2. guia para la administracion del riesgos dnp 2014

LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP

Departamento Nacional de Planeación Bogotá, 2014

ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP

LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP

CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 2 de 44

TABLA DE CONTENIDO

Pág.

1 OBJETIVO ..................................................................................................................................... 4 2 ALCANCE ...................................................................................................................................... 4 3 REFERENCIAS NORMATIVAS..................................................................................................... 4

4 DOCUMENTOS ASOCIADOS ...................................................................................................... 4 5 DEFINICIONES ............................................................................................................................. 5 6 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS ........................................................................................................................................... 7

6.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos ...................................................................................................................................... 8 6.2 Los riesgos que se van a controlar. ........................................................................................ 8 6.3 Opciones de tratamiento de riesgos ....................................................................................... 8 6.4 Acciones para administrar los riesgos .................................................................................... 9

6.4.1 Tiempo y recursos .................................................................................................. 9 6.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos ........................ 9 6.6 Recursos requeridos ............................................................................................................ 10

6.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos .................................................................................................................................... 10

7 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO ............................................................ 11 7.1 Autocontrol ........................................................................................................................... 11 7.2 Evaluación Realizada por la Oficina de Control Interno ...................................................... 12 7.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de riesgos 12 7.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos ........ 13

8 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO ........................... 13 9 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP .............................................. 13

9.1 Identificación de riesgos ....................................................................................................... 13 9.1.1 Priorización de riesgos .......................................................................................... 14

9.1.2 Estructura del formulario de identificación de riesgos ............................................... 15

9.2 Análisis y Valoración del riesgo antes de controles (riesgo inherente) ................................. 21 9.3 Determinación y análisis de controles .................................................................................. 24

9.3.1 Estructura del formulario de determinación y análisis de controles ............................ 25

9.3.2 Documentación del control ................................................................................... 26

9.4 Evaluación de controles ....................................................................................................... 27 9.4.1 Evaluación respecto a la probabilidad (sobre las causas y eventos generadores) ...... 27

9.4.2 Evaluación respecto al impacto (sobre los efectos) ................................................. 29 9.5 Valoración del riesgo después de controles (riesgo residual) .............................................. 29 9.6 Priorización de riesgos ......................................................................................................... 30

10 MATRICES DE LOS MAPAS DE RIESGO .................................................................................. 33 10.1 Mapa de riesgos del proceso ............................................................................................... 33



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 3 de 44

10.2 Mapa de riesgos institucional asociado a procesos ............................................................. 33 10.3 Mapa de riesgos de corrupción ............................................................................................ 33

11 PRODUCTO O SERVICIO NO CONFORME .............................................................................. 34 11.1 Identificación de producto no conforme ................................................................................ 34 11.2 Tratamiento del producto no conforme ................................................................................. 34

11.2.1 Estructura del formulario “Tratamiento de Producto No Conforme” ........................... 35 12 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA ADMINISTRACIÓN DE RIESGOS ....................................................................................................... 36 13 ANEXOS ...................................................................................................................................... 37



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 4 de 44

1 OBJETIVO

Establecer los parámetros para la administración de los riesgos relacionados a los procesos del DNP, su trazabilidad, registro y monitoreo, a través de la presentación de los criterios para la identificación, análisis, valoración, definición de acciones de mitigación y seguimiento a los riesgos en los procesos, que pueden afectar el cumplimiento de la misión y objetivos institucionales del DNP. Así como la presentación de las medidas de control y seguimiento de los riesgos enmarcados en la política de administración de riesgos adoptada por la Entidad.

2 ALCANCE

Esta guía debe ser aplicada por la autoridad, líderes y ejecutores de las actividades de los procesos del Departamento Nacional de Planeación, que son responsables de la documentación, aplicación, actualización y seguimiento a los mapas de riesgos para los procesos de la Entidad.

3 REFERENCIAS NORMATIVAS

· Decreto 1599 de 2005 · Decreto 2913 de 2007 · Decreto 4110 de 2004 · Decreto 4485 de 2009 · Decreto 1537 de 2001 · Ley 87 de 1993 · Ley 872 de 2003 · Ley 1474 de 2011. Artículo 73 · Resolución interna 0758 de 2005 · Resolución interna 0889 de 2005 · Resolución interna 1393 de 2005 · Resolución interna 1838 de 2006 · Guía para la Administración de Riesgos del DAFP vigente · Norma Técnica Colombiana NTC-ISO 9001:2008 · Norma Técnica de Calidad en la Gestión Pública NTCGP-1000:2009

4 DOCUMENTOS ASOCIADOS

· Proceso GC-AR “Administración de Riesgos”

· Proceso MC-AP “Acciones Preventivas, Correctivas y de Mejora”

· Subproceso SG-EV-AI “Auditorías Internas de Calidad”

· Subproceso SG-EV-EI “Evaluaciones Independientes”

· Guía metodológica para el seguimiento del sistema de gestión de calidad y el desempeño de los

procesos RD-G01



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 5 de 44

· “Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del

DNP” DS-L01

· “Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de

Mejora y/o Planes de Mejoramiento” AP-L01

5 DEFINICIONES

· Acción de riesgos: es la aplicación concreta de las opciones de tratamiento de riesgo. · Administración de Riesgos: es el proceso continuo basado en el conocimiento, evaluación y

manejo de los riesgos que mejora la toma de decisiones organizacionales. · Análisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos

y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo.

· Autoevaluación del control: Elemento de control que basado en un conjunto de mecanismos

de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada dependencia, permitiendo emprender las acciones de mejoramiento del control requeridas. (revisión periódica y sistemática de los procesos de la entidad para asegurar que los controles establecidos son eficaces).

· Calificación del riesgo: establece el grado de exposición de la Entidad bajo criterios de

probabilidad e impacto de los riesgos. · Categoría: cada uno de los grupos básicos en que puede incluirse o calificarse un riesgo. · Causas: son los medios, circunstancias y agentes generadores del riesgo. · Cliente: organización, entidad o persona que recibe un producto y/o servicio. · Compartir el Riesgo: Cambiar la responsabilidad o carga por las pérdidas que ocurran luego

de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio. · Control: proceso, política, dispositivo, práctica u otra acción existente para reducir la

probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo. · Efectos: lo que podría generarse en la Entidad con la materialización de un riesgo. Es el

resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso.

· Evento: hecho que una vez materializado genera desviaciones en el punto crítico de control,

afectando el logro del objetivo del proceso o la gestión institucional.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 6 de 44

· Impacto: magnitud de los efectos que puede ocasionar la materialización del riesgo. · Indicador: expresión cuantitativa o cualitativa que permite establecer el estado del objeto a

evaluar en un momento determinado, con relación a rangos establecidos. · Mapa de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos

ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias.

· Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una

actividad con el fin de identificar posibles cambios. · Pérdida: Consecuencia negativa que trae consigo un evento. · Política de riesgo: identifica las opciones para tratar y manejar los riesgos: · Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar

valor, las cuales transforman elementos de entrada en resultados. · Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo. · Punto Crítico de Control (PCC): es una actividad fundamental dentro del proceso, en la que

se debe ejercer un control para prevenir la materialización de un riesgo. Toda actividad no es un punto crítico de control.

· Registro: documento que presenta resultados obtenidos o proporciona evidencia de las

actividades adelantadas. · Responsables: rol o cargo encargado de adelantar las acciones propuestas. · Responsable de liberación: rol o cargo que autoriza la entrega del producto o servicio al

cliente. · Riesgo: posibilidad de ocurrencia de aquella situación que puede afectar el logro de los

objetivos institucionales, o la calidad de los productos o servicios ofrecidos por la Entidad. · Riesgos Estratégicos: Están relacionados con la planificación, diseño y conceptualización de

la Entidad por parte de la alta gerencia, en relación con su marco estratégico: misión, visión, cumplimiento de los objetivos estratégicos y la definición de políticas.

· Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

ciudadanía hacia la institución. · Riesgos Operativos: son los riesgos derivados del funcionamiento de los sistemas de gestión

institucional, la definición y ejecución de los procesos, la operación de los sistemas de información y herramientas de apoyo a la gestión, de la estructura de la entidad y de los mecanismos de comunicación y articulación entre dependencias.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 7 de 44

· Riesgos Financieros1: Se relacionan con el manejo de los recursos de la entidad que incluyen:

la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de

excedentes de tesorería y el manejo sobre los bienes.

