T sirves a tu pas,

nosotros te servimos a ti

Gua para la
administracin del riesgo
GUA PARA LA ADMINISTRACIN DEL RIESGO

Coordinacin Editorial
Adriana Villegas Bernal

Redaccin y Edicin
Grupo de Comunicaciones e Innovacin

Diseo y Diagramacin
Paula Amador Cardona

Versin 3

Departamento Administrativo de la Funcin Pblica

Carrera 6 No 12-62, Bogot, D.C., Colombia
Conmutador: 334 4080 / 86 - Fax: 341 0515
Web: www.dafp.gov.co - e mail: webmaster@funcionpublica.gov.co
Lnea gratuita de servicio al ciudadano: 018000 917770

Bogot, D.C., Colombia, Diciembre de 2014

GUA PARA LA ADMINISTRACIN DEL RIESGO

Liliana Caballero Durn

Directora

Jaime Torres Melo

Subdirector

Mara del Pilar Garca Gonzlez

Directora de Control Interno y
Racionalizacin de Trmites

Equipo de Trabajo

Myrian Cubillos Benavides

Eva Mercedes Rojas Valds
INDICE

Pgina

Cmo interpretar esta gua 6

Acerca de la metodologa 7
Antes de iniciar con la metodologa para la Administracin del Riesgo 10
Metodologa para el Proceso de Administracin del Riesgo 11
Paso 1: Poltica de Administracin del Riesgo 11
Lineamientos para la construccin de la poltica de riesgos 11
Ejemplo anexo para la elaboracin de la poltica de riesgos 12
Paso 2: Identificacin del Riesgo 13
2.1. Establecimiento del Contexto 14
Contexto Interno 14
Contexto Externo 14
Contexto del Proceso 14
INDICE

Pgina

Paso 3: Valoracin del Riesgo 17

3.1 Anlisis del Riesgo (Causas y fuentes del riesgo, clculo de la probabilidad, anlisis

de consecuencias) 18
3.2 Evaluacin del Riesgo (Anlisis preliminar del riesgo -Riesgo Inherente, Anlisis y

evaluacin de los controles, Nivel final de riesgo -Riesgo Residual) 23

3.3 Monitoreo y Revisin 30
Comunicacin y consulta (Aspecto Transversal) 33
Matriz de Responsabilidades 33
Alineacin con las polticas de lucha contra la corrupcin y de Eficiencia Administrativa 34
Algunas orientaciones sobre la identificacin del riesgos a los proyectos 38
Cmo interpretar esta gua?

Importante Esquemas explicativos

Se refiere a recuadros con aclaraciones e informacin importante a tener en En cada uno de los captulos desarrollados de la gua se incluye un
cuenta para su implementacin. esquema mental que permite visualizar el contenido terico especfico
para cada paso de la metodologa.

Notas / Pies de pgina Anexos

Fuentes de informacin adicional de inters para ampliar los conocimientos El documento contiene anexos que profundizan algunos de los pasos
en el tema de la gua. de la metodologa y otros que corresponden a guas de otras entidades
relacionadas con el tema

6 GUA PARA LA ADMINISTRACIN DEL RIESGO

Acerca de la metodologa
La metodologa para la Administracin
del Riesgo requiere de un anlisis inicial
relacionado con el estado actual de la
estructura de riesgos y su gestin en la entidad,
el conocimiento de la misma desde un punto
de vista estratgico, de la aplicacin de tres
(3) pasos bsicos para su desarrollo y de la PASO POLTICA DE
1 Lineamientos de la poltica
ADMINISTRACIN
DEL RIESGO
definicin e implantacin de estrategias de
comunicacin transversales a toda la entidad Contexto Interno
2.1 Establecimiento
para que su efectividad pueda ser evidenciada. Contexto Externo
del Contexto
PASO IDENTIFICACIN Contexto del Proceso
A continuacin se puede observar la estructura
completa con sus desarrollos bsicos:
2 DEL RIESGO
2.2 Identificacin Tcnicas para
del Riesgo identificacin del riesgo

Causas y Fuentes de Riesgo

PASO 3.1 Anlisis
METODOLOGA PARA VALORACIN
3
Clculo de la Probabilidad
DEL RIESGO del Riesgo
LA ADMINISTRACIN Anlisis de Consecuencias

DEL RIESGO Anlisis preliminar (Riesgo Inherente)

COMUNICACIN Y CONSULTA
(ASPECTO TRANSVERSAL) 3.2 Evaluacin
Valoracin de los controles
del Riesgo
Nivel de riesgo (Riesgo Residual)

3.3 Monitoreo
Matriz de Responsabilidades
ESQUEMA 1 Metodologa para la Administracin del Riesgo y Revisin

7 A cerca de la metodologa
Conceptos bsicos relacionados con el Riesgo

Riesgo de Administracin
Riesgo
Corrupcin del Riesgo
Posibilidad de que suceda algn evento que tendr un impacto sobre el La posibilidad de que Un proceso efectuado
cumplimiento de los objetivos. Se expresa en trminos de probabilidad y por accin u omisin, por la alta direccin de
consecuencias. mediante el uso indebido la entidad y por todo el
En el paso 2 de identificacin encontramos El anlisis del contexto estratgico y del poder, de los recursos personal para proporcionar
las tcnicas para identificar el riesgo. o de la informacin, se a la administracin un
lesionen los intereses aseguramiento razonable
En el paso 3 de anlisis y valoracin encontramos: de una entidad y en con respecto al logro de los
Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de consecuencia del Estado, objetivos. El enfoque de
acciones de la direccin para modificar su probabilidad o impacto.
para la obtencin de un riesgos no se determina
Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de
beneficio particular1. solamente con el uso de la
tratamiento del riesgo.
metodologa, sino logrando
El riesgo en su tendencia ms comn es valorado como una amenaza, en este que la evaluacin de los
sentido, los esfuerzos institucionales se dirigen a reducirlo, evitarlo, transferirlo o riesgos se convierta en una
mitigarlo; sin embargo, el riesgo puede ser analizado como una oportunidad, lo cual parte natural del proceso
implica que su gestin sea dirigida a maximizar los resultados que stos generan. de planeacin.2

Importante Pies de pgina

Los riesgos involucran dos caractersticas:
Incertidumbre: Se desconoce si va a suceder.
Impacto o consecuencias: Resultados si se
llega a materializar.
1. Presidencia de la Repblica, Departamento Nacional
de Planeacin, Departamento Administrativo de la
Funcin Pblica. Estrategias para la construccin del plan
anticorrupcin y de atencin al ciudadano. Bogot. 2012. P.9
2. Intosai: gua para las normas de control interno del sector
pblico http://www.Intosai.org

8 GUA PARA LA ADMINISTRACIN DEL RIESGO

Clases de Riesgos
El Riesgo est vinculado con todo el quehacer; se podra Riesgos Financieros: Se relacionan con el manejo de
afirmar que no hay actividad que deje de incluir el los recursos de la entidad que incluyen la ejecucin
riesgo como una posibilidad. Los riesgos no son slo de presupuestal, la elaboracin de los estados financieros,
carcter econmico o estn nicamente relacionados con los pagos, manejos de excedentes de tesorera y el manejo
entidades financieras o con lo que se ha denominado sobre los bienes.
riesgos profesionales; stos hacen parte de cualquier
gestin que se realice.
Riesgos de Cumplimiento: Se asocian con la capacidad de la
Entre las clases de riesgos que pueden presentarse estn3: entidad para cumplir con los requisitos legales, contractuales,
de tica pblica y en general con su compromiso ante la
comunidad.
Riesgo Estratgico: Se asocia con la forma en que se
administra la Entidad, su manejo se enfoca a asuntos
globales relacionados con la misin y el cumplimiento de
Riesgos de Tecnologa: Estn relacionados con la capacidad
tecnolgica de la Entidad para satisfacer sus necesidades
los objetivos estratgicos, la clara definicin de polticas,
actuales y futuras y el cumplimiento de la misin.
diseo y conceptualizacin de la entidad por parte de la
alta gerencia.
Riesgos de Corrupcin: Relacionados con acciones,
omisiones, uso indebido del poder, de los recursos o de la
Riesgos de Imagen: Estn relacionados con la percepcin informacin para la obtencin de un beneficio particular o
y la confianza por parte de la ciudadana hacia la
de un tercero.
institucin.

Riesgos Operativos: Comprenden riesgos provenientes

Pies de pgina
del funcionamiento y operatividad de los sistemas de
informacin institucional, de la definicin de los procesos,
de la estructura de la entidad, de la articulacin entre
dependencias. 3. Casals & Associates INC, Price Waterhouse
Coopers, USAID. Documento Mapas de
Riesgos. Octubre 2003, p.6-7

9 Acerca de la metodologa
 Antes de Iniciar con la Metodologa
Una vez determinados estos lineamientos bsicos, es preciso analizar
el contexto general de la entidad para establecer su complejidad,
procesos, planeacin institucional, entre otros aspectos, permitiendo
conocer y entender la entidad, y su entorno, lo que determinar el
anlisis de riesgos y la aplicacin de la metodologa en general.
Anexo 1
Como herramienta se adjunta la Matriz de Responsabilidades
frente al proceso de Administracin del Riesgo.
PLANEACIN INSTITUCIONAL
Las estrategias de la entidad, generalmente se definen por parte de la Alta Direccin y
obedecen a la razn de ser que desarrolla la misma, a los planes que traza el Sector al
cual pertenece (plan estratgico sectorial), a polticas especficas que define el
Gobierno Nacional, Departamental, o Municipal y enmarcadas dentro del Plan
Nacional de Desarrollo, en este contexto la entidad define su planeacin institucional.

