Administracin de

RIESGOS

SALA ADMINISTRATIVA
Hernando Torres Corredor
Presidente

Jos Alfredo Escobar Araujo

Vicepresidente

Jorge Antonio Castillo Rugeles

Magistrado

Ricardo Monroy Church

Magistrado

Nstor Ral Correa Henao

Magistrado

Francisco Escobar Henriquez

Magistrado
REPRESENTANTES SIGC PARA LA ALTA DIRECCIN

Jorge Antonio Castillo Rugeles

Magistrado Lder del SIGC

Nstor Ral Correa Henao

Magistrado Representante Alta Direccin para el SIGC

Hernando Torres Corredor

Magistrado Representante Alta Direccin para el SIGC
COMIT DE CALIDAD
Gladys Virginia Guevara Puentes
Lder del SIGC
Directora Escuela Judicial Rodrigo Lara Bonilla

Carlos Eduardo Devia Gutirrez

Lder de Proceso
Director Unidad de Seguridad de la Rama Judicial

Santiago Alba Herrera

Representante del Grupo de Apoyo de la Alta Direccin
Magistrado Auxiliar Despacho Doctor Jorge Antonio Castillo
Rugeles

Adriana Maria Guzmn Rodriguez

Lder de Proceso
Directora Unidad Administrativa

lvaro Hernando Aroca Collazos

Lder de Proceso
Director Unidad de Desarrollo y Anlisis Estadstico

Antonio Barrera Martnez

Lder de Proceso
Director Unidad de Informtica

Paola Zuluaga Montaa

Lder de Proceso
Directora Centro de Documentacin

Maria Nydia Prieto

Directora Unidad de Planeacin

Jorge Mario Rivadeneira Mora

Lder de Proceso
Director Unidad de Administracin de la Carrera Judicial

Angel Alfredo Iguarn Arana

Lder de Proceso
Director Unidad de Presupuesto

Dorys Meja Flrez

Lder de Proceso
Directora Unidad de Auditora

Nelly del Carmen Ruiz

Lder de Proceso
Directora Unidad de Planeacin

Juan Jos Parada Holgun

Lder de Proceso
Director Unidad Registro Nacional de Abogados y Auxiliares de
la Justicia

Jos Eduardo Gmez

Coordinador Seccionales

Raul Eduardo Martinez Lugo

Lder de Proceso
Director Unidad de Recursos Fsicos e Inmuebles

Diana Isabel Bolivar Voloj

Lder de Proceso
Directora Unidad de Asistencia Legal
COMIT TCNICO

Diego Londoo Ayran

Coordinador Nacional de Calidad
Jefe Divisin Organizacin y Mtodos UDAE

Reinel Beleo Quiroz

Coordinador Nacional de Comunicaciones
Jefe Divisin Oficina de Comunicaciones Rama Judicial

Alvaro Garzn Diaz

Coordinador Nacional de Documentacin
Profesional CENDOJ

Jairo Riao Vargas

Profesional de apoyo Presidencia

PRODUCCIN Y ELABORACIN
Ivn Eduardo Lpez Salgado
Director de Proyecto
Management & Quality Ltda
Juan Pablo Daza Carreo
Consultor
Management & Quality Ltda

Mayra Liliana Jimnez Tarazona

Ingeniero de Soporte
Management & Quality Ltda

TABLA DE CONTENIDO
TABLA DE CONTENIDO
I
TABLA DE ILUSTRACIONES
III
PRESENTACIN
IV
1. INTRODUCCIN
2
2. OBJETIVOS DE LA GESTIN DE RIESGOS
4
2.1. OBJETIVO GENERAL
4
2.2. OBJETIVOS ESPECFICOS
4
3. CONCEPTOS BSICOS
6
4. INTERACCIN CON EL PLAN ESTRATGICO Y EL MODELO DE
OPERACIN DE LA ENTIDAD
12
4.1 GENERALIDADES
12
4.2
INTERACCIN CON EL PLAN ESTRATGICO
14
4.2.1
INTERACCIN CON EL ANLISIS DE CONTEXTO FODA.
15
4.2.2. LOS OBJETIVOS ESTRATGICOS Y TCTICOS COMO OBJETOS DE
ANLISIS
16
4.2.3 CMO ARTICULAR LA POLTICA DE RIESGOS?
18
4.3 INTERACCIN CON EL MODELO DE OPERACIN DE LA ENTIDAD
19
4.3.1 LOS PROCESOS Y PROCEDIMIENTOS COMO OBJETOS DE ANLISIS19
4.3.2 CMO ARTICULAR LA POLTICA DE OPERACIN Y LA DE RIESGOS?
20
5. IDENTIFICACIN DE BUENAS PRCTICAS EN MATERIA DE GESTIN DE
RIESGOS
23
5.1 A NIVEL INTERNACIONAL
23
5.1.1 COSO
24
5.1.2
ESTNDAR AUSTRALIANO/NEOZELANDS - AS/NZS: 4360
27
5.1.3 PROJECT MANAGEMENT INSTITUTE
28
5.1.4 COBIT MODELO DE GOBIERNO DE TI
31
5.1.5 MAGERIT 2.0
33
5.2 A NIVEL NACIONAL
34
5.2.1 NTC-5254 ICONTEC
34
5.2.2
MECI (MODELO ESTNDAR DE CONTROL INTERNO)
35
5.2.3 GUA ADMINISTRACIN DE RIESGO - DAFP
37
5.3 RESUMEN DE NORMOGRAMA Y ESTNDARES
38
6. DEFINICIN DE LOS PASOS DE LA GESTIN DE RIESGO EN EL CSJ SALA ADMINISTRATIVA
41
6.1 FUNDAMENTOS
41
6.1.1 COMPROMISO DE LA ALTA Y MEDIA DIRECCIN
41
6.2 PASOS DE LA GESTIN DE RIESGOS
42
6.3 REUNIN DE GRUPO OPERATIVO DEL PROCESO
45
6.4 ESTABLECIMIENTO DEL CONTEXTO
46
6.5 IDENTIFICACIN DEL RIESGO
48
6.6 PRIORIZACIN DE CAUSAS
50
6.7 CALIFICACIN Y EVALUACIN DE LOS RIESGOS ANTES DE
CONTROLES EXISTENTES
52
6.8 VALORACIN DE RIESGOS LUEGO DE CONTROLES
55

6.9 TRATAMIENTO DE RIESGOS

6.10 MONITOREO DE RIESGOS
6.10.1. MONITOREO SOBRE LOS RIESGOS
6.10.2 MONITOREO SOBRE EL SISTEMA DE GESTIN DE RIESGOS
ANEXO 1. NORMOGRAMA
EVALUACIONES

57
60
60
61
64
67

II

TABLA DE ILUSTRACIONES
Ilustracin 1 Objeto de Anlisis
12
Ilustracin 2 Conocer el Objeto de Anlisis
13
Ilustracin 3 - Como la Administracin de riesgos se nutre de la
informacin del plan estratgico
14
Ilustracin 4 - La interaccin entre Planeacin Estratgica Administracin de Riesgos
15
Ilustracin 5 - Pasos para definir el Contexto Estratgico
16
Ilustracin 6 Objetos de Anlisis provenientes del Nivel Estratgico y
Tctico
17
Ilustracin 7 Relacin Causa entre Objetivos Estratgicos
17
Ilustracin 8 - Objetivo Estratgico como depende los objetivos tcticos
asociados
18
Ilustracin 9 Nivel Operativo
19
Ilustracin 10- Articulacin entre poltica de la Organizacin y de
Riesgos
20
Ilustracin 11 Metodologas Internacionales de Riesgos
23
Ilustracin 12 - Referencias COSO
24
Ilustracin 13 - Referencias COSO II
25
Ilustracin 14 - Caractersticas de los componentes del COSO
26
Ilustracin 15 - Proceso de Administracin de Riesgos segn
AS/NZS:4360
27
Ilustracin 16 - Etapas Gestin de Riesgos
28
Ilustracin 17 - Dominio IT
30
Ilustracin 18 - Procesos que soportan Dominio IT
30
Ilustracin 19 - Dominios de Risk IT como herramienta del COBIT
31
Ilustracin 20 - Etapas y pasos de Magerit
32
Ilustracin 21 - Metodologas Nacionales de Riesgos
33
Ilustracin 22 - Componentes MECI
34
Ilustracin 23 - Etapas de administracin de riesgo segn MECI
35
Ilustracin 24 - Normogramas y Estndares
37
Ilustracin 25 Papel de la direccin en la administracin de riesgos
40
Ilustracin 26 - Etapas del Riesgo en estndares internacionales
41
Ilustracin 27 - Pasos planteados en la metodologa del DAFP y el MECI
41
Ilustracin 28 - Proceso de administracin del riesgo del CSJ - SALA
ADMINISTRATIVA
43
Ilustracin 29 Matriz de calificacin, evaluacin y respuesta a riesgos
51
Ilustracin 30 - Opciones Genricas de Tratamiento de Riesgos
56
Ilustracin 31 - Items a Monitorear
59

III

IV

Presentacin
El Consejo Superior de la Judicatura Sala Administrativa, ha desarrollado el
sostenimiento de su Sistema Integrado de Gestin de Calidad y Control, a travs
del mejoramiento de sus procesos y de herramientas transversales de gestin y
control en todos los mbitos y niveles de la organizacin.
En esta oportunidad, me complace invitarlos a apropiar este mdulo de
autoformacin en temas propios del Sistema Integrado de Gestin de Calidad y
Control del Consejo Superior de la Judicatura Sala Administrativa, que est
orientado a fortalecer las competencias de todo el personal en uno de los temas
ms relevantes en las entidades pblicas, que es el tema de riesgos.
Este mdulo est diseado para generar valor agregado en los conocimientos
individuales de los funcionarios y las funcionarias del CSJ Sala Administrativa, as
como abrir sus mentes en busca de mejores prcticas en la aplicacin de esta
disciplina.
Espero que a partir de l se desarrolle la consciencia en la gestin eficaz de los
riesgos en cualquier nivel tanto de la organizacin, como de los objetos de anlisis
y la entidad se vea beneficiada en la unidad de criterio en este aspecto, en el
aprovechamiento de las herramientas diseadas para la identificacin y control de
los riesgos y la aplicacin objetiva de los conceptos expuestos.
Agradezco su disposicin a hacer parte de este desarrollo sostenido de la entidad,
a partir de la evolucin de sus competencias personales y profesionales.
Jorge Antonio Castillo Rugeles

1.

Introduccin

Pgina1
Pgina1

1.

