

ny

de

Ta

len

toN

o.

el t

em

ay

div

ulg

arlo

sH

um

an

oFi

na

liza

:fu

nc

ion

ario

s4.

Esc

aso

s re

cu

rso

s4.

De

finic

ión

de

4. O

ficin

a d

e C

Im

arz

o 2

004

en

3 m

ese

sp

ara

pro

gra

ma

s d

ein

stru

me

nto

s o

y d

e T

ale

nto

div

ulg

ac

ión

me

ca

nism

os

virt

ua

les

Hu

ma

no

pa

ra in

cre

me

nta

rla

co

be

rtu

ra

2In

ad

ec

ua

da

Alto

Alta

1.Pr

oc

eso

de

se

lec

ció

nA

lto1.

Inte

rese

s p

art

icu

lare

s.1.

Co

ntr

ata

r el p

roc

eso

1. R

ep

rese

nta

nte

sele

cc

ión

de

ld

e p

ers

on

al

de

se

lec

ció

n c

on

un

Leg

al

No

. fun

cio

nario

sp

ers

on

al p

ara

lae

nte

ext

ern

o.

no

mb

rad

os

Ofic

ina

2. F

alta

de

cla

rida

d2.

An

ális

is d

el p

roc

eso

2. O

ficin

a d

ere

sulta

do

de

ly

co

no

cim

ien

to d

el

de

se

lec

ció

n d

efin

ien

do

Tale

nto

Hu

ma

no

,In

icio

:p

roc

eso

de

pro

ce

so d

e s

ele

cc

ión

.c

on

tro

les

pa

ra c

ad

aO

ficin

a d

ee

ne

ro 2

004

se

lec

ció

n u

na

de

las

eta

pa

s.Pl

an

ea

ció

nFi

na

liza

:c

on

tra

tad

o3.

Fa

lta d

e c

on

tro

les

en

3. C

ap

ac

itac

ión

3. O

ficin

a d

eju

lio 2

004

No

func

iona

rios

el p

roc

eso

de

se

lec

ció

ne

spe

cífi

ca

pa

ra lo

sTa

len

to H

um

an

oc

ap

ac

itad

os

fun

cio

na

rios

de

laN

o.fu

ncio

nario

sO

ficin

a d

e T

ale

nto

Ofic

ina

de

TH

Hu

ma

no

PROB

A-CO

NTRO

LES

BILID

ADEX

ISTEN

TES



50

NIVE

LNo

.RI

ESG

OIM

PACT

O D

ELCA

USAS

ACCI

ONE

SRE

SPO

NSAB

LECR

ONO

GRA

MA

INDI

CADO

RRI

ESG

O

3D

efic

ien

cia

en

laA

ltoA

lto1.

Pla

n I

nfo

rmá

tico

Me

dio

1.Fa

lta d

e c

ap

ac

ida

d1.

Eje

cuc

ión

y se

gui

mie

nto

1. O

ficin

a d

e

ca

lida

d d

e la

téc

nic

ad

el P

lan

Info

rmá

tico

Sist

em

as,

Re

pre

-

info

rma

ció

nse

nta

nte

leg

al.

Inic

io:

2.M

ec

an

ismo

s d

e2.

Re

cu

rso

s2.

Op

timiza

ció

n d

e lo

s2.

Je

fes

de

áre

a.

en

ero

200

4N

o e

qu

ipo

s

seg

urid

ad

tec

no

lóg

ico

sre

cu

rso

s in

form

átic

os

asig

nad

os O

f C

ina

de

cu

ad

os

disp

on

ible

s.N

o. e

qu

ipo

s

3. Im

ple

me

nta

r nu

evo

s3.

Ofic

ina

de

Fin

aliz

a:

req

ue

rido

s

me

ca

nism

os

de

Sist

em

as

julio

200

4

seg

urid

ad

pa

ra la

info

rma

ció

n

4In

sufic

ien

teA

ltoA

lta1

. Pa

rtic

ipa

ció

n d

e la

Me

dio

1.Fa

lta d

e c

ono

cim

ient

o1.

Pro

gra

ma

ció

n d

e1.

Ofic

ina

de

resp

ald

o d

e la

dire

cc

ión

en

las r

eun

ione

sd

el t

em

a d

e c

on

tro

l jo

rna

da

s d

e c

ap

ac

i-Ta

len

to H

um

an

o,

alta

dire

cc

ión

de

l Co

mité

de

Co

ord

ina

-in

tern

o.

tac

ión

pa

ra la

alta

Ofic

ina

de

CI.