La planeacin institucional hace uso de los procesos misionales, de apoyo y de

MODELO DE OPERACIN POR PROCESOS
El modelo de operacin por procesos es el estndar
organizacional que soporta la operacin de la
entidad pblica, integrando las competencias consti-
tucionales y legales que la rigen con el conjunto de
planes y programas necesarios para el cumplimiento
de su misin, visin y objetivos institucionales.
evaluacin para materializarla o ejecutarla, por lo tanto la Administracin del Riesgo
no puede verse de forma aislada.
MISIN
Constituye la razn de ser de la entidad; sintetiza los principales
propsitos estratgicos y los valores esenciales que deben ser
CONOCIMIENTO conocidos, comprendidos y compartidos por todas las personas
que hacen parte de la entidad.

Pretende determinar la mejor y ms eficiente forma
de ejecutar las operaciones de la entidad.
ASPECTOS CLAVE:
CADENA DE VALOR:
Es la interrelacin de los procesos dirigidos a
satisfacer las necesidades y requisitos de los
usuarios
MAPA O RED DE PROCESOS:
Es la representacin grfica de los procesos
estratgicos, misionales, de apoyo y de evalua-
cin y sus interacciones.
DE LA ENTIDAD
CARACTERIZACIN DE LOS PROCESOS:
Estructura que permite identificar los rasgos distinti-
vos de los procesos. Establece su objetivo, la relacin
con los dems procesos, los insumos, su transforma-
cin a travs de las actividades que desarrolla y las
salidas del proceso, se identifican los proveedores y
clientes o usuarios, que pueden ser internos o
externos. Ver formato sugerido en el Anexo 5.
VISIN
Es la proyeccin de la entidad a largo plazo que permite establecer su
direccionamiento, el rumbo, las metas y lograr su desarrollo. Debe ser
construida y desarrollada por la Alta Direccin de manera participati-
va, en forma clara, amplia, positiva, coherente, convincente, comuni-
cada y compartida por todos los miembros de la organizacin.
OBJETIVOS ESTRATGICOS
Identifican la finalidad hacia la cual deben dirigirse los recursos y
esfuerzos para dar cumplimiento al mandato legal aplicable a cada
entidad. El cumplimiento de estos objetivos institucionales se materia-
liza a travs de la ejecucin de la planeacin anual de cada entidad.

Importante: OBJETIVO DEL PROCESO:

Para los objetivos de los procesos como punto Son los resultados que se espera lograr para cumplir expresa una accin por lo tanto debe iniciarse con un verbo
de partida fundamental para la identificacin la misin y visin. Determina el cmo logro la fuerte como: Establecer, identificar, recopilar, investigar, registrar,
del riesgo tenga en cuenta lo siguiente: poltica trazada y el aporte que se hace a los objeti- buscar. Los objetivos deben ser: Medibles, realistas y se deben
vos institucionales. Un objetivo es un enunciado que evitar frases subjetivas en su construccin.

10 GUA PARA LAyADMINISTRACIN

ESQUEMA 2 Conocimiento anlisis de laDEL RIESGO
entidad
Paso 1: Poltica de
Administracin del Riesgo
QU ES? QUIN LA ESTABLECE?
Declaracin de la Direccin y las intenciones generales de una organizacin POLTICA DE La Alta Direccin de la entidad.

ADMINISTRACIN
con respecto a la gestin del riesgo, (NTC ISO31000 Numeral 2.4). La gestin
Con el liderazgo del Representante Legal
o Administracin del riesgo establece lineamientos precisos acerca del
tratamiento, manejo y seguimiento a los riesgos. DEL RIESGO Con la participacin de su equipo Directivo

QU SE DEBE TENER EN CUENTA? QU DEBE CONTENER?

Objetivos estratgicos de la entidad Se debe establecer su alineacin con los objetivos estratgicos de la
Objetivo:
entidad.
Niveles de Responsabilidad frente al manejo del riesgo

Mecanismos de comunicacin utilizados para dar a conocer La Administracin del Riesgo debe ser extensible y aplicable a todos
Alcance:
la poltica de riesgo en todos los niveles de la entidad los procesos de la entidad.

Niveles de
Decisin informada de tomar un riesgo particular. (NTC GTC137,
aceptacin

Notas al riesgo: Numeral 3.7.1.6)

Esta tabla de anlisis variar de acuerdo con la complejidad de cada

Nota 1: La aceptacin del riesgo puede ocurrir sin tratamiento
del riesgo.
Nota 2: Los Riesgos aceptados estn sujetos a monitoreo.
Niveles para entidad, ser necesario considerar el sector al que pertenece (riesgo de
Calificar el la operacin), los recursos humanos y fsicos con los que cuenta, su
Impacto: capacidad financiera, usuarios a los que atiende, entre otros aspectos).
Ver Tabla Ilustrativa 2 Niveles para calificar el Impacto (pg. 20)

Tratamiento Proceso para modificar el riesgo (NTC GTC137, Numeral 3.8.1.)

Importante del Riesgo:

Periodicidad para el seguimiento de acuerdo al nivel de riesgo residual.

Una vez estructurada la Poltica de Riesgos, deber ser
comunicada. Se debe asegurar que es entendida y aplicada Niveles de responsabilidad sobre el seguimiento y evaluacin de los riesgos
por todos los funcionarios
ESQUEMA 3 Estructuracin de la Poltica de Administracin del Riesgo

11 Paso 1: Poltica de Administracin del Riesgo

La poltica de Administracin del Riesgo puede adoptar la forma de un
manual o gua de riesgos, donde se deben incluir mnimo los siguientes
aspectos:
OBJETIVO:
Establece los principios bsicos y el marco general de actuacin
para el control y la gestin de los riesgos de toda naturaleza a
los que se enfrenta la entidad.
ALCANCE:
Establece el mbito de aplicacin de los lineamientos, el cual
debe abarcar todos los procesos de la entidad. Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geogrficas, con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales.
NIVELES DE ACEPTACIN DEL RIESGO
O TOLERANCIA AL RIESGO:
Establece los niveles aceptables de desviacin relativa a la
consecucin de los objetivos (NTC GTC 137 Numeral 3.7.16),
los mismos estn asociados a la estrategia de la entidad y
pueden considerarse para cada uno de los procesos.
TRMINOS Y DEFINICIONES:
Relacionados con la Administracin del Riesgo y con aquellos
temas que el manual o gua desarrollen que sean relevantes para
que todos los funcionarios entiendan su contenido y aplicacin.
12
ESTRUCTURA PARA LA GESTIN DEL RIESGO:
Determina los siguientes aspectos:
La metodologa a utilizar.
En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo, deber explicarse su manejo.
Incluir los aspectos relevantes sobre los factores de riesgo
estratgicos para la entidad, a partir de los cuales todos los
procesos podrn iniciar con los anlisis para el establecimiento
del contexto.
Incluir todos aquellos lineamientos que en cada paso de la
metodologa sean necesarios para que todos los procesos
puedan iniciar con los anlisis correspondientes.
Incluir la periodicidad para el monitoreo y revisin de los riesgos.
Incluir los niveles de riesgo aceptado para la entidad y su forma
de manejo.
Incluir la tabla de impactos institucional (Ver Tabla Ilustrativa
2. Niveles para Calificar el Impacto o Consecuencias, pg. 20).
Otros aspectos que la entidad considere necesarios debern ser
incluidos, con el fin de generar orientaciones claras y precisas
para todos los funcionarios, de modo tal que la gestin del riesgo
sea efectiva y est articulada con la estrategia de la entidad.
PASO 1:GUA
POLTICA
PARA DE
LA ADMINISTRACIN DEL RIESGO
Paso 2: Identificacin del Riesgo
En esta etapa se deben establecer las fuentes o factores de riesgo,

IDENTIFICACIN EN QU
los eventos o riesgos, sus causas y sus consecuencias. Para el
anlisis se pueden involucrar datos histricos, anlisis tericos,
DEL RIESGO CONSISTE? opiniones informadas y expertas y las necesidades de las partes
involucradas. (NTC ISO31000, Numeral 2.15).