· Riesgos de Cumplimiento2: Se asocian con la capacidad de la entidad para cumplir con los

requisitos legales, contractuales, de ética pública y en general con su compromiso ante la

comunidad.

· Riesgos de Tecnología3: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

· Herramienta de seguimiento: mecanismo para controlar que la ejecución de los procesos y los

resultados obtenidos sean acordes con los requisitos, características o atributos establecidos, de manera que se pueden identificar o monitorear la materialización de riesgos.

· Subproceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales

transforman elementos de entrada en resultados. El desarrollo de uno o varios subprocesos permite avanzar en el cumplimiento de los procesos.

· Valoración pura: grado de exposición al riesgo en un escenario sin controles. · Valoración residual: grado de exposición al riesgo con la calificación de probabilidad e impacto

aplicando los controles existentes. · Zona de riesgo: es el nivel de exposición al riesgo, hallado mediante el cruce entre la

probabilidad y el impacto.

6 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS

La política institucional para la administración de riesgos del DNP, establece las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos. Esta política refleja la posición de la dirección y establece las guías de acción para el tratamiento de los riesgos identificados. Para los riesgos de los procesos del Sistema de Gestión de Calidad, que después de la calificación de los controles (ver numeral 9.4 de este documento) se valoren como importantes ó inaceptables, serán atendidos de forma inmediata a través de acciones concretas, las cuales podrán ser opciones de tratamiento independientes, interrelacionadas o en conjunto, que permitan definir las actividades correspondientes a dichas opciones.

1 Guía para la administración del riesgo del Departamento Administrativo de la Función Pública. 2011 cuarta edición páginas: 14-15. 2 ibidem 3 ibidem



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 8 de 44

Para los riesgos de corrupción, las acciones que se deben tener en cuenta son: Evitar el Riesgo y Reducir el Riesgo, las cuales se explican en el capítulo 6.3 de este documento. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la República-Secretaría de Transparencia: “Estrategias para la construcción del plan anticorrupción y atención al ciudadano” Bogotá.

6.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos

Efectuar el control y seguimiento de los riesgos que después de la calificación de los controles se valoren como importantes o inaceptables. Definir las acciones orientadas a evitar o reducir el riesgo mediante la adopción de medidas para impedir su materialización, o disminuir el impacto de su materialización. Fortalecer o implementar controles que eviten la materialización del riesgo o la afectación en el cumplimiento de los objetivos institucionales. El cumplimiento de estos objetivos será informado semestralmente, para verificar el avance y efectividad de las acciones propuestas y su impacto frente al riesgo asociado, así como el cumplimiento de las acciones. Esta labor será realizada por el Grupo de Planeación mediante comunicación escrita.

6.2 Los riesgos que se van a controlar.

La administración de riesgos en el DNP tendrá un carácter prioritario y estratégico, en el marco del modelo de operación por procesos. Los riesgos a los cuales se aplicaran controles, son los relacionados con las actividades identificadas como críticas, las cuales están definidas en todos los procesos como PCC (Punto Crítico de Control), porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso. Por lo anterior, se establece que la totalidad de riesgos identificados en el mapa de riesgos institucional y por procesos estarán sujetos al seguimiento, monitoreo, control y ajuste mediante la aplicación del procedimiento de administración de riesgos del DNP.

6.3 Opciones de tratamiento de riesgos

Teniendo en cuenta la valoración de riesgos después de controles, se determinan las siguientes opciones de tratamiento para cada uno de los riesgos:

Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o sustitución de actividades y/o de controles y acciones emprendidas.

Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar controles.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 9 de 44

Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.

Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que se mantiene, en este caso el Líder del proceso acepta la pérdida residual. Estas opciones se definen para cada riesgo (ver cuadro 1), teniendo en cuenta la zona de ubicación en el Formulario “Matriz de valoración de riesgos después de controles” ver anexo 3 y la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos.

ZONA DE RIESGO COLOR

OPCIONES DE TRATAMIENTO DE RIESGOS

Evi

tar

Red

uci

r

Co

mp

arti

r

o t

ran

sfer

ir

Asu

mir

Inaceptable Rojo X X X

Importante Naranja X X X

Tolerable Amarillo X X X X

Aceptable Verde X

Cuadro 1. Opciones de tratamiento de riesgos de acuerdo con la zona de ubicación

Nota 13: Cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de tratamiento es asumir.

6.4 Acciones para administrar los riesgos

Teniendo en cuenta la valoración de riesgos obtenida y la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos, se formulan las acciones asociadas a la(s) opción(es) de tratamiento de riesgos adoptada. Estas acciones se diligencian según lo establecido en el proceso de Acciones Preventivas, Correctivas y de Mejora, usando el formato “Solicitud de acciones preventivas, correctivas y de mejora”, según lo establecido en el Lineamiento para la administración de los riesgos relacionados a los procesos del DNP.

6.4.1 Tiempo y recursos

Para la implementación de acciones y controles se tendrá como referente la viabilidad jurídica, financiera y la disponibilidad de recurso humano y tecnológico, así como el análisis costo/beneficio para el manejo o la administración del riesgo.

6.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos

La responsabilidad de la elaboración del mapa de riesgos por proceso, así como la aplicación de la política de riesgos del DNP, está a cargo de la autoridad, líderes y ejecutores de las actividades de cada uno de los procesos de la Entidad.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 10 de 44

La responsabilidad de acompañar en el desarrollo del proceso de administración de riesgos y la aplicación de la política de riesgos del DNP está a cargo del equipo de administración de riesgos del Grupo de Planeación. El representante de la alta dirección es el encargado de velar por la elaboración de los mapas de riesgos asociados a los procesos del DNP y la aplicación de la política de administración de riesgo del DNP. Los responsables de los procesos (Autoridad, líder y responsables de actividades) serán los encargados de implementar los controles, verificar su efectividad, proponer cambios, velar por su adecuada documentación y por su socialización y aplicación al interior de su proceso. Así mismo, son los responsables de la formulación de las acciones pertinentes que permitan cumplir a cabalidad con la política de riesgos institucional. La revisión de los avances de las acciones derivadas de la administración de riesgos, así como la revisión de su eficacia, y la aplicación de la política institucional para el tratamiento de los riesgos asociados a procesos, está a cargo de la Oficina de Control interno.

6.6 Recursos requeridos

En cada uno de los pasos de administración de riesgos se contemplaran los recursos necesarios para la definición, implementación y efectividad de las acciones que permitan un tratamiento adecuado de los riesgos. Para ello se involucraran a los procesos que tengan incidencia en el cálculo, aplicación o solicitud de los recursos.

6.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos

La política de calidad será desarrollada mediante los ejercicios de revisión, actualización y seguimiento a los mapas de riesgos de la Entidad, de la siguiente manera, ver cuadro 2:

DESARROLLO DE LA POLÍTICA A:

Corto plazo 2015 Mediano Plazo 2016-2017 Largo Plazo 2018

Revisión anual de los mapas de riesgos por procesos. (actividades de control: Aplicación y efectividad)

Documentación de los mapas de riesgo relacionados a proyectos.

Documentación de los mapas de riesgo relacionados con actividades desarrolladas por el DNP y el sector planeación.

Actualización bienal de los mapas de riesgos por procesos

Documentación de los mapas de riesgo relacionados a otras actividades desarrolladas por el DNP.

Revisión y actualización trimestral de los mapas de riesgos de corrupción.

Implementación de herramientas tecnológicas o de información que aumente el nivel de confianza de los controles.

Documentación de los mapas de riesgo relacionados a activos de información.

Establecer una metodología de valoración de los riesgos para estimar aquellos que tienen



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 11 de 44

Documentación de los mapas de riesgo relacionados con el programa de salud ocupacional.

impacto ambiental

Documentación de los mapas de riesgo relacionados a proyectos.

Implementación de una herramienta tecnológica para la administración de riesgos (herramienta informática)

Cuadro 2. Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos

7 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO

El seguimiento a la administración del riesgo se encuentra conformado por dos componentes: el primero mediante el autocontrol realizado por los ejecutores del proceso y el segundo mediante la evaluación realizada por la Oficina de Control Interno.