Introduccin

El trmino riesgo proviene de la palabra rabe rizq (plural: al zahr), de all el

hispanismo azar, que significa lo que depara la providencia. La mencin escrita
documentada ms antigua que se conoce del riesgo se remonta al siglo XIII,
aunque de manera dispersa y es hasta el siglo XVI que aparece relacionado en el
lenguaje comercial y jurdico. Sin embargo, en los siglos XVI y XVII se empleaba
por exploradores portugueses y espaoles, haciendo referencia a la navegacin
en zonas que carecan de referencia cartogrfica.
No quiere decir que antes del siglo XVI no hubiera riesgos o estos no fueran
considerados; por supuesto existan y de hecho existan figuras como los seguros
(una manera de transferencia del riesgo), las primas asociadas, bonos o clusulas
contractuales para soportar los riesgos que pudieran correr los mercaderes al
llevar productos entre los puertos; sin embargo, las caractersticas de la
sociedad en ese entonces, denotaban una tendencia a relacionar todo aquello
negativo que ocurriera a las personas como una situacin que obedeca a un
castigo divino.
Ahora bien, existe una relacin importante entre lo que se entiende como
riesgo y lo que se entiende como peligro. Son dos trminos que no deben ser
entendidos como sinnimos, pues el riesgo se refiere a los peligros que nos
planteamos afrontar y evaluar activamente 1. Actualmente existe una
conciencia mayor acerca de la existencia del riesgo, de sus consecuencias y de
las maneras en que puede tratarse. Una de las maneras de realizar ese
tratamiento est orientada a la transferencia de las consecuencias de tipo
econmico, por ejemplo, a partir de la suscripcin de una pliza ante un hecho
no controlable (terremoto).
No obstante, la concepcin de riesgos no solamente est relacionada con
aspectos negativos: Gracias a la asuncin de riesgos, la sociedad en muchas
ocasiones, ha soltado sus amarras con lo seguro para avanzar y desplegar sus
oportunidades. Es as como se comprende que el riesgo tiene una doble
acepcin, tanto negativa como positiva. De hecho, en algunas de las
metodologas o estndares existentes a nivel internacional, se plantea el riesgo
en esa doble concepcin. 2
1

Giddens, Anthony. The Third Way. The Renewal of Social Democracy, 1998 p.
64.
2
Riesgo: la posibilidad de que suceda algo que tendr un impacto sobre los
objetivos. Se lo mide en trminos de consecuencias y probabilidades.
(Estndar Australiano Neozelands AS/NZ 4360:1999) p. 5.

Pgina2
Pgina2

2.

Objetivos de
Gestin de
Riesgos

Pgina3
Pgina3

2.

Objetivos

de

la

Gestin de Riesgos
2.1. OBJETIVO GENERAL
Establecer buenas prcticas en materia de riesgos, mostrando la interaccin que
tiene la administracin de riesgos con aspectos tales como: Direccionamiento
estratgico, Actividades de Control y Acciones Preventivas, a partir del desarrollo
de las respectivas fases para su gestin.

2.2. OBJETIVOS ESPECFICOS

Plantear la interaccin de la gestin de riesgos con elementos que son
pilares de la operacin de las organizaciones; tales como la plataforma
estratgica, el modelo de operacin por procesos y las polticas de
gestin.
Identificar buenas prcticas en materia de gestin de riesgos, a nivel
nacional e internacional.
Definir los fundamentos de la gestin de riesgos, entendida como un
proceso estructurado y sistemtico.
Caracterizar las fases de la gestin de riesgos, as como establecer un
comparativo de las diferentes metodologas nacionales e internacionales
en cada una de las mismas, permitiendo al estudiante desarrollar en los
distintos niveles del saber:

Pgina4
Pgina4

3.

Conceptos
Bsicos
Pgina5
Pgina5

3.

Conceptos Bsicos

A continuacin se presenta un glosario tcnico detallado de la terminologa

empleada en la administracin del riesgo:
1.

Activo: Todo
protegido.

aquello que tiene valor para la organizacin y debe ser

2.

Adaptabilidad: Habilidad para ajustarse a cambios presentados en el

ambiente de una persona o grupo de personas. Dicha habilidad se genera
normalmente, en la bsqueda de mantener la supervivencia.

3.

Administracin del riesgo: la cultura, procesos y estructuras que estn

dirigidas hacia la administracin efectiva de oportunidades potenciales y
efectos adversos. 3

4.

Alarma: Un mecanismo utilizado para prevenir o advertir de un hecho que

est prximo a ocurrir.

5.

Alerta: Un mecanismo de notificacin de la ocurrencia de un hecho o

incidente, que puede convertirse en una situacin no deseada o desastre.

6.

Anlisis de riesgo: Elemento de Control que permite establecer la

probabilidad de ocurrencia de los eventos positivos y/o negativos y el
impacto de sus consecuencias, calificndolos y evalundolos a fin de
determinar la capacidad de la entidad para su aceptacin y manejo. 4
Uso sistemtico de la informacin disponible para determinar cuan

Estndar australiano neozelands de Administracin de riesgos. AS/NSZ

4360:1999. Pgina 3.
4
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA Y USAID. Manual
de Implementacin del Modelo de Control Interno para el Estado Colombiano
MECI 1000:2005. Pgina 33. Marzo de 2006.

Pgina6
Pgina6

frecuentemente pueden ocurrir eventos especificados y la magnitud de

sus consecuencias. 5
7.

Amenaza: Causa potencial de un incidente no deseado, capaz de generar

dao en una organizacin o entidad.

8.

rea de Impacto: Es el conjunto de recursos o bienes al cual la entidad

asigna un valor y su afectacin podra comprometer el cumplimiento de
los objetivos de la organizacin. Pueden ser financieras, de recursos
humanos, de imagen, entre otras.

Estndar australiano neozelands de Administracin de riesgos. AS/NSZ

4360:1999. Pgina 3.

Pgina7
Pgina7

9.

Autoevaluacin del Control: Elemento de Control que basado en un

conjunto de mecanismos de verificacin y evaluacin, determina la
calidad y efectividad de los controles internos a nivel de los procesos y de
cada rea organizacional responsable, permitiendo emprender las
acciones de mejoramiento del control requeridas.6

10.

Control: Son los mecanismos que emplea la organizacin o entidad para

minimizar o eliminar los riesgos y/o mejorar oportunidades. Se visualizan
a travs de polticas, procedimientos y sus controles, niveles de
responsabilidad en la estructura organizacional, sistematizacin de
actividades, entre otras.
Pueden ser preventivos, detectivos o correctivos.

11.

Consecuencia: El resultado de un evento expresado de manera cualitativa

o cuantitativa, sea positivo o negativo. De un solo evento se pueden
generar varios resultados.

12.

Contexto: El contexto es el medio ambiente en el que se desarrollan las

actividades de la entidad. En la administracin de riesgos se establece un
contexto estratgico que es el marco de referencia que permite
identificar la situacin actual y futura deseada de la organizacin, a
partir de la comprensin de la misin y la visin. Igualmente, y en este
sentido, el contexto estratgico plantea la situacin diagnstica de la
organizacin, empleando herramientas con la matriz FODA (Fortalezas,
Oportunidades, Debilidades y Amenazas). As, se establece un vnculo
entre la Administracin de Riesgos y la plataforma estratgica de la
organizacin.

13.

Evaluacin del Riesgo: Proceso utilizado para determinar las prioridades

de la Administracin del Riesgo, al comparar el nivel de un riesgo versus
un parmetro de aceptacin de riesgos preestablecido.

14.

Evento: Incidente o situacin, que ocurre en un lugar determinado

durante un periodo determinado, bajo unas circunstancias determinadas.
Puede preverse o puede ser incierto.

15.

Evitar el riesgo: Decisiones encaminadas a prevenir la materializacin del

riesgo. Es siempre la primera alternativa a considerar.

16.

Frecuencia: Medida de la repeticin de la ocurrencia de un evento,

expresado como la cantidad de veces que haya ocurrido o que pudiera
ocurrir, en un perodo de tiempo dado.

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA Y USAID. Manual

de Implementacin del Modelo de Control Interno para el Estado Colombiano
MECI 1000:2005. Pgina 60. Marzo de 2006.

Pgina8
Pgina8

17.

Identificacin de riesgos: Elemento de Control, que posibilita conocer los

eventos potenciales, estn o no bajo el control de la Entidad Pblica, que
ponen en riesgo el logro de su Misin, estableciendo los agentes
generadores, las causas y los efectos de su ocurrencia. 7 Se entiende
como el proceso para definir qu podra suceder, las causas por las que
podra suceder y de qu manera se generara el hecho.

18.

Impacto: Se entiende como las consecuencias que pueden ser generadas a

la entidad al materializarse un riesgo.

19.

Mitigacin: Hace referencia a la actividad encaminada a la aplicacin de

controles para reducir las probabilidades de ocurrencia de un evento, o su
impacto sobre la organizacin. La disminucin de la probabilidad de
ocurrencia es, normalmente, la manera ms sencilla y eficiente para
superar las amenazas.

20.

Monitorear: comprobar, supervisar, observar crticamente, o registrar el

progreso de una actividad, accin o sistema en forma sistemtica para
identificar cambios. Es un proceso sistemtico, a travs del cual se
verifica la efectividad de lo que se est realizando (objetivo estratgico,
tctico, proceso, procedimiento, proyecto, actividad, etc.). Lo anterior,
orientando a tomar las medidas correctivas para lograr los resultados
esperados.

21.

Prdida: Consecuencia negativa, financiera o de otro tipo que trae

consigo un evento.

22.

Prevencin de Riesgos: Acciones que se disean e implementan,

orientadas a la prevencin de los riesgos.

23.

Probabilidad: Se mide como la proporcin de eventos o resultados

especficos con relacin a la cantidad total posible de eventos o
resultados. Se indica en trminos porcentuales de 0% a 100%, siendo 100%
un evento que con certeza ocurrir.

24.

Riesgo: Es la posibilidad de que suceda algo que tendr un impacto sobre

los objetivos. Se mide en trminos de consecuencias y probabilidades. 8

25.

Riesgo Absoluto Inherente: Es el riesgo que se evala sin tener en

cuenta la existencia ni el efecto de los controles asociados a los riesgos o
sus causas.

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA Y USAID. Manual

de Implementacin del Modelo de Control Interno para el Estado Colombiano
MECI 1000:2005. Pgina 33. Marzo de 2006.
8
Estndar australiano neozelands de Administracin de riesgos. AS/NSZ
4360:1999. Pgina 5.

Pgina9
Pgina9

26.

Riesgo Aceptable: Es aquel que la administracin decide asumir o tolerar,

de manera deliberada, o a partir de la definicin de unos parmetros
genricos contra los que se comparan los riesgos identificados.

27.

Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas

de tratamiento de riesgo. 9

28.

Transferir Riesgos: Cambiar la responsabilidad o carga por las prdidas a

una tercera parte mediante legislacin, contrato, seguros u otros medios.
Transferir riesgos tambin se puede referir a cambiar un riesgo fsico, o
parte el mismo a otro sitio. 10

29.

Tratamiento de riesgos: seleccin e implementacin de opciones

apropiadas para tratar el riesgo. 11 Esto implica la definicin, evaluacin
e implementacin de opciones de tratamiento.