ELEMENTOS QUE
LO DESARROLLAN
ESTABLECIMIENTO DEL CONTEXTO IDENTIFICACIN DEL RIESGO

Definicin de los parmetros internos y
externos que se han de tomar en consideracin
para la administracin del riesgo. (NTC
ISO31000, Numeral 2.9). Se debe establecer el
contexto interno, externo de la entidad y el
contexto del proceso. Es posible hacer uso de
herramientas y tcnicas (consultar Anexo 2.
Tcnicas para Establecimiento del Contexto y
Valoracin del Riesgo).
Se realiza determinando las causas, fuentes del
riesgo y los eventos con base en el anlisis de
contexto para la entidad y del proceso, que
pueden afectar el logro de los objetivos. Es
importante centrarse en los riesgos ms significa-
tivos para la entidad relacionados con los objeti-
vos de los procesos y los objetivos institucionales

ESQUEMA 4 Aspectos a desarrollar en la Identificacin del Riesgo

Anexo 2
Tcnicas para Establecimiento del Contexto y Valoracin del
Riesgo

13 Paso 2: Identificacin del Riesgo

 2.1 Establecimiento del Contexto ESTABLECIMIENTO DEL CONTEXTO INTERNO

Definicin de los parmetros internos y externos que se han
de tomar en consideracin para la administracin del riesgo4.
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar.
Se determinan las caractersticas o aspectos esenciales del ambiente en el
cual la organizacin busca alcanzar sus objetivos. Se pueden considerar
factores como:
Estructura Organizacional

ESTABLECIMIENTO DEL Polticos Funciones y Responsabilidades

CONTEXTO EXTERNO Sociales y Culturales Polticas, Objetivos y Estrategias implementadas
Legales y reglamentarios
Se determinan las caractersticas o Recursos y Conocimientos con que se cuenta (personas, procesos,
Tecnolgicos
aspectos esenciales del entorno en el sistemas, tecnologa)
cual opera la entidad. Se pueden Financieros
considerar factores como: Econmicos Relaciones con las partes involucradas

Cultura Organizacional

ESTABLECIMIENTO Importante
DEL CONTEXTO Como herramienta bsica para el anlisis del contexto del
proceso se sugiere utilizar las caracterizaciones de los
mismos, donde es posible contar con este panorama. Si estos
documentos estn desactualizados o no se han elaborado, es
ESTABLECIMIENTO DEL Objetivo del proceso
importante actualizarlos o elaborarlos antes de continuar con
CONTEXTO DEL PROCESO Alcance del proceso la metodologa de administracin del riesgo.
Se determinan las caractersticas o Interrelacin con otros procesos
aspectos esenciales del proceso y
sus interrelaciones. Se pueden
Procedimientos asociados Pies de pgina
considerar factores como: Responsables del proceso 4. Instituto Colombiano de Normas Tcnicas y Certificacin-
ICONTEC. Norma Tcnica Colombiana NTC-ISO31000.
ESQUEMA 5 Anlisis del Contexto Externo, Interno y del Proceso 2011. p. 20

14 GUA PARA LA ADMINISTRACIN DEL RIESGO

 Tabla Ilustrativa 1 - Factores para cada categora del Contexto
ECONMICOS: Disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

POLTICOS: Cambios de gobierno, legislacin, polticas pblicas, regulacin.

Contexto SOCIALES: Demografa, responsabilidad social, orden pblico.

TECNOLGICOS: Avances en tecnologa, acceso a sistemas de informacin externos, gobierno en lnea.
externo MEDIOAMBIENTALES: Emisiones y residuos, energa, catstrofes naturales, desarrollo sostenible.
COMUNICACIN EXTERNA: Mecanismos utilizados para entrar en contacto con los usuarios o ciudadanos, canales establecidos para que el
mismo se comunique con la entidad.
FINANCIEROS: Presupuesto de funcionamiento, recursos de inversin, infraestructura, capacidad instalada.
PERSONAL: Competencia del personal, disponibilidad del personal, seguridad y salud ocupacional.
Contexto PROCESOS: Capacidad, diseo, ejecucin, proveedores, entradas, salidas, gestin del conocimiento.

interno TECNOLOGA: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, produccin, mantenimiento de sistemas de informacin.
ESTRATGICOS: Direccionamiento estratgico, planeacin institucional, liderazgo, trabajo en equipo.
COMUNICACIN INTERNA: Canales utilizados y su efectividad, flujo de la informacin necesaria para el desarrollo de las operaciones.
DISEO DEL PROCESO: Claridad en la descripcin del alcance y objetivo del proceso.

Contexto INTERACCIONES CON OTROS PROCESOS: Relacin precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.
TRANSVERSALIDAD: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.
del PROCEDIMIENTOS ASOCIADOS: Pertinencia en los procedimientos que desarrollan los procesos.

proceso RESPONSABLES DEL PROCESO: Grado de autoridad y responsabilidad de los funcionarios frente al proceso.

COMUNICACIN ENTRE LOS PROCESOS: Efectividad en los flujos de informacin determinados en la interaccin de los procesos.

Importante
ELABORACIN: Departamento Administrativo de la Funcin Pblica

Los factores relacionados son una gua, cada entidad podr analizar los que considere de acuerdo
con su complejidad, y al sector en el que se desenvuelve, entre otros aspectos e incluirlos como
aspectos clave dentro de los lineamientos de la poltica de Administracin del Riesgo.

15 Paso 2: Identificacin del Riesgo

 2.2 Identificacin del Riesgo
La identificacin del riesgo se realiza determinando las causas, con
base en el contexto interno, externo y del proceso ya analizados para
la entidad, y que pueden afectar el logro de los objetivos. Algunas
causas externas no controlables por la entidad se podrn evidenciar
en el anlisis de contexto correspondiente, para ser tenidas en cuenta
en el anlisis y valoracin del riesgo.

A partir de este levantamiento de causas se proceder a identificar

el riesgo, el cual estar asociado a aquellos eventos o situaciones
que pueden entorpecer el normal desarrollo de los objetivos del
proceso, es necesario referirse a sus caractersticas o las formas en
que se observa o manifiesta. En este caso es posible hacer una corta
descripcin del riesgo dentro de la identificacin, o bien abrir una
columna adicional donde se realice dicha descripcin, cada entidad Preguntas clave para la identificacin del riesgo
determinar si lo incorpora o no, de acuerdo con sus necesidades de
ampliacin o compresin del riesgo.
QU PUEDE SUCEDER?

CMO PUEDE SUCEDER?

CUNDO PUEDE SUCEDER?

QU CONSECUENCIAS TENDRA SU MATERIALIZACIN?

Es importante observar que en el proceso de identificacin del

riesgo es posible establecer ms de una causa como factor del
riesgo a identificar.

16 GUA PARA LA ADMINISTRACIN DEL RIESGO

Paso 3: Valoracin del Riesgo
En qu consiste?
Establecer la probabilidad de ocurrencia del riesgo y el

VALORACIN nivel de consecuencias o impacto, con el fin de estimar

la zona de riesgo inicial (RIESGO INHERENTE).

DEL RIESGO
Elementos que lo desarrollan

3.1 ANLISIS DEL RIESGO 3.2 VALORACIN DEL RIESGO

Se busca establecer la probabilidad de ocurrencia del Se busca confrontar los resultados del anlisis de riesgo
riesgo y sus consecuencias o impacto, con el fin de inicial frente a los controles establecidos, con el fin de
estimar la zona de riesgo inicial (RIESGO INHERENTE). determinar la zona de riesgo final (RIESGO RESIDUAL).

ASPECTOS A TENER EN CUENTA

Tabla para determinar probabilidad Elaboracin del Anlisis y Evaluacin

mapa de Riesgos de controles
Tablas (s) para determinar el impacto o consecuencias
(de acuerdo con la poltica de riesgos institucional) Para el anlisis de los controles se sugiere el
uso de la matriz desarrollada para su
Matriz de Evaluacin de riesgos calificacin (ver Tabla Ilustrativa 3, pg. 20).

ESQUEMA 6 Valoracin del Riesgo

17 Paso 3: Valoracin del Riesgo

 3.1 Anlisis del Riesgo
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto, con el fin de estimar la zona de
riesgo inicial (RIESGO INHERENTE).

1 DETERMINAR PROBABILIDAD

Bajo el criterio de FRECUENCIA se analizan Bajo el criterio de FACTIBILIDAD se analiza Para su determinacin se utiliza
Por PROBABILIDAD se entiende la
el # eventos en un periodo determinado, se la presencia de factores internos y externos la tabla de probabilidad (ver
posibilidad de ocurrencia del riesgo,
trata de hechos que se han materializado o que pueden propiciar el riesgo, se trata en Tabla Ilustrativa 1 - Probabilidad
sta puede ser medida con criterios de
se cuenta con un historial de situaciones o este caso de un hecho que no se ha presen- que se encuentra en la pgina 19)
Frecuencia o Factibilidad.
eventos asociados al riesgo. tado pero es posible que se d.

PASOS CLAVES PARA 3 ESTIMAR EL NIVEL

DEL RIESGO INICIAL
EL ANALISIS DE RIESGO
Se logra a travs de la determinacin
de la probabilidad y el impacto que
puede causar la materializacin del
DETERMINAR riesgo, a travs de las tablas estable-
2 CONSECUENCIAS
O NIVEL DE IMPACTO
Se tienen en cuenta las consecuencias potenciales
establecidas en el paso 2 de Identificacin del riesgo
cidas en cada caso.

