instructivo mapa de riesgo pÁgina dedocsigec. · 2019. 12. 6. · orientar acerca de la...

UNIVERSIDAD DE CÓRDOBA

CÓDIGO: IMAN-001

VERSIÓN: 05 EMISIÓN:

06/12/2019 PÁGINA 1 DE 31

INSTRUCTIVO MAPA DE RIESGO

Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio web

del Sistema de Control Documental del SIGEC que ésta es la versión vigente

ÍNDICE

1. OBJETIVO 2

2. DEFINICIONES 2

3. CONTENIDO. 5

3.1. REFERENTE NORMATIVO. 6

3.2. ANTES DE INICIAR CON LA METODOLOGÍA 7

3.3. PASOS METODOLOGÍA ADMINISTRACIÓN DE RIESGOS 7

3.3.1. Paso 1. Política de Administración de Riesgos. 7

3.3.2. Paso 2. Identificación de Riesgos. 7

3.3.3. Paso 3: Valoración de Riesgos 13

3.4. ACCIONES PARA LA ADMINISTRACIÓN DEL RIESGO 27

3.4.1. Tratamiento del Riesgo 27

3.4.2. Acciones 27

3.5. MONITOREO Y REVISIÓN 29

3.6. COMUNICACIÓN Y CONSULTA 29

4. REGISTROS 30

5. CONTROL DE CAMBIOS 30

6. ANEXOS. 31

Proyectado por Angélica Morales Morales Firma:

Cargo Gestor de Calidad Proceso de

Seguimiento y Control

Revisado y aprobado

para uso por Aura María Castro Ramos Firma:

Cargo Líder Proceso de Seguimiento y Control

Revisado y Aprobado

para publicación por Tatiana Martínez Simanca

Firma:

Cargo Coordinador del SIGEC


CÓDIGO: IMAN-001

VERSIÓN: 05

EMISIÓN: 06/12/2019 PÁGINA 2 DE 31


Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio

web del Sistema de Control Documental del SIGEC que ésta es la versión vigente

1. OBJETIVO

Orientar acerca de la metodología de Administración de riesgos adoptada por la Institución para todos

los procesos del Sistema Integral de Calidad (SIGEC) de la Universidad de Córdoba.

Facilitar a los procesos del SIGEC el diligenciamiento del formato FMAN-013 Mapa de Riesgo, el cual

contiene la Identificación, Análisis y evaluación de los controles de riesgos dando cumplimiento a la

política de administración de riesgos establecida por la Institución con el propósito de gestionar de

manera efectiva los riesgos que puedan afectar el logro de los objetivos.

2. DEFINICIONES

Aceptar el Riesgo. Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en

particular.

Administración de Riesgos. Conjunto de elementos de control que al interrelacionarse permiten a

la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan

afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan

identificar oportunidades para un mejor cumplimiento de sus funciones.

Análisis de Riesgo. Permite establecer la probabilidad de ocurrencia de los eventos positivos y/o

negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la

capacidad de la entidad pública para su aceptación y manejo.

Autoevaluación del Control. Elemento de control que basado en un conjunto de mecanismos de

verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los

procesos y de cada área organizacional responsable, permitiendo emprender las acciones de

mejoramiento del control requeridas.

Causa. Todos aquellos factores internos y externos que solos o en combinación con otros, pueden

producir la materialización de un riesgo.

Compartir el Riesgo. Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la

materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.


CÓDIGO: IMAN-001

VERSIÓN: 05





Consecuencia. El resultado de un evento expresado cualitativa o cuantitativamente, sea este una

pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el

proceso.

Control. Medida que modifica el riesgo (procesos, políticas, dispositivos, practicas u otras acciones).

Corrupción. Uso del poder para desviar la gestión de lo público hacia el beneficio privado.

Evaluación del Riesgo. Proceso utilizado para determinar las prioridades de la Administración del

riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.

Evento. Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado.

Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie.

Frecuencia. Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces

que ha ocurrido un evento en un tiempo dado.

Gestión del Riesgo de Corrupción. Es el conjunto de actividades coordinadas para dirigir y

controlar una organización con respecto al riesgo de corrupción.

Identificación de Riesgo. Elemento de Control que posibilita conocer los eventos potenciales, estén

o no bajo el control de la entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo

los agentes generadores, las causas y los efectos de su ocurrencia.

