Administración del Riesgo

Guía Administración del Riesgo V3

Agenda
El MECI proporciona la
estructura básica para
evaluar la estrategia, la
gestión y los propios
mecanismos de evaluación
del proceso administrativo,
y aunque promueve una
estructura uniforme, puede
ser adaptada a las
necesidades específicas de
cada entidad, a sus objetivos,
estructura, tamaño, procesos
y servicios que suministran.
 •CONTEXTO ESTRATÉGICO.
1. SUBSISTEMA DE 1.3. ADMINISTRACIÓN •IDENTIFICACIÓN DE RIESGOS.
CONTROL DE RIESGOS. •ANÁLISIS DE RIESGOS.
ESTRATÉGICO •VALORACIÓN DE RIESGOS.
•POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS.

Administra.
del Riesgo

1.3 COMPONENTE ADMINISTRACIÓN DEL RIESGO

1.3.1 Políticas de Administración del Riesgo
1.3.2 Identificación del Riesgo
1.3.3 Análisis y Valoración del Riesgo
 • Se tomaron como insumos las preguntas frecuentes de todas
1 entidades durante la aplicación de la guía (vigencias 2011-2013).

• Lineamientos de otras políticas gubernamentales (Plan

Anticorrupción y de atención al ciudadano, Colombia Compra
2 Eficiente).

• Norma ISO31010 y aspectos metodológicos del Modelo

3 COSO.

• Reducción de contenidos (Esquemas y Ejemplos ilustrativos).

4
 Misión, Visión
Objetivos
Estratégicos,
Planeación
Institucional

Estructura
Prácticas
Conocimiento de la Modelo
Específicas Entidad Operación por
(Sector) procesos

Proyectos
Productos
Servicios
Los riesgos involucran dos características:

 Incertidumbre: Se desconoce si va a suceder.

 Impacto o consecuencias: Resultados si se llega a materializar.

Declaración de la Dirección y las intenciones generales de una organización
con respecto a la gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión
o Administración del riesgo establece lineamientos precisos acerca del
tratamiento, manejo y seguimiento a los riesgos.
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus
causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis
teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas.





Permite establecer la probabilidad de ocurrencia del riesgo y el nivel de
consecuencias o impacto, con el fin de estimar la zona de riesgo inicial (RIESGO
INHERENTE).
1. Determinar la naturaleza del control:

 Preventivo: Evitan que un evento suceda. Ejemplo: login y password en un sistema de

información previene (teóricamente) que personas no autorizadas puedan ingresar al
mismo.

 Detectivo: Permiten registrar un evento después de que ha sucedido. Ejemplo: registro

de las entradas de todas las actividades llevadas a cabo en el sistema de información,
traza de los registros realizados, de las personas que ingresaron, entre otros.

 Correctivo: No prevén que un evento suceda, pero permiten enfrentar la situación una
vez se ha presentado. Ejemplo: pólizas de seguro y otros mecanismos de recuperación
de negocio o respaldo, que permiten volver a recuperar las operaciones.

2. Determinar si los controles están documentados: Aspecto que permite conocer cómo se lleva a
cabo el control, quién es el responsable de su ejecución y cuál es la periodicidad para su
ejecución, lo cual determinará las evidencias que van a respaldar la ejecución del mismo.

Establecer si el control es:

3.
 Automático: Utilizan herramientas tecnológicas como sistemas de información o
software que permiten incluir contraseñas de acceso, o con controles de seguimiento
a aprobaciones o ejecuciones que se realizan a través de éste, generación de reportes
o indicadores, sistemas de seguridad con scanner, sistemas de grabación, entre otros.

 Manual: Políticas de operación aplicables, autorizaciones a través de firmas o

confirmaciones vía correo electrónico, archivos físicos, consecutivos, listas de
chequeo, controles de seguridad con personal especializado, entre otros.

4. Determinar si los controles se están aplicando en la actualidad y si han sido

efectivos para minimizar el riesgo.
La comunicación y consulta con las partes involucradas tanto internas como externas
debería tener lugar durante todas las etapas del proceso para la gestión del riesgo.
 Ley 1474 de 2011 “Por la cual se dictan normas orientadas a
fortalecer los mecanismos de prevención, investigación y sanción de
actos de corrupción y la efectividad del control de la gestión pública”

ARTÍCULO 73. PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO. Cada

entidad del orden nacional, departamental y municipal deberá elaborar anualmente
una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha
estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la
respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias
Antitrámites y los mecanismos para mejorar la atención al ciudadano. (…)
El Riesgo está vinculado con todo el quehacer; se podría afirmar que
no hay actividad que deje de incluir el riesgo como una posibilidad.
Los riesgos no son sólo de carácter económico, éstos hacen parte de
cualquier gestión que se realice. Algunas clases de riesgos de
acuerdo con la teoría son:

Financieros Legales o de
Estratégicos De imagen Tecnológicos Corrupción
Operativos cumplimiento
 Financieros Legales o de
Estratégicos De imagen Tecnológicos Corrupción
Operativos cumplimiento

Financieros Operativos

Se relacionan con el manejo Comprenden riesgos

de los recursos de la entidad
que incluyen la ejecución
presupuestal, la elaboración
de los estados financieros, los
pagos, manejos de excedentes
de tesorería y el manejo sobre
los bienes.
provenientes del
funcionamiento y operatividad
de los sistemas de información
institucional, de la definición
de los procesos, de la
estructura de la entidad, de la
articulación entre
dependencias.
Financieros Legales o de
Estratégicos De imagen Tecnológicos Corrupción
Operativos cumplimiento

Estratégicos

 Se asocia con la forma en

que se administra la
Entidad.
 Su manejo se enfoca a
asuntos globales
relacionados con la misión
y el cumplimiento de los
objetivos estratégicos.
 Diseño y conceptualización
de la entidad por parte de
la alta gerencia.
Financieros Legales o de
Estratégicos De imagen Tecnológicos Corrupción
Operativos cumplimiento

Imagen

Están relacionados con la

percepción y la confianza por
parte de la ciudadanía hacia
la institución.
Financieros Legales o de
Estratégicos De imagen Tecnológicos Corrupción
Operativos cumplimiento

Legales o de
Cumplimiento
Se asocian con el
cumplimiento por parte de la
entidad con los requisitos
legales, contractuales, de
ética pública y en general con
su compromiso ante la
comunidad.
Financieros Legales o de
Estratégicos De imagen Tecnológicos Corrupción
Operativos cumplimiento

Tecnológicos

Están relacionados con la

capacidad tecnológica de la
Entidad para satisfacer sus
necesidades actuales y futuras
y el cumplimiento de la
misión.
Financieros Legales o de
Estratégicos De imagen Tecnológicos Corrupción
Operativos cumplimiento

Riesgos Asociados a posibles

actos de Corrupción
Posibilidad de que por acción u
omisión, mediante el uso indebido
del poder, de los recursos o de la
información, se lesionen los
intereses de una entidad y en
consecuencia, del Estado, para la
obtención de un beneficio
particular.

(Guía para la Construcción del

Plan Anticorrupción y de Atención
al Ciudadano - Secretaría de
Transparencia)
Posibilidad de que por acción u omisión, mediante el
uso indebido del poder, de los recursos o de la
información, se lesionen los intereses de una entidad y
en consecuencia, del Estado, para la obtención de un
beneficio particular. (Secretaría de Transparencia)
 Este componente establece los criterios generales
para la identificación y prevención de los riesgos de
corrupción de las entidades, permitiendo a su vez la
generación de alarmas y la elaboración de
mecanismos orientados a prevenirlos o evitarlos.

Identificar las DEBILIDADES (factores internos) y las AMENAZAS (factores

1. externos) que pueden influir en los procesos y procedimientos que generan una
mayor vulnerabilidad frente a riesgos de corrupción.
Una vez identificadas las causas, se define el riesgo de corrupción del proceso
2. o, procedimiento, según sea el caso. El riesgo debe estar descrito de manera
clara, sin que su redacción dé lugar a ambigüedades o confusiones con la causa
generadora de los mismos.

3. Análisis de probabilidad de materialización de los riesgos de corrupción, en 2

niveles Posible y Casi seguro. Se define el Impacto como único.
Una vez identificados los riesgos de corrupción, la entidad debe establecer los
4. controles teniendo en cuenta: (i) Controles preventivos, que disminuyen la
probabilidad de ocurrencia o materialización del riesgo; y (ii) Controles
correctivos, que buscan combatir o eliminar las causas que lo generaron, en
caso de materializarse.
Elaboración del mapa de riesgos, los seguimientos se realizan por parte del
5. líder de cada proceso y de forma posterior por parte de la OCI.
Catastrófico
 ROLES Y RESPONSABILIDADES