Por IMPACTO se entienden las
consecuencias que puede ocasio-
nar a la organizacin la materiali-
zacin del riesgo.
Para su determinacin se utiliza la tabla de niveles Para su determinacin se utiliza la
de impacto establecida en la Poltica de Riesgos Matriz de Calificacin del Riesgo
(ver Tabla Ilustrativa 2).
ESQUEMA 7 Anlisis del Contexto Externo, Interno y del Proceso

18 GUA PARA LA ADMINISTRACIN DEL RIESGO

 Tabla ilustrativa 1 - Probabilidad
Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones5:

Nivel Descriptor Descripcin Frecuencia

Se espera que el evento ocurra en la mayora de las

5 Casi seguro Ms de 1 vez al ao.
circunstancias
Es viable que el evento ocurra en la mayora de las
4 Probable Al menos 1 vez en el ltimo ao.
circunstancias
3 Posible El evento podr ocurrir en algn momento Al menos 1 vez en los ltimos 2 aos.

2 Improbable El evento puede ocurrir en algn momento Al menos 1 vez en los ltimos 5 aos.
El evento puede ocurrir solo en circunstancias ex-
1 Rara vez No se ha presentado en los ltimos 5 aos.
cepcionales (poco comunes o anormales).

Importante
El anlisis de frecuencia deber ajustarse dependiendo del
PIES DE PGINA proceso y de la disponibilidad de datos histricos sobre al
evento o riesgo identificado.
5. INSTITUTO COLOMBIANO DE NORMAS En caso de no contar con datos histricos, bajo el concepto
TCNICAS Y CERTIFICACIN-ICONTEC. HB141 de factibilidad se trabajar de acuerdo con la experiencia de
Gua para la Financiacin del Riesgo. Apndice A. los funcionarios que desarrollan el proceso y de sus factores
Bogot 2008. internos y externos.

19 Paso 3: Valoracin del Riesgo

 Tabla ilustrativa 2 - Impacto
Bajo el criterio de Impacto, el riesgo se debe medir a partir de las siguientes especificaciones,
contenidas en la tabla de impactos o consecuencias definida en la poltica de riesgos institucional:
Niveles para
calificar el Impacto (consecuencias) Cuantitativo
Impacto
- Impacto que afecte la ejecucin presupuestal en un valor 50%
- Prdida de cobertura en la prestacin de los servicios de la entidad 50%.
- Pago de indemnizaciones a terceros por acciones legales que pueden
CATASTRFICO afectar el presupuesto total de la entidad en un valor 50%
- Pago de sanciones econmicas por incumplimiento en la normatividad
aplicable ante un ente regulador, las cuales afectan en un valor 50%
del presupuesto general de la entidad.
- Impacto que afecte la ejecucin presupuestal en un valor 20%
- Prdida de cobertura en la prestacin de los servicios de la entidad 20%.
- Pago de indemnizaciones a terceros por acciones legales que pueden
MAYOR afectar el presupuesto total de la entidad en un valor 20%
- Pago de sanciones econmicas por incumplimiento en la normatividad
aplicable ante un ente regulador, las cuales afectan en un valor 20%
del presupuesto general de la entidad.
20
Impacto (consecuencias) Cualitativo
- Interrupcin de las operaciones de la Entidad por ms de
cinco (5) das.
- Intervencin por parte de un ente de control u otro ente
regulador.
- Prdida de Informacin crtica para la entidad que no se
puede recuperar.
- Incumplimiento en las metas y objetivos institucionales afec-
tando de forma grave la ejecucin presupuestal.
- Imagen institucional afectada en el orden nacional o regional
por actos o hechos de corrupcin comprobados.
- Interrupcin de las operaciones de la Entidad por ms de dos
(2) das.
- Prdida de informacin crtica que puede ser recuperada de
forma parcial o incompleta.
- Sancin por parte del ente de control u otro ente regulador.
- Incumplimiento en las metas y objetivos institucionales afec-
tando el cumplimiento en las metas de gobierno.
- Imagen institucional afectada en el orden nacional o regio-
nal por incumplimientos en la prestacin del servicio a los
usuarios o ciudadanos.
Contina en la siguiente pgina
GUA PARA LA ADMINISTRACIN DEL RIESGO
 Niveles para
calificar el Impacto (consecuencias) Cuantitativo
Impacto
- Impacto que afecte la ejecucin presupuestal en un valor 5%
- Prdida de cobertura en la prestacin de los servicios de la entidad 10%.
- Pago de indemnizaciones a terceros por acciones legales que pueden
MODERADO afectar el presupuesto total de la entidad en un valor 5%
- Pago de sanciones econmicas por incumplimiento en la normatividad
aplicable ante un ente regulador, las cuales afectan en un valor 5% del
presupuesto general de la entidad.
- Impacto que afecte la ejecucin presupuestal en un valor 1%
- Prdida de cobertura en la prestacin de los servicios de la entidad 5%.
- Pago de indemnizaciones a terceros por acciones legales que pueden
Menor afectar el presupuesto total de la entidad en un valor 1%
- Pago de sanciones econmicas por incumplimiento en la normatividad
aplicable ante un ente regulador, las cuales afectan en un valor 1%del
presupuesto general de la entidad.
- Impacto que afecte la ejecucin presupuestal en un valor 0,5%
- Prdida de cobertura en la prestacin de los servicios de la entidad 1%.
- Pago de indemnizaciones a terceros por acciones legales que pueden
Insignificante afectar el presupuesto total de la entidad en un valor 0,5%
- Pago de sanciones econmicas por incumplimiento en la normativi-
dad aplicable ante un ente regulador, las cuales afectan en un valor
0,5%del presupuesto general de la entidad.
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2014.
21
Impacto (consecuencias) Cualitativo
- Interrupcin de las operaciones de la Entidad por un (1) da.
- Reclamaciones o quejas de los usuarios que podran implicar
una denuncia ante los entes reguladores o una demanda de
largo alcance para la entidad.
- Inoportunidad en la informacin ocasionando retrasos en la
atencin a los usuarios.
- Reproceso de actividades y aumento de carga operativa.
- Imagen institucional afectada en el orden nacional o regional por
retrasos en la prestacin del servicio a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
- Interrupcin de las operaciones de la Entidad por algunas
horas.
- Reclamaciones o quejas de los usuarios que implican investi-
gaciones internas disciplinarias.
- Imagen institucional afectada localmente por retrasos en la
prestacin del servicio a los usuarios o ciudadanos.
- No hay interrupcin de las operaciones de la entidad.
- No se generan sanciones econmicas o administrativas.
- No se afecta la imagen institucional de forma significativa.
Importante
Los valores o porcentajes planteados para el impacto cuantitativo
en cada uno de los niveles y aspectos relacionados en la tabla,
podrn ajustarse de acuerdo con la complejidad de la entidad,
su presupuesto y otros aspectos financieros relevantes.
Paso 3: Valoracin del Riesgo
Para estimar el nivel de riesgo inicial los valores determinados para la
probabilidad y el impacto o consecuencias se cruzan en la siguiente
matriz de riesgo, con el fin de determinar la zona de riesgo en la cual se 5
ubica el riesgo identificado. Este primer anlisis del riesgo se denomina Casi Seg
Riesgo Inherente6 y se define como aqul al que se enfrenta una entidad
en ausencia de acciones por parte de la Direccin para modificar su 4
probabilidad o impacto Probab

Probabilidad de Ocurrencia
5 3
Casi Seguro Posible
Probabilidad de Ocurrencia

Grfica 1 Riesgo Inherente

ZONA
4 RIESGO 2
Imposib
Riesgo Inherente
Probable EXTREMA

ZONA

Proceso: Gestin Administrativa

RIESGO
3 ALTA
Posible 1
ZONA
RIESGO
Rara Ve
MODRERADA
ZONA ZONA
2 RIESGO RIESGO
ZONA
Improbable EXTREMA
RIESGO MODRERADA
BAJA

ZONA ZONA
1 RIESGO RIESGO
Rara Vez ALTA BAJA

1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrfico R1: Retrasos o incumplimientos en la entrega de los bienes
Impacto
y servicios que requieren los procesos para el cumplimiento
de su gestin.
Pies de pgina
Probabilidad de Ocurrencia: Casi Seguro (5) / Impacto Mayor (4).
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2014.
Zona de Riesgo Extrema.
6. Price Waterhouse Coopers. Administracin
de Riesgos Corporativos. Tcnicas de
aplicacin Colombia. 200, p. 39.