Impacto. Se entiende como las consecuencias que puede ocasionar a la organización la

materialización del riesgo.

Mapa de riesgos. Documento con la información resultante de la gestión del riesgo.

Monitorear. Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una

actividad con el fin de identificar posibles cambios.

Probabilidad. Grado en el cual es probable que ocurra un evento, que se debe medir a través de la

relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.

Proceso de Administración de Riesgo. Aplicación sistemática de políticas, procedimientos y

prácticas de administración a las diferentes etapas de la Administración.


CÓDIGO: IMAN-001

VERSIÓN: 05





Reducción del Riesgo. Aplicación de controles para reducir las probabilidades de ocurrencia de un

evento.

Riesgo. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos

institucionales o del proceso, pudiendo entorpecer el desarrollo de sus funciones. Se expresa en

términos de probabilidad y consecuencias.

Riesgo de Corrupción. Posibilidad de que por acción u omisión, se use el poder para poder desviar

la gestión de lo público hacia un beneficio privado.

Riesgo Inherente. Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección

para modificar su probabilidad o impacto.

Riesgo Residual. Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.

Sistema de Administración de Riesgo. Conjunto de elementos del direccionamiento estratégico

de una entidad concerniente a la Administración de Riesgo.


CÓDIGO: IMAN-001

VERSIÓN: 05





PASO

PASO

PASO

3. CONTENIDO.

METODOLOGIA PARA LA ADMINISTRACIÓN DEL RIESGO

POLÍTICA DE

ADMINISTRACIÓN

DE RIESGOS

3.1 Análisis de

riesgos

3.2 Evaluación de Riesgos

3.4 Seguimiento

3.3 Monitoreo y Revisión

IDENTIFICACIÓN

DE RIESGOS

VALORACIÓN DE RIESGOS

2.1 Análisis del Contexto Estratégico

Lineamientos de la

Política

ANTES DE INICIAR CON LA

METODOLOGÍA

COMUNICACIÓN Y

CONSULTA (ASPECTO TRANSVERSAL)

2.2 Identificación de

Riesgos

METODOLOGIA

PARA LA ADMINISTRACIÓN

DE RIESGOS

1

3

2

Conocimiento de la

Entidad

Misión Visión Objetivos estratégicos Planeación Institucional Caracterización de los procesos Objetivos de los procesos

Contexto Interno Contexto Externo Tipología de Riesgos

Causas y Consecuencias

Análisis de probabilidad Análisis de Impacto (Riesgo Inherente)

Valoración de los controles Nivel de riesgo (Riesgo Residual)

Informes periódicos


CÓDIGO: IMAN-001

VERSIÓN: 05





3.1. REFERENTE NORMATIVO.

Ley 87 de 1993.

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos

del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011).

Artículo 2 OBJETIVOS DEL CONTROL INTERNO: literal a). Proteger los recursos de la organización,

buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar

medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la

organización y que puedan afectar el logro de los objetivos.

Ley 489 de 1998.

Estatuto Básico de Organización y Funcionamiento de la Administración pública

Capítulo VI. Sistema Nacional de Control Interno.

Decreto 2145 de 1999

Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y

Organismos de la Administración Pública del Orden Nacional y territorial y se dictan otras

disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000).(y por el Art. 8º. de la ley 1474

de 2011).

Directiva presidencial 09 de 1999.

Lineamientos para la implementación de la política de lucha contra la corrupción.

Decreto 1537 de 2001.

Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y

administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado.

En el Artículo 4º establece la Administración de Riesgos como parte integral del fortalecimiento de los

sistemas (…) y en su Artículo 3º establece el rol que deben desempeñar las oficinas de control interno

(…) que se enmarca en cinco tópicos (…) valoración de riesgos.

Decreto 1599 de 2005.

Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano y se presenta

el anexo técnico del MECI 1000:2005. 1.3 Componentes de administración del riesgo.

Ley 1474 de 2011.

Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano” que deben

elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas

concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la

atención al ciudadano.


CÓDIGO: IMAN-001

VERSIÓN: 05





Decreto 943 de 2014 MECI.

Por el cual se actualiza el Modelo Estándar de Control Interno (MECI).