7.1 Autocontrol

Es la actividad realizada por los implicados en el desarrollo y ejecución del proceso, donde se analizan y revisan los mapas de riesgos asociados a los procesos por lo menos una vez al año o cuando las circunstancias lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto estratégico, modificaciones o cambios relevantes en los procesos y/o procedimientos, o cualquier hecho externo o interno que afecte la operación de la entidad.

La revisión se realiza teniendo en cuenta los siguientes aspectos:

Correspondencia con el proceso y los puntos críticos de control definidos.

Identificación de nuevos riesgos o eliminación cuando no sean significativos.

Determinación de nuevas causas generadoras o efectos con la materialización de riesgos.

Determinación de nuevos controles o ajuste en la evaluación de los mismos.

Determinación de nuevas acciones de administración de riesgos o ajuste a las definidas.

Implementación de las acciones definidas en el mapa de riesgos.

Modificación del indicador de riesgos o herramienta de seguimiento.

Actualización de la matriz de producto o servicio no conforme.

Inclusión del Mapa de riesgos del proceso en el Mapa de riesgos institucional asociado a procesos.

Los ajustes a los mapas de riesgos de acuerdo con las actualizaciones a que haya lugar, se realizan mínimo una vez cada dos años y deben solicitarse de acuerdo con lo establecido en los “Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” DS-L01.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 12 de 44

Para los riesgos de la categoría de Corrupción, es necesario que permanentemente se revisen las causas que generan estos riesgos. En este sentido se debe realizar seguimiento a los mapas de riesgo de corrupción por lo menos tres veces al año con corte a 30 de abril, 31 de agosto y diciembre 31. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la Republica-Secretaria de Transparencia: “Estrategias para la construcción del plan anticorrupción y atención al ciudadano” Bogotá. Pág. 13.

7.2 Evaluación Realizada por la Oficina de Control Interno

Esta evaluación permite detectar nuevos eventos de riesgos y oportunidades de mejora que permiten disminuir la probabilidad e impacto de los posibles riesgos asociados a los procesos de la Entidad, contribuyendo de esta manera a la identificación de riesgos, a través de la evaluación sobre efectividad del manejo de los riesgos, verificando la vigencia de los mapas de riesgos documentados y la efectividad de las acciones de mejora originadas por la administración de riesgos.

La evaluación adelantada por la Oficina de Control Interno a la administración de riesgos, se puede realizar a través de las evaluaciones independientes que adelante la Oficina tales como: Auditorías internas de calidad (Subproceso SG-EV-AI “Auditorías internas de calidad”), Evaluaciones Independientes (subproceso SG-EV-EI “Evaluaciones independientes”), Evaluación a la Gestion por Dependencias (subproceso SG-EV-EG ), revisión de la eficacia de las acciones preventivas, correctivas y de mejora – APCM originadas a partir de los mapas de riesgos (Proceso MC-AP “Acciones preventivas, correctivas y de mejora”), monitoreo de operaciones sensibles, entre otras.

7.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de riesgos

Durante el seguimiento realizado a los mapas de riesgo por parte de la autoridad, líderes y ejecutores de las actividades de los procesos del DNP, así como en la evaluación adelantada por la OCI, se pueden obtener evidencias para determinar si el sistema de administración del riesgo está funcionando, validar los reportes generados para los riesgos, revisar y evaluar la eficacia del proceso de administración del riesgo, evaluar los mecanismos y medios de comunicación, el nivel de conocimiento en riesgos, etc. A continuación se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los ejercicios mencionados:

Verificar la correspondencia entre el proceso y el mapa de riesgos. Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos del

proceso auditado. Vinculación del Mapa de riesgos del proceso al Mapa de riesgos institucional asociado a

procesos. Validar el desarrollo del proceso GC-AR “Administración de riesgos”. Verificar que los controles internos definidos para tratar los riesgos existen, funcionan y son

suficientes. Verificar la operatividad –ejecución- de los controles identificados en el mapa de riesgos,

según la periodicidad establecida en el mapa de riesgos en el formulario Controles, pestaña Evaluación de Controles. Ver anexo 4

Revisar la ejecución y eficacia de las acciones de administración de riesgos definidas.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 13 de 44

Verificar que el tratamiento de los riesgos es adecuado y efectivo. Verificar la materialización de riesgos que pueden generar productos y/o servicios no

conformes Verificar la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los

Procesos. Verificar las evidencias de la revisión del mapa de riesgos del proceso de acuerdo con la

periodicidad establecida en el capítulo 7.1 de este documento. Identificar los hallazgos relacionados con la administración del riesgo.

7.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos

La Oficina de Control Interno realiza la revisión de la eficacia de las acciones de mejora con origen en la administración de riesgos, enmarcada en los criterios establecidos en los “Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora” AP-L01 y en el Proceso MC- AP “Acciones Preventivas, Correctivas y de Mejora”.

8 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO

La administración de riesgos debe ser un tema conocido por todos los funcionarios, contratistas y pasantes del DNP, para lo cual se utiliza la intranet de la Entidad para su publicación, los medios masivos de comunicación y la divulgación al interior de cada uno de los procesos. En cuanto a la capacitación, esta se realizará anualmente en la entidad y durante el desarrollo del proceso de administración de riesgos en cada área de la Entidad.

9 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP

9.1 Identificación de riesgos

Permite conocer los riesgos que pueden afectar el logro del objetivo o la gestión de cada proceso documentado y sus características. El proceso de identificación del riesgo es iterativo y debe estar en permanente revisión y actualización, de acuerdo con la dinámica de los procesos de la Entidad. Este proceso es desarrollado en primera instancia por el equipo de trabajo que involucra el proceso (Autoridad, líder y responsables de las actividades) y en segunda instancia por el equipo de administración de riesgos del GP. La identificación de riesgos consiste en generar una lista de los eventos indeseados que puede tener impacto en las actividades del proceso al cual se le está documentando el mapa de riesgos, dichos eventos pueden impedir, degradar o retrasar el logro de los objetivos del proceso. La identificación de riesgos se realiza a partir de juicios por parte de los ejecutores de las actividades de los procesos, basados en su experiencia, los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas y análisis de escenarios. Nota 1: En los casos en los cuales las actividades críticas de un proceso contemplen la realización de un subproceso o se remitan al mismo, cabe la posibilidad de que el mapa de riesgos se documente al subproceso relacionado, puesto que los riesgos del proceso pueden ser más evidentes dentro de las actividades que constituyen el subproceso.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 14 de 44

9.1.1 Priorización de riesgos

Aunque en todas las actividades de un proceso se pueden presentar riesgos de diferente índole, es necesario priorizar las actividades a las cuales se les realizará el análisis de riesgos, para marcarlas como actividades críticas o Puntos Críticos de Control-PCC. Estas actividades han sido identificadas como PCC porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso. Cuando se identifican los riesgos asociados a las actividades PCC, se realiza nuevamente un análisis en donde se priorizan aquellos eventos indeseados que pueden evitar el cumplimiento de la actividad y por tanto la obtención de la salida: producto y/o servicio generado en la actividad crítica, señalada en el descriptor del proceso. Para la priorización de riesgos que se pueden presentar en una actividad PCC, se pueden analizar las respuestas a las siguientes preguntas: -¿La materialización del riesgo afecta el cumplimiento del objetivo del proceso (producto y/o servicio)? -¿La materialización del riesgo afecta la obtención de la salida (producto y/o servicio) de la actividad? -¿La materialización del riesgo afecta la realización de otras actividades subsiguientes a la señalada como PCC, es decir, detiene la realización del proceso en esa actividad? -¿Al materializarse ese riesgo, es necesario repetir la realización de actividades anteriores? -¿La materialización del riesgo impide el cumplimiento de alguna normativa?