30.

Servicio de Tecnologa: Segn ITIL (mejor prctica de TI), es: Un medio

de entregar valor a los Clientes facilitando Resultados que los Clientes
quieren lograr sin la propiedad de Costes y Riesgos especficos. 12

31.

Stakeholders Partes interesadas: Personas u Organizaciones que

pueden afectar o verse afectadas por la gestin de una entidad.
Ejemplos: clientes, proveedores, ciudadana, accionistas, funcionarios,
etc.

32.

Valoracin del riesgo: Elemento de Control, que determina el nivel o

grado de exposicin de la entidad al impacto del riesgo, permitiendo
estimar las prioridades para su tratamiento.13

Estndar australiano neozelands de Administracin de riesgos. AS/NSZ

4360:1999. Pgina 5.
10
Estndar australiano neozelands de Administracin de riesgos. AS/NSZ
4360:1999. Pgina 5.
11
Estndar australiano neozelands de Administracin de riesgos. AS/NSZ
4360:1999. Pgina 5.
12
ITIL V.3
13
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA Y USAID. Manual
de Implementacin del Modelo de Control Interno para el Estado Colombiano
MECI 1000:2005. Pgina 34. Marzo de 2006.

Pgina10
Pgina10

1. Tome como referencia las actividades que usted desarrolla antes de salir
de su casa a su trabajo y liste tres situaciones que usted prevea para
evitar la materializacin de riesgos:

2. Por favor relacione los ejemplos dados en la columna de la derecha, con

los trminos planteados en la columna de la izquierda:
N.

TRMINO
Riesgo
Causa del riesgo

Tratamiento de riesgos
Consecuencia del riesgo
Probabilidad de ocurrencia

EJEMPLO
Tomo mejor un abrigo y llevo
la sombrilla
El agua se evapora de la
superficie de la tierra, se enfra
y condensa, generando las
nubes, luego por el peso se
precipitan las gotas.
Lluvia
Ha llovido 4 das de cada 5 en
las ltimas 8 semanas
Resfriados, gripe

Pgina11
Pgina11

4.

INTERACCIN CON EL
PLAN ESTRATGICO Y
EL MODELO DE
OPERACIN DE LA
ENTIDAD

Pgina12
Pgina12

4.

INTERACCIN

CON

EL PLAN ESTRATGICO Y
EL
MODELO
DE
OPERACIN
DE
LA
ENTIDAD
4.1 GENERALIDADES
La gestin de riesgos tiene relacin con el plan estratgico y el modelo de
operacin de la entidad, dado que stos generan productos que deben ser
controlados y que sern Objetos de Anlisis.
Qu es un objeto de anlisis?
Un objeto de anlisis, es el elemento unitario que se toma para el estudio de
riesgos. Un objeto de anlisis puede ser:

Ilustracin 1 Objeto de Anlisis

Independientemente del objeto de anlisis que se tome, la metodologa

empleada para la gestin de riesgos debe ser aplicable en las mismas
condiciones.

Pgina13
Pgina13

Ahora bien, de cada uno de los objetos de anlisis anteriormente planteados, se

debe identificar una serie de atributos que los caracterizan. A continuacin se
presentan aspectos mnimos a tener en cuenta como referencia antes de iniciar
un anlisis de riesgos: CONOCER EL OBJETO DE ANLISIS

Ilustracin 2 Conocer el Objeto de Anlisis

Una organizacin puede realizar un anlisis de riesgos a diferentes niveles, esto

es a nivel estratgico, tctico y operativo.

A continuacin se revisa este concepto y cules objetos de anlisis estn

enmarcados en cada uno de los niveles:

Pgina14
Pgina14

Ilustracin 3 - Como la Administracin de riesgos se nutre de la informacin

del plan estratgico

Esta contextualizacin permite abordar entonces la manera en que la

administracin de riesgos se nutre de la informacin proveniente del Plan
Estratgico o la plataforma estratgica de la entidad, tomando como insumo el
Anlisis de Contexto proveniente de l.

4.2

INTERACCIN
ESTRATGICO

CON

EL

PLAN

La gestin de riesgos tiene relacin con el plan estratgico y el modelo de

operacin de la entidad, dado que stos generan productos que deben ser
controlados y que sern Objetos de Anlisis.

Pgina15
Pgina15

4.2.1 INTERACCIN CON EL ANLISIS DE CONTEXTO

FODA.
La administracin de riesgos inicia con la recepcin, como insumo, de un anlisis
de contexto.
En el mdulo de Planeacin Estratgica, se han desarrollado, entre las tcnicas
de diagnstico de la situacin de una organizacin, el anlisis de contexto, bajo
la metodologa FODA ( DOFA, como acrnimo alternativo). Dicha herramienta
diagnstica tiene una doble funcin:

Ilustracin 4 - La interaccin entre Planeacin Estratgica - Administracin de

Riesgos

Es importante anotar entonces, que el insumo inicial es el mismo que se haya

producido en el ejercicio de Planeacin Estratgica.
Los pasos a seguir, en trminos de definir el contexto estratgico y
organizacional, son los siguientes:

Pgina16
Pgina16

Ilustracin 5 - Pasos para definir el Contexto Estratgico

4.2.2.

LOS OBJETIVOS ESTRATGICOS

COMO OBJETOS DE ANLISIS

Y TCTICOS

Tal como se observa en el Mdulo de Planeacin Estratgica, debe existir una

articulacin entre el Plan Estratgico institucional, a nivel de objetivos, con los
acuerdos de gestin de los gerentes pblicos y los objetivos de las dependencias
(Nivel tctico).
Los objetos de anlisis que se toman provenientes del nivel estratgico y tctico
son los siguientes:

Pgina17
Pgina17

Ilustracin 6 Objetos de Anlisis provenientes del Nivel Estratgico y Tctico

Cuando se toman en consideracin los objetivos estratgicos como objetos de

anlisis de riesgos, es necesario entender que cada uno de ellos es susceptible de
no ser logrado, debido a una serie de riesgos. Desde ese punto de vista, el
anlisis se debe fundamentar en un entendimiento completo e integral del
objetivo estratgico, comprendiendo su relevancia en el Plan Estratgico y su
interaccin horizontal con otros objetivos estratgicos, a nivel de dependencia
de uno sobre otro, as:

OBJETIVO
ESTRATGICO 1

Se
Se requiere
requiere
para
para
Requiere
Requiere de
de

OBJETIVO
ESTRATGICO X

No
No existe
existe relacin
relacin
causal
causal
Ilustracin 7 Relacin Causa entre Objetivos Estratgicos

Como se observa, puede haber una relacin causal de uno sobre otro, o
simplemente no haber ninguna relacin.
Un objetivo tctico nace del despliegue de un objetivo estratgico a un gerente
pblico o un rea en particular.

Pgina18
Pgina18

En este sentido, se da la relacin causal, que es de arriba hacia abajo, de la

siguiente manera:
OBJETIVO
ESTRATGICO 1

OBJETIVO

OBJETIVO

TCTICO
n
TCTICO
m
Ilustracin 8 - Objetivo
Estratgico
como depende
los objetivos
tcticos
asociados
En este sentido, el objetivo estratgico, al desplegarse, depende de los objetivos
tcticos asociados. A su vez, entre los objetivos tcticos puede tambin existir
una relacin de causa-efecto entre s.
Finalmente, si el objeto de anlisis es un proyecto, ste puede estar relacionado
con otros proyectos tambin a nivel de causa-efecto.

4.2.3 CMO ARTICULAR LA POLTICA DE RIESGOS?

En el mdulo de Planeacin Estratgica, en la unidad de Relacin entre el Plan
Estratgico y las Polticas de Gestin, se plantea la manera en que se construye
una Poltica de Gestin, siendo una de las tipologas de Polticas, la de Riesgos.
En este numeral no se establece cmo se construye, sino de qu manera se debe
articular la poltica de riesgos con la organizacin.
La manera en que se articula la poltica de riesgos, es garantizando la armona y
coherencia entre lo que plantean las polticas generales de la entidad que
eventualmente tengan relacin con el tema (por la manera en que se hayan
definido) y dos aspectos fundamentales en la administracin de riesgos: Por un
lado, los parmetros de aceptacin o no de los riesgos y, por otro lado, lo que se
defina en la etapa de tratamiento de riesgos.

Pgina19
Pgina19

4.3

INTERACCIN CON EL MODELO DE

OPERACIN DE LA ENTIDAD

4.3.1

LOS PROCESOS Y PROCEDIMIENTOS

OBJETOS DE ANLISIS

COMO

El modelo de operacin de la entidad define, como se plantea en el Mdulo de

Control Estratgico, varios niveles de desagregacin de los procesos de la
entidad: a nivel de cadena de valor (macroprocesos) o mapa de procesos (como
se conoce en algunas entidades) y posteriormente a niveles de desagregacin
ms detalladas como procesos y subprocesos. Sus grados de documentacin
dependen de los lineamientos dados por la propia organizacin, lo importante es
que los procesos responden al qu?, mientras que los procedimientos responden
al cmo?
Estos dos elementos (procesos y procedimientos) hacen parte del modelo de
operacin y en cuanto a la administracin de riesgos, se encuentran como
objetos de anlisis de nivel operativo, toda vez que a partir de ellos se generan y
desarrollan las actividades particulares de la entidad.

Ilustracin 9 Nivel Operativo

Aparecen igualmente en este nivel los servicios tecnolgicos. Esto se debe a que
los sistemas de informacin deben soportar los procesos. Dichos sistemas, deben
ser diseados a partir de los procesos y procedimientos.

Pgina20
Pgina20

Los tres, procesos, procedimientos y servicios tecnolgicos

objetos de anlisis de riesgos, dado que es a travs de stos
entregan valor a sus clientes y son los ms susceptibles en
porque estn constituidos especficamente por actividades
desarrollan los funcionarios y funcionarias, estando o no
convierten los insumos en productos o servicios finales.

4.3.2

se convierten en
que las entidades
una organizacin,
que son las que
sistematizados y

CMO ARTICULAR LA POLTICA DE OPERACIN Y

LA DE RIESGOS?

Al igual que en el nivel estratgico y tctico, a nivel operativo tambin se

establecen y definen polticas, que deben estar armonizadas con dos aspectos:

Ilustracin 10- Articulacin entre poltica de la Organizacin y de Riesgos

Pgina21
Pgina21

La manera como se articula se debe dar en los dos niveles: Por un lado,
garantizando la coherencia con las dems polticas de gestin y por otro lado,
garantizando que est acorde con las polticas y normatividad del modelo de
operacin, que aparece en las polticas de operacin de cada proceso.

Pgina22
Pgina22

5.

IDENTIFICACIN DE
BUENAS PRCTICAS EN
MATERIA DE GESTIN
DE RIESGOS

Pgina23
Pgina23

5.