Decreto 1499 de 2017

Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector

Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley

1753 de 2015 y en el ARTÍCULO 2.2.23.2. Actualización del Modelo Estándar de Control Interno. La

actualización del Modelo Estándar de Control Interno para el Estado Colombiano – MECI, se efectuará

a través del Manual Operativo del Modelo Integrado de Planeación y Gestión – MIPG, el cual será de

obligatorio cumplimiento y aplicación para las entidades y organismos a que hace referencia el artículo

5 de la Ley 87 de 1993.

3.2. ANTES DE INICIAR CON LA METODOLOGÍA

Es preciso analizar el contexto general de la Universidad para establecer su complejidad, procesos,

planeación institucional, entre otros aspectos, lo anterior para conocer y entender la entidad y su

entorno, lo que determinará el análisis de riesgos y la aplicación de la metodología en general.

Para la formulación y operacionalización de la política de Administración del riesgo es fundamental

tener claridad de la misión, Visión, Objetivos estratégicos y del Proceso, Valores y tener una visión

sistemática de la gestión del proceso identificando las características distintivas de cada proceso y su

interacción con los demás procesos, así como la normatividad aplicable. Por ende, el diseño se

establece a partir de la identificación de los factores internos o externos de la entidad, que puede

generar riesgos que afecten el cumplimiento de sus objetivos. Este contexto estratégico es la base

para la etapa identificación de los riesgos.

3.3. PASOS METODOLOGÍA ADMINISTRACIÓN DE RIESGOS

3.3.1. Paso 1. Política de Administración de Riesgos.

La Universidad de Córdoba tiene definida la política de administración de riesgos institucional la cual

se encuentra disponible en el aplicativo documental de la Institución y precisa los lineamientos para

el tratamiento, manejo y seguimiento a los riesgos identificados.

3.3.2. Paso 2. Identificación de Riesgos.

3.3.2.1. Análisis del Contexto Estratégico

El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de

carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre

https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=62866#1083


CÓDIGO: IMAN-001

VERSIÓN: 05





otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados

de los componentes de ambiente de control, estructura organizacional, modelo de operación,

cumplimiento de los planes y programas, sistemas de información, procesos y procedimientos y los

recursos económicos, entre otros.

Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:

Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el

análisis de la información externa y los planes y programas de la entidad.

Identificar los factores internos que pueden ocasionar la presencia de riesgo con base en el análisis

de los componentes del Ambiente de Control (Acuerdos, compromisos o protocolos éticos,

Desarrollo del talento humano, Estilos de Dirección), Direccionamiento Estratégico y demás

estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad.

Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.

Para ello la Institución tiene definido el formato FPIN-027 ANALISIS DEL CONTEXTO en el que se

realiza el ejercicio por procesos, y se convierte en insumo fundamental para la identificación de los

riesgos del proceso.

Cada proceso debe analizar los objetivos estratégicos y los objetivos del proceso e identificar los

posibles riesgos que afectan su cumplimiento y que puedan ocasionar su éxito o fracaso. Es necesario

revisar que los objetivos se encuentren alineados con la Misión y la Visión Institucional, así como,

analizar su adecuada formulación, pero además, se debe asegurar que los objetivos de proceso

contribuyan a los objetivos estratégicos.

A partir de este contexto se identifica el riesgo, el cual estará asociado a aquellos eventos o situaciones

que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estratégicos.

El proceso de identificación del riesgo debe ser permanente e interactivo, basado en el resultado del

análisis del Contexto Estratégico y debe partir de la claridad de los objetivos estratégicos de la entidad

para la obtención de resultados.

Es importante centrarse en los riesgos más significativos para la entidad relacionados con el desarrollo

de los procesos y los objetivos institucionales.

El riesgo debe estar descrito de manera clara y precisa. Su redacción no debe dar lugar a

ambigüedades o confusiones con la causa generadora de los mismos.

Se sugiere evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten

un factor de riesgo (causa) tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”,

“insuficiente”, “deficiente”, “debilidades en…”


CÓDIGO: IMAN-001

VERSIÓN: 05





Con el fin de facilitar la identificación de riesgos de corrupción y evitar que se presenten confusiones

entre un riesgo de gestión y uno de corrupción, se sugiere la utilización de la matriz de definición de

riesgo de corrupción, que incorpora cada uno de los componentes de su definición.

Matriz de definición de riesgo de corrupción Descripción del

riesgo Acción y Omisión Uso del poder

Desviar la gestión de lo público

Beneficio Privado

Si en la descripción del riesgo, las casillas son contestadas todas afirmativamente, se trata de un

riesgo de corrupción.