Una vez analizadas las preguntas, es importante validar cuantas respuestas son afirmativas, de manera que se seleccionen los riesgos cuyas respuestas, en su mayoría, son “SI” igual o mayor de 3 (=>3). Para los demás riesgos identificados, cuyas respuestas en su mayoría sean “NO” se excluyen del análisis del riesgo, es decir no son incluidos dentro de la priorización, por tratarse de riesgos, que aunque son eventos indeseados, no detienen la realización del proceso, no afectan la consecución de resultados y no representan mayor impacto sobre el objetivo. Igualmente, para adelantar una adecuada identificación de riesgos es necesario tener en cuenta, el análisis de indicadores, los mapas de riesgos anteriores, los resultados de las auditorías internas y externas de calidad, las evaluaciones independientes, los informes de seguimiento y evaluación a la gestión de las dependencias, los hallazgos de la auditoría gubernamental de la CGR, los procesos disciplinarios abiertos, los informes de quejas y reclamos y la retroalimentación de los clientes, entre otros. Estas fuentes de información permiten evidenciar la materialización de riesgos, por tanto es indispensable su análisis al momento de identificar posibles riesgos en los procesos. Lo anterior con el propósito de observar algún riesgo que se haya presentado con anterioridad, cuya evidencia se hubiese presentado en alguna de las fuentes mencionadas. No obstante, la declaración de la materialización de un riesgo en alguno de los ejercicios mencionados, no implica necesariamente su inclusión dentro del mapa, puesto que prima la priorización de los riesgos y el análisis de la autoridad y/o líder del proceso en cuanto a la pertinencia de incluir dichos riesgos.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 15 de 44

Nota 2: En los casos en los cuales se documente el mapa de riesgos de un subproceso, teniendo como referente la nota 1 de este documento, aplican las mismas condiciones de priorización, es decir se tiene en cuanta el objetivo del proceso y adicionalmente el objetivo del subproceso.

9.1.2 Estructura del formulario de identificación de riesgos

La etapa de identificación de riesgos es desarrollada en el aplicativo Identificador de Riesgos en el formulario titulado “Identificación de riesgos”, ver anexo 1, que consta de las siguientes pestañas: Información General: En esta pestaña se relaciona toda la información del mapa de riesgos, la cual permite realizar trazabilidad en cuanto a la documentación. Actualización y revisión del mapa de riesgos. Esta pestaña consta de los siguientes campos:

- Macroproceso: En este espacio se relaciona el macroproceso al cual pertenece el proceso

relacionado con el mapa de riesgos que se va a documentar. - Proceso: Se selecciona el proceso al cual se identificaran los riesgos - Código del proceso: Se relaciona el código del proceso al cual se identificaran los riesgos - Código del mapa: Se relaciona el código del mapa de riesgos - Estado: Se selecciona el estado en el cual se encuentra la versión del mapa de riesgos, la

cual puede ser en actualización, aprobado o eliminado. - Versión: Se diligencia la versión del mapa de riesgos de acuerdo con el estado del mismo. - Dependencias: Se selecciona la(s) dependencia(s) que participa(n) en la ejecución de las

actividades críticas y que tienen directa relación con los riesgos identificados y/o con los controles aplicados.

- Responsable aprueba: Se diligencia el nombre y cargo de la persona que aprueba el mapa de riesgos.

- Fecha aprueba: Responde a la fecha de aprobación del mapa - Estado de la revisión: se relaciona el estado en el cual queda el mapa una vez ha sido

aprobado - Causa actualiza: se establecen las causas generales que motivan cambio de versión y

actualización. Así mismo se pueden anotar aspectos generales de la revisión y notas de trabajo.

Riesgos: En esta pestaña se relaciona información general del mapa de riesgos y se realiza la identificación de los riesgos y la valoración de los mismos antes de controles.

· Punto Crítico de Control (PCC): Es el punto de partida para la identificación de riesgos, en este campo se relacionan las actividades de los procesos que durante su documentación se han señalado como Puntos Críticos de Control (PCC), según lo dispuesto en los Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del DNP, capitulo 6.2.1 Documentación de Procesos. En esta misma casilla se relaciona además el número de la actividad.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 16 de 44

· Categoría4: Con base en las clasificaciones establecidas en formulario, se selecciona el grupo al que pertenece el riesgo a identificar. Estas categorías han sido priorizadas para administrar los riesgos más relevantes a los que están expuestos los procesos de la entidad A continuación se relacionan las categorías establecidas en las que puede incluirse o clasificarse un riesgo, ver cuadro 1. Categorías de riesgos. En las columnas, “SE PUEDEN PRESENTAR POR” y “PUEDEN OCASIONAR” se relacionan algunos ejemplos de causas y efectos respectivamente relacionados con el riesgo identificado según su categoría.

CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR:

1. Decisiones Erróneas: se manifiestan en diferentes ámbitos: a) Estratégico: se materializa cuando se definen lineamientos, políticas, estrategias, directrices que no son adecuadas o convenientes para la Entidad. b) Operativo: corresponde a la escogencia de alternativas impropias. c) Financiero: esta dado por la inapropiada asignación de recursos.

- Errores en la información que soportan las decisiones.

- Errores de juicio.

- Aplicación errónea de criterios o instrucciones para la realización de actividades.

- Actos accidentales o mal intencionados de los funcionarios o de terceros.

- Pérdida de credibilidad de la Entidad.

- Pérdida de confianza en la Entidad.

- Pérdidas económicas de la Entidad.

- Quejas y reclamos de los clientes (internos y/o externos)

2. Incumplimientos legales: se materializan con el no acatamiento de la normativa externa o interna.

- Ejecución de operaciones desconociendo el marco legal establecido.


- Sanciones Legales.

- Pérdidas económicas por multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos.

- Pérdida de credibilidad y confianza por no cumplir con responsabilidades y tareas encomendadas.

4 Adaptación de la metodología AUDIRISK de la firma AUDISIS Ltda. y del Consejo Superior de la Judicatura.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 17 de 44


3. Incumplimientos de compromisos: se materializan al pasar por alto las obligaciones o los compromisos de la Entidad.

- Errores en la información que soportan las decisiones.

- Asumir responsabilidades que exceden las capacidades de la Entidad y no se puedan realizar oportuna o adecuadamente.


- Pérdidas económicas por multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos.

- Pérdida de credibilidad y confianza por no cumplir con responsabilidades y tareas encomendadas.

- Quejas y reclamos de los clientes (internos y/o externos)

4. Daño de activos: se materializa con el abandono, uso inapropiado o colocar en inferioridad de condiciones los recursos físicos y tecnológicos de la Entidad.

- Accidentes y desastres naturales.

- Uso mal intencionado e inapropiado.

- Falta de idoneidad o capacitación en el manejo de recursos.

- Pérdida de la información.

- Pérdidas económicas por obsolescencia, reparación o reposición de instalaciones, equipos, accesorios y herramientas de trabajo.

- Fallas de hardware y software.

- Detrimento de seguridad de los recursos que soportan la prestación de los servicios.

5. Hurto: se materializa con la apropiación indebida, por parte de un servidor o de terceros de propiedad física, financiera e intelectual de la Entidad.

- Alteración y/o desviación de la información de las operaciones y transacciones de la Entidad.

- Sustracción deliberada de activos.


- Pérdidas Económicas.

- Detrimento del patrimonio de la Entidad.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 18 de 44


6. Fraude: se materializa al inducir a cometer un error para obtener una resolución contraria a la ley; así como evitar el cumplimiento de obligaciones impuestas. También al obtener mediante maniobras engañosas una ventaja en detrimento de alguien – sustracción maliciosa que alguien hace a las normas de la ley o a las de un contrato en perjuicio de otro.

- Alteración y/o desviación de la información de las operaciones y transacciones de la Entidad.

- Sustracción deliberada de activos.


- Pérdidas Económicas.

- Detrimento del patrimonio de la Entidad.

7. Inexactitud: se materializa al presentar datos o estimaciones equivocadas, incompletas, o desfiguradas.

- Errores en la información que soportan las decisiones

- Aplicación errónea de criterios o instrucciones para la realización de actividades.





- Decisiones erróneas

8. Corrupción: Se entiende por riesgo de corrupción la posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de la entidad y en consecuencia del Estado, para la obtención de un beneficio en particular.5

- Concentración de autoridad o excesos de poder

- Archivos contables con vacíos de información

- Toma de decisiones ajustadas a intereses particulares

- Cobrar por un trámite - Tráfico de Influencias (Amiguismo, persona influyente)



- - Pérdida de transparencia y la probidad en la Entidad.


Cuadro 1. Categorías de riesgos

Posterior a la selección de la categoría, es necesario establecer una preposición que relacione la categoría con el evento, se recomienda utilizar las siguientes preposiciones según la categoría:

Decisiones erróneas: al, durante, en, para, sobre.