IDENTIFICACIN

DE

BUENAS PRCTICAS EN
MATERIA DE GESTIN DE
RIESGOS
Los siguientes estndares nacionales e internacionales se tomaron como
referencias metodolgicas. En este captulo se plantean sus caractersticas ms
relevantes.

5.1 A NIVEL INTERNACIONAL

A nivel internacional se tomaron como referencia las siguientes metodologas en
materia de riesgos:

Ilustracin 11 Metodologas Internacionales de Riesgos

Pgina24
Pgina24

5.1.1 COSO

El informe COSO, es resultado de un grupo de trabajo, denominado The

Committee of Sponsoring Organizations of the Treadway Commission (COSO) y
tiene como objetivo, definir un nuevo marco conceptual de control interno capaz
de integrar las diversas definiciones y conceptos que se utilizan sobre este tema.
Consta de ocho componentes relacionados entre s, e incluyen la conduccin de
la empresa y la integracin de los procesos en el proceso de gestin.

Ilustracin 12 - Referencias COSO

Pgina25
Pgina25

El marco del COSO plantea los objetivos organizacionales en cuatro categoras

que son:

Objetivos estratgicos:
Relacionados con las metas de ms alto nivel, estando alineados y siendo
soporte de la misin de la entidad.

Objetivos de Operaciones:
Relacionados con el uso eficiente y eficaz de los recursos de la entidad.

Objetivos de Informacin:
Relacionados con la confiabilidad y seguridad de la informacin que
reporta la entidad.

Objetivos de Cumplimiento:
Relacionados con el cumplimiento de la ley y reglamentos que tiene la
entidad.

stos se cruzan con los diferentes niveles organizacionales (entidad, divisin,

unidad de negocio y filial).
Al cruzar las tres variables, se observa su cruce en una vista tridimensional,
donde estn los componentes, las categoras de objetivos, o aquello en lo que la
entidad concentrar sus esfuerzos y finalmente, los niveles o divisiones
organizacionales en que se hace transversal toda la gestin del riesgo.

Pgina26
Pgina26

Ilustracin 13 - Referencias COSO II

El COSO plantea el concepto de ERM (Enterprise Risk Management) o Gestin de

Riesgo Corporativo y lo define como un proceso, realizado por personal el de la
compaa a nivel de gobierno (juntas directivas), la gerencia y otro personal, que
es aplicado en la definicin de la estrategia y a travs de la organizacin y est
diseado para: identificar posibles eventos que puedan afectar la entidad y
gestionar riesgos, de tal suerte que se encuentren dentro de su riesgo permisible
y proporcionen una seguridad razonable dentro del logro de sus objetivos.

Caractersticas de los diferentes componentes:

Ilustracin 14 - Caractersticas de los componentes del COSO

Pgina27
Pgina27

5.1.2

ESTNDAR AUSTRALIANO/NEOZELANDS AS/NZS: 4360

Creado por el Comit OB/7 de la junta de estndares de Australia y Nueva

Zelanda en el ao 1999, sobre administracin de riesgos como una revisin de
AS/NZ 4360:1995 Administracin de Riesgos.
Los elementos principales del proceso de gestin de riesgo, son los siguientes:

Establecer el contexto estratgico, organizacional y de administracin del

riesgo.
Identificar y analizar los riesgos.
Determinar los controles existentes y los riesgos analizados en trminos
de consecuencia y probabilidad una vez aplicados los controles.
Comparar los niveles de riesgo contra los criterios preestablecidos.
Tratar, aceptar y monitorear los riesgos.
Comunicar al personal interno y terceros a la organizacin la gestin de
riesgo realizada.

El estndar australiano neozelands AS/NZS:4360 concibe la administracin de

de riesgos como un proceso con los siguientes pasos:

I D

i t

i o

i n

l a

t i

t u

i e

l l o

t r

l a

t e

I M

t e

t o

I n

t o

t o

I E

I S

I S

i c

t e

t i f i c

l o

l e

i s

t e

i n

l a

i n

l a

i a

i b

i l i d

t e

i n

i v

i e

I T

t a

t r

i t

i o

l e

i o

i d

l o

t a

i e

i e

t r

t i f i c

l u

i e

l i z

i o

i m

i o

l e

I E

t a

i e

l a

t o

l u

i d

Ilustracin 15 - Proceso de Administracin de Riesgos

segn AS/NZS:4360

Pgina28
Pgina28

5.1.3 PROJECT MANAGEMENT INSTITUTE

PMI es una entidad sin nimo de lucro que busca aportar las mejores prcticas en
la gestin de proyectos.
Segn el PMBOK Guide 4a Edicin (2008)14, un proyecto tiene las siguientes
caractersticas:

Un proyecto intenta dar solucin a un problema (cubrir una necesidad).

Es temporal
Es nico en el tiempo y no repetible bajo las mismas circunstancias
Conlleva incertidumbre
Consume recursos: Tiempo, dinero, materiales y trabajo.

Se plantean 6 etapas para la gestin de riesgos en proyectos:

Ilustracin 16 - Etapas Gestin de Riesgos

Una caracterizacin de estas etapas, en funcin de entradas y salidas es la

siguiente:
ENTRADAS
Declaracin
de
alcance
del
proyecto15
Plan de gestin de costos
Plan de gestin de cronograma
Plan de gestin de comunicaciones
Factores
ambientales
de
la
organizacin (Tolerancias a riesgos)
Activos
de
procesos

ETAPA
Realizar la planeacin de
gestin de riesgos

SALIDAS
Plan de gestin de riesgos

14

PMBOK: Project Management Body of Knowledge

La Declaracin de Alcance es un documento que se elabora durante la
iniciacin del proyecto y contiene el alcance del proyecto y producto, los
entregables, los criterios de aceptacin, los supuestos y restricciones.
15

Pgina29
Pgina29

ENTRADAS
organizacionales (categoras de
riesgos,
plantillas,
roles
y
responsabilidades)
Plan de gestin de riesgos
Estimados de costos de actividades
Estimados
de
duracin
de
actividades
Lnea base de alcance
Registro de stakeholders16
Plan de gestin de costos
Plan de gestin de cronograma
Plan de gestin de calidad
Documentos del proyecto
Factores
ambientales
de
la
organizacin (Estudios publicados,
Listas de chequeo)
Activos
de
procesos
organizacionales
(Archivos
de
proyecto, plantillas, lecciones
aprendidas)
Registro de riesgos
Plan de gestin de riesgos
Declaracin
de
alcance
del
proyecto
Activos
de
procesos
organizacionales
(Informacin
histrica)
Registro de riesgos actualizado
Plan de gestin de riesgos
Plan de gestin de costos
Plan de gestin de cronograma
Activos
de
procesos
organizacionales
(Informacin
histrica)

Plan de gestin de riesgos

Riesgos priorizados
Calificacin de los riesgos del
proyecto
Lista
priorizada
de
riesgos
cuantificados
Anlisis probabilstico del proyecto
Probabilidad de alcanzar los
objetivos de costo y tiempo
Lista de respuestas potenciales
Umbrales de riesgos
Dueos de los riesgos
Causas comunes de los riesgos
Tendencias de resultados de
anlisis cualitativo y cuantitativo
de los riesgos
Registro de riesgos
Plan de gestin del proyecto

ETAPA

Identificar los riesgos

SALIDAS

Registro de riesgos (Lista de

riesgos identificados, Lista
de posibles respuestas)

Realizar
el
anlisis Calificacin general de los
cualitativo de riesgos
riesgos del proyecto
Riesgos priorizados
Riesgos para anlisis y
administracin adicional
Tendencias de resultados de
anlisis cualitativo de los
riesgos
Realizar
el
anlisis Lista priorizada de riesgos
cuantitativo de riesgos
cuantificados
Anlisis probabilstico del
proyecto
Probabilidad de alcanzar los
objetivos de costo y tiempo
Tendencias de resultados de
anlisis cuantitativo de los
riesgos
Realizar la planeacin de Plan de respuesta a riesgos
respuesta a riesgos
Riesgos residuales
Riesgos secundarios
Acuerdos contractuales
Reservas de contingencias
Plan de gestin del proyecto
actualizado
Documentos del proyecto
actualizados

Realizar monitoreo
control de riesgos

y Requerimientos de cambios
al
proyecto
(acciones

16

Stakeholders: Personas u organizaciones activamente involucradas en el

proyecto y cuyos intereses pueden ser positivamente o negativamente
afectados por la ejecucin del mismo.

Pgina30
Pgina30

ENTRADAS
Informacin de desempeo
trabajo

ETAPA
del

SALIDAS
preventivas y correctivas)
Actualizaciones al plan de
respuesta al proyecto
Bases de datos de riesgos
Actualizaciones a la lista de
chequeo de identificacin de
riesgos
Plan de gestin del proyecto
actualizado
Documentos del proyecto
actualizados

5.1.4 COBIT MODELO DE GOBIERNO DE TI

COBIT es el acrnimo para Control Objectives for Information and related

Technology. Fue creado en 1996 y actualizado en 2000.
Busca desarrollar un conjunto de objetivos de control en tecnologas de
informacin y est orientado a negocios. Indica que los recursos de TI deben
administrarse por un conjunto de procesos.
Los procesos que administran los recursos de TI, pueden agruparse en cuatro
dominios:

Ilustracin 17 - Dominio IT

Pgina31
Pgina31

SOPORTADO EN LOS PROCESOS:

Ilustracin 18 - Procesos que soportan Dominio IT

La gestin de riesgo en COBIT se desarrolla a partir de un captulo denominado

Risk IT que funciona como una extensin de la prctica de COBIT, lo que
implica que est alineado con los requerimientos y estrategia del negocio.
La gestin de riesgos en COBIT (RISKIT) se da en tres dominios:

Ilustracin 19 - Dominios de Risk IT como herramienta del COBIT

Pgina32
Pgina32

5.1.5 MAGERIT 2.0

Magerit significa Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de

Informacin y fue creado por el Consejo Superior de Administracin Electrnica.
Sus objetivos17 son:

Crear conciencia a los responsables de los sistemas de informacin de la

existencia de riesgos y de la necesidad de tratarlos a tiempo.
Ofrecer un mtodo sistemtico para analizar los riesgos anteriormente
mencionados.
Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control.
Apoyar a la entidad en la preparacin de procesos de evaluacin,
auditora, certificacin o acreditacin, segn corresponda en cada caso.

Magerit es una metodologa especficamente diseada para trabajar el tema de

riesgos en sistemas de informacin.
Est planteado en dos fases diferentes, y a continuacin se describen sus pasos
especficos:

Ilustracin 20 - Etapas y pasos de Magerit

17

http://www.csi.map.es/csi/pg5m20.htm

Pgina33
Pgina33

5.2 A NIVEL NACIONAL

A nivel nacional se tomaron como referencia las siguientes metodologas en
materia de riesgos:

Ilustracin 21 - Metodologas Nacionales de Riesgos

5.2.1 NTC-5254 ICONTEC

Esta norma es una adopcin idntica del estndar australiano AS/NZ 4360:2004,
que proporciona a cualquier organizacin pblica, privada o comunitaria, a
grupos e individuos una gua genrica para la gestin de riesgo y que logren:

Una gestin proactiva y no reactiva.