Ejemplos de Riesgos de Corrupción:

Direccionamiento Estratégico (Alta Dirección).

Concentración de autoridad o exceso de poder. Extralimitación de funciones. Ausencia de canales de comunicación. Amiguismo y clientelismo.

Financiero (Está relacionado con áreas de Planeación y Presupuesto).

Inclusión de gastos no autorizados. Inversiones de dineros públicos en entidades de dudosa solidez financiera, a cambio de

beneficios indebidos para servidores públicos encargados de su administración.

Inexistencia de registros auxiliares que permitan identificar y controlar los rubros de inversión.

Archivos contables con vacíos de información. Afectar rubros que no corresponden con el objeto del gasto en beneficio propio o a cambio

de una retribución económica. De contratación (Como proceso o los procedimientos ligados a éste).

Estudios previos o de factibilidad superficiales. Estudios previos o de factibilidad manipulados por personal interesado en el futuro proceso

de contratación. (Estableciendo necesidades inexistentes o aspectos que benefician a una firma en particular).

Pliegos de condiciones hechos a la medida de una firma en particular. Disposiciones establecidas en los pliegos de condiciones que permiten a los participantes

direccionar los procesos hacia un grupo en particular, como la media geométrica.

Restricción de la participación a través de visitas obligatorias innecesarias, establecidas en el pliego de condiciones.

Adendas que cambian condiciones generales del proceso para favorecer a grupos determinados.


CÓDIGO: IMAN-001

VERSIÓN: 05





Urgencia manifiesta inexistente. Designar supervisores o interventoras que no cuentan con conocimientos suficientes para

desempeñar la función. Concentrar las labores de supervisión de múltiples contratos en poco personal. Contratar con compañías de papel, las cuales son especialmente creadas para participar

procesos específicos, que no cuentan con experiencia, pero si con músculo financiero.

De información y documentación. Concentración de información de determinadas actividades o procesos en una persona. Sistemas de información susceptibles de manipulación o adulteración.

Ocultar a la ciudadanía la información considerada pública. Deficiencias en el manejo documental y de archivo.

De investigación y sanción.

Fallos amañados. Dilatación de los procesos con el propósito de obtener el vencimiento de términos o la

prescripción del mismo.

Desconocimiento de la ley, mediante interpretaciones subjetivas de las normas vigentes para evitar o postergar su aplicación.

Exceder las facultades legales en los fallos. Soborno (Cohecho).

De actividades regulatorias.

Decisiones ajustadas a intereses particulares. Tráfico de influencias, (amiguismo, persona influyente). Soborno (Cohecho).

De trámites y/o servicios internos y externos.

Cobro por realización del trámite, (Concusión). Tráfico de influencias, (amiguismo, persona influyente). Falta de información sobre el estado del proceso del trámite al interior de la entidad.

De reconocimiento de un derecho, como la expedición de licencias y/o permisos.

Cobrar por el trámite, (Concusión). Imposibilitar el otorgamiento de una licencia o permiso. Ofrecer beneficios económicos para acelerar la expedición de una licencia o para su

obtención sin el cumplimiento de todos los requisitos legales.

Tráfico de influencias, (amiguismo, persona influyente).

En este paso se tipificaran los riesgos de acuerdo a su naturaleza para ello se clasifican de la siguiente

manera:


CÓDIGO: IMAN-001

VERSIÓN: 05





Riesgo Estratégico: Posibilidad de ocurrencia de eventos que afecten los objetivos

estratégicos de la Institución.

Riesgo Contractual: posibilidad de ocurrencia de eventos que puedan afectar el normal

desarrollo de las etapas contractuales.

Riesgo Operativo: riesgo proveniente del funcionamiento y operatividad de los procesos,

estructura de la entidad y articulación entre procesos.

Riesgo Financiero: posibilidad de ocurrencia de eventos que afecten el manejo de los

recursos, la ejecución presupuestal, los estados financieros, los pagos, manejo de excedentes

de tesorería y manejo de bienes de la Institución.

Riesgo Tecnológico o de Seguridad Digital: Posibilidad de ocurrencia de eventos que

afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc).

Riesgo de Cumplimiento: Posibilidad de ocurrencia de eventos que afecten la situación

jurídica o contractual de la Institución debido a incumplimientos o desacatos a la normatividad

legal y las obligaciones contractuales.