22 GUA PARA LA ADMINISTRACIN DEL RIESGO

 Posibles controles
3.2 Valoracin del Riesgo Polticas claras aplicadas
Seguimiento al plan estratgico y operativo
Se busca confrontar los resultados del anlisis de riesgo inicial POLTICAS CLARAS Indicadores de gestin
frente a los controles establecidos, con el fin de determinar la APLICADAS Tableros de control
zona de riesgo final (RIESGO RESIDUAL).
Seguimiento a cronograma
Informes de gestin
Acciones fundamentales para valorar el riesgo Conciliaciones
Consecutivos
IDENTIFICAR CONTROLES EXISTENTES Verificacin de firmas
Listas de chequeo
QUIN LLEVA A CABO EL CONTROL (RESPONSABLE) Registro controlado
Segregacin de funciones
QU BUSCA HACER EL CONTROL (OBJETIVO) Niveles de autorizacin
CONCILIACIONES
Custodia apropiada
CMO SE LLEVA A CABO EL CONTROL (PROCEDIMIENTO) Procedimientos formales aplicados
Plizas
EVIDENCIA DE LA EJECUCIN DEL CONTROL Seguridad fsica
Contingencias y respaldo

TIPO DE CONTROL (MANUAL O AUTOMTICO) Personal capacitado

Aseguramiento y calidad

CUNDO SE REALIZA EL CONTROL (PERIODICIDAD) NORMAS CLARAS Y Normas claras y aplicadas

APLICADAS Control de trminos
FUENTE: Adaptado Riesgos Superintendencia Financiera

23 Paso 3: Valoracin del Riesgo

Anlisis y Evaluacin de los Controles
La valoracin del riesgo requiere de una evaluacin de los
controles existentes, lo cual implica:
a. Determinar su naturaleza:
Si se trata de un control preventivo, detectivo o correctivo, para este
anlisis tenga en cuenta7:
CONTROLES PREVENTIVOS:
Evitan que un evento suceda. Por ejemplo el requerimiento de un login y
password en un sistema de informacin es un control preventivo. ste
previene (tericamente) que personas no autorizadas puedan ingresar al
sistema. Dentro de esta categora pueden existir controles de tipo detectivo,
los cuales permiten registrar un evento despus de que ha sucedido, por
ejemplo, registro de las entradas de todas las actividades llevadas a cabo en
el sistema de informacin, traza de los registros realizados, de las personas
que ingresaron, entre otros.
CONTROLES CORRECTIVOS:
stos no prevn que un evento suceda, pero permiten enfrentar la
situacin una vez se ha presentado. Por ejemplo en caso de un desastre
natural u otra emergencia mediante las plizas de seguro y otros
mecanismos de recuperacin de negocio o respaldo, es posible volver a
recuperar las operaciones.
b. Determinar si los
controles estn documentados
de forma tal que es posible conocer cmo se lleva a cabo el control,
quin es el responsable de su ejecucin y cul es la periodicidad para
su ejecucin, lo cual determinar las evidencias que van a respaldar la
ejecucin del mismo.
24
c. Establecer si el control que se
implementa es automtico o manual
CONTROLES AUTOMTICOS:
Utilizan herramientas tecnolgicas como sistemas de informacin o
software que permiten incluir contraseas de acceso, o con controles de
seguimiento a aprobaciones o ejecuciones que se realizan a travs de ste,
generacin de reportes o indicadores, sistemas de seguridad con scanner,
sistemas de grabacin, entre otros. Este tipo de controles suelen ser ms
efectivos en algunos mbitos dada su complejidad.
CONTROLES MANUALES:
Polticas de operacin aplicables, autorizaciones a travs de firmas o
confirmaciones va correo electrnico, archivos fsicos, consecutivos, listas
de chequeo, controles de seguridad con personal especializado, entre otros.
d. Determinar si los controles
se estn aplicando en la actualidad
y si han sido efectivos para minimizar el riesgo.
Pies de pgina
7. INSTITUTO TECNOLGICO DE HERMOSILLO
(MXICO). Guas para llevar a cabo el proceso de
auditora. Consultado despus del 12 septiembre
de 2014 a travs de: http://www.sistemas.ith.mx/
raymundo/as/Controles%20Internos.html
GUA PARA LA ADMINISTRACIN DEL RIESGO
 Pies de pgina
Para realizar dicho anlisis, a continuacin se muestra una tabla ilustrativa,
con el fin de orientar el anlisis objetivo de los controles y de este modo
poder determinar el desplazamiento dentro de la Matriz de Evaluacin
de Riesgos8, las calificaciones planteadas para cada aspecto deben ser 8. Adaptado de LINEAMIENTOS PARA LA
usadas tal como estn expresadas, aplicar el valor asignado a cada ADMINISTRACION DEL RIESGO. Gua versin
aspecto si responde SI; cero (0) si responde NO. Es importante que no 03. Presidencia de la Repblica. Junio 2011.
se asignen valores intermedios para evitar subjetividad en el anlisis.

Tabla Ilustrativa 3 - Anlisis y Evaluacin de los controles

Descripcin del Evaluacin
Criterios para la evaluacin Observaciones
control S No
Este criterio no punta, es relevante determi-
El control previene la materializacin del riesgo (afecta nar si el control es preventivo (probabilidad)
probabilidad) o si es correctivo que permite enfrentar el
N/A N/A
El control permite enfrentar la situacin en caso de materia- evento una vez materializado (impacto), con
lizacin (afecta impacto)? el fin de establecer el desplazamiento en la
matriz de evaluacin de riesgos.
Existen manuales, instructivos o procedimientos para el
Describa el control 15 0
manejo del control?
determinado para el
riesgo identificado Est(n) definido(s) el(los) responsable(s) de la ejecucin del
5 0
control y del seguimiento?
El control es automtico?
(Sistemas o Software que permiten incluir contraseas de acceso, o
con controles de seguimiento a aprobaciones o ejecuciones que se 15 0
realizan a travs de ste, generacin de reportes o indicadores, siste-
mas de seguridad con scanner, sistemas de grabacin, entre otros).

Contina en la siguiente pgina

25 Paso 3: Valoracin del Riesgo

 Descripcin del Evaluacin
Criterios para la evaluacin Observaciones
control S No
El control es manual?
(Polticas de operacin aplicables, autorizaciones a travs de firmas
o confirmaciones va correo electrnico, archivos fsicos, consecuti- 10 0
vos, listas de chequeo, controles de seguridad con personal especia-
lizado, entre otros)

Describa el control La frecuencia de ejecucin del control y seguimiento es

15 0
determinado para el adecuada?
riesgo identificado Se cuenta con evidencias de la ejecucin y seguimiento del
10 0
control?
En el tiempo que lleva la herramienta ha demostrado ser
30 0
efectiva?
TOTAL 100 0

Dependiendo si el control afecta probabilidad o impacto

Rangos de calificacin de desplaza en la matriz de evaluacin del riesgo as:
EN PROBABILIDAD AVANZA HACIA ABAJO
los controles EN IMPACTO AVANZA HACIA LA IZQUIERDA

Cuadrantes a disminuir
Entre 0-50 0
Entre 51-75 1
Entre 76-100 2

26 GUA PARA LA ADMINISTRACIN DEL RIESGO

La seleccin de los controles implica equilibrar los costos
y los esfuerzos para su implementacin, as como los
beneficios finales, por lo tanto se deber considerar aspectos
como:

VIABILIDAD JURDICA:
Velar por que los controles que se van a implantar no vayan
en contra de la normatividad vigente.

VIABILIDAD TCNICA E INSTITUCIONAL: Una vez implantadas las acciones para el manejo de los riesgos,
Establecer claramente si la entidad est en capacidad de la valoracin despus de controles se denomina RIESGO
implantar y sostener a largo plazo nuevas tecnologas u otros RESIDUAL, ste se define como aquel que permanece despus
mecanismos necesarios para ejecutar el control. que la direccin desarrolle sus respuestas a los riesgos10.

ANLISIS DE COSTO-BENEFICIO:
Prcticamente todas las respuestas a los riesgos implican
algn tipo de costo directo o indirecto que se debe
sopesar en relacin con el beneficio que genera. Se ha de
considerar el costo inicial del diseo e implementacin de
una respuesta (procesos, personal, tecnologa), as como Pies de pgina
el costo de mantener la respuesta de forma continua9. Este
caso se puede dar especficamente para aquellos controles 9. PRICE WATERHOUSE COOPERS. Administracin
nuevos que requieren contrataciones adicionales a los de Riesgos Corporativos. Tcnicas de Aplicacin.
funcionarios que desarrollan los proceso o bien cuando se Colombia. 2005. p. 64
requiere disear e implementar sistemas de informacin o
tecnologas especficas para ejecutar el control. 10. Ibid. p 40

27 Paso 3: Valoracin del Riesgo

Elaboracin del Mapa de Riesgos
El mapa de riesgos es una representacin final de la
probabilidad e impacto de uno o ms riesgos11 frente a un
proceso, proyecto o programa.

Como productos finales se obtienen: Un mapa de riesgos puede adoptar la forma de un cuadro
resumen que muestre cada uno de los pasos llevados a
cabo para su levantamiento (ver Cuadro 1 - ejemplo mapa
de riesgos integrado (riesgos gestin y corrupcin) que se
MAPA INSTITUCIONAL DE RIESGOS:
encuentra en la pgina siguiente)
Contiene a nivel estratgico los mayores riesgos a los
cuales est expuesta la entidad, se alimenta con los riesgos
El mapa de riesgos tambin puede adoptar una forma
residuales Altos o Extremos de cada uno de los procesos que
grfica, facilitando la visualizacin de los riesgos que a
pueden afectar el cumplimiento de la misin institucional y
nivel institucional se consolidan, este tipo de desarrollos
objetivos de la entidad. En este mapa se debern incluir los
se alimentan del resultado de cada uno de los mapas de
riesgos identificados como posibles actos de corrupcin, en
procesos. El nfasis del mapa institucional est e n los riesgos
cumplimiento del artculo 73 de la Ley 1474 de 2011.
altos y extremos de cada proceso

Todas las acciones contempladas dentro del mapa, unido a la

MAPA DE RIESGOS POR PROCESO:
informacin reportada por los indicadores debe suministrar
Recoge los riesgos identificados para cada uno de los
la informacin requerida para el seguimiento respectivo a
procesos, los cuales pueden afectar el logro de sus objetivos.
los mapas.

