Beruflich Dokumente
Kultur Dokumente
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
GLOSARIO
1
Guía ISO/IEC 73:2002
2
Norma Técnica Colombiana NTC 5254, numeral 3.4.4. Tipos de Análisis.
3 Ibidem.
4 .Ibidem
Página 2 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
Declaración de Aplicabilidad: Documento que describe los objetos de control y los
controles pertinentes y aplicables en el Subsistema de Gestión del Riesgo.
Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo
operacional a las entidades. Los eventos de riesgo operacional se clasifican en:
2. Fraude Externo: Actos, realizados por una persona externa a la entidad, que
buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir
normas o leyes.
Página 3 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
Fuentes de Riesgo Internas
Riesgos Inaceptables: Riesgos residuales con “exposición muy alta” de acuerdo con
la escala de valoración acepta por la Entidad.
Página 4 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
Riesgo Inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles. También denominado Riesgo Absoluto.
Riesgo Residual: Nivel resultante del riesgo después de aplicar los controles.
También se refiere al margen o residuo de riesgo que puede darse a pesar de las
medidas de tratamiento tomadas para la administración del riesgo.
Plan de Continuidad del Negocio: Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la
operación, en caso de interrupción.
Stakeholders: Son las personas y las organizaciones quienes pueden ser afectadas,
afectan o perciben que ellos mismos pueden ser afectados por una decisión o
actividad.
Página 5 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
1. SUBSISTEMA DE GESTIÓN DEL RIESGO
Página 6 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
El Subsistema de Gestión del Riesgo hace parte de los sistemas de gestión que
conforman el Sistema Integrado de Gestión de la Secretaria Distrital de Gobierno. La
Gestión del Riesgo Empresarial o Enterprise Risk Mangement (ERM), está considerada a
nivel mundial como una mejor práctica, y es una actividad para la cual el modelo COSO
II considera que los riesgos organizacionales están interrelacionados, y que por ello, se
pueden obtener beneficios importantes si su gestión se aborda integralmente, y se enlaza
con actividades de aseguramiento como la Auditoría Interna. Con lo anterior se logra
racionalizar recursos e impactar positivamente la gestión de las organizaciones.
Con el Subsistema de Gestión del Riesgo, la Secretaria Distrital de Gobierno busca, como
su nombre lo indica, gestionar integralmente los riesgos de la Entidad, ordenada por el
Departamento Administrativo de la Función Pública, mediante los Decretos 1537 de 2001
y 1599 de 2005, la cual tiene sin lugar a dudas, énfasis de riesgo operacional.
Página 7 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
a. Modelo Estándar de Control Interno (MECI 1000:2005), desarrolla el Componente
de “Administración de Riesgos” del “Subsistema de Control Estratégico”. Ver
gráfica No.1
Página 8 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
c. Sistema de Gestión Ambiental (NTC- ISO 14001:2004), apoya el desarrollo de los
numerales 4.3.1 “Aspectos Ambientales” y 4.4.7 “Preparación y Respuesta ante
Emergencias”.
1.5. Exclusiones
Página 9 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
1.7. Alcance de la Gestión del Riesgo
Los roles y responsabilidades que se asumen en la Gestión del Riesgo, son las
siguientes:
Página 10 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
Página 11 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
1.10. Ciclo de la Gestión del Riesgos
El ciclo de la Gestión del Riesgo sigue los lineamientos de la norma internacional ISO
31000:2009, y representa un esquema de mejora continua relacionado con el ciclo PHVA
(Planear, Hacer, Verificar y Actuar), descrito de la siguiente manera:
Los Planes de Tratamiento diseñados para mitigar el impacto y/o la probabilidad de los
riesgos, harán parte del Plan de Mejora de Sistema Integrado de Gestión de la Entidad.
Página 12 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
1.11. Desarrollo de las Etapas del Ciclo de Gestión del Riesgo
De esta manera, ésta etapa comprende el establecimiento del contexto externo, del
contexto interno y del contexto específico.
En la Secretaria Distrital del Gobierno está información está disponible en sitio destinado
para el Sistema Integrado de Gestión de la Intranet.
Página 13 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
b. Establecimiento del Contexto Interno
Por esta razón, en ésta fase es importante conocer y tener claridad sobre los siguientes
aspectos del contexto interno de la entidad:
4. La cultura organizacional.
Esta información está disponible igualmente en el sitio del Sistema Integrado de Gestión
de la intranet de la entidad.
• Mapa de Procesos
Página 14 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
• Activos y recursos.
Sin embargo, acorde con las políticas definidas en una primera etapa se concentran los
esfuerzos en diseñar e implementar un modelo de gestión de riesgos acorde con el
modelo de procesos establecido en el Sistema de Gestión de Calidad de la entidad. Antes
de iniciar la etapa de identificación de riesgos es necesario revisar los siguientes aspectos
para cada uno de los procesos, lo cual se apoyará en la información provista en la
caracterización de los procesos:
• Establecer los recursos requeridos y los registros que deben ser guardados.