Riesgo de Imagen: Posibilidad de ocurrencia de un evento que afecte la imagen, buen

nombre o reputación de la Institución ante las partes interesadas.

Riesgo de Corrupción: Posibilidad de que por acción u omisión se use el poder para desviar

la gestión de lo público hacia un beneficio privado.

Riesgo Ambiental: Posibilidad de que por forma natural o por acción humana se produzca daño

en el medio ambiente.

Ejemplo N° 1. Para diligenciar la hoja 2.1 contexto estratégico te presentamos el siguiente ejemplo

del proceso Seguimiento y Control:


CÓDIGO: IMAN-001

VERSIÓN: 05





CONTEXTO ESTRATÉGICO

Misión de la Universidad de Córdoba

La Universidad de Córdoba es una institución pública de educación superior que forma integralmente personas capaces de interactuar en un mundo globalizado, desde el campo de las ciencias básicas, asociadas a la producción agroindustrial, las ingenierías, las ciencias sociales, humanas, la educación y la salud; genera conocimiento en ciencia, tecnología, arte y cultura y contribuye al desarrollo humano y a la sostenibilidad ambiental de la región y del país.

Visión de la Universidad de Córdoba

Ser reconocida como una de las mejores instituciones públicas de educación superior del país por la calidad de sus procesos académicos y de gestión institucional, orientada al mejoramiento de la calidad de vida de la región, mediante la ejecución y aplicación de proyectos de investigación y extensión en cooperación con el sector productivo.

Proceso SEGUIMIENTO Y

CONTROL Objetivo del Proceso

Asegurar, por medio de evaluaciones, seguimientos y acompañamientos, el

cumplimiento oportuno y eficiente de la normatividad vigente en la Institución

Fecha de Análisis

Número Lista de Eventos que pueden afectar el logro del objetivo del Proceso

Riesgos Clasificación

1 Incumplimiento del programa de Auditoria Estratégico

2 Omisión en los informes de control interno de hallazgos fiscales, misionales o

ambientales detectados. De Corrupción

3.3.2.2. Identificación de Riesgos

En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus

causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis teóricos,

opiniones informadas y expertas y las necesidades de las partes involucradas.

Pregúntese si el riesgo de gestión identificado está relacionado directamente con las características

del objetivo. Si la respuesta es “no”, este puede ser la causa o la consecuencia.

Causas: Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes

generadores se entienden como todos los sujetos u objetos que tienen la capacidad de originar un

riesgo.

Consecuencias: Constituye los efectos de la ocurrencia del riesgo sobre los objetivos de la entidad;

generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias

importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información,

de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.

Ejemplo N° 2. Para diligenciar la hoja 2.2 Identificación de Riesgos te presentamos el siguiente

ejemplo del proceso Seguimiento y Control:


CÓDIGO: IMAN-001

VERSIÓN: 05





IDENTIFICACIÓN DE RIESGOS

Nombre del Proceso Seguimiento y

Control Objetivo

Asegurar, por medio de evaluaciones, seguimientos y acompañamientos, el

cumplimiento oportuno y eficiente de la

normatividad vigente en la Institución.

Causas

¿Por qué puede suceder? Riesgos Consecuencias Potenciales

¿Qué puede suceder si se materializa?

No contar con los auditores necesarios para el desarrollo

de la auditoria. Incumplimiento del

programa de Auditoria

Aumento de hallazgos detectados por parte de los

entes de control.

Falta de seguimiento al

programa de Auditoria No hay mejoras en el SIGEC.

Bajo desempeño del proceso de Seguimiento y Control.

3.3.3. Paso 3: Valoración de Riesgos

3.3.3.1. Análisis de Riesgos.

Se busca establecer la probabilidad de ocurrencia del riesgo y sus consecuencias o impacto, con el fin

de estimar la zona de riesgo inicial (RIESGO INHERENTE).

Permite establecer la probabilidad de ocurrencia de los Eventos (riesgos) y el impacto de sus

consecuencias (efectos), calificándolos y evaluándolos a fin de determinar la capacidad de la entidad

pública para su aceptación y manejo.

Se han establecido dos aspectos en el análisis de los riesgos identificados: Probabilidad que es la

posibilidad de ocurrencia del riesgo y puede ser medida con criterios de Frecuencias, si se ha

materializado (por ejemplo: Número de veces en un tiempo determinado), o Factibilidad, teniendo en

cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no

se haya materializado. Impacto se entiende las consecuencias que puede ocasionar a la organización

la materialización del riesgo.

