para la administracin
del riesgo
Departamento Administrativo
de la Funcin Pblica (DAFP)
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
ACTUALIZACIN:
Myrian Cubillos
Benavides Caridad
Jimnez Giraldo ngela
Meja Jaramillo Juan
Felipe Rueda Garca
Andrs Mndez Jimnez
Marianne Salnave Sann
Contenido
G u a p ar a l a A dminis tr aci n de l R i es go
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
Objetivos de la Administracin del . . . . . . . . . . . . . . . . . . . . . . . .
Riesgo 9
Referente normativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Conceptos bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Qu es el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Clases de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Qu significa gestionar el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Metodologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Proceso para la Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . 19
Qu es el contexto estratgico? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cmo se identifica el . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
riesgo?
Cmo se analiza el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
.
Cmo se valora el riesgo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
.
Cmo se valoran los controles? . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
.
Elaboracin del mapa de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
.
Polticas de Administracin del Riesgo . . . . . . . . . . . . . . . . . . . . . . . . .
43
Comunicacin y consulta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Monitoreo y revisin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 3
Presentacin
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
Introduccin
1
7
Norma Tcnica Colombiana NTC-ISO31000.
solo garantice la gestin institucional y el logro de los objetivos sino que fortalece el
ejercicio del Control Interno en las entidades de la Administracin Pblica.
8 2
Modelo Estndar de Control Interno (MECI). Manual de Implementacin versin 2. Mayo 2009.
Objetivos
de la Administracin
del Riesgo
Mejorar el Gobierno.
9
3 Norma Tcnica Colombiana NTC-ISO31000. Pg.
16.
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
Referente
normativo
Contenido
Por la cual se establecen normas para el ejercicio del control interno
en las entidades y organismos del Estado y se dictan otras
Ley 87 de 1993
cin Pblica.
Captulo VI. Sistema Nacional de Control Interno.
Por el cual se dictan normas sobre el Sistema Nacional de Control
In- terno de las Entidades y Organismos de la Administracin
Directiva de 1999
11
12
Conceptos bsicos
G u a p ar a l a A dminis tr aci n de l R i es go
Qu es el Riesgo?
Riesgo es la posibilidad de que suceda algn evento que tendr un impacto sobre
los objetivos institucionales o del proceso. Se expresa en trminos de probabilidad y
consecuencias.
4
13
INTOSAI: Gua para las normas de control interno del sector pblico. http://www.intosai.org.
Departamento Administrativo de la Departamento Administrativo de la
FUNCIN PBLICA FUNCIN PBLICA
Repblica de Colombia Repblica de Colombia
ocurrencia.
Pero existe tambin la percepcin del riesgo como una oportunidad, lo cual implica
que su gestin est dirigida a maximizar los resultados que este genera.
Clases de Riesgos
El riesgo est vinculado con todo el quehacer; se podra afirmar que no hay actividad
de la vida, negocio o cualquier asunto que deje de incluirlos como una posibilidad.
Las entidades, durante el proceso de identificacin del riesgo, pueden hacer una
clasificacin de los mismos, con el fin de formular polticas de operacin para darles
el tratamiento indicado; as mismo este anlisis servir de base para el impacto o
consecuencias durante el proceso de anlisis del riesgo contemplado dentro de la
metodologa.
14
5
Casals & Associates Inc. PriceWaterhouse Coopers, USAID, Documento Mapas de Riesgos, octubre 2003, pgs. 6-7
Riesgos Financieros: Se relacionan con el manejo de los recursos de la
entidad que incluyen: la ejecucin presupuestal, la elaboracin de los estados
financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre
los bienes.
G u a p ar a l a A dminis tr aci n de l R i es go
la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento
de la misin.
15 15
Las etapas sugeridas para una adecuada administracin del Riesgo son
las siguientes:
Contexto estratgico
Identificacin de riesgos
Anlisis de riesgos
Valoracin de riesgos
Monitoreo y revisin
Qu puede suceder?
Cmo puede suceder?
6
Comunicar y consultar es una actividad que se refiere al conocimiento previo que deben tener quienes participan en
la gestin del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en informacin
pertinente y actualizada. Estos deberan incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y
las medidas que
se toman para tratarlo. Esta comunicacin es eficaz para garantizar que los responsables de implementar las actividades 19
relacionadas con la gestin del riesgo entiendan las bases sobre las cuales se toman las decisiones.
Son las condiciones internas y del entorno, que pueden generar eventos que
originan oportunidades o afectan negativamente el cumplimiento de la misin y
objetivos de una institucin.