Re

un

ion

es

ció

n d

e C

on

tro

l In

tern

od

irec

ció

n e

n te

ma

sIn

icio

:C

om

ité C

I

de

co

ntr

ol i

nte

rno

.e

ne

ro 2

004

pro

gra

ma

da

s

2.Fa

lta d

e c

om

pro

miso

2. D

ina

miza

r el C

om

ité2.

Re

pre

sen

tan

teFi

na

liza

:R

eu

nio

ne

s

e in

teré

sd

e C

oo

rdin

ac

ión

de

Leg

al,

Ofic

ina

feb

rero

200

4re

aliz

ad

as

Co

ntr

ol I

nte

rno

de

CI,

Jefe

s d

e

áre

a

5Fa

lta d

eA

ltoBa

ja1.

Ca

pa

cita

ció

n y

Bajo

1. F

alta

de

un

ida

d1.

Re

co

pila

ció

n te

má

tica

1. O

ficin

a d

e C

I

co

no

cim

ien

to y

reu

nio

ne

s d

e re

tro

ali-

do

cu

me

nta

l en

lad

e la

no

rma

tivid

ad

Inic

io:

cla

rida

d e

n la

me

nta

ció

n d

e la

Ofic

ina

de

Co

ntr

ol

vig

en

te e

n la

ma

teria

.fe

bre

ro 2

004

Arc

hiv

os

no

rma

tivid

ad

Ofic

ina

de

CI

Inte

rno

.Fi

na

liza

:o

rga

niza

do

s

rela

cio

na

da

co

n2.

Pe

rfil i

na

de

cu

ad

o2.

Ca

pa

cita

ció

n e

n2.

Ofic

ina

de

ma

yo 2

004

po

r te

ma

Co

ntr

ol I

nte

rno

de

las

pe

rso

na

s d

ela

ma

teria

.Ta

len

to H

um

an

o,

la O

ficin

aO

ficin

a d

e C

I.

NO

TA :

El p

rese

nte

ma

pa

es

un

eje

mp

lo fi

gu

rad

o p

ara

ac

lara

r lo

s c

on

ce

pto

s, p

ue

de

co

nte

ne

r má

s in

dic

ad

ore

s, c

on

tro

les

y a

cc

ion

es.

PROB

A-CO

NTRO

LES

BILID

ADEX

ISTEN

TES



51ANEXO II

CUESTIONARIO SOBRE LA ADMINISTRACIÓN DEL RIESGO

A continuación se presenta un cuestionario que le permite a las perso-nas encargadas de adelantar la administración del riesgo, realizar undiagnostico sobre el estado en que se encuentra la entidad. Es unaayuda metodológica que puede ser utilizada para obtener mayor in-formación.

Está usted listo para administrar el riesgo?

Responda las siguientes preguntas usando la escala desde 1 (nunca,)3 (a veces) hasta 5 (siempre), con valores intermedios. Deje la casillaen blanco si no conoce la respuesta:

Nunca A veces Siempre

1. Nuestro equipo administrativodiscute el riesgo en comités 1 2 3 4 5directivos

2. Nuestros reportes sobredecisiones importantes se refieren 1 2 3 4 5al riesgo de dichas decisiones

3. La administración de riesgoses tema de discusión en nuestros 1 2 3 4 5comités de control internoy directivo.

4. Administradores asisten a lostalleres (tanto internos comoconferencias públicas) sobre 1 2 3 4 5prácticas de administracióndel riesgo

5. Hemos afrontado variasdificultades sorpresivas. 1 2 3 4 5

6. Cuando una de mis decisionesse torna insatisfactoria, el equipo 1 2 3 4 5administrativo trata de aprenderde ello.

7. Estoy provisto de las herramientasque necesito para valorizar el riesgo. 1 2 3 4 5

8. Mi jefe respalda la administracióndel riesgo. 1 2 3 4 5



52

Puntaje < 24: Administración del riesgo no es parte de suorganización actual. Trabaje en la construcción y apreciaciónpara el manejo del riesgo

Puntaje 24-36: Administración del riesgo es parte de su or-ganización, pero se requiere su ayuda para convertirla en unamayor parte de la cultura corporativa de la gerencia.

Puntaje > 36: Estructura de éxito. Revise las áreas en queobtuvo 3 puntos o menos para ver qué medidas debe tomar.