Asignacin y uso ms eficiente de los recursos.
Mejorar la direccin corporativa.
Una base ms rigurosa y confiable para la toma de decisiones y la
planificacin.
Mejor identificacin de las oportunidades y las amenazas.
Ganar valor a partir de la incertidumbre y la variabilidad.
Mejorar la gestin de incidentes y la reduccin en las prdidas y el costo
del riesgo, incluyendo primas de seguros comerciales.
Mejorar la confianza de las partes involucradas.
Mejorar la conformidad con la legislacin pertinente.

Pgina34
Pgina34

5.2.2

MECI (MODELO ESTNDAR DE CONTROL

INTERNO)

El Modelo Estndar de Control Interno para el Estado Colombiano MECI

1000:2005 proporciona la estructura bsica para evaluar la estrategia, la gestin
y los mecanismos propios de evaluacin del proceso administrativo, el cual
permite adaptar su estructura a cada entidad dependiendo de sus objetivos,
tamao, procesos, servicios y estructura.
El propsito de ste modelo es orientar a las organizaciones al cumplimiento de
sus objetivos y la contribucin de stos a los fines esenciales del Estado. Su
estructura est dada por tres subsistemas desagregados en componentes y
elementos de control as:

Ilustracin 22 - Componentes MECI

Pgina35
Pgina35

El MECI plantea a nivel de elementos, los pasos a seguir para la administracin

de riesgos.
Estos son:

Ilustracin 23 - Etapas de administracin de riesgo segn MECI

Pgina36
Pgina36

5.2.3 GUA ADMINISTRACIN DE RIESGO - DAFP

Cartilla creada en el ao 2001, con una actualizacin en 2009 (4 edicin),

orientada a la Gestin de Riesgo implementada en la Administracin del Estado.
Tiene como finalidad el fortalecimiento de la implementacin y desarrollo de la
poltica de administracin de riesgos, a partir de un adecuado tratamiento de los
mismos, buscando garantizar el cumplimiento de la misin y objetivos de la
entidad.
Tiene como objetivos especficos18, los siguientes:

La generacin de una visin sistmica de la administracin y evaluacin

de riesgos.
Proteger los recursos del Estado.
Introducir en los procesos y procedimientos acciones de mitigacin del
riesgo.
Lograr el compromiso de todos los servidores de cualquier entidad en la
bsqueda de acciones encaminadas a prevenir y administrar los riesgos.
Propender por la interaccin entre entidades y el mantenimiento de una
buena imagen y unas buenas relaciones.
Asegurar el cumplimiento de normas, leyes y regulaciones.

La metodologa propuesta por el DAFP toma como fundamento lo planteado por

el Modelo Estndar de Control Interno, pero lo desarrolla de la siguiente manera:

18

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA Y USAID. Gua de

Administracin del riesgo. Pgina 13. 2009.

Pgina37
Pgina37

FASE DAFP
Contexto estratgico
Identificacin de riesgos
Anlisis de riesgos

Valoracin de riesgos

FASE DAFP
Poltica de riesgos
Monitoreo

PASO DAFP
Contexto estratgico
Contexto organizacional
Administracin de riesgos
Identificacin de riesgos
Determinacion de probabilidad
Determinacin de impacto
Estimacin de nivel de riesgo (Calificacin del riesgo)
Evaluacin del riesgo
Identificacin de controles existentes
Verificacin de efectividad de controles existentes
Establecimiento de prioridades de tratamiento

PASO DAFP
Definicin de opciones de tratamiento de riesgos
Formulacin de la poltica
Monitoreo

5.3 RESUMEN DE NORMOGRAMA Y

ESTNDARES
A continuacin se presenta, en una lnea de tiempo: el normograma y los
estndares a nivel nacional e internacional a que se ha hecho referencia en este
captulo, relacionados con el tema de riesgos:

RESUMEN DE NORMOGRAMA Y ESTNDARES

Ilustracin 24 - Normogramas y Estndares

Pgina38
Pgina38

1. De acuerdo con lo establecido en trminos de las diferentes

metodologas, por favor realice el siguiente anlisis:
CRITERIO

Metodologa de
riesgos segn PMI

Metodologa
RISKIT (de COBIT)

Metodologa
AS/NZS:4360

Objetivo
Mejor aplicacin
de la metodologa
Etapas que
propone la
metodologa
Actividades de la
metodologa
Principales
ventajas
Principales
desventajas
Objeto de anlisis
ms apropiado
para su
aplicacin
2. Determine las principales diferencias en cuanto a la aplicacin de las
siguientes metodologas:
ASPECTO A
ANALIZAR
Etapas que
propone la
metodologa
Principales
ventajas
Principales
desventajas

Metodologa de
DAFP

Metodologa MECI

Metodologa NTC
5254

Pgina39
Pgina39

6.

APLICACIN DE LA
GESTIN DE RIESGO
EN EL CSJ - SALA
ADMINISTRATIVA

Pgina40
Pgina40

6.

APLICACIN DE LA

GESTIN DE RIESGO EN EL
CSJ
SALA
ADMINISTRATIVA
La gestin de riesgos en los diferentes procesos permite a las entidades
desarrollar sus actividades de una manera ms segura y controlada. Ello genera
confianza por parte de la comunidad a quien se presta el servicio, mayores
sensaciones y percepciones de seguridad frente al quehacer de la entidad y por
lo tanto un mejor relacionamiento, una mejor imagen y un mayor acercamiento
a los objetivos trazados.
Lo anterior exige una mirada hacia el interior del CSJ SALA ADMINISTRATIVA,
con relacin a su gestin de riesgos. Realizar un anlisis a conciencia y prctico
de la manera como se realiza esta gestin, permite tener una lnea base o punto
de partida para su propio mejoramiento.

6.1 FUNDAMENTOS
Se ha observado que existe un sinnmero de estndares para la gestin de
riesgos. No obstante, es necesario en este punto traer a detalle la que es
empleada por el Consejo Superior de la Judicatura Sala Administrativa.
Dadas las caractersticas de la entidad, el Consejo Superior de la Judicatura
Sala Administrativa decidi implementar la Metodologa de Gestin de Riesgos
propuesta por el Departamento Administrativo de la Funcin Pblica (DAFP) 19.

6.1.1 COMPROMISO DE LA ALTA Y MEDIA DIRECCIN

Existe un doble papel por parte de la direccin de la entidad:

Ilustracin 25 Papel de la direccin en la administracin de riesgos

19

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Gua de

Administracin del riesgo. Pgina 13. 2009.

Pgina41
Pgina41

6.2 PASOS DE LA GESTIN DE RIESGOS

La gestin de riesgos, en trminos de prcticas referentes a nivel nacional e
internacional tiene diferentes maneras de agruparse y diferentes maneras de
desarrollarse.
Los estndares internacionales prevn 3 Etapas, compuestas por una serie de
fases, tal como se observa a continuacin:

Ilustracin 26 - Etapas del Riesgo en estndares internacionales

No obstante lo anterior, el proceso planteado por el MECI y el DAFP en su Gua de

Administracin del riesgo, contemplan como pasos los mismos elementos del
MECI.
Estos pasos son:

Ilustracin 27 - Pasos planteados en la metodologa del DAFP y el MECI

Pgina42
Pgina42

La relacin entre las fases de los estndares internacionales y el del DAFP, es la

siguiente:
ETAPA

DIAGNSTICO

ESTNDAR INTERNACIONAL
Establecimiento de contexto
Establecimiento de parmetros
Identificacin de riesgos
Anlisis de riesgos
Evaluacin de riesgos
Acciones preventivas
Acciones correctivas
Planes de mitigacin
Monitoreo

TRATAMIENTO

MONITOREO

METODOLOGA DAFP
Contexto estratgico
Identificacin de riesgos
Anlisis de riesgos
Valoracin de riesgos
Poltica de riesgos
Monitoreo

El CSJ - SALA ADMINISTRATIVA toma como base entonces como referencia la

metodologa del DAFP y realiza unas adecuaciones a la misma, de acuerdo con su
realidad organizacional y la manera en que administra el riesgo.
A continuacin se muestra la manera en que se relaciona la metodologa del
DAFP y la del CSJ - SALA ADMINISTRATIVA frente al tema de adminsitracin de
riesgo:
FASE DAFP

PASO DAFP

PASO CSJ - SALA

ADMINISTRATIVA

Contexto
estratgico

Contexto estratgico
Contexto organizacional
Administracin de riesgos

Determinar
el
contexto
Estratgico del Proceso

Identificacin de
riesgos

Identificacin de riesgos

Identificacin de riesgos
Priorizar causas

Anlisis de
riesgos

Valoracin
riesgos

de

Poltica
riesgos

de

Monitoreo

Determinacion de probabilidad
Determinacin de impacto
Estimacin de nivel de riesgo
(Calificacin del riesgo)
Evaluacin del riesgo
Identificacin
de
controles
existentes
Verificacin de efectividad de
controles existentes
Establecimiento de prioridades
de tratamiento
Definicin de opciones de
tratamiento de riesgos
Formulacin de la poltica
Monitoreo

Calificar y evaluar los riesgos

antes de controles existentes

Valorar riesgos despus

controles existentes

de

Tratar y manejar el riesgo

DEFINICINDE POLTICAS
Monitoreo de riesgos
Monitoreo sistema de riesgos

Pgina43
Pgina43

Ahora bien, a continuacin se detallan los pasos en los que el CSJ - SALA
ADMINISTRATIVA desarrolla la gestin de sus riesgos. Se han incluido una serie de
ejercicios para la comprensin de cada paso.
El orden de las actividades es como sigue:

Ilustracin 28 - Proceso de administracin del riesgo del CSJ - SALA ADMINISTRATIVA

Pgina44
Pgina44

6.3 REUNIN DE GRUPO OPERATIVO DEL

PROCESO
Para iniciar toda la gestin de riesgo en sus actividades es necesario que se rena
el grupo operativo del proceso y desarrolle las actividades aqu definidas.
En cada uno de los pasos subsiguientes se detallan actividades que afianzan el
conocimiento tcnico para la aplicacin de los mismos.

SUGERENCIA:
Es deseable que la escogencia del equipo operativo del
proceso que participe en la gestin de riesgos, tenga las
siguientes caractersticas:
1.
2.
3.
4.

Ser un equipo multidisciplinario.

Conocer el proceso completo.
Ser personal con alto criterio.
Ser personal objetivo, que base sus juicios en
hechos y datos.
5. Ser personal altamente comprometido con la
entidad.
6. Ser personal prudente en sus anlisis y en los
conceptos que emite.
7. El equipo que desarrolle la actividad de gestin de
riesgo debe saber que la identificacin de los
riesgos es necesaria, y en ningn momento debe
generar temor acerca de aquello que se encuentre
en las actividades.