Las situaciones del entorno o externas pueden ser de carcter social, cultural,
econmico, tecnolgico, poltico y legal, bien sean internacional, nacional o regional
segn sea el caso de anlisis.
20 7
Norma Tcnica Colombiana NTC31000. Pg. 37.
Para determinar el contexto estratgico de la institucin es posible utilizar
herramientas y tcnicas como las que se relacionan a continuacin : 8
1. Inventario de eventos
Son tiles para asegurar una visin coherente con otras actividades similares
G u a p ar a l a A dminis tr aci n de l R i es go
dentro de la entidad.
EJEMPLO:
2. Talleres de trabajo
EJEMPLO:
8
21
Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005
Una vez realizado el esquema los eventos son analizados frente a los
objetivos del proceso.
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
Esta tcnica puede utilizarse para tener una visin a cierto nivel de detalle
del proceso analizado.
EJEMPLO
GESTIN FINANCIERA
ENTRADAS TAREAS SALIDAS
1. Recibir solicitud 2. Recibir los CDP autorizado
para expedicin de soportespara y rmado
Nmina del mes CDP el registro
(Gestin Humana) presupuestal
3. Elaborar Desprendibles y
la orden de pago 4. Elaborar pago de nmina
comprobante de
egreso del giro
efectuado
POSIBLES EVENTOS
22 23
9 El ejemplo utilizado fue producto de un ejercicio realizado con la Gobernacin del Meta.
2011.
CONTEXTO ESTRATGICO
PROCESO: ATENCIN AL USUARIO
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes
intere- sadas, permitiendo atender las necesidades y expectativas de los usuarios, todo dentro
de una cultura de servicio y de acuerdo a las disposiciones legales vigentes.
FACTORES FACTORES
CAUSAS CAUSAS
EXTERNOS EXTERNOS
G u a p ar a l a A dminis tr aci n de l R i es go
No se realizan las Nmero de equipos
Nueva tecnologa
actualizaciones de Tecnologa insuficiente y algunos
disponible
hardware y obsoletos.
software. - Desconocimiento de la
normatividad aplicada
Normatividad Cambios normativos. Talento humano
- Resistencia al cambio.
- Desmotivacin.
Demoras en la
respuesta de -Proceso manual que puede
Relacin con otras comunicaciones Sistemas de generar registros errneos o
entidades. enviadas a informacin falta de registros.
otras entidades -Informacin desactualizada
relacionadas.
Incremento en el
nmero de solicitudes
Necesidades de la Fallas en el seguimiento a los
por alta demanda de Procedimientos
comunidad. procedimientos del proceso.
usuarios, desbordando
la capacidad instalada.
La identificacin del riesgo se realiza determinando las causas, con base en los
factores internos y/o externos analizados para la entidad, y que pueden afectar el
logro de los objetivos.
Una manera para que todos los servidores de la entidad conozcan y visualicen los
riesgos es a travs de la utilizacin del formato de identificacin de riesgos el cual
permite hacer un inventario de los mismos, definiendo en primera instancia las
causas con base en los factores de riesgo internos y externos (contexto estratgico),
presentando
una descripcin de cada uno de estos y finalmente definiendo los posibles efectos
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
(consecuencias).
Entender la importancia del manejo del riesgo implica conocer con ms detalle los
siguientes conceptos:
Algunas entidades durante el proceso de identificacin del riesgo pueden hacer una
clasificacin de este, con el fin de establecer con mayor facilidad el anlisis del
impacto, considerado en el siguiente paso del proceso de anlisis del riesgo.
Riesgo Estratgico: Se asocia con la forma en que se administra la
Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales
relacionados con la misin y el cumplimiento de los objetivos
estratgicos, la clara definicin de polticas, diseo y conceptualizacin
de la entidad por parte de la alta gerencia.
G u a p ar a l a A dminis tr aci n de l R i es go
Riesgos Operativos: Comprenden riesgos provenientes del
funcionamiento y operatividad de los sistemas de informacin
institucional, de la definicin de los procesos, de la estructura de la
entidad, de la articulacin entre dependencias.
25
El anlisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, este ltimo aspecto puede orientar la clasificacin del riesgo, con el
fin de obtener informacin para establecer el nivel de riesgo y las acciones que se
van a implementar.
Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:
Calificacin del riesgo y evaluacin del riesgo.
10
27
Icontec HB141. Gua para la financiacin del riesgo. Apndice A. 2008.