Analizamos el riesgo a través de la estimación de la probabilidad de su ocurrencia y el nivel de impacto

o consecuencias que puede causar la materialización del riesgo.


CÓDIGO: IMAN-001

VERSIÓN: 05





Determinación de la probabilidad. Se debe utilizar la siguiente tabla:

Determinación de la Probabilidad

Calificación Descriptor Descripción Frecuencia

1 Raro El evento puede ocurrir solo en circunstancias excepcionales.

No se ha presentado en los últimos 5 años.

2 Improbable El evento puede ocurrir en algún momento

Al menos de 1 vez en los últimos 5 años.

3 Posible El evento podría ocurrir en algún momento

Al menos de 1 vez en los últimos 2 años.

4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias

Al menos de 1 vez en el último año.

5 Casi certeza Se espera que el evento ocurra en la mayoría de las circunstancias

Más de 1 vez al año.

Determinación del impacto. Los impactos se pueden clasificar como:

Calificación de los Impactos

Nivel Descriptor Descripción

1 Insignificantes Si el hecho llegara a presentarse, tendría consecuencias

o efectos mínimos sobre la entidad.

2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o

efecto sobre la entidad.

3 Moderado Si el hecho llegara a presentarse, tendría medianas

consecuencias o efectos sobre la entidad.

4 Mayor Si el hecho llegara a presentarse, tendría altas

consecuencias o efectos sobre la entidad

5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas

consecuencias o efectos sobre la entidad.


CÓDIGO: IMAN-001

VERSIÓN: 05





Criterios para calificar el impacto

Nivel Impacto (consecuencias)

Ca

tastr

ófi

co

*Interrupción de las operaciones de la Institución por más de cinco (5) días.

*Intervención por parte de un ente de control u otro ente regulador.

*Perdida de Información Crítica para la Institución que no se puede recuperar.

*Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.

* Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

Ma

yo

r

*Interrupción de las operaciones de la Institución por más de dos (2) días.

*Perdida de información crítica que puede ser recuperada de forma parcial o incompleta.

* Sanción por parte del ente de control u otro ente regulador.

*Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.

*Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a

los usuarios o ciudadanos.

Mo

de

rad

o

*Interrupción de las operaciones de la Institución por un (1) día.

* Reclamaciones o quejas de usuarios que podrían implicar una denuncia ante los entes reguladores o una

demanda de largo alcance para la Institución.

* Inoportunidad en la información ocasionando retrasos en la atención a usuarios.

* Reproceso de actividades y aumento de carga operativa.

* Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los

usuarios o ciudadanos.

* Investigaciones penales, fiscales o disciplinarias.

Me

no

r

* Interrupción de las operaciones de la Institución por algunas horas.

* Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias.

* Imagen institucional afectada localmente por retrasos en la presentación del servicio a los usuarios o

ciudadanos.

Insig

nif

ican

te

* No hay Interrupción de las operaciones de la Institución.

* No se genera sanciones económicas o administrativas.

* No se afecta la imagen institucional de forma significativa.

Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en cuenta solamente los

niveles moderado (3), mayor (4) y catastrófico (5) dado que estos riesgos siempre serán significativos;

en este orden de ideas, no aplican los niveles de impacto insignificante y menor, que sí aplican para

los demás riesgos.

Mecanismo para determinar la asignación del puntaje en el impacto para riesgos de

corrupción

El impacto se mide según el efecto que puede causar el hecho al cumplimiento de los fines de la

Institución. Para facilitar la asignación del puntaje es aconsejable diligenciar el siguiente formato:


CÓDIGO: IMAN-001

VERSIÓN: 05





Formato para determinar el Impacto

Pregunta Si el riesgo de corrupción se materializa podría...

Respuesta

Si No 1 ¿Afectar al grupo de funcionarios del proceso? 2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? 3 ¿Afectar el cumplimiento de la misión de la Entidad? 4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? 5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? 6 ¿Generar pérdida de recursos económicos? 7 ¿Afectar la generación de los productos o la prestación de servicios? 8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien o servicios o los recursos públicos?