Pgina45
Pgina45

6.4 ESTABLECIMIENTO DEL CONTEXTO

Teniendo en cuenta el proceso a analizar, se deben identificar las situaciones que
puedan afectar la operacin del proceso y el logro de su objetivo.

Se deben identificar amenazas (externas a la organizacin) y debilidades

(internas, propias de la organizacin) que potencialmente se convertirn en las
posibles causas generadoras de riesgos.

SUGERENCIA:
Para poder realizar
amenazas, se sugiere:

una

buena

identificacin

de

1. Considerar el entorno en que se desarrollan las

actividades de la entidad.
2. Identificar aspectos que pueden amenazar la
entidad en aspectos polticos, sociales y
econmicos.
3. Listar todas las partes interesadas EXTERNAS con
quienes se puede interactuar en el proceso y que
puedan ser causar amenazas al mismo. Tener en
cuenta: Clientes, proveedores, otras entidades,
otras ramas del poder pblico, ciudadana, entre
otras.

SUGERENCIA:
Para poder realizar una
debilidades, se sugiere:

buena

identificacin

de

1. Considerar aspectos estructurales que impiden el

logro de los objetivos de la organizacin o del
proceso en particular.
2. Algunas debilidades encontradas son comunes a
varios procesos.
3. Se debe evitar incorporar debilidades coyunturales
o de momento.

Pgina46
Pgina46

Tome como referencia uno de los procesos en los que

usted participa en el CSJ - SALA ADMINISTRATIVA y a partir
de su objetivo, determine el contexto estratgico de dicho
proceso.

DESARROLLE LAS SIGUIENTES ACTIVIDADES:

Pgina47
Pgina47

6.5 IDENTIFICACIN DEL RIESGO

Se debe tomar como referencia el Glosario de Riesgos que da precisin frente a
lo que quiere decir cada uno de los riesgos.

Durante la identificacin del riesgo, se deben identificar los principales riesgos.

De cada uno de ellos, se deben identificar las siguientes variables:
1. Descripcin del riesgo:
En este campo se debe realizar una breve descripcin del riesgo.

SUGERENCIA:
Inicie con una breve descripcin, y repsela luego de
determinar tanto causas como efectos, garantizando la
siguiente estructura:
<LOS EFECTOS>, ocurridos en las <CIRCUNSTANCIAS>,
debido
a
las
<CAUSAS>
por
los
<AGENTES
GENERADORES>

2. Causas Agentes generadores de los riesgos

En este campo se deben incorporar las causas y los agentes generadores
de los riesgos. Pueden darse varias causas.
3. Efectos.
Finalmente, se deben determinar los efectos o impactos que generan la
materializacin de los riesgos. Estos pueden estar dados por diversas
reas de impacto: Financiero, Reputacional, Recurso Humano, entre
otras.

Pgina48
Pgina48

Siguiendo con el proceso que se tom del SGC del CSJ SALA ADMINISTRATIVA y a partir de su objetivo, se
identificarn los riesgos especficos del mismo.

DESARROLLE LAS SIGUIENTES ACTIVIDADES:

Pgina49
Pgina49

6.6 PRIORIZACIN DE CAUSAS

Esta actividad se debe desarrollar teniendo en cuenta las causas identificadas
durante la fase anterior.

Se desarrolla a travs de la Tcnica de Grupo Nominal. Adicional, debe dejarse

constancia de la reunin en un Acta del Comit Operativo.
La Tcnica de Grupo Nominal se emplea en escenarios en los que los temas a
tratar generan controversias por parte de los participantes.
Por lo tanto, se hace necesario establecer una serie de parmetros en el diseo y
ejecucin de dicha actividad.

SUGERENCIAS:
1. Defina con claridad el problema que se va a
estudiar (en este caso, la priorizacin de causas de
los riesgos asociados con el proceso.
2. Cada individuo debe generar las ideas propias que
tenga de la temtica planteada. Debe ser un
tiempo corto de 5 a 10 minutos.
3. Se deben registrar las ideas de TODOS los
participantes. Como no se deben repetir causas, se
sugiere que se hagan varias rondas, para que cada
miembro pueda realizar sus aportes.
4. Si hay algo que no quede claro del registro de lo
que dijeron los participantes, se debe aclarar, para
darle el respectivo valor a cada causa.
5. Cada persona debe calificar de manera individual
con base en el listado global aportado por todo el
grupo.
6. Se debe realizar la puntuacin de cada causa para
determinar la priorizacin.
7. Se debe realizar el cierre de la sesin con la
votacin.

Pgina50
Pgina50

Realice con el equipo la priorizacin de las causas de los

riesgos del proceso que se tom para el ejercicio, realice
las actividades de acuerdo con lo planteado en la Tcnica
y deje los registros respectivos.

DESARROLLE LAS SIGUIENTES ACTIVIDADES:

Pgina51
Pgina51

6.7 CALIFICACIN Y EVALUACIN DE LOS

RIESGOS
ANTES
DE
CONTROLES
EXISTENTES
La calificacin y evaluacin de los riesgos antes de
controles existentes arrojan como resultado algo
denominado: Riesgo Inherente.

El Riesgo Inherente es el riesgo que existe, medido en trminos de probabilidad e

impacto, sin que se apliquen los controles existentes.
Las dos variables, probabilidad e impacto, se definen as:
1. PROBABILIDAD: Se mide como la proporcin de eventos o resultados
especficos con relacin a la cantidad total posible de eventos o
resultados. Se indica en trminos porcentuales de 0% a 100%, siendo 100%
un evento que con certeza ocurrir.
2. IMPACTO: Se entiende como las consecuencias que pueden ser generadas
a la entidad al materializarse un riesgo.

Probabilidad

stas dos variables se cruzan en una matriz, de la siguiente manera:

Casi
Certeza

Probable

Moderad
a

Improbab
2
le
Rara

Moderado

Moderado

Important
e

Inaceptabl Inaceptabl
e
e

Moderado

Moderado

Moderado

Important
e

Inaceptabl
e

Tolerable

Moderado

Moderado

Important
e

Important
e

Tolerable

Tolerable

Moderado

Moderado

Important
e

Aceptable

Tolerable

Moderado

Moderado

Moderado

10

15

30

Menor

Moderado
Impacto

Mayor

50
Catastrfi
co

5
Insignifica
nte

Ilustracin 29 Matriz de calificacin, evaluacin y respuesta a riesgos

Pgina52
Pgina52

Para desarrollar esta actividad de calificacin y evaluacin de los riesgos antes

de controles existentes, se deben analizar las dos variables, de manera
individual.

1. PROBABILIDAD:
Se califica como:

Rara (1)
Improbable (2)
Moderada (3)
Probable (4)
Casi Certeza (5)

Lo anterior, teniendo en cuenta el nmero de veces que el riesgo se ha

presentado en un tiempo determinado o puede presentarse, el riesgo y las
causas agentes generadores. La determinacin la da el grupo operativo,
de acuerdo con su conocimiento del proceso.
2. IMPACTO:
Se califica como:

Insignificante (5)
Menor (10)
Moderado (15)
Mayor (30)
Catastrfico (50)

Lo anterior, teniendo en
materializacin del riesgo.

cuenta

el

impacto

que

presenta

la

La calificacin de los riesgos se obtiene multiplicando la probabilidad y el

impacto y ubicando el riesgo en el cruce de las dos variables en la matriz.
La evaluacin del riesgo, corresponde al nombre de la zona en que se
ubique el riesgo (inaceptable, importante, moderado, tolerable o
aceptable).
nmero de veces que el riesgo se ha presentado en un tiempo
determinado o puede presentarse, el riesgo y las causas agentes
generadores. La determinacin la da el grupo operativo, de acuerdo con
su conocimiento del proceso.

Pgina53
Pgina53

Siguiendo con el proceso que se ha trabajado, realice la

calificacin y evaluacin del riesgo, antes de los controles
existentes.

DESARROLLE LAS SIGUIENTES ACTIVIDADES:

Pgina54
Pgina54

6.8 VALORACIN DE RIESGOS LUEGO DE

CONTROLES
La valoracin de riesgos despus de controles significa desarrollar la misma
actividad anterior, pero luego de controles.

El riesgo que se obtiene despus de este anlisis se conoce como RIESGO

RESIDUAL.

IMPORTANTE:
La PROBABILIDAD puede disminuir con un control efectivo;
mientras que rara vez el IMPACTO disminuye.
Tenga en cuenta que el IMPACTO solo disminuye en la
medida en que se garantiza la disminucin de la gravedad
del dao que pueda generar el riesgo.

SUGERENCIA:
Para valorar la disminucin de la probabilidad se deben
tomar en consideracin las caractersticas del control y de
su aplicacin.
1. No es lo mismo que el control sea correctivo,
detectivo o preventivo, esto es, que sea luego de
realizar la actividad, durante la actividad o
anterior a la actividad.
2. No es lo mismo que el control sea manual a que
sea automtico.
3. No es lo mismo que el control se aplique de
manera aleatoria a que se aplique todas las veces.
4. No es lo mismo que el control se encuentre
documentado o no.
Las anteriores consideraciones guan el anlisis, evitando
que sea de carcter subjetivo en la disminucin de la
probabilidad luego de aplicar el control.
Pgina55
Pgina55

Siguiendo con el proceso que se ha trabajado, realice la

valoracin del riesgo, despus de los controles existentes.

DESARROLLE LAS SIGUIENTES ACTIVIDADES:

Pgina56
Pgina56

6.9 TRATAMIENTO DE RIESGOS

El tratamiento de riesgos se da con el fin de generar o
bien acciones correctivas o bien acciones preventivas
en los riesgos identificados.

Estas acciones permiten:

Ilustracin 30 - Opciones Genricas de Tratamiento de Riesgos

Cada una de las opciones genricas tienen algunas alternativas factibles como:

Pgina57
Pgina57

IMPORTANTE:
Las acciones preventivas implementadas se convierten en
nuevos controles frente a los riesgos del proceso.
Las acciones preventivas, deben contener los planes de
contingencia, que la organizacin debe desarrollar en caso
de que los riesgos se materialicen.

Pgina58
Pgina58

Siguiendo con el proceso que se ha trabajado, realice el

tratamiento del riesgo.

DESARROLLE LAS SIGUIENTES ACTIVIDADES:

Pgina59
Pgina59

6.10 MONITOREO DE RIESGOS

El objetivo de esta etapa es verificar, supervisar o medir el estado de dos temas:
Por un lado del riesgo per s, y por otro lado del sistema de administracin de
riesgos.