TABLA DE IMPACTO
Para determinar el impacto se pueden utilizar las siguientes tablas que representan
los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la
clasificacin del riesgo previamente realizada, y se relaciona con las consecuencias
potenciales del riesgo identificado . 11
28 11
Las tablas propuestas representan los impactos de mayor ocurrencia en las entidades del Estado, no obstante cada
entidad puede incluir otros tipos de impacto segn su particularidad.
IMPACTO DE CONFIDENCIALIDAD EN LA INFORMACIN 12
NIVEL CONCEPTO
1 Personal
2 Grupo de Trabajo
3 Relativa al Proceso
4 Institucional
5 Estratgica
G u a p ar a l a A dminis tr aci n de l R i es go
IMPACTO DE CREDIBILIDAD O IMAGEN 13
NIVEL CONCEPTO
1 Grupo de funcionarios
2 Todos los funcionarios
3 Usuarios ciudad
4 Usuarios regin
5 Usuarios pas
IMPACTO LEGAL 14
NIVEL CONCEPTO
1 Multas
2 Demandas
3 Investigacin Disciplinaria
4 Investigacin Fiscal
5 Intervencin Sancin
12
El impacto de confidencialidad de la informacin se refiere a la prdida o revelacin de la misma. Cuando se habla
de informacin reservada institucional se hace alusin a aquella que por la razn de ser de la entidad solo puede ser
cono- cida y difundida al interior de la misma; as mismo, la sensibilidad de la informacin depende de la importancia
que esta tenga para el desarrollo de la misin de la entidad.
13
El impacto de credibilidad se refiere a la prdida de la misma frente a diferentes actores sociales o dentro de la entidad.
14
El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados 29
con el incumplimiento en su funcin administrativa, ejecucin presupuestal y normatividad aplicable.
IMPACTO OPERATIVO
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
15
NIVEL CONCEPTO
1 Ajustes a una actividad concreta
2 Cambios en los procedimientos
3 Cambios en la interaccin de los procesos
4 Intermitencia en el servicio
5 Paro total del proceso
Se afect a Se afect a
Se afect al grupo todos los Se afect a los los usuarios Se afect a los
Imagen 16
de funcionarios del usuarios en el orden
funcionarios usuarios locales. locales y
proceso. de la entidad. regionales. nacional
Evaluacin del Riesgo: permite comparar los resultados de la calificacin del riesgo,
con los criterios definidos para establecer el grado de exposicin de la entidad; de esta
forma es posible distinguir entre los riesgos aceptables, tolerables, moderados,
importantes o inaceptables y fijar las prioridades de las acciones requeridas para su
tratamiento.
16
15
El impacto operativo aplica en la mayora de las entidades para los procesos clasificados como de apoyo, ya que sus
ries- gos pueden afectar el normal desarrollo de otros procesos.
G u a p ar a l a A dminis tr aci n de l R i es go
Casi Seguro (5) A A E E E
B: Zona de riesgo baja: Asumir el riesgo
M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir
17
31
Para efectos del ejemplo solo se trabajar un (1) riesgo de los dos (2) inicialmente identificados.
IMPACTO
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
Este primer anlisis del riesgo se denomina Riesgo Inherente y se define como
18
G u a p ar a l a A dminis tr aci n de l R i es go
Conciliaciones
Consecutivos
Verificacin de firmas
Listas de chequeo
Registro controlado
Segregacin de funciones
Niveles de autorizacin
Controles Operativos
Custodia apropiada
Procedimientos formales aplicados
Plizas
Seguridad fsica
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
Normas claras y aplicadas
Controles Legales
Control de trminos
LIneamientos para la administracion del riesgo. Gua versin 03. Presidencia de la Repblica. Junio 2011.
analizado.
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrfico
(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi cierto (5) A A E E E
G u a p ar a l a A dminis tr aci n de l R i es go
efectiva.
Estn definidos los responsables de 15
la ejecucin del control y del
Seguimiento al segui- miento.
control La frecuencia de la ejecucin del 25
con- trol y seguimiento es adecuada.
TOTAL 100
36
23 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
40.
36
23 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
40.
Dicha seleccin implica equilibrar los costos y los esfuerzos para su implementacin,
as como los beneficios finales, por lo tanto, se deber considerar los siguientes aspectos
como:
Viabilidad jurdica.
Viabilidad tcnica.
Viabilidad institucional.
Anlisis de costo-beneficio.
Una vez implantadas las acciones para el manejo de los riesgos, la valoracin
despus de controles se denomina riesgo residual, este se define como aquel que
permanece despus que la direccin desarrolle sus respuestas a los riesgos . 23
Ejemplo aplicado a la metodologa 24 25
Para el ejemplo aplicado, el riesgo identificado pas de la Zona de Riesgo Alta a la Zona de Riesgo Moderada.