5 Presidencia de la Republica. Secretaria de Transparencia. Estrategias para la construcción del plan anticorrupción y atención al ciudadano. Bogotá. Pág. 9



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 19 de 44

Incumplimientos legales: al, ante, con, durante, en. Incumplimientos de compromisos: al, ante, con, durante, en, hacia. Daño de activos: al, de, durante, en, para, sobre. Hurto: de, durante, en, mediante, para. Fraude: de, durante, en, mediante, para. Inexactitud: al, con, de, durante, en, para, sobre. Corrupción al, durante, por, en

Nota 3: Se recomienda analizar cuidadosamente el uso de la preposición “por” ya que se podría asimilar el evento con una causa. · Evento: se describe el hecho asociado al punto crítico de control que se está analizando, teniendo en cuenta la categoría y preposición escogida, por lo general coincide con la ejecución de la actividad. Para identificar correctamente el evento, puede ser muy útil revisar en el descriptor del proceso la columna “descripción de la actividad” relacionada con la actividad identificada como critica. · Riesgo: se define mediante la unión entre la categoría y el evento que lo materializa (categoría + preposición + evento). Ver cuadro 3. Categorías de riesgos Ejemplos:

CATEGORÍA PREPOSICIÓN EVENTO RIESGO

Decisiones erróneas Durante

La verificación y análisis de las presuntas irregularidades

Decisiones erróneas durante la verificación y análisis de las presuntas irregularidades

Inexactitud En El diligenciamiento del formato

Inexactitud en el diligenciamiento del formato

Incumplimientos legales

Al

Dar respuesta a una petición fuera de los términos establecidos por ley.

Al dar respuesta de una petición fuera de los términos establecidos por ley.

Incumplimientos de compromisos

En

La revisión oportuna de la iniciativa de elaboración del documento Conpes

Incumplimientos de compromisos en la revisión oportuna de la iniciativa de elaboración del documento Conpes

Daño de activos Durante

La ejecución del mantenimiento y luego de este

Daño de activos durante la ejecución del mantenimiento y luego de este

Hurto De Bienes durante la verificación física de existencias

Hurto de bienes durante la verificación física de existencias

Fraude Durante La preparación de la baja o la entrega del bien

Fraude durante la preparación de la baja o la entrega del bien



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 20 de 44

CATEGORÍA PREPOSICIÓN EVENTO RIESGO

Corrupción Por

La dilatación de los procesos con el propósito de obtener el vencimiento de términos o la prescripción de mismo.

Corrupción por la dilatación de los procesos con el propósito de obtener el vencimiento de términos o la prescripción de mismo.

Cuadro 3. Categorías de riesgos: Ejemplos

Nota 4: Es necesario priorizar los riesgos para el proceso, colocar máximo 10. La priorización de cada riesgo depende de la incidencia del riesgo identificado en la ejecución de la actividad crítica, así como el efecto del riesgo dentro de la ejecución del proceso, la consecución del objetivo del mismo y el impacto en la entidad en cuanto al cumplimiento de los componentes del contexto estratégico del DNP. La priorización la realiza la autoridad o líder del proceso bajo criterios de experiencia, experticia o conocimiento de quien analiza, así como en datos y hechos históricos (cuando existan o aplique). Nota 5: A cada Punto Crítico de Control se le puede asociar más de un riesgo. Clase: De acuerdo con las definiciones de riesgos mencionadas en el capítulo 5 de este documento, se elige a cual clase pertenece el riesgo identificado. · Causas: se enumeran los medios, circunstancias y/o agentes que generan el riesgo identificado o que propician su materialización. Estas causas pueden ser intrínsecas (internas) al ser atribuidas a personas, métodos, equipos, materiales e instalaciones, directamente involucradas en el proceso, es decir debilidades de la entidad, o extrínsecas (externas) cuando provienen del entorno en el que se desarrolla el proceso, es decir amenazas. En el formulario se discriminan las causas según corresponda en internas y externas. Nota 66: En la identificación de las causas de los riesgos cuya categoría sea corrupción, se busca “identificar un conjunto sistemático de situaciones que por sus características pueden originar prácticas corruptas” así mismo, es conveniente analizar los hechos de corrupción presentados en procesos similares de otras entidades. · Efectos: se enumeran las consecuencias asociadas a la materialización del riesgo que inciden en el objetivo del proceso, subprocesos asociados, a la dependencia que lidera el proceso o a la Entidad. Existen dos tipos de efectos, los inmediatos que afectan el desarrollo de actividades posteriores y los Extremos que se relacionan con efectos legales, sanciones o afectación en la operación de la Entidad. Pueden agruparse en:

Pérdidas económicas representadas en sobrecostos por reproceso, duplicidad o

inactividad y detrimento del patrimonio, multas entre otras. Detrimento de la imagen constituido por la pérdida de credibilidad y confianza en el

cumplimiento de la misión y tareas encomendadas.

6 Ibídem



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 21 de 44

Sanciones legales constituidas por las sanciones que debe pagar la Entidad Afectación en la operación (misional y/o apoyo) de la entidad

Nota 7: Los efectos no tienen relación uno a uno con las causas del riesgo, es decir, una o varias causas desencadenan el riesgo y la materialización del mismo ocasiona uno o varios efectos.

9.2 Análisis y Valoración del riesgo antes de controles (riesgo inherente)

Posterior a la identificación, se realiza la valoración del riesgo puro o inherente, el formulario de identificación en la pestaña: “Valoración del riesgo antes de controles”, ver anexo 2, en donde se evalúan los riesgos sin considerar los controles que pudieran existir, analizando la naturaleza y la forma como se llevan a cabo las actividades en el proceso. Para ello, se determina la probabilidad de ocurrencia y el impacto de la materialización de cada riesgo identificado, en un escenario hipotético en donde los controles para prevenir o mitigar el riesgo no existen o no se aplican. Probabilidad: Se establece la frecuencia con la que se ha presentado o puede presentarse el riesgo cuando no existen controles. Se mide en términos de la factibilidad con la que el riesgo se podría llegar a materializar, teniendo en cuenta la presencia y exposición ante factores internos y externos. Es importante tener en cuenta el análisis de aspectos como:

Número de veces que se realiza la actividad en un espacio de tiempo Número de personas que intervienen en la realización de la actividad Estadísticas (si se cuenta con ellas) de las materialización del riesgo Número de correcciones y acciones correctivas formuladas en el balance de acciones de

mejora F-GP-24, relacionadas con la materialización de riesgos. Los hallazgos de la auditoría gubernamental de la CGR, Las acciones adelantadas respecto a la materialización del riesgo, que fueron registradas en

el Consolidado de productos y/o servicios no conformes formato F-GP-34 De acuerdo con el análisis, se selecciona el grado de probabilidad con base en las siguientes categorías7, ver cuadro 4. Escalas de probabilidad:

PROBABILIDAD DESCRIPCIÓN ESCALA

PROBABILÍSTICA CALIFICACIÓN

REMOTA La eventualidad de ocurrencia es muy baja, casi nula.

0 – 19% 1

POCO PROBABLE Podría ocurrir sólo bajo circunstancias muy excepcionales.

20 – 49% 2

PROBABLE Podría o no ocurrir en algún momento.

50% 3

MUY PROBABLE-POSIBLE

Puede ocurrir en algún momento o algunas veces.

51 – 79% 4

7 Adaptación de la Norma Técnica Colombiana NTC 5254.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 22 de 44

PROBABILIDAD DESCRIPCIÓN ESCALA

PROBABILÍSTICA CALIFICACIÓN

CASI CIERTO-SEGURO

La posibilidad de ocurrencia se da en la mayoría de las circunstancias.

80 – 100% 5

Cuadro 4. Escalas de probabilidad

Es importante señalar que para la probabilidad de materialización de los riesgos de la categoría Corrupción, se consideran únicamente dos criterios CASI CIERTO-SEGURO y MUY PROBABLE-POSIBLE Nota 8: Para la probabilidad de los riesgos de la categoría de Corrupción, el formulario presenta de manera condicional en la lista desplegable únicamente las dos opciones permitidas para este tipo de riesgos. Lo anterior en cumplimiento con lo establecido en el documento de la Presidencia de la República-Secretaría de Transparencia: “Estrategias para la construcción del plan anticorrupción y atención al ciudadano” Bogotá. Pág. 11.