Administración del riesgo en la administración pública

1. Objetivos de la organización

Total Desacuerdo Indiferente De acuerdo Totaldesacuerdo acuerdo

1.1 Los propósitos generales de laorganización están claramentedefinidos y publicados de formaque pueden ser fácilmentecomprendidos

1.2 Los objetivos de laorganización están definidos

1.3 Los objetivos de laorganización están comunicados

1.4 El personal entiende cómo losobjetivos de la organización serelacionan con los objetivosde su áreas

1.5 El personal entiende cómolos objetivos de la organizaciónse relacionan con sus objetivospersonales

1.6 Se hace al menos una revisiónanual de la relación entrelos objetivos organizacionalesy personales



53Total Desacuerdo Indiferente De acuerdo Totaldesacuerdo acuerdo

1.7 El manejo efectivo del riesgoes importante para el logro de losobjetivos organizacionales

1.8 El riesgo es visto tanto comooportunidad y amenaza para ellogro de los objetivosorganizacionales

1.9 Los objetivos de laadministración de riesgos en laorganización están claramentedefinidos

1.10 Si es así, cuáles son?

2. Comprensión del riesgo y administración del riesgo


2.1 Hay una definición común enla organización para el términoriesgo

2.2 Qué entiende la organización por el término “riesgo en el logrode los objetivos”?

2.3 Qué entiende la organización por el término “administración delriesgo”?



546 accountability

2.4 En qué áreas de la organización se garantiza la administracióndel riesgo?


2.5 Hay un acuerdo común en laorganización para el manejode riesgo

2.6 Hay parámetros claros en laorganización para el manejode riesgo

2.7 La responsabilidad sobre elmanejo del riesgo estáclaramente estableciday entendida en la entidad

2.8 El seguimiento6 sobreel plan manejo del riesgo estáclaramente establecidaentendida en la organización

2.9 El manejo del riesgo esimportante para el desarrolloy éxito de la organización

3. Identificación del riesgo


3.1 Se identifican los cambios enel riesgo ante cambios en lasfunciones y responsabilidades



55Total Desacuerdo Indiferente De acuerdo Totaldesacuerdo acuerdo

3.7 La organización identifica losprincipales riesgos potencialespara cada uno de sus objetivos

3.8 Qué tipo de riesgos se han identificado? SI NO

a) Riesgos estratégicos. P.ej. derivados de laspolíticas o en las decisiones gubernamentales

b) Riesgos en el logro de los objetivos

c) Riesgos derivados de la normatividad

d) Riesgos de políticas presupuestales

e) Riesgos financieros

f) Riesgos operacionales

g) Riesgos de salud ocupacional

h) Riesgos naturales

i) Riesgos del talento humano

3.10. Cómo guarda su organización el registro de los riesgos que sehan identificado?

3.11 Cuáles son los tres riesgos más importantes que la organizacióndebe enfrentar en los próximos 12 meses?



56

3.12 Qué oportunidades tiene la organización de lograr sus objeti-vos en los próximos 12 meses?

Análisis del riesgo

Qué herramientas y técnicas se usan para el análisis del riesgo?


3.13 La organización tienedificultades para priorizar sus riesgos?

3.14 La organización tienedificultades para valorizar laprobabilidad de ocurrenciade sus riesgos?

3.15 La organización tienedificultades para valorizar elimpacto potencia de lamaterialización de sus riesgos?

3.16 Con qué frecuencia laorganización valora los riesgosde alcanzar sus objetivos?

3.17 La organización conoce lasfortalezas y debilidades delmanejo de riesgo enotras organizaciones



573.18 Los siguientes actores son importantes para la valoraciónde riesgos

a) Congreso

b) Usuarios

c) Industria

d) Cortes

e) Políticos

f) Gobierno

g) Empleados

h) Otros. Especificar

3.19 La organización mide sus riesgos en términos de? SI NO

a) Impacto de sus políticas

b) Impacto en imagen institucional

c) Probabilidad del riesgo

d) Impacto en la cobertura

e) Logro de sus objetivos

f) Otros. Especificar

Aumentado Disminuido No ha No estácambiado seguro

3.20 En los últimos cinco años el nivel deriesgo en su organización se ha:?




58


Marque quién toma las decisionesde acuerdo a quién direcciona los Toma Monitoreariesgos según las diferentes facetas de y reportaen que se presenta, y, quien los decisionesrevisa y/o monitorea

Director general

Grupo directivo

Director finanzas

Auditor interno

Gerente de riesgo

Jefe de área

Todo el personal

Otros (especifique)

Determinación del riesgo

La respuesta del riesgo por partede la organización incluye:

Una evaluación de la efectividadde los controles existentes y elmanejo gerencial del riesgo