38 Departamento Administrativo de la
26
27 Administracin
FUNCIN de Colombiade Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
PBLICA
Repblica Libertad y Orden
25
Ver desplazamiento en la matriz en la siguiente pgina.
G ua p ar a l a A dminis tr aci n de l R i es go
37
Para el ejemplo aplicado, el riesgo identificado pas de la Zona de Riesgo Alta a la Zona de Riesgo Moderada.
38 Departamento Administrativo de la
26
27 Administracin
FUNCIN de Colombiade Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
PBLICA
Repblica Libertad y Orden
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrfico
(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de riesgo baja: Asumir el riesgo
M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir
26
NUEVA VALORACIN DE ACUERDO A LOS CONTROLES IDENTIFICADOS
Incumplimiento en
Evitar, redu-
la generacin de res-
Zona Riesgo26 cir, compartir
puestas a los 2 3 Legal
Moderada o transferir el
usuarios (trminos
riesgo.
estableci- dos por la
ley).
INDICADOR
NUEVA EVALUACIN
OPCIONES MANEJO
EVALUACIN RIESGO
ACCIONES
RESPUESTA
RIESGO
CONTROLES
CALIFICACIN
CALIFICACIN
NUEVA
Probabilidad
Impacto
Impacto
Probabilidad
Lib
ert
ad
y
Or
de
n
ReDepart
pament
bli o
ca Admini
destrativ
C o de la
ol
o
FU
m
bi
NCI
N
P
BLI
G ua p ar a l a A dminis tr aci n de l R i es go
39
Sin embargo, dependiendo de la profundidad que se desea tener en la documentacin, podra incluirse
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
B
4 D
IMPACTO
3
C
2
A E
1 2 3 4 5
PROBABILIDAD
Cada letra dentro del grfico har alusin a los riesgos del proceso; visualmente
muestra los riesgos que estn en las zonas ms altas.
40
28 Administracin de Riesgos Corporativos. Tcnicas de Aplicacin PricewaterhouseCoopers, Colombia. 2005. Pg.
55
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
Ejemplo aplicado a la metodologa
MAPA DE RIESGOS
PROCESO: ATENCIN AL USUARIO
MANEJO OPCIONES
OBJETIVO: Dar trmite oportuno a las solicitudes provenientes de las diferentes partes interesadas, permitiendo atender las necesidades y
NUEVA
expecta-
tivas de los usuarios, todo dentro de una cultura de servicio y de acuerdo
NUEVA a las disposiciones legales vigentes.
CALIFICACIN
EVALUACIN
CALIFICACIN
INDICADOR
RESPUESTA
EVALUACIN
RIESGO
RIESGO
ACCIONES
CONTROLES
Probabilidad
Impacto
Probabilidad
Impacto
Asignacin de Nmero de
Aplicativo que identificaciones solicitudes
41
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
Todas las acciones contempladas dentro del mapa, unido a la informacin reportada
por los indicadores, suministrar la informacin requerida para el seguimiento
respectivo a los mapas.
Las polticas identifican las opciones para tratar y manejar los riesgos basadas en la
valoracin de los mismos, permiten tomar decisiones adecuadas y fijar los
lineamientos, que van a transmitir la posicin de la direccin y establecen las guas de
accin necesarias a todos los servidores de la entidad.
G u a p ar a l a A dminis tr aci n de l R i es go
La comunicacin y consulta con las partes involucradas tanto internas como
externas debera realizarse durante todas las etapas (pasos dentro de la metodologa)
del proceso para la gestin del riesgo.
G u a p ar a l a A dminis tr aci n de l R i es go
Una vez diseado y validado el plan para administrar los riesgos, en el mapa de
riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de
representar una amenaza para la organizacin.
El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y
evaluar la eficiencia en su implementacin adelantando revisiones sobre la marcha
para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en
la aplicacin de las acciones preventivas.
45
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
Trminos
y definiciones
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
Compartir el riesgo: Se asocia con la forma de proteccin para disminuir las
prdidas que ocurran luego de la materializacin de un riesgo, es posible realizarlo
mediante
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
D e p a r ta me n t o A dminis t r a t iv o d e l a Funci n P b li c a
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden
Salazar Vargas, Carlos. Las polticas pblicas. Pontificia Universidad Javeriana. 1999.
http://www.coso.org/ERM-IntegratedFramework.htm
49
Departamento Administrativo de la
FUNCIN PBLICA
Repblica de Colombia
Libertad y Orden