Impacto antes de controles: Se establece la magnitud de los efectos ocasionados con la materialización del riesgo cuando no existen controles. De acuerdo con un análisis cualitativo, se selecciona el nivel con base en las siguientes categorías 8, Ver cuadro 5. Escalas de impacto.

IMPACTO INSIGNIFICAN

TE BAJO MODERADO ALTO MUY ALTO

Sob

re la

imag

en

Ante el personal que ejecuta la actividad critica.

Ante el personal del área que lidera el proceso.

Ante otras áreas de la Entidad

Ante las entidades con las que interactúa la entidad.

Ante el nivel nacional e internacional

En

lo

econ

ómic

o Ningún costo o pérdidas financieras insignificantes

Incremento de costos menos del 5%

Incremento de costos entre el 5% y 10%

Incremento de costos entre el 10% y 20%

Incremento de costos más del 20%

En

el c

umpl

imie

nto

de

met

as

Problemas menores con las metas. Existe posibilidad de reprogramar la actividad o ajustar el plan de trabajo.

Restricciones para lograr las metas

Incumplimiento de algunos aspectos de las metas

Incumplimiento parcial de las metas Incumplimiento de algunas metas

Incumplimiento total de las metas

8 Ibidem



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 23 de 44

IMPACTO INSIGNIFICAN

TE BAJO MODERADO ALTO MUY ALTO

En

el

cum

plim

ient

o

de fe

chas

,

com

prom

isos

pact

ados

1 día a 1 semana

Más de 1 semana a 1 mes

Más de 1 mes a 3 meses

Más de 3 meses a 6 meses

Más de 6 meses

En

el m

anej

o de

arc

hivo

s /

activ

os

Daños menores en el activo que no requieren reparación

Daños menores en el activo a un bajo costo

Implica reparación del activo a un costo moderado

Implica reparación del activo costo elevado

Daño severo, implica baja del activo

Ningún daño o daños menores

Interrupción de labores menos de un 1 día

Interrupción de actividades de 1 día a 1 semana

Interrupción de actividades de 1 semana a 1 mes

Cese de labores por más de 1mes

Incu

mpl

imie

ntos

lega

les

No Aplica No Aplica

Pérdida de credibilidad y confianza por no cumplir con responsabilidad.

Multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos.

Sanciones Legales. Proceso disciplinario

Afe

ctac

ión

en

la o

pera

ción

Interrupción de labores <1 día

Interrupción de actividades de 1 día

Interrupción de actividades de más de un1 día a 1 semana

Interrupción de actividades de más de 1 semana a 1 mes

Cese de labores >1mes

Cuadro 5. Escalas de impacto.

Para el análisis del impacto de la materialización de los riesgos de la categoría Corrupción, este es considerado como único, siendo este INACEPTABLE por la gravedad en los efectos que se generan. Nota 9: Para la determinación del impacto de la materialización de los riesgos de la categoría de Corrupción, el formulario presenta de manera condicional en la lista desplegable únicamente la opción MUY ALTO, derivando una valoración del riesgo como INACEPTABLE. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la República-Secretaría de Transparencia: “Estrategias para la construcción del plan anticorrupción y atención al ciudadano” Bogotá. Pág. 12. Zona de riesgo: se relaciona en el link “Ver Grafica” en donde el riesgo identificado es ubicado según la valoración. Ver Cuadro 6. Escalas de valoración.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 24 de 44

ZONA DE RIESGO

COLOR DESCRIPCIÓN

INACEPTABLE Rojo Se requiere una acción inmediata

IMPORTANTE Naranja Se requiere una pronta atención

TOLERABLE Amarillo Se administra con procedimientos normales de control

ACEPTABLE Verde Genera menores efectos que pueden ser fácilmente remediados

Cuadro 6. Escalas de valoración

En el link “Ver Grafica” se visualiza la matriz de valoración de riesgos de la siguiente manera:

Grafico 1. Matriz de valoración de riesgos

9.3 Determinación y análisis de controles

Esta etapa busca determinar y evaluar las acciones que permiten reducir la probabilidad e impacto de la materialización de los riesgos. Consiste en documentar las acciones que en la actualidad se realizan con el fin de prevenir o mitigar los efectos de posibles desviaciones en la actividad relacionada como punto crítico de control.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 25 de 44

Es necesario que los funcionarios que participan en el análisis de riesgos, tengan conocimiento de la ejecución del proceso, así como de las herramientas informáticas utilizadas para el desarrollo de actividades, la normativa que reglamenta la actividad, los documentos asociados, registros etc., que se emplean para efectuar algún tipo de control.´

Es importante tener en cuenta que los controles permiten prevenir la ocurrencia de eventos que ponen en riesgo la adecuada ejecución de los procesos, y cuando esto no es posible, desarrollar un plan de respaldo, o de contingencia. Existen dos tipos de controles: en la probabilidad y sobre el impacto, lo anterior deriva su clasificación en dos tipos; preventivos y correctivos. A continuación se describe en que consiste cada uno de ellos. • Preventivos: Son aquellas acciones encaminadas a eliminar las causas generadoras de un riesgo, de tal manera que eviten o disminuyan su ocurrencia o materialización. • Correctivos: Son aquellas acciones que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable. A través de estos controles se puede cambiar o modificar las acciones que propiciaron su ocurrencia y corregir los productos o servicios generados de la actividad critica antes de ser suministrados al cliente.

Es importante revisar si los controles están documentados (proceso, normativa, etc), si se están

aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Así mismo, es necesario

conservar los registros que evidencian la aplicación del control y conservarlos para su efectivo

seguimiento. Algunos de estos controles pueden ser actividades incluidas en el mismo descriptor del

proceso en la descripción de actividades o ser actividades propias del mismo.

9.3.1 Estructura del formulario de determinación y análisis de controles

La etapa de determinación y análisis de controles se desarrolla en el formulario “Controles-Análisis”, ver Anexo 4, que contiene los siguientes campos:

· Punto Crítico de Control: relaciona la actividad crítica documentada en el formulario de “Identificación de riesgos”. · Riesgo: relaciona el riesgo identificado en el formulario “Identificación de riesgos” · Control: se despliega una lista de “tipos de controles” que pueden ser aplicados. De esta lista se selecciona el control que más se relacione con las actividades que se realizan. · Nombre: se diligencian las acciones que apuntan a prevenir la ocurrencia del riesgo identificado, que se aplican sobre las causas y el evento mismo que lo materializa y/o las acciones que permiten el restablecimiento de la actividad y los productos y/o servicios generado, es decir las actividades de corrección que se adelantan para resarcir los efectos de la materialización del riesgo. · Ubicación: Se diligencia la ruta o el lugar de evidencia de la ejecución o disposición del control. · Tipo: Se relaciona la clasificación del control, el cual puede ser preventivo o correctivo.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 26 de 44

Nota 10: Las acciones que se realicen para efectuar control, deben tener relación directa con las causas generadoras del riesgo identificado. Para ello es importante revisar que las actividades de control subsanen y/o prevengan los agentes generadores del riesgo identificado. Así mismo, es importante considerar las acciones de manera correctiva que se pueden adelantar para mitigar los efectos de un riesgo cuando se ha materializado.

9.3.2 Documentación del control

El control es una ACTIVIDAD, por tanto en el espacio “nombre” debe ir un sustantivo que tenga que ver con el verbo utilizado, acompañado de la herramienta (si existe) que permite efectuar el control.

X INCORRECTO CORRECTO

Informes mensuales que incluyen vencimientos.

Elaboración, seguimiento, revisión, o análisis de informes mensuales que incluyen vencimientos.

Metodología de medición y análisis de desempeño municipal.

Aplicación de la Metodología de medición y análisis de desempeño municipal en el análisis de información.