1.11.2. Identificación
Para realizar una adecuada gestión del riesgo operacional, es necesario partir de la
identificación exhaustiva de los diferentes eventos internos y externos que pueden afectar
o impedir el cumplimiento de los objetivos institucionales.
De esta forma, se requiere generar para cada proceso una lista de eventos y sus fuentes
generadoras, realizar una descripción detallada de los mismos, y determinar las posibles
causas y efectos que conlleva su ocurrencia.
El último paso corresponde a la relación de las fuentes y eventos con las áreas de
impacto (consecuencias) identificadas como se ilustra en el gráfico No.3. Esta asociación
Página 15 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
permite establecer con mayor facilidad los posibles eventos que podrían ocurrir si analiza
la forma como la fuente de riesgo puede generar el impacto identificado. Esta metodología
a su vez procura que se omitan riesgos que pueden ser importantes en un proceso.
Página 16 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
tratamiento. El análisis y evaluación del riesgo, consiste en calificar para cada riesgo
operacional identificado, el impacto y la probabilidad de ocurrencia, dentro de una
escala semi-cuantitativa de tres (3) niveles, definida de la siguiente manera:
1.11.4. Valoración
Página 17 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
nivel representa el estado del riesgo sin la aplicación de tratamientos, es decir el peor
escenario de riesgo.
Para la obtención del nivel de riesgo inherente individual se aplicará el producto del
puntaje de impacto y del puntaje de la probabilidad. Finalmente, el riesgo valorado se
ubica en la Matriz de Severidad que se presenta en el Gráfico No 4, la cual representa en
el eje X el nivel de impacto y en el eje Y la probabilidad de ocurrencia. En el intercepto se
registra el valor consolidado del riesgo. Como se observa, el valor mínimo de la matriz es
5 cuando la probabilidad es “Baja” y el impacto “Leve”, y el mayor puntaje es 60 cuando la
probabilidad es “Alta” y el Impacto es “Catastrófico”.
ALTA 3 15 30 60
MEDIA 2 10 20 40
BAJA 1 5 10 20
5 10 20
LEVE MODERADO CATASTROFICO
IMPACTO
Para efectos de interpretar los resultados se aplicará la Tabla No.3, en donde a partir del
puntaje total obtenido en la valoración del riesgo, se establecen el nivel del mismo en
términos descriptivos, en cinco escalas, y se visualiza la valoración cromática, mediante la
Página 18 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
VALORACIÓN ESTADO
5 Aceptable
10 Tolerable
15 Moderado
20 Moderado
30 Importante
40 Importante
60 Inaceptable
Los controles son acciones o mecanismos definidos para prevenir o reducir el impacto o
probabilidad de ocurrencia de los eventos que ponen en riesgo la adecuada ejecución de
las actividades y tareas requeridas para el logro de objetivos de los procesos de una
Entidad.
Página 19 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
insuficientes, suficientes o redundantes para cubrir o mitigar los riesgos potenciales o
materializados identificados.
También es necesario en esta fase efectuar una clasificación del control a partir de la lista
estándar de controles y determinar si el control contribuye a mitigar la probabilidad de
ocurrencia del riesgo o la consecuencia para posteriormente realizar la medición de la
efectividad y la eficacia en forma independiente.
Se deberá verificar su oficialización es decir, que el control este descrito en los procesos
y/o procedimientos contenidos en el mapa de procesos o manual de operaciones de la
Secretaria Distrital de Gobierno. En caso afirmativo el control recibirá una calificación de
10 puntos en la evaluación.
Página 20 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
(b) Oportunidad en la aplicación del Control
TIPO DE
VALOR DESCRIPCIÓN
CONTROL
TIPO DE
VALOR DESCRIPCIÓN
CONTROL
Página 21 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
(d) Automatización en la aplicación del Control
Una vez calificados los controles de acuerdo con los criterios descritos anteriormente, se
valorará la efectividad de los mismos, tal como se demuestra en la siguiente tabla:
Página 22 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
TABLA No.7 – Efectividad de los controles
CARACTERISTICAS DEL DISEÑO CONTROL CLASIFICACIÓN VALOR DEL
DISEÑO DEL DISEÑO
CONTROL DEL
OFICIALIZACIÓN VALOR PERIODICIDAD VALOR OPORTUNIDAD VALOR AUTOMATIZACIÓN VALOR CONTROL
Página 23 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
1.11.5.2. Clasificación de los Niveles de Exposición del Riesgo Residual
En donde:
En donde:
Una vez se obtiene el valor del nivel de exposición del riesgo residual, se aplicarán los
criterios de la matriz de severidad utilizada en la valoración del riesgo inherente.