Pies de pgina
11. PRICE WATERHOUSE COOPERS. Administracin
de Riesgos Corporativos. Tcnicas de Aplicacin.
Colombia. 2005. p. 53

28 GUA PARA LA ADMINISTRACIN DEL RIESGO

 Grfica 3 Ilustracin sobre un Mapa de Riesgos Consolidado
Mapa de Riesgo Consolidado (32 mapas)
5 ZONA ZONA ZONA ZONA
Casi Seguro 0 0 3 2 0 NIVEL RIESGO RIESGO RIESGO RIESGO TOTAL
Probabilidad de Ocurrencia

EXTREMA ALTA MODRERADA BAJA

4 CANTIDAD 15 91 11 0 117
Probable 0 1 24 4 0
% 13% 78% 9% 0 100%
3
Posible 0 2 29 3 1

2
0%
Improbable 0 0 9 21 2
9% 13%
1
Rara Vez
0 0 0 16 0

1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrfico

Impacto 78%

Ejemplo
Mapa de riesgo consolidado ZONA ZONA ZONA ZONA
RIESGO RIESGO RIESGO RIESGO
EXTREMA MODRERADA ALTA BAJA

29 Paso 3: Valoracin del Riesgo

 3.3 Monitoreo y Revisin
El monitoreo y revisin debe asegurar que las acciones establecidas
en los mapas de riesgo se estn llevando a cabo y evaluar la
eficacia en su implementacin, adelantando revisiones sobre la
marcha para evidenciar todas aquellas situaciones o factores que
pueden influir en la aplicacin de acciones preventivas.
El monitoreo debe estar a cargo de:
RESPONSABLES DE LOS PROCESOS:
Encargados de realizar las acciones asociadas a los controles
establecidos para cada uno de los riesgos identificados para
su proceso, de acuerdo con la periodicidad establecida en la
poltica de administracin del riesgo de la entidad.
Durante la aplicacin de las acciones de seguimiento cada lder
de proceso debe mantener la traza o documentacin respectiva
de todas las actividades realizadas, para garantizar de forma
razonable que dichos riesgos no se materializarn y por ende
que los objetivos del proceso se cumplirn.
30
OFICINA DE CONTROL INTERNO:
Encargada de realizar el seguimiento a los riesgos que a nivel
institucional han sido consolidados. En sus procesos de auditora
interna dicha oficina debe analizar el diseo e idoneidad de los
controles, determinando si son o no adecuados para prevenir o
mitigar los riesgos de los procesos, haciendo uso de las tcnicas
relacionadas con pruebas de auditora que permitan determinar
la efectividad de los controles. Se sugiere a las Oficinas de Control
Interno consultar la Gua de auditora para entidades pblicas
emitida por este Departamento Administrativo en el ao 2013.
En cuanto a la periodicidad del seguimiento, para los riesgos
asociados a posibles actos de corrupcin, se debe dar
cumplimiento a las fechas establecidas por la gua de la Secretara
de Transparencia, denominada Estrategias para la construccin
del plan anticorrupcin y de atencin al ciudadano; para los
riesgos de gestin ubicados en las diferentes zonas de riesgo
residual, se tomarn en cuenta las fechas establecidas en la
poltica de riesgos institucional. Las frecuencias de medicin
definidas no deben superar los tres meses, de forma que permitan
que el seguimiento realizado sea base para la toma de decisiones,
y que se logren introducir correctivos en el momento adecuado.
GUA PARA LA ADMINISTRACIN DEL RIESGO
Si dentro del seguimiento realizado, bien sea por parte de la
Oficina de Control Interno o por los lderes de los procesos, se
establece que se ha materializado uno o ms riesgos, las acciones
requeridas son las siguientes:

Tabla Ilustrativa 4 - Lineamientos para el manejo de Riesgos Materializados

Tipo de Riesgo de Riesgo de Riesgo de
Riesgo gestin gestin Riesgo de gestin
Riesgo de Corrupcin gestin
(Zona (Zona (Zona Baja)
Detectado por Extrema)
(Zona Alta)
Moderada)

1. Convocar al Comit de Coordinacin de Control

Interno e informar sobre los hechos detectados,
1. Informar al lder del proceso sobre el hecho
desde donde se tomarn las decisiones para iniciar
encontrado.
la investigacin de los hechos. 1. Informar la lder del
2. Orientar al lder del proceso para que realice la
2. Dependiendo del alcance (normatividad asociada proceso sobre el hecho.
revisin, anlisis y acciones correspondientes
Oficina de al hecho de corrupcin materializado), realizar la
para resolver el hecho. 2. Orientar tcnicamente
Control Interno denuncia ante el ente de control respectivo. sobre las acciones deter-
3. Verificar que se tomaron las acciones y que se
3. Facilitar el inicio de las acciones correspondientes minadas en la poltica de
actualiz el mapa de riesgos correspondiente.
con el lder del proceso, para revisar el mapa de riesgos institucional.
riesgos y sus controles asociados. 4. Convocar al Comit de Coordinacin de Control
Interno e informar sobre la actualizacin realizada.
4. Verificar que se tomaron las acciones y se actuali-
z el mapa de riesgos.

Contina en la siguiente pgina

31 Paso 3: Valoracin del Riesgo

 Tipo de Riesgo de Riesgo de Riesgo de
Riesgo gestin gestin Riesgo de gestin
Riesgo de Corrupcin gestin
(Zona (Zona (Zona Baja)
Detectado por Extrema)
(Zona Alta)
Moderada)

1. Informar a la Alta Direccin sobre el hecho en-

contrado. 1. Tomar las acciones correctivas necesarias, de-
Lder del pendiendo del riesgo materializado. Aplicar las orientaciones
proceso u otro(s) 2. De considerarlo necesario, realizar la denuncia
ante el ente de control respectivo 2. Iniciar el anlisis de causas y determinar accio- de la poltica de riesgos
funcionario(s) nes preventivas y de mejora. institucional.
que participa(n) 3. Iniciar con las acciones correctivas necesarias.
3. Analizar y actualizar el mapa de riesgos. (Verificar los niveles de
o interacta(n) 4. Realizar el anlisis de causas y determinar accio-
4. Informar a la Alta Direccin sobre el hallazgo y aceptacin del riesgo).
con el proceso nes preventivas y de mejora.
las acciones tomadas.
5. Anlisis y actualizacin del mapa de riesgos.

De acuerdo con seguimiento realizado es importante considerar al final

de cada vigencia si los mapas de riesgos deben ser actualizados o si se
mantienen bajo las mismas condiciones en cuanto a factores de riesgo,
identificacin, anlisis y valoracin del riesgo.

Para poder determinarlo se analizar si no se han presentado hechos

significativos como son:
Riesgos materializados relacionados con posibles actos de corrupcin.
Riesgos de gestin materializados en cualquiera de los procesos.
Observaciones o hallazgos por parte de la Oficina de Control Interno
o bien por parte de un ente de control, respecto de la idoneidad y
efectividad de los controles.
Cambios importantes en el entorno que puedan generar nuevos riesgos.
No obstante, los mapas de riesgos deben ser flexibles y permitir
cambios cuando se requieran.
Estos aspectos deben ser considerados para posibles ajustes o
cambios sobre los lineamientos establecidos en la poltica de
riesgos institucional, para fortalecer la administracin del riesgo
en la entidad.