Ejemplo 1: al escribir como control los Informes, estos por sí solos no efectúan el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí seria: elaboración o seguimiento de informes mensuales que incluyen vencimientos. Por tanto el control efectuado es la actividad sobre una herramienta, en este caso los informes. Ejemplo 2: Al documentar que la Metodología de medición y análisis de desempeño municipal es el control, no se específica como se realiza el control o en que consiste, por ello, la metodología por sí sola no efectúa el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí sería: aplicación de la metodología de medición y análisis de desempeño municipal en el análisis de información. Asimismo, es importante revisar que los controles documentados son actividades RECURRENTES o PERIODICAS. Para el caso de un control relacionado con la realización de una capacitación, debe evaluarse si dicha capacitación tiene una periodicidad, es recurrente o si está programada, de lo contrario esta no podría considerarse como un control.

Nota 11: Cuando no es posible implementar controles para prevenir la ocurrencia del riesgo, debería elaborarse un plan de contingencia o de respaldo para minimizar los efectos o pérdidas que se generen por la materialización del riesgo, tal es el caso de pólizas y otros mecanismos de protección esencialmente económicos. Cuando se han implementado dichas medidas estas son relacionadas en la pestaña controles en el campo Evaluación impacto descrito en el capítulo 9.4.2 de este documento.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 27 de 44

9.4 Evaluación de controles

Los controles definidos son ponderados de acuerdo con su grado de incidencia frente al riesgo identificado. Los controles son evaluados frente a criterios de probabilidad e impacto. Para realizar esta evaluación se utiliza el formulario “Controles” en la pestaña: evaluación de controles. Ver anexo 4.

9.4.1 Evaluación respecto a la probabilidad (sobre las causas y eventos generadores)

Se obtiene diligenciando el siguiente cuestionario, teniendo en cuenta las herramientas para ejercer cada control y el seguimiento realizado, ver Cuadro 8.

PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES

HERRAMIENTAS PARA EJERCER

EL CONTROL

No. PREGUNTA SI NO Parcialmente Siempre

La mayoría de las veces

Algunas veces

(muestra) No Aplica

1

¿Posee una herramienta para ejercer el control?

20 0

2

¿Esta sistematizada o es una aplicación?

20 0

3

¿Existen manuales, instructivos, guías, etc. para el manejo del sistema o aplicación?

5 0

4

¿Se ha documentado el mapa de riesgos del sistema o aplicación según el SGSI?

10 0

Redistribuye puntaje de 10 en las preguntas 1 a 3 cuando la respuesta sea SI

COMPETENCIA DE QUIEN EJERCE EL

CONTROL 5

¿Están definidos los responsables de la ejecución del control?

10 0 5



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 28 de 44

6

¿Se ha capacitado a los responsables de ejercer el control, respecto a cómo se debe realizar?

10 0

DOCUMENTACIÓN DEL CONTROL

7

¿Existen manuales, instructivos, guías, etc. que detalle cómo se realiza las actividades del control?

5 0

FRECUENCIA DE APLICACIÓN DEL

CONTROL 8

¿El control se aplica todas las veces que se realiza la actividad crítica (PCC)?

20 10 5

Cuadro 8. Criterios para evaluar el control frente a la probabilidad

Cuando no existe una herramienta para ejercer el control, es decir la respuesta a la pregunta número 1 es NO, no se realizan las preguntas de la 2 a la 4 y se resta 55 puntos de la calificación total (100 puntos). Estos 55 puntos corresponden a 35 puntos que se obtendrían si la respuesta a las preguntas 2 a la 4 fuera afirmativa (SI), en caso de que hubiera herramienta, al no existir la herramienta no se puntúa estos aspectos. Los otros 20 puntos que se restan, son aquellos que se otorgan cuando existe una herramienta que permita efectuar el control. La puntuación de la probabilidad para cada control se obtiene multiplicando el puntaje obtenido por la ponderación asignada. Para realizar la valoración de los riesgos de la categoría de Corrupción, se adiciona la pregunta: ¿En el tiempo que lleva implementada la herramienta ha demostrado ser efectiva?, la cual asigna una puntuación adicional así, ver cuadro 9:

PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES

FRECUENCIA DE

APLICACIÓN DEL CONTROL

PREGUNTA

SI NO

Nunca ha ocurrido el

riesgo desde que se

implementa el control

La implementación del control ha

evitado la ocurrencia del riesgo entre 1=>3 años

La implementación del control ha

evitado la ocurrencia del riesgo en el último año

El riesgo aun ocurre con frecuencia,

aunque en menor medida a que si no existiera el control

10 7 5 0



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 29 de 44

Cuadro 9. Criterio adicional para evaluar el control frente a la probabilidad para los riesgos de la categoría de Corrupción.

Esta puntuación redistribuye los pesos de las calificaciones otorgadas en las 8 preguntas relacionadas en el cuadro 6, en una relación de 1 punto para cada pregunta de la 1 a la 8, a excepción de la pregunta 4, en la cual se hace reducción de 3 puntos.

Nota 12: La pregunta número 9, se habilita únicamente para los riesgos de la categoría de Corrupción y redistribuye los pesos porcentuales solo para estos riesgos.

9.4.2 Evaluación respecto al impacto (sobre los efectos)

Se obtiene diligenciando el siguiente cuestionario para el conjunto de controles, teniendo en cuenta la mitigación de la materialización del riesgo bajo criterios de cubrimiento y administración, ver cuadro 8. Criterios para evaluar el conjunto de controles frente al impacto:

PARAMETROS RESPUESTA PUNTAJE CRITERIOS PUNTAJE

¿Cuenta con copias de

seguridad, pólizas de seguro, planes

de respaldo o planes de

contingencia?

Sí 20

¿Cubre todos los efectos del riesgo?

SI NO Parcialmente

40 0 20

¿Se revisan y mantienen actualizadas?

40 0 20

No 0

Cuadro 8. Criterios para evaluar el conjunto de controles frente al impacto

La puntuación del impacto para el conjunto de controles se obtiene mediante la sumatoria de los puntajes obtenidos. De no contar con copias de seguridad, pólizas de seguro, planes de respaldo o planes de contingencia, se deshabilitan las preguntas relacionadas con los criterios y la calificación asignada es cero.

9.5 Valoración del riesgo después de controles (riesgo residual)

Utiliza la evaluación de los controles para reducir la probabilidad e impacto que se determinó en la valoración del riesgo antes de controles –Sección 6.4 -. Determina el riesgo no cubierto por los controles establecidos. Reducción de la probabilidad

Al obtener el promedio de la evaluación de los controles respecto a la probabilidad, se determina el número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información: ver cuadro 8. Disminución de la probabilidad con la calificación del riesgo:



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 30 de 44

CALIFICACIÓN DE CONTROLES

CUADRANTES A DISMINUIR EN LA PROBABILIDAD

91-100 3 cuadrantes

76- 90 2 cuadrantes

51-75 1 cuadrantes

0-50 0 cuadrantes

Cuadro 9. Disminución de la probabilidad con la calificación del riesgo

Reducción del impacto Al obtener la evaluación de los controles respecto al impacto, se determina el número de

cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información, ver cuadro 9. Disminución de la probabilidad con la calificación del riesgo:

CALIFICACIÓN DE CONTROLES

CUADRANTES A DISMINUIR EN EL IMPACTO

91-100 2 cuadrantes

76- 90 1 cuadrante

0-75 0 cuadrantes

Cuadro 10. Disminución del impacto con la calificación del riesgo

Zona de riesgo: se relaciona en el link “Ver Grafica” y se obtiene a partir del cruce entre la probabilidad e impacto, determinada por el número de cuadrantes a disminuir, luego de la valoración de los controles. En la matriz de valoración de riesgos se estima la nueva ubicación del riesgo (residual), la cual se visualiza como se presentó anteriormente en el numeral 6.3 de este documento.

9.6 Priorización de riesgos

Al ubicar los riesgos en el Formulario “Matriz de valoración de riesgos después de controles” se define cuáles requieren acciones inmediatas. Ver anexo 3. Con el fin de determinar cuantitativamente la priorización de riesgos, se asociaron valores numéricos a cada una de las escalas de probabilidad y ocurrencia definidas, de la siguiente manera:

VALOR PROBABILIDAD VALOR IMPACTO

5 Frecuente 5 Muy alto

4 Ocasional 4 Alto

3 Probable 3 Moderado

2 Poco probable 2 Bajo

1 Remota 1 Muy bajo

La multiplicación entre estos valores genera la siguiente calificación:



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 31 de 44

Calificación de los cuadrantes en la “Matriz de valoración de riesgos después de controles”

Asignando las prioridades en orden decreciente con la calificación se obtiene:

Prioridades de cuadrantes con la calificación en la “Matriz de valoración de riesgos después de controles”.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 32 de 44

Priorizando el impacto en calificaciones iguales, se organizan así:

Prioridades de cuadrantes para calificaciones iguales en la “Matriz de valoración de riesgos después de controles”.