Página 24 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
residuales con EXPOSICIÓN MUY ALTA AL RIESGO son INACEPTABLES para la
Secretaria Distrital de Gobierno, razón por la cual serán tratados de manera INMEDIATA
con la intención de incluir o ajustar controles que permitan disminuir su probabilidad de
ocurrencia y/o impacto para la organización.
INDICADOR DE
EXPOSICIÒN AL VALOR DEL RIESGO
RIESGO RESIDUAL ESTADO
MUY ALTA 40 <X>= 60 Inaceptable
ALTA 20 <X>= 40 Importante
MEDIA 10 <X>= 20 Moderado
BAJA 5 <X>=10 Tolerable
INSIGNIFICANTE X>=5 Aceptable
1.11.5.4. Tratamiento
Para la adopción de la política de Gestión del Riesgo se tendrá en cuenta los resultados
obtenidos en cada uno de los elementos de la gestión del riesgo, a fin de dotar a la
Entidad de los parámetros que establezcan medidas de respuesta oportuna para aplicar el
ERCA (Evitar, Reducir, Compartir o Aceptar) a los mismos.
Página 25 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
TABLA No.9 – Prioridad en el tratamiento del Riesgo
INDICADOR DE PRIORIDAD DE
EXPOSICIÒN AL TRATAMIENTO
RIESGO VALOR ESTADO
MUY ALTA 40 <X>= 60 Inaceptable PRIMERO
ALTA 20 <X>= 40 Importante SEGUNDO
MEDIA 10 <X>= 20 Moderado TERCERO
BAJA 5 <X>=10 Tolerable CUARTO
INSIGNIFICANTE X>=5 Aceptable NO APLICA
Página 26 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
1.11.5.6. Monitoreo
En razón que tanto la estructura organizacional, los objetivos, los procesos internos y las
actividades de la Secretaria Distrital de Gobierno pueden sufrir modificaciones
introduciendo o transformando los riesgos ya identificados, y que los controles mismos
pueden llegar a ser ineficaces, se hace necesario establecer o integrar procedimientos de
monitoreo que permitan evaluar la efectividad del Subsistema de Gestión del Riesgo de la
Entidad y detectar y corregir sus deficiencias o debilidades.
De esta manera, el monitoreo es esencial para asegurar que las medidas y controles se
están llevando a cabo y evaluar la eficiencia en su implementación, adelantando
revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que
pueden estar influyendo en la aplicación de las acciones preventivas.
a) Auto‐Evaluación
Página 27 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
Para lo anterior, el Responsable de Proceso podrá apoyarse en las siguientes
herramientas:
b) Monitoreo al Perfil de Riesgos y a las Exposiciones a Pérdidas
Así mismo, con base en los informes proferidos por la auditoría interna evaluará la
eficacia de los controles y el cumplimiento y efectividad de los planes de tratamiento de
riesgos implementados.
Página 28 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
c) Medición y Seguimiento a Indicadores Claves de Riesgos
Dada su utilidad, se deberán determinar las operaciones críticas de la Entidad y/o los
factores de riesgos que más inciden en la probabilidad de ocurrencia o en la
consecuencia de los riesgos; y sobre éstos diseñar e implementar indicadores de riesgo,
definir los umbrales o niveles de tolerancia, así como los responsables de medición y la
periodicidad de los mismos.
d) Registro y Seguimiento de Eventos de Riesgo Operativo
Página 29 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
prevenir eventos futuros. Así mismo, la cuantificación de la exposición permitirá focalizar
los recursos para la gestión de los riesgos.
Las situaciones de controversia y/o conflicto de interés que surjan deben ser canalizados
por los líderes o responsables de proceso a través del Grupo del Sistema Integrado
Gestión, quien tiene la responsabilidad de presentar las mismas al Comité del Sistema
Integrado de Gestión Comité de Coordinación de los Sistemas de Control Interno y
Calidad y de notificar a los interesados sobre la decisión adoptada.
Página 30 de 31
Código: M‐116302‐02
MANUAL DE GESTIÓN DEL RIESGO Versión: 1
Vigencia desde:
01 de diciembre de 2010
El Grupo del Sistema Integrado de Gestión a través de la Dirección de Planeación y
Sistemas de Información debe informar oportunamente a la Alta Gerencia cuando se
presenten incumplimientos de las responsabilidades y obligaciones establecidas en el
Subsistema de Gestión del Riesgo por parte de los responsables de proceso y sus
equipos de trabajo.
Se precisa que en términos de artículo 27 de la Ley 734 de 2002, las faltas disciplinarias
se realizan por acción o por omisión en cumplimiento de los deberes propios del cargo o
función, o con ocasión de ellos, al igual que cuando se tiene el deber de impedir un
resultado, no evitarlo, pudiendo hacerlo, equivalente a producirlo.
Página 31 de 31