32 GUA PARA LA ADMINISTRACIN DEL RIESGO

Comunicacin y Consulta
La comunicacin y consulta con las partes involucradas tanto internas REQUIERE:
como externas debera tener lugar durante todas las etapas del proceso Estrategias de Comunicacin
para la gestin del riesgo .
12
Trabajo en Equipo

Conocimiento y anlisis de la complejidad de

Este anlisis debe garantizar que se tienen en cuenta las necesidades
cada uno de los procesos
de los usuarios o ciudadanos, de modo tal que los riesgos identificados,
permitan encontrar puntos crticos para la mejora en la prestacin de
los servicios. Es preciso promover la participacin de los funcionarios
con mayor experticia, con el fin de que aporten su conocimiento en la
COMUNICACIN
identificacin, anlisis y valoracin del riesgo. Y CONSULTA

UN ENFOQUE DE EQUIPOS DE TRABAJO PUEDE:

Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios Ayudar a establecer correctamente el contexto para los procesos
para el levantamiento de los mapas de riesgos.
Garantizar que se toman en consideracin las necesidades de los usuarios

Ayudar a garantizar que los riesgos estn correctamente identificados

Reunir diferentes reas de experticia para el anlisis de los riesgos

Pies de pgina Garantizar que los diferentes puntos de vista se toman en consideracin
adecuadamente durante todo el proceso
12. Instituto Colombiano de Normas Tcnicas y
Fomentar la administracin del riesgo como una actividad inherente al
Certificacin - ICONTEC. Norma Tcnica
proceso de planeacin estratgica
Colombiana NTC-ISO31000. 2011. p. 132
ESQUEMA 8 Comunicacin y Consulta (Aspecto Transversal)

33 Comunicacin y Consulta
Alineacin con las polticas de Lucha contra
la Corrupcin y de Eficiencia Administrativa
Teniendo en cuenta que el Gobierno Nacional viene impulsando
y desarrollando diferentes polticas pblicas con miras a disminuir
los niveles de corrupcin en todos los mbitos. La Secretara de
Transparencia de la Presidencia de la Repblica en cumplimiento
del artculo 73 de la Ley 1474 de 201113 dise una metodologa
para que todas las entidades determinen su Plan Anticorrupcin
y de Atencin al ciudadano, la cual contempla como uno de sus
componentes el levantamiento de los mapas de riesgos asociados
a posibles hechos de corrupcin.
Entendiendo que los riesgos de corrupcin se convierten en una
tipologa de riesgos que debe ser controlada por la entidad, stos
deben incorporarse en primera instancia en el mapa de riesgos
del proceso, sobre el cual se han identificado, de modo tal que
el responsable o lder del mismo pueda realizar el seguimiento
correspondiente, en conjunto con los riesgos de gestin propios
del proceso, evitando que se generen mapas separados de gestin
y de corrupcin, lo que promueve que el responsable tenga una
mirada integral de todos los riesgos que pueden llegar a afectar el
desarrollo de su proceso.
En este sentido, es importante precisar que el seguimiento a los
riesgos de corrupcin en primer lugar es responsabilidad de los
lderes de los procesos en los cuales fueron identificados, as
mismo de la oficina de planeacin quien realiza seguimiento y
finalmente de la Oficina de Control Interno quien es la encargada
de evaluar las efectividad de los controles y determinar si se han
materializado o no este tipo de riesgos.
34
En segunda instancia los riesgos relacionados con posibles actos
de corrupcin deben consolidarse dentro del mapa de riesgos
institucional, con el fin de realizar el monitoreo respectivo por
parte de la Oficina de Control Interno o quien haga sus veces, esto
por tratarse de riesgos crticos frente al cumplimiento de la misin,
visin y objetivos institucionales. Estas acciones permiten que la
Administracin o Gestin del Riesgo sea integral para la entidad.
Ahora bien, teniendo en cuenta que la Secretara de Transparencia
de la Presidencia de la Repblica en su gua Estrategias para la
construccin del plan anticorrupcin y de atencin al ciudadano
establece dentro de su metodologa para los riesgos de corrupcin
niveles diferentes frente al anlisis y valoracin del riesgo, al
incorporar estos riesgos a los mapas por proceso e institucional, ser
necesario adaptar e integrar el formato que dicha gua contiene,
sin desconocer los lineamientos generales all establecidos. (Ver
ejemplo Cuadro 1, de la siguiente pgina).
Pies de pgina
13. Por la cual se dictan normas orientadas a fortalecer los
mecanismos de prevencin, investigacin y sancin
de actos de corrupcin y la efectividad del control de
la gestin pblica. Julio de 2011.
GUA PARA LA ADMINISTRACIN DEL RIESGO
 Cuadro 1 Ejemplo Mapa de Riesgos Integrado (Riesgos Gestin y Corrupcin)
Proceso: Gestin Administrativa
OBJETIVO: Determinar, administrar y proporcionar durante cada vigencia fiscal los bienes y servicios para el cumplimiento de la misin
institucional ()
RIESGO RIESGO
IDENTIFICACIN
INHERENTE RESIDUAL

Probabilidad

Probabilidad
Nivel riesgo

Nivel riesgo
CONTROLES ACCIONES REGISTROS

Impacto

Impacto
Riesgo Causas Consecuencias

-Lineamientos a los
-Deficiente identifi- procesos para el
cacin y descripcin anlisis de nece-
de las necesidades Elaboracin del plan sidades y elabora-
- Baja ejecucin cin del plan.
de bienes y servicios presupuestal. anual de compras
R1:
por parte de los por proceso y conso-
Retrasos o incumpli- -Anteproyecto de Actas de
procesos tanto -Imagen institucio- lidado, acorde con
mientos en la entrega presupuesto Comit de

Extrema
misionales como de nal afectada por el anteproyecto de
de los bienes y ser- Contratacin,

Alta
apoyo. 5 4 presupuesto para la 2 4
vicios que requieren incumplimientos en -Plan de compras plan de com-
la prestacin del ser- vigencia frente a los
los procesos para el consolidado. pras anual y
- Inoportunidad en la vicio a los usuarios recursos presupues-
cumplimiento de su consolidado
entrega de los estu- tales asignados bajo -Convocatoria
gestin. o ciudadanos.
dios y documentos la revisin del comi- al Comit de
previos a la contrata- t de contratacin. Contratacin para
cin y deficiencias aprobacin y
en su contenido. priorizacin acorde
a presupuesto.

Contina en la siguiente pgina

35 Alineacin con las polticas de Lucha contra la Corrupcin y de Eficiencia Administrativa

 RIESGO RIESGO
IDENTIFICACIN
INHERENTE RESIDUAL

Probabilidad

Probabilidad
Nivel riesgo

Nivel riesgo
CONTROLES ACCIONES REGISTROS

Impacto

Impacto
Riesgo Causas Consecuencias

- Manipulacin tc- - Manual de contra-

nica o financiera de -Investigaciones tacin implementa-
los estudios previos. y sanciones por do con parmetros
Elaboracin del plan
parte de los entes de tcnicos y financie-
anual de compras - Porcentaje
- Pliegos que estable- control. ros para cada tipo
por proceso y conso- de procesos
cen reglas, frmulas de contratacin,
R2: Relacionado con lidado, acorde con por cada tipo

Casi Seguro
matemticas, condi- -Incapacidad para formalizado en
Corrupcin. el anteproyecto de de adquisicin
ciones o requisitos la adquisicin de procedimiento.

N/A

N/A

N/A

N/A

N/A
Favorecimiento a uno presupuesto para la adelantado
para favorecer a bienes o servicios en - Conformar un
o ms proponentes vigencia frente a los con parme-
determinados pro- mejores condiciones comit tcnico
especficos. recursos presupues- tros tcnicos
ponentes. de participacin, multidisciplinario.
tales asignados bajo y financieros
calidad y precios.
la revisin del comi- uniformes.
- Pliegos que restrin- -Difusin y capaci-
t de contratacin.
gen la participacin - Pliegos de condi- tacin a todos los
o pluralidad de ciones manipulados. funcionarios del
ofertas. proceso.

36 GUA PARA LA ADMINISTRACIN DEL RIESGO

Por otro lado, mediante el Decreto 4170 de 2011 por el
cual se crea la Agencia Nacional de Contratacin Pblica Anexo 3
Colombia Compra Eficiente, se establece la necesidad Estrategia para la construccin del Plan Anticorrupcin y de
de crear polticas unificadas que sirvan de gua a los Atencin al Ciudadano
administradores de compras y que permitan monitorear
y evaluar el desempeo del sistema y generar mayor
trasparencia en las compras14, motivo por el cual la entidad
en mencin ha emitido el Manual para la Identificacin y
Anexo 4
Manual para la identificacin y cobertura del riesgo en los
Cobertura del Riesgo en los Procesos de Contratacin. A procesos de contratacin
travs de esta metodologa se busca mejorar los procesos
contractuales en sus diferentes etapas, planteando que la
administracin del riesgo debe cubrir desde la planeacin
hasta la terminacin del plazo, la liquidacin del contrato,
el vencimiento de las garantas de calidad o la disposicin
final del bien; y no solamente la tipificacin, estimacin
y asignacin del riesgo que pueda alterar el equilibrio
Pies de pgina
econmico del contrato15. 14. COLOMBIA COMPRA
EFICIENTE. Consultado el 19 de septiembre de
As las cosas, es preciso que esta metodologa sea aplicada 2014 a travs de: http://www.colombiacompra.gov.
bajo tales lineamientos y la entidad debe analizar su co/es/colombia-compra-eficiente
articulacin con la Administracin del Riesgo institucional,
con el fin de evitar reprocesos, ya que su anlisis se orienta 15. COLOMBIA COMPRA EFICIENTE. Manual para
a mejorar la consecucin de los objetivos del sistema de la Identificacin y Cobertura del Riesgo en los
compras y contratacin pblica, que se materializa en los Procesos de Contratacin. Bogot. p. 3
procesos de contratacin de todas las entidades pblicas.