9 ¿Generar pérdida de información de la Entidad? 10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? 11 ¿Dar lugar a procesos sancionatorios? 12 ¿Dar lugar a procesos disciplinarios? 13 ¿Dar lugar a procesos fiscales? 14 ¿Dar lugar a procesos penales? 15 ¿Generar pérdida de credibilidad del sector? 16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? 17 ¿Afectar la imagen regional? 18 ¿Afectar la imagen nacional? 19 ¿Generar daño ambiental?

Total preguntas afirmativas: _________ Total preguntas negativas: _________

Clasificación del Riesgo: Moderado_________ Mayor __________ Catastrófico __________

Respuestas:

Si se responde afirmativamente uno a cinco preguntas genera un impacto Moderado (3).

Si se responde afirmativamente de seis a once preguntas se califica el impacto Mayor (4).

Si se responde afirmativamente de doce a diecinueve preguntas genera un impacto

Catastrófico (5).

Una vez se determina la probabilidad y el impacto el formato FMAM-013 Mapa de riesgos en la hoja

3.1 Análisis de Riesgo compara los resultados determinando la zona de riesgo inicial (Riesgo

Inherente) de acuerdo a la siguiente matriz.


CÓDIGO: IMAN-001

VERSIÓN: 05





MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

PROBABILIDAD IMPACTO

Insignificante

(1)

Menor

(2) Moderado (3)

Mayor

(4)

Catastrófico

(5)

Raro

(1)

Zona de Riesgo

Baja

(Asumir el Riesgo)

Zona de Riesgo

Baja

(Asumir el Riesgo)

Zona de Riesgo

Moderada

(Asumir y/o Reducir

el Riesgo)

Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o

Transferir el Riesgo)

Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o


Improbable

(2)

Zona de Riesgo

Baja

(Asumir el Riesgo)

Zona de Riesgo

Baja

(Asumir el Riesgo)

Zona de Riesgo

Moderada

(Asumir y/o Reducir

el Riesgo)

Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Posible

(3)

Zona de Riesgo

Baja

(Asumir el Riesgo)

Zona de Riesgo

Moderada (Asumir

y/o Reducir el

Riesgo)

Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Probable

(4)

Zona de Riesgo

Moderado

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Casi Seguro

(5)

Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Alta

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Zona de Riesgo

Extrema

(Reducir, Evitar,

Compartir o


Ejemplo N° 3. Para diligenciar la hoja 3.1 Análisis de Riesgos te presentamos el siguiente ejemplo del

proceso Seguimiento y Control:


CÓDIGO: IMAN-001

VERSIÓN: 05





Análisis del Riesgo

Proceso Seguimiento y Control

Riesgo Calificación Riesgo Inherente Probabilidad Impacto

Incumplimiento del

programa de Auditoria 3 Posible 2 Menor Zona de Riesgo Moderada

(Asumir y/o Reducir el Riesgo)

3.3.3.2 Evaluación de Riesgos.

Una vez establecido el riesgo inherente y las causas que pueden dar origen a la materialización del

riesgo se procede con la definición de actividades de control para cada causa identificada. Es

importante considerar que los controles estén bien diseñados, es decir, que efectivamente estos

mitigan las causas que hacen que el riesgo se materialice.

Po lo anterior en este punto se evaluará si los controles están bien diseñados para mitigar el riesgo y

si estos se ejecutan como fueron diseñados.

Para la definición de actividades de control, tener en cuenta que las causas se deben trabajar de

manera separada (no se deben combinar en una misma columna o renglón). Un control puede ser

tan eficiente que ayude a mitigar varias causas, en estos casos se repite el control, asociado de

manera independiente a la causa específica.

Antes de valorar los controles es necesario conocer cómo se diseña un control.

DISEÑO DEL CONTROL: Al momento de definir si un control o los controles mitigan de manera

adecuada el riesgo se deben considerar, desde la redacción del mismo, las siguientes variables:

Debe tener definido el responsable de llevar a cabo la actividad

de control.

Debe tener una periodicidad definida para su ejecución.

Debe indicar cuál es el propósito del control.

Debe indicar qué pasa con las observaciones o desviaciones

resultantes de ejecutar el control.

Debe establecer el cómo se realiza la actividad de control.

Responsable

Periodicidad

Propósito

Cómo se realiza

Qué pasa con las Desviaciones


CÓDIGO: IMAN-001

VERSIÓN: 05





Responsable: Persona asignada para ejecutar el control. Debe tener la autoridad, competencias y

conocimientos para ejecutar el control dentro del proceso y sus responsabilidades deben ser

adecuadamente segregadas o redistribuidas entre diferentes individuos, para reducir así el riesgo de

error o de actuaciones irregulares o fraudulentas.