6.10.1. MONITOREO SOBRE LOS RIESGOS

Teniendo en cuenta que los riesgos no permanecen estticos en el tiempo, toda
vez que se generan modificaciones en los procesos, las operaciones, el entorno,
las personas, los recursos, etc. es necesario verificar los siguientes aspectos:

Ilustracin 31 - Items a Monitorear

Pgina60
Pgina60

6.10.2 MONITOREO SOBRE EL SISTEMA DE

GESTIN DE RIESGOS
No solamente se debe mantener una revisin de los riesgos, sino de la
metodologa empleada.
Normalmente, estas revisiones se hacen a nivel de auditoras internas o procesos
de mejoramiento. Eventualmente las reas de control interno se encargan de
revisar la metodologa o el sistema de gestin de riesgos, verificando su eficacia;
aunque no son los llamados, por segregacin funcional, a generar acciones de
mejora sobre las mismas, para no perder su independencia a la hora de
valorarla.
Algunos aspectos a tener en cuenta:

Pgina61
Pgina61

BIBLIOGRAFA

Pgina62
Pgina62

BIBLIOGRAFA
CONSEJO SUPERIOR DE LA JUDICATURA SALA ADMINISTRATIVA. Manual de
Calidad. Imprenta Nacional de Colombia. ISBN: 978-958-8331-68-3. Bogot 2010.
130P.
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Manual de
Implementacin Modelo Estndar de Control Interno para el Estado Colombiano
MECI 1000:2005. Bogot: DAFP. 2006. 90 P.
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Gua de Administracin
del riesgo. Cuarta Edicin. Bogot: DAFP. 2009. 43 P.
Estndar Australiano. AS/NZS 4360:1999. Administracin de riesgos.
PROJECT MANAGEMENT INSTITUTE. Project Management Book Of Knowledge
(PMBOK ). V5.
Norma NTC-GP 1000:2009 Norma Tcnica de Calidad en la Gestin Pblica.

Pgina63
Pgina63

ANEXOS

Pgina64
Pgina64

ANEXO 1. NORMOGRAMA
Con relacin a los riesgos en la funcin administrativa, existe una regulacin en
el estado colombiano.
Entre estas normas son relevantes las siguientes:

Constitucin Poltica de Colombia 1991, artculos 209 y 269:

Artculo 209. La funcin administrativa est al servicio de los intereses

generales y se desarrolla con fundamento en los principios de igualdad,
moralidad, eficacia, economa, celeridad, imparcialidad y publicidad, mediante
la descentralizacin, la delegacin y la desconcentracin de funciones.
Las autoridades administrativas deben coordinar sus actuaciones para el
adecuado cumplimiento de los fines del Estado. La administracin pblica, en
todos sus rdenes, tendr un control interno que se ejercer en los trminos que
seale la ley.
Artculo 269. En las entidades pblicas, las autoridades correspondientes estn
obligadas a disear y aplicar, segn la naturaleza de sus funciones, mtodos y
procedimientos de control interno, de conformidad con lo que disponga la ley, la
cual podr establecer excepciones y autorizar la contratacin de dichos servicios
con empresas privadas colombianas.

Ley 87 de 1993, por la cual se establecen normas para el ejercicio del

control interno en las entidades y organismos del Estado y se dictan otras
disposiciones
Artculo 2 literal a) Proteger los recursos de la organizacin, buscando su
adecuada administracin ante posibles riesgos que los afectan
Artculo 2 literal f) Definir y aplicar medidas para prevenir los riesgos, detectar
y corregir las desviaciones que se presenten en la organizacin y que puedan
afectar el logro de los objetivos.

Ley 489 de 1998. Estatuto Bsico de Organizacin y Funcionamiento de la

Administracin Pblica.
Captulo VI. Por el cual se establece el Sistema Nacional de Control Interno y
cuyo objeto es integrar en forma armnica, dinmica, efectiva, flexible y
suficiente, el funcionamiento del control interno de las instituciones pblicas,
para que, mediante la aplicacin de instrumentos idneos de gerencia,
fortalezcan el cumplimiento cabal y oportuno de las funciones del Estado.
Pgina65
Pgina65


Decreto 2145 de 1999, por el cual se dictan normas sobre el Sistema
Nacional de Control Interno de las Entidades y Organismos de la Administracin
Pblica del Orden Nacional y Territorial y se dictan otras disposiciones.
Modificado parcialmente por el Decreto 2593 del 2000.

Directiva Presidencial 09 de 1999, lineamientos para la implementacin

de la Poltica de Lucha contra la Corrupcin.

Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87

de 1993 en cuanto a elementos tcnicos y administrativos que fortalezcan el
Sistema de Control Interno de las entidades y organismos del Estado que en el
pargrafo del artculo 4 seala los objetivos del Sistema de Control Interno ()
define y aplica medidas para prevenir los riesgos, detectar y corregir las
desviaciones y en su artculo 3 establece el rol que deben desempear las
oficinas de control interno () que se enmarca en cinco tpicos () valoracin de
riesgos. As mismo, establece en su artculo 4 la administracin de riesgos, como
parte integral del fortalecimiento de los Sistemas de Control Interno en las
entidades pblicas ().

Decreto 1599 de 2005, por el cual se adopta el Modelo Estndar de

Control Interno para el Estado colombiano y se presenta el anexo tcnico del
MECI 1000:2005.

Pgina66
Pgina66

EVALUACIONES

Pgina67
Pgina67

EVALUACIONES
En la siguiente tabla identifique la definicin que ms se adecuada a cada expresin
Autoevaluacin del Control

Stakeholders (partes interesadas)

Riesgo Residual

Valoracin del Riesgo

Riesgo Inherente

Identificacin del Riesgo

Alarma

Riesgo Aceptable

1. Mecanismo
utilizado
para
prevenir o advertir de un
hecho que est prximo a
ocurrir.
2. Elemento del control que
permite
emprender
las
acciones de mejoramiento del
control requeridas
3. El que se evala sin tener en
cuenta la existencia ni el
efecto de los controles
asociados a los riesgos o sus
causas.
4. Organizaciones que pueden
afectar o verse afectadas por
la gestin de una entidad.
5. Elemento de Control, que
permite
estimar
las
prioridades
para
su
tratamiento.
6. Es el que permanece luego de
tomar medidas de tratamiento
de riesgo.
7. El que la administracin
decide asumir o tolerar, de
manera deliberada, o a partir
de la definicin de unos
parmetros genricos contra
los que se comparan los
riesgos identificados.
8. Elemento del control que se
entiende como el proceso
para definir qu podra
suceder, las causas por las que
podra suceder y de qu
manera se generara el hecho.

Pgina68
Pgina68

Para cada pregunta seale una nica respuesta

Los objetos de anlisis pueden ser:
Los objetos de anlisis pueden ser:
Objetivo estratgico, indicador, procedimiento, proyecto, servicio
Objetivo estratgico, indicador, procedimiento, proyecto, servicio
tecnolgico.
tecnolgico.
Objetivo estratgico, objetivo tctico, proceso, procedimiento,
Objetivo estratgico, objetivo tctico, proceso, procedimiento,
proyecto, metodologa.
proyecto, metodologa.
Objetivo estratgico, objetivo tctico, proceso, procedimiento,
Objetivo estratgico, objetivo tctico, proceso, procedimiento,
proyecto, servicio tecnolgico.
proyecto, servicio tecnolgico.
Objetivo estratgico, manual de funciones, proceso, auditora interna,
Objetivo estratgico, manual de funciones, proceso, auditora interna,
proyecto, metodologa de mejoramiento.
proyecto, metodologa de mejoramiento.

Cules de estos atributos caracterizan el objeto

Cules de estos atributos caracterizan el objeto
de anlisis?
de anlisis?
Metas organizacionales, comportamiento histrico
Metas organizacionales, comportamiento histrico
Relacionamiento con stakeholders
Relacionamiento con stakeholders
Impacto a la razn de ser de la entidad
Impacto a la razn de ser de la entidad
Solo a) y c)
Solo a) y c)
Todas las anteriores.
Todas las anteriores.

Cules son los posibles niveles de anlisis de riesgos?

Cules son los posibles niveles de anlisis de riesgos?
Estratgico, administrativo y operativo
Estratgico, administrativo y operativo
Tctico, administrativo y operativo
Tctico, administrativo y operativo
Estratgico, tctico y operativo
Estratgico, tctico y operativo
Estratgico, tctico, administrativo y operativo
Estratgico, tctico, administrativo y operativo

Pgina69
Pgina69

Cules de estos pasos forman parte del contexto estratgico?

Cules de estos pasos forman parte del contexto estratgico?

Identificar las capacidades de la organizacin.

Identificar las capacidades de la organizacin.
Listar stakeholders (interesados) con que la entidad tiene relaciones.
Listar stakeholders (interesados) con que la entidad tiene relaciones.
Elaborar el anlisis DOFA (Aspectos mnimos a considerar: Financieros,
Elaborar el anlisis DOFA (Aspectos mnimos a considerar: Financieros,
operativos, polticos, sociales, de clientes, culturales y legales).
operativos, polticos, sociales, de clientes, culturales y legales).
Identificar el objeto de anlisis
Identificar el objeto de anlisis
Definir el alcance del proyecto de gestin de riesgos a adelantar. En caso
Definir el alcance del proyecto de gestin de riesgos a adelantar. En caso
de contar con una cultura ya desarrollada, se relaciona con el
de contar con una cultura ya desarrollada, se relaciona con el
mejoramiento de las metodologas asociadas.
mejoramiento de las metodologas asociadas.
ayd
ayd
byc
byc
dye
dye
5.e
Identifique a qu nivel corresponde cada
De la a a la
Identifique a qu nivel corresponde cada
De la a a la e5.
objeto de anlisis:
objeto de anlisis:
Objetivos por dependenciaNivel
Objetivos por dependenciaNivel
TcticoProcedimientosObjetivos estratgicosNivel
TcticoProcedimientosObjetivos estratgicosNivel
OperativoProcesosProyectos organizacionales de alto
OperativoProcesosProyectos organizacionales de alto
impactoNivel EstratgicoServicios tecnolgicos
impactoNivel EstratgicoServicios tecnolgicos

Pgina70
Pgina70

Cules son los componentes del COSO?