37 Anexos 3 y 4
Algunas orientaciones sobre la QU ES UN PROYECTO?

identificacin de riesgos a los proyectos
Con la expedicin del Decreto 943 de 2014 Por el cual se
actualiza el Modelo Estndar de Control Interno MECI, donde
en su estructura plantea para el mdulo de control a la planeacin
y gestin, el desarrollo de metodologas que permitan ejercer
control sobre los proyectos que desarrollan las entidades. En este
captulo se entrega informacin bsica acerca de la Direccin de
Proyectos (metodologa PMI), con el fin de que aquellas entidades
que vienen trabajando bajo dicha metodologa incorporen en su
gestin de riesgos los aspectos relacionados con la identificacin de
riesgos a los proyectos; o bien para aquellas entidades que decidan
implantar tales metodologas profundicen en su estructuracin y
puedan incorporar el tema a la gestin del riesgos institucional,
con el fin de observar su integralidad.
Es un esfuerzo temporal que se lleva a cabo para crear un producto,
servicio o resultado nico, y cuenta con las siguientes caractersticas
entre otras:
Temporal: Significa que cada proyecto tiene un comienzo y un final
definido. El final se alcanza cuando se han logrado los objetivos del
proyecto o cuando queda claro que los objetivos del proyecto no sern
o no podrn ser alcanzados, o cuando la necesidad del proyecto ya no
exista y el proyecto sea cancelado. Temporal no necesariamente
significa de corta duracin; muchos proyectos duran varios aos.
Productos, servicios o resultados nicos: Un proyecto crea productos
entregables nicos. Productos entregables son productos, servicios o
resultados.
REAS DE CONOCIMIENTO
DE LA DIRECCIN DE PROYECTOS
Gestin de la Integracin

Gestin del Alcance

QU ES LA DIRECCIN DE PROYECTOS? DIRECCIN Gestin del Tiempo

DE PROYECTOS
Es la aplicacin de conocimientos, habilidades, Gestin de los Costos
herramientas y tcnicas a las actividades de un Gestin de la Calidad
proyecto para satisfacer los requisitos del mismo.
Gestin de los Recursos Humanos
La direccin de proyectos se logra mediante la
Gestin de las Comunicaciones
aplicacin e integracin de los procesos de
direccin de proyectos de inicio, planificacin, Gestin de los Riesgos del Proyecto
ejecucin, seguimiento y control, y cierre.
Gestin de las Adquisiciones

ESQUEMA 9 Direccin de Proyectos FUENTE: Project Management Institute. Gua de los Fundamentos de la Direccin de Proyectos (Gua del PMBOK) Tercera Edicin.

38 GUA PARA LA ADMINISTRACIN DEL RIESGO

Gestin de Riesgos del proyecto
La gestin de los riesgos del proyecto incluye los procesos para llevar a
cabo la planificacin de la gestin de riesgos, as como la identificacin,
anlisis, planificacin de respuesta y control de los riesgos de un
proyecto; la mayora de estos procesos se actualizan durante el proyecto.
Los objetivos de la gestin de los riesgos del proyecto consisten en
aumentar la probabilidad y el impacto de los eventos positivos, y disminuir
la probabilidad y el impacto de los eventos negativos del proyecto.
Los procesos de gestin de los riesgos del proyecto son16:
1. PLANIFICAR LA GESTIN DE LOS RIESGOS:
El proceso de definir cmo realizar las actividades de gestin de riesgos
de un proyecto.
2. IDENTIFICAR LOS RIESGOS:
El proceso de determinar los riesgos que pueden afectar el proyecto y
documentar sus caractersticas.
3. REALIZAR EL ANLISIS CUALITATIVO DE LOS RIESGOS:
El proceso de priorizar riesgos para anlisis o accin posterior, evaluando
y combinando la probabilidad de ocurrencia e impacto de dichos riesgos.
4. REALIZAR EL ANLISIS CUANTITATIVO DE LOS RIESGOS:
El proceso de analizar numricamente el efecto de los riesgos
identificados sobre los objetivos generales del proyecto.
39
5. PLANIFICAR LA RESPUESTA A LOS RIESGOS:
El proceso de desarrollar opciones y acciones para mejorar las
oportunidades y reducir las amenazas a los objetivos del proyecto.
6. CONTROLAR LOS RIESGOS:
El proceso de implementar los planes de respuesta a los riesgos, dar
seguimiento a los riesgos identificados, monitorear los riesgos residuales,
identificar nuevos riesgos y evaluar la efectividad del proceso de gestin
de los riesgos a travs del proyecto.
Como es posible observar, el desarrollo de cada una de las etapas o
procesos relacionados con la gestin de los riesgos de los proyectos es
coherente con la metodologa planteada a lo largo de la presente gua; sin
embargo, es preciso sealar que algunos aspectos relacionados con las
escalas de impacto del proyecto giran en torno a los cuatro (4) objetivos
clave del proyecto, como son: Costo, Tiempo, Alcance y Calidad, por lo
que se hace necesario ahondar en los fundamentos desarrollados por el
Project Management Institute, informacin que puede ser consultada en
https://americalatina.pmi.org/
Se reitera que los riesgos que se identifiquen y controlen bajo los
parmetros de esta metodologa, debern ser involucrados a la gestin de
riesgos institucional, con el fin de contar con una integralidad y que la
entidad pueda tener bajo control todos los riesgos que pueden llegar a
afectar la consecucin de las metas y objetivos institucionales y por ende
afectar el cumplimiento de la misin y visin.
Pies de pgina
16. PROJECT MANAGEMENT INSTITUTE. Gua de los
Fundamentos de la Direccin de Proyectos (Gua del
PMBOK). p.309
Gestin de Riesgos del proyecto
Referencias bibliogrficas
1. COLOMBIA COMPRA EFICIENTE. Manual para la Identificacin y Cobertura del Riesgo en los Procesos de
Contratacin.

2. COSO, FLAI, PRICE WATERHOUSE COOPERS. Administracin de Riesgos Corporativos Marco Integrado
(Tcnicas de aplicacin). 2005

3. COSO, FLAI, PRICE WATERHOUSE COOPERS. Administracin de Riesgos Corporativos Marco Integrado
(Resumen Ejecutivo Marco). 2005 http://www.coso.org/ERM-IntegratedFramework.htm

4. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Proyectos de Moralizacin de la

Administracin Pblica Colombiana. Riesgos de Corrupcin en la Administracin Pblica. Bogot. 2000.

5. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN - ICONTEC. Norma Tcnica

Colombiana NTC-IEC/ISO31010. Bogot. 2013

6. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN - ICONTEC. Norma Tcnica

Colombiana NTC-ISO31000. Bogot. 2011

7. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN - ICONTEC. HB 141 Gua para la

Financiacin del Riesgo. Apndice A. 2008.

40 GUA PARA LA ADMINISTRACIN DEL RIESGO

 8. INSTITUTO DE AUDITORES INTERNOS DE COLOMBIA. La auditora como debe ser en las Entidades
Pblicas. Bogot. 2014.

9. INSTITUTO TECNOLGICO DE HERMOSILLO (MXICO). Guas para llevar a cabo el proceso de au-
ditora. Consultado el 12 septiembre de 2014 a travs de: http://www.sistemas.ith.mx/raymundo/as/
Controles%20Internos.html

10. INTOSAI: GUA PARA LAS NORMAS DE CONTROL INTERNO DEL SECTOR PBLICO http://www.into-
sai.org

11. PRESIDENCIA DE LA REPBLICA. Lineamientos para la Administracin del Riesgo. Bogot. 2014.

12. PRESIDENCIA DE LA REPBLICA/DEPARTAMENTO NACIONAL DE PLANEACIN/DEPARTAMENTO

ADMINISTRATIVO DE LA FUNCIN PBLICA. Estrategias para la construccin del plan anticorrupcin
y de atencin al ciudadano. Bogot. 2012. p.9

13. PROJECT MANAGEMENT INSTITUTE. Gua de los Fundamentos de la Direccin de Proyectos (Gua del
PMBOK). Tercera Edicin.

14. PROJECT MANAGEMENT INSTITUTE. Gua de los Fundamentos de la Direccin de Proyectos (Gua del
PMBOK). Quinta Edicin (captulo 11 Gestin de los Riesgos del Proyecto)

41 Referencias bibliogrficas
Notas y Observaciones
Este espacio es para sus anotaciones. Lo puede usar como usted quiera.
Le aconsejamos que sea ac donde anote todas sus inquietudes y temas
relacionados al proceso para que una vez se rena o hable con su asesor,
ste le pueda ayudar en todas sus consultas. Este espacio es para el uso
de su entidad y de ninguna manera cumple la funcin de una PQR
(Peticiones, Quejas y Reclamos) ni est atado a las normativas del mismo.

42 GUA PARA LA ADMINISTRACIN

Notas y observaciones
DEL RIESGO
Preguntas y Observaciones

43
T sirves a tu pas,
nosotros te servimos a ti

Departamento Administrativo de la Funcin Pblica

Carrera 6 No. 12 - 62 - Bogot, D.C.

Tel: 334 40 80/87 - Fax: 341 0515
Lnea gratuita de servicio al ciudadano: 018000 917770

www.dafp.gov.co
webmaster@funcionpublica.gov.co
2014

44 GUA PARA LA ADMINISTRACIN DEL RIESGO