La implementación de planes deacción para riesgos identificados

Evaluación costo-beneficio paradireccionar riesgos

La organización conoce cuantoriesgo se puede tomar en elcumplimiento de objetivos



59



Esta organización revisarutinariamente la efectividadde los procesos de control delos riesgos

La organización tiene claramentedefinido las políticas y procesospara reportar los cambios deriesgo, los incidentes y las fallasde control que ocurran

La organización tieneprocedimientos parareportar riesgos

La priorización de riesgosque necesitan un activomanejo gerencial

Otros (especifique)

Plan de manejo de riesgos

Los cambios en los riesgosorganizacionales sonidentificados, valoradosy reportados

Los procesos y procedimientosdel riesgo de la organización,están documentados, y proveenuna guía para que el personalconozca sobre el manejodel riesgo

Los gerentes en la organizaciónentienden las diferentes facetasdel riesgo que deben manejar



60


La importancia del manejogerencial, y control de riesgo hasido comunicado a través dela organización

La gerencia de la organizaciónrevisa regularmente el desempeñoen el manejo de riesgo

La estructura de la organizaciónsoporta un manejo efectivodel riesgo

La cultura de la organizaciónsoporta un manejo efectivodel riesgo

La organización soporta la tomade riesgos en la búsquedade sus objetivos

La organización soporta lainnovación en la búsquedade sus objetivos

Cuáles son las medidas preventivas que toma la organización con-tra los riesgos si desea completar los objetivos propuestos

La alta dirección ha recibido SI NOentrenamiento en:

Manejo del riesgo estratégico

Manejo de procesos de riesgo

Toma de riesgo



61



Los procesos de comunicacióny reportes están debidamentesoportados con un adecuadomanejo de riesgo

Los procesos de comunicación yreportes entre el personal y ladirección general estándebidamente soportados con unadecuado manejo de riesgo

La alta gerencia de laorganización es receptiva contodas las comunicaciones sobreriesgo incluidas las malas noticias

El código de conducta de laorganización es claro en guiar alpersonal en las accionesrelacionadas para el manejode riesgos.

Monitoreo

La organización encuentradificultad para monitorear loscambios en el perfil de los riesgos

La organización monitorea yrevisa los riesgos para el logrode sus objetivos

La organización encuentradificultad en monitorear loscambios en el perfil de los riesgos



62


La organización ha evaluadola necesidad de uso de lacapacidad interna de monitoreary revisar el riesgo organizacional

El monitoreo de la efectividaddel manejo de riesgo es partede una rutina integral del reportede procesos gerenciales



63

BIBLIOGRAFÍA

Casals & Associates Inc, PriceWaterhouseCoopers, USAID, Documen-to Mapas de Riesgo, octubre 2003.

Cepeda Gustavo. Auditoría y Control Interno. McGraw Hill, 1997.

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA, Riesgosde corrupción en la administración pública, Tercer Mundo, 2000

Estupiñán Gaitán, Rodrigo, La gerencia del riesgo y el nuevo enfo-que de control interno planteado por el “COSO”

Gil Galio, Pedro Orlando. Traducción Administración del RiesgoEstándar AS/NZ 4360:1999. 2001.

Glosario de Evaluación del riesgo. Compilado por David MacNamee.Mc2 Management Consulting. Ws.2000.

González Salas Édgar. El Laberinto Institucional Colombiano. 1974-1994 Fescol. Universidad Nacional. 1998.

Guía básica de las Oficinas de Control Interno. Departamento Ad-ministrativo de la Función Pública. 1999.

McNamee, David. Cuestionario sobre la administración del riesgo.Contacto Información: Teléfono 1-925-934-3847. 1997.

Ortiz, José Joaquín y Armando Ortiz. Auditoría Integral. Interfinco.2000.

Salazar Vargas, Carlos. Las Políticas Públicas. Pontificia UniversidadJaveriana. 1999.



64

Departamento Administrativo de la Función PúblicaCarrera 6 No. 12 - 62, Bogotá, D.C. • Conmutador: 334 40 80/87

• Fax: 341 05 15 • Línea gratuita de Atención al Cliente: 018000 917770• Web: www.dafp.gov.co • E-mail: [email protected]

Junio 2004

Departamento Administrativo de l a Función PúblicaCarrera 6 No. 12 - 62

Conmutador: 334 4080 • Fax: 341 0515Línea Gratuita de Atención al Cliente: 018000 917770

Web: www.dafp.gov.coEmail: [email protected]

2004

ISB

N: 958-8

125-4

4-8

Administracion De Riesgos[1]

Business

Transcript of Administracion De Riesgos[1]