Ambiente interno, establecimiento de objetivos, identificacin de eventos.
Evaluacin de riesgos, respuesta al riesgo, actividades de control.
Riesgo inherente, riesgo residual, seguimiento del sistema de control.
Informacin, comunicacin supervisin.
a, b y c
a, b y d

Cules son elementos del proceso de gestin de riesgo de acuerdo al

Cules
son4360?
elementos del proceso de gestin de riesgo de acuerdo al
AS/NZS:
AS/NZS: 4360?
Establecer el contexto estratgico, organizacional y de administracin
Establecer
del riesgo.el contexto estratgico, organizacional y de administracin
del riesgo.
Planificar las medidas oportunas para mantener los riesgos bajo
Planificar
control. las medidas oportunas para mantener los riesgos bajo
control.
Determinar los controles existentes y los riesgos analizados en
Determinar
los consecuencia
controles existentes
y los riesgos
trminos de
y probabilidad
una vezanalizados
aplicados en
los
trminos
controles.de consecuencia y probabilidad una vez aplicados los
controles.
Comparar los niveles de riesgo contra los criterios preestablecidos.
Comparar los niveles de riesgo contra los criterios preestablecidos.
Preparacin de procesos de evaluacin, auditora, certificacin o
Preparacin
desegn
procesos
de evaluacin,
auditora, certificacin o
acreditacin,
corresponda
en cada caso.
acreditacin, segn corresponda en cada caso.
Tratar, aceptar y monitorear los riesgos.
Tratar, aceptar y monitorear los riesgos.
a, c , d y f
a,a,c b,
, deyyf f
a, b, e y f
Cules son las etapas para la gestin de riesgo segn PMI?
Cules son las etapas para la gestin de riesgo segn PMI?
Planeacin de la Administracin de riesgos, identificacin
Planeacin
de riesgos.de la Administracin de riesgos, identificacin
deRespuesta
riesgos. al riesgo, actividades de control.
Respuesta
al riesgo, actividades
de control.
Anlisis cualitativo
de los riesgos,
anlisis cuantitativo de
Anlisis
cualitativo de los riesgos, anlisis cuantitativo de
los riesgos.
los riesgos.
Planeacin de la respuesta a los riesgos, monitoreo y
Planeacin
la respuesta a los riesgos, monitoreo y
control de de
los riesgos.
control de los riesgos.
a, b y c
a,a,b cy yc d
a, c y d

Pgina71
Pgina71

9. De acuerdo con los estndares internacionales existen 3 etapas en la gestin de

riesgo. Cules son estas etapas?
a)
b)
c)
d)

Diagnstico, tratamiento y mejoras.

Identificacin, anlisis y tratamiento.
Diagnstico, tratamiento y monitoreo.
Evaluacin, diagnstico y tratamiento.

10. Organice en forma correcto las actividades segn la metodologa

10.
Organice en
las actividades
implementada
porforma
el CSJcorrecto
en la gestin
de riesgo. segn la metodologa
implementada por el CSJ en la gestin de riesgo.
Valorar riesgos despus de controles existentes
Monitoreo sistema de
Valorar riesgos despus de controles existentes
Monitoreo sistema de
riesgoDeterminar el contexto Estratgico del ProcesoCalificar y evaluar
riesgoDeterminar el contexto Estratgico del ProcesoCalificar y evaluar
los riesgos antes de controles existentesPriorizar causas Monitoreo de
los riesgos antes de controles existentesPriorizar causas Monitoreo de
riesgosIdentificacin de riesgoTratar y manejar el riesgo
riesgosIdentificacin de riesgoTratar y manejar el riesgo

Pgina72
Pgina72

11. Relacione
ASPECTOS GENERALESRelacionamiento con stakeholders (partes interesadas).Comportamiento
histrico del objeto de anlisis o de sus factores crticos de xito.ASPECTOS ESPECIFICOSRazn
de ser del objeto de anlisis.
Metas organizacionales alrededor del objeto de anlisis.Cmo impacta este objeto de anlisis
a la razn de ser de la entidad?ASPECTOS RELACIONALESRecursos asignados al objeto de
anlisis.
Qu relacin tiene con otros objetos de anlisis?
Registros existentes del objeto de anlisis.

12. Cul es el papel de la alta y media direccin frente al riesgo?

12. Cul es el papel de la alta y media direccin frente al riesgo?
a)
a)
b)
b)
c)
c)
d)
d)

Identificar, evaluar y monitorear.

Identificar, evaluar y monitorear.
Evaluar, prevenir y corregir.
Evaluar, prevenir y corregir.
Identificar, analizar y prevenir.
Identificar, analizar y prevenir.
Definir, corregir y monitorear.
Definir, corregir y monitorear.

13. Cules son los objetivos especficos de la metodologa de gestin de riesgos del
13.
Cules son los objetivos especficos de la metodologa de gestin de riesgos del
DAFP?
DAFP?
Definir los fundamentos de la gestin de riesgos, entendida como un proceso
Definir
los fundamentos
de elaidentificar
gestin de
riesgos,
entendida
como de
un gestin
procesode
estructurado
y sistemtico
buenas
prcticas
en materia
estructurado
y sistemtico
riesgos, a nivel
del Estado. e identificar buenas prcticas en materia de gestin de
riesgos,
a nivel
del procesos
Estado. y procedimientos acciones de mitigacin del riesgo, lograr el
Introducir
en los
Introducir
en los
procedimientos
accionesentidad
de mitigacin
del riesgo,delograr
el
compromiso
de procesos
todos losy servidores
de cualquier
en la bsqueda
acciones
compromiso
deatodos
los yservidores
delos
cualquier
encaminadas
prevenir
administrar
riesgos. entidad en la bsqueda de acciones
encaminadas
a prevenir
administrar
los riesgos.
La generacin
de una yvisin
sistmica
de la administracin y evaluacin de riesgos,
Laproteger
generacin
de una del
visin
sistmica de la administracin y evaluacin de riesgos,
los recursos
Estado.
proteger
los por
recursos
del Estado.
Propender
la interaccin
entre entidades y el mantenimiento de una buena imagen
Propender
por larelaciones,
interaccinasegurar
entre entidades
y el mantenimiento
de una
buena imagen
y unas buenas
el cumplimiento
de normas, leyes
y regulaciones.
y a,
unas
relaciones, asegurar el cumplimiento de normas, leyes y regulaciones.
b ybuenas
d
a,b,b cy yd d
b, c y d

Pgina73
Pgina73

Cules son los dominios segn los procesos que administran los recursos de TI?
Identificacin de eventos y soporte de servicio,
Planeacin y organizacin, monitoreo y evaluacin
Adquisicin e implementacin, monitoreo y control de riesgo
Entrega y soporte de servicio, adquisicin e implementacin
ayb
byd
cyd
ayc

15. Cules son los subsistemas del modelo estndar de control interno?
15. Cules son los subsistemas del modelo estndar de control interno?
Control estratgico, control de procesos y control de evaluacin.
Control
control
de procesos
y control
de evaluacin.y control de
Controlestratgico,
estratgico,
control
de procesos
y procedimientos
Control
estratgico,
control
de
procesos
y
procedimientos
y control de
gestin.
gestin.
Control de gestin, control de procesos y control de evaluacin.
Control
gestin, control
dede
procesos
Controldeestratgico,
control
gestinyycontrol
controlde
deevaluacin.
evaluacin
Control estratgico, control de gestin y control de evaluacin

16. Organice en forma correcta las actividades segn la metodologa

16.
Organice en
las actividades
implementada
porforma
el CSJcorrecta
en la gestin
de riesgo. segn la metodologa
implementada por el CSJ en la gestin de riesgo.
Valorar riesgos despus de controles existentes
Monitoreo sistema de
Valorar riesgos despus de controles existentes
Monitoreo sistema de
riesgoDeterminar el contexto Estratgico del ProcesoCalificar y evaluar
riesgoDeterminar el contexto Estratgico del ProcesoCalificar y evaluar
los riesgos antes de controles existentesPriorizar causas Monitoreo de
los riesgos antes de controles existentesPriorizar causas Monitoreo de
riesgosIdentificacin de riesgoTratar y manejar el riesgo
riesgosIdentificacin de riesgoTratar y manejar el riesgo

Pgina74
Pgina74

17. Identifique la correspondencia

DAFPEstndares

NacionalesCOBITPMIAS/NZS4360Estndares

InternacionalesMECIMAGERITNTC5254Metodologa de Riesgo ITCOSO

18. Teniendo en cuenta los pasos establecidos en la metodologa

18. Teniendo en cuenta los pasos establecidos en la metodologa
DAFP en la gestin de riesgo identifique su correspondencia con las
DAFP en la gestin de riesgo identifique su correspondencia con las
etapas establecidas en los estndares internacionales
etapas establecidas en los estndares internacionales
Identificacin de riesgos
MonitoreoValoracin de
Identificacin de riesgos
MonitoreoValoracin de
riesgoMonitoreoDiagnsticoContexto estratgico Poltica de
riesgoMonitoreoDiagnsticoContexto estratgico Poltica de
riesgosTratamientoAnlisis de riesgo
riesgosTratamientoAnlisis de riesgo

Cules de estas son metodologas nacionales de riesgo:

Cules de estas son metodologas nacionales de riesgo:
COSO, MECI, DAFP
COSO,
MECI,MECI,
DAFP,DAFP
NTC 5254
MECI,
DAFP,
MECI, NTC NTC
5254,5254
PMI
MECI,
MECI,NTC
PMI,5254,
NTC PMI
5254
MECI, PMI, NTC 5254

Pgina75
Pgina75

20. La gestin de riesgo de la NTC-5254 busca:

Introducir en los procesos y procedimientos acciones de mitigacin del riesgo.
Mejorar la direccin corporativa.
Ganar valor a partir de la incertidumbre y la variabilidad.
Lograr el compromiso de todos los servidores de cualquier entidad en la bsqueda de
acciones encaminadas a prevenir y administrar los riesgos.
Mejorar la gestin de incidentes y la reduccin en las prdidas y el costo del riesgo,
incluyendo primas de seguros comerciales.
a, c y d
b, c y e

Cules son objetivos de la Metodologa de Anlisis y Gestin de Riesgos de

Cules
son objetivos
de la Metodologa de Anlisis y Gestin de Riesgos de
los Sistemas
de Informacin?
los Sistemas de Informacin?
Ayudar a descubrir y planificar las medidas oportunas para mantener los
Ayudar
descubrir
y planificar las medidas oportunas para mantener los
riesgosa bajo
control.
bajo control.de eventos y soporte en los procesos de evaluacin del
Ayudar riesgos
a la identificacin
Ayudar
a la identificacin de eventos y soporte en los procesos de evaluacin del
servicio.
servicio. Apoyar a la entidad en la preparacin de procesos de evaluacin,
Apoyar
a lacertificacin
entidad eno acreditacin,
la preparacin
de corresponda
procesos de
auditora,
segn
en evaluacin,
cada caso.
auditora,
certificacin
o
acreditacin,
segn
corresponda
en
cada caso.
Crear conciencia a los responsables de los sistemas de informacin
de la
Crear
conciencia
a losyresponsables
de los
sistemas adetiempo.
informacin de la
existencia
de riesgos
de la necesidad
de tratarlos
existencia
de mtodo
riesgos ysistemtico
de la necesidad
tratarlos
tiempo. anteriormente
Ofrecer un
parade
analizar
losa riesgos
Ofrecer
un
mtodo
sistemtico
para
analizar
los
riesgos
anteriormente
mencionados.
mencionados.
a, b, d y e
a,a,b,c,d dy ye e
a, c, d y e

Pgina76
Pgina76