Alta Dirección
PASOS
(Representante Funcionario (s)
METODOLOGÍA Líder del Equipo MECI- Jefe de Control Oficina de
Legal y su responsable (s)
Proceso CALIDAD Interno Planeación
equipo de los procesos
Directivo)
Trabajar de
Trabajar de
forma
forma
coordinada y
El coordinada y
armónica con la
representante armónica con la
Dar a conocer Oficina de
Legal y su Oficina de
a su equipo de Control Interno
equipo Conocer y Conocer y Planeación o
trabajo los o quien haga
Política para la Directivo deben apropiar la apropiar la quien haga sus
lineamientos sus veces, con
administración determinar los política política veces, con el fin
determinados el fin de
del riesgo. lineamientos institucional de institucional de de propender
en la política propender por
para la riesgos. riesgos. por la difusión
institucional de la difusión de la
administración de la política
riesgos. política
del riesgo en la institucional de
institucional de
entidad. riesgos a lo
riesgos a lo
largo de toda la
largo de toda la
organización.
organización.
Desde el rol de
Determinar
asesoría debe Trabajar de forma
lineamientos Analizar el mantener un coordinada con la
que permitan contexto para canal de Oficina de Control
contar con un el proceso del comunicación Interno, con el fin
Apoyar el Participar en la de acompañar a
contexto acorde cual es líder en con los procesos
proceso de identificación de los procesos
Identificación del con el conjunto con facilitando
levantamiento los riesgos del levantamiento de
Riesgo Direccionamien su equipo de técnicas para el los mapas de
de los mapas proceso al que proceso de
to Estratégico trabajo. riesgo en cada una
de riesgo. pertenece. levantamiento de
de la entidad. Identificar los de sus etapas
Identificar los riesgos de su los mapas de (incluyendo los
riesgo en cada riesgos de
riesgos de su proceso.
una de sus corrupción).
proceso.
etapas.
 ROLES Y RESPONSABILIDADES

PASOS Alta Dirección

Funcionario (s)
METODOLOGÍA (Representante Líder del Equipo MECI- Jefe de Control Oficina de
responsable (s)
Legal y su Proceso CALIDAD Interno Planeación
de los procesos
equipo Directivo)
Realizar el análisis Desde el rol de
y valoración para asesoría debe Trabajar de forma
el proceso de mantener un coordinada con la
Direccionamiento canal de Oficina de Control
Estratégico. Participar el comunicación Interno, con el fin
Realizar el de acompañar a
Apoyar el proceso de con los procesos
Análisis y análisis y los procesos
Participar proceso de análisis y facilitando
Valoración del valoración levantamiento de
activamente en la análisis y valoración. técnicas para el los mapas de
Riesgo validación del para el proceso de
valoración. del proceso al riesgo en cada una
análisis y proceso. levantamiento de
que pertenece. de sus etapas
valoración los mapas de (incluyendo los
realizada para los riesgo en cada riesgos de
demás procesos una de sus corrupción).
de la entidad. etapas.
Realizar el
Desde su rol de
seguimiento
evaluación y
correspondiente al Tomar la Consolidar el
seguimiento, debe
mapa de riesgos del mapa de riesgos
proceso de
responsabilidad realizar el
institucional, básico
frente al monitoreo de los
Direccionamiento para el
mapas de riesgos
Estratégico. seguimiento de seguimiento a los
Realizar el de los procesos,
Analizar los controles priorizando la
riesgos críticos
estratégicamente los seguimiento para la entidad.
que están a su periodicidad frente
Seguimiento y resultados e correspondient
N/A cargo de a aquellos
Monitoreo informes de e al mapa de procesos con
(Esta actividad en
seguimiento a los acuerdo a las algunas entidades
riesgos de su mayor niveles de
mapas de riesgos funciones que es asumida por un
proceso. riesgo, que pueden
de la entidad, con el realiza y llegar a afectar a
área diferente, lo
fin de tomar las realizarlo en los cual dependerá de
la organización en
decisiones las disposiciones
requeridas para la
tiempos el logro de sus
de la Alta
estipulados. metas y objetivos.
mejora de la gestión Dirección).
(mapa de riesgos
del riesgo en la
institucional).
entidad.
 Estado de Madurez en Características Clave Enfoque de la Oficina de Control
Administración del Riesgo Interno

1- Incipiente No existe un enfoque formal de Promover la gestión de

administración del riesgo administración del riesgo y
asesorar sobre las estrategias para
fortalecer su desarrollo.

2 – Conocido Existen esfuerzos aislados de Promover la gestión de

administración del riesgo administración del riesgo y
asesorar sobre las estrategias para
fortalecer su desarrollo.

3 - Definido La estrategia y políticas de Ser facilitador en la

administración del riesgo han sido implementación del proceso de
definidas y comunicadas. administración del riesgo.

4 – Administrado El proceso de administración del Auditar los procesos y realizar

riesgo está desarrollado y recomendaciones.
comunicado.

5 - Optimizado La administración del riesgo está Auditar los procesos y realizar

completamente inmerso en las recomendaciones.
operaciones y procesos de la
Organización
 w w w. d a f p . g o v. c o
webmaster@funcionpublica.gov.co
Dirección de Control Interno y Racionalización de
Tr á m i t e s
Te l é f o n o : 3 3 4 4 0 8 0 e x t . 1 6 5 , 1 4 6 , 1 3 5 , 2 1 3 /
Te l . D i r e c t o 3 3 6 0 6 8 6