Al aplicar el semáforo de zonas de riesgo se obtiene el orden de las prioridades para el tratamiento, pasando de la zona inaceptable a aceptable – rojo a naranja respectivamente -.

Prioridades de cuadrantes para zonas de riesgo en la matriz “Matriz de valoración de

riesgos después de controles”



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 33 de 44

10 MATRICES DE LOS MAPAS DE RIESGO

Las matrices de los mapas de riesgo documentados serán consolidadas en archivos en Excel y publicadas por el Grupo de Planeación.

10.1 Mapa de riesgos del proceso

Contiene una síntesis de las etapas desarrolladas para la Administración de riesgos, presentando los riesgos a los cuales está expuesto un proceso, y la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. El formato “Mapa de riesgos del proceso”, es el resultado de las anteriores etapas de administración de riesgos del proceso. Este formulario es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo en Excel el cual es publicado en la intranet de la Entidad. Este formato constituye un reporte del mapa de riesgos consolidado para cada proceso, el cual es actualizado cada vez que se requiera y según los tiempos establecidos para la revisión y actualización de los mapas, descritos en el capítulo 7 de este documento. Este formato está incluido dentro del SGC con el código F-GP-11.

10.2 Mapa de riesgos institucional asociado a procesos

Contiene el consolidado de los riesgos (excepto los de la categoría de corrupción) a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se elabora con la información de todos los mapas de riesgos documentados para los procesos y se ajusta con la actualización de los mismos a medida que se requiera. Este consolidado es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo en Excel el cual es publicado en la intranet de la Entidad y en la página Web, de acuerdo con los tiempos establecidos para el seguimiento a la administración de riesgos presentada en el capítulo 7 de este documento. Este formato está incluido dentro del SGC con el código F-GP-12.

10.3 Mapa de riesgos de corrupción

Contiene la consolidación de los riesgos de la categoría Corrupción a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se ajusta con la actualización que se derive luego de las revisiones realizadas a estos riesgos en el marco del seguimiento descrito en el capítulo 7 de este documento, los cuales atienden los dispuesto por la Presidencia de la Republica-Secretaria de Transparencia en el documento “Estrategias para la construcción del plan anticorrupción y atención al ciudadano” Bogotá. Este consolidado es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo en Excel el cual es publicado en la intranet de la Entidad y en la página Web. Este formato está incluido dentro del SGC con el código F-GP-35.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 34 de 44

11 PRODUCTO O SERVICIO NO CONFORME

La no conformidad que se presenta en un producto o servicio prestado por el DNP, está directamente asociada con la materialización de los riesgos identificados para el proceso que genera el producto o servicio. Por esta razón se ha identificado, para todos los productos y/o servicios del DNP una ficha de productos y/o servicio, en la cual están definidos las variables y atributos que deben cumplir los productos y servicios generados por el DNP en cada uno de los procesos. Esta ficha establece además, el mecanismo de seguimiento y/o medición de la variable o atributo de cada producto y/o servicio, así como su responsable del producto y/o servicio (según actividad descrita en el proceso) y a quien va dirigido, es decir, los clientes (según actividad descrita en el proceso). Este formato está incluido dentro del SGC con el código F-GP-06.

11.1 Identificación de producto no conforme

La identificación de productos no conformes se realiza de acuerdo con el esquema presentado a continuación. El Grafico 2 representa las etapas más relevantes del tratamiento del producto no conforme, el cual esta descrito al detalle en el documento “Lineamiento para el control y tratamiento de productos y/o servicios no conformes del DNP AR-L01”.

11.2 Tratamiento del producto no conforme

Antes de la materialización de un riesgo que pueda incidir en la conformidad de un producto y/o servicio, se deben identificar las actividades de corrección que se van a ejecutar en caso tal que al materializarse un riesgo se obtenga un producto y/o servicio no conforme. Esta identificación de actividades o acciones de corrección se realiza únicamente para los productos y/o servicios (finales e intermedios, de acuerdo con el PCC) de los procesos misionales contenidos en los macroproceso de: Planeación de Mediano y Largo Plazo, Finanzas Públicas, Gestión y Coordinación, Monitoreo y Seguimiento control y evaluación de PPPP. Una vez se haya identificado la materialización de un riesgo que como consecuencia genere un producto y/o servicio no conforme, se identifican las acciones posteriores a la materialización del riesgo en el formulario “Matriz de producto o servicio no conforme” con su respectivo registro de acciones tomadas posteriormente. Ver anexo 6. Nota 14: En los casos en los cuales la actividad identificada como PCC no sea la actividad generadora del producto y/o servicio final identificado en las fichas de productos y/o servicios, es necesario realizar el diligenciamiento del formato Matriz de producto o servicio no conforme, haciendo la aclaración que se trata de un producto final y por tanto diligenciar los campos de este formato.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 35 de 44

Grafico 2. Etapas relevantes del tratamiento del producto no conforme

11.2.1 Estructura del formulario “Tratamiento de Producto No Conforme”

La etapa de producto o servicio no conforme es desarrollada en el formulario “Tratamiento de Producto No Conforme”, ver anexo 6.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 36 de 44

Producto y/o servicio: Se identifica el resultado de la actividad señalada como crítica, en la cual la materialización de alguno de los riesgos, provoque la no conformidad. Así mismo, es importante documentar el tratamiento

Cliente: se indica la organización, entidad o persona que recibe el producto y/o servicio (Según actividad descrita en el proceso).

Responsable de liberación: persona que autoriza la entrega del producto al cliente (Según actividad descrita en el proceso).

Riesgo: relaciona el riesgo o riesgos identificados en el formulario “Identificación de riesgos” asociados al proceso.

Acción: se enumeran las acciones que se van a ejecutar, una vez el riesgo se ha materializado, para garantizar que el productos o servicio generado por la actividad sea conforme respecto a las variables y atributos que debe cumplir, los cuales están establecidos en la ficha del producto o servicio. La documentación se realiza enumerada, iniciando con un verbo infinitivo y haciendo las aclaraciones correspondientes cuando haya lugar.

Registro: documenta la posible forma de evidenciar la naturaleza de la no conformidad y de cualquier acción tomada posteriormente, ejemplo: comunicación escrita dirigida a la entidad que genera la información, solicitando la aclaración de datos que presenten inconsistencias.

12 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA ADMINISTRACIÓN DE RIESGOS

El cambio de versión en un mapa de riesgos por proceso, se realiza de acuerdo con los “Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” DS-L01, y afecta la versión actual de los siguientes documentos. · Mapa de riesgos institucional · Mapa de riesgos de corrupción (cuando aplique) En el caso específico del mapa de riesgos de corrupción, se llevará un control de los cambios y las versiones de este documento, teniendo en cuenta los cambios que surjan de las revisiones que se deben realizar, según las fechas establecidas en el numeral 7.1, de este documento. Para esto se utilizará el formato “Matriz de Control de Cambios” MCC-01.



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 37 de 44

13 ANEXOS

Anexo 1. Formulario “Identificación de riesgos”



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 38 de 44

Anexo 2. Formulario “Valoración del riesgo antes de controles”



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 39 de 44

Anexo 3. Formulario “Valoración del riesgo antes de controles”



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 40 de 44

Anexo 4. Formulario “Controles-Análisis”



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 41 de 44

Anexo 5. Formulario “Controles” en la pestaña: evaluación de controles



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 42 de 44



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 43 de 44

Anexo 6. Formulario “Tratamiento de Producto No Conforme”



CÓDIGO: AR-L02

VERSIÓN: 5

PAGINA: 44 de 44

Fecha aprobación: 19 Diciembre de 2014 Revisó: ______________________________ Lidia Yazmin Gonzalez Rojas

Coordinadora Grupo de Planeación Aprobó: ______________________________ Edgar Antonio Gomez Álvarez Secretario General Representante de la Alta Dirección


2. guia para la administracion del riesgos dnp 2014

Documents