Cuando un control se hace de manera manual (ejecutado por personas) es importante establecer el

cargo responsable de su realización, Cuando el control lo hace un sistema o una aplicación de manera

automática a través de un sistema programado, es importante establecer como responsable de

ejecutar el control al sistema o aplicación.

Se debe evitar asignar áreas de manera general o nombres de personas ya que el control debe estar

asignado a un cargo específico.

Ejemplo: *El profesional de contratación.

* El auxiliar de cartera. * El coordinador de operaciones.

* La coordinadora de nómina.

* El sistema SAP. * El aplicativo de nómina.

* El aplicativo de contratación. * El aplicativo de activos fijos.

Periodicidad: El control debe tener una periodicidad específica para su realización (diario, mensual,

trimestral, anual, etc.) y su ejecución debe ser consistente y oportuna para la mitigación del riesgo.

Por lo que en la periodicidad se debe evaluar si este previene o se detecta de manera oportuna el

riesgo.

Hay controles que no tienen una periodicidad específica como, por ejemplo, los controles que se

ejecutan en el proceso de contratación de proveedores solo se ejecutan cuando se contratan

proveedores. La periodicidad debe quedar redactada de tal forma que indique: que cada vez que se

desarrolla la actividad se ejecuta el control.

Ejemplo: * El profesional de contratación: cada vez que se va a realizar un contrato con un proveedor de

servicios.

* El auxiliar de cartera: mensualmente.

* El coordinador de operaciones: diariamente.

* La coordinadora de nómina: quincenalmente.

Debe dejar evidencia de la ejecución del control. Evidencia


CÓDIGO: IMAN-001

VERSIÓN: 05





Propósito: El control debe tener un propósito que indique para qué se realiza, y que ese propósito

conlleve a prevenir las causas que generan el riesgo (verificar, validar, conciliar, comparar, revisar,

cotejar) o detectar la materialización del riesgo, con el objetivo de llevar acabo los ajustes y correctivos

en el diseño del control o en su ejecución. El solo hecho de establecer un procedimiento o contar con

una política por sí sola, no va a prevenir o detectar la materialización del riesgo o una de sus causas.

Siguiendo las variables a considerar en la evaluación del diseño de control revisadas, veamos algunos

ejemplos de cómo se deben redactar los controles, incluyendo el propósito del control, es decir, lo

que este busca.

Es importante que pensemos primero en tener controles preventivos antes que detectivos.

Ejemplo: * Cada vez que se va a efectuar un contrato el profesional de contratación verifica que la

información suministrada por el proveedor corresponda con los requisitos establecidos de

contratación.

* El auxiliar de cartera mensualmente verifica que los valores recaudados en ‘Banco’ correspondan

con los saldos adeudados por los clientes.

* Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a

girar el pago no esté reportado en listas restrictivas o de lavado de activos y financiación del

terrorismo.

Cómo se realiza: El control debe indicar el cómo se realiza, de tal forma que se pueda evaluar si la

fuente u origen de la información que sirve para ejecutar el control, es confiable para la mitigación

del riesgo. Cuando estemos evaluando el control debemos preguntarnos si la fuente de información

utilizada es confiable. Ej.: para verificar los requisitos que debe cumplir un proveedor en el momento

de ser contratado es mejor utilizar una lista de chequeo que hacerlo de memoria, dado que se nos

puede quedar algún requisito por fuera.

Ejemplo: * Cada vez que se va a realizar un contrato el profesional de contratación verifica que la

información suministrada por el proveedor corresponda con los requisitos establecidos de

contratación a través de una lista de chequeo donde están los requisitos de información y la

revisión con la información física suministrada por el proveedor.

* El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco

correspondan con los saldos adeudados por los clientes, este toma dicha información

directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de

pago y que fueron canceladas según los extractos bancarios revisados.

Qué pasa con las Desviaciones: El control debe indicar qué pasa con las observaciones o

desviaciones como resultado de ejecutar el control. Al momento de evaluar si un control está bien

diseñado para mitigar el riesgo, si como resultado de un control preventivo se observan diferencias o

aspectos que no se cumplen, la actividad no debería continuarse hasta que se subsane la situación o


CÓDIGO: IMAN-001

VERSIÓN: 05





si es un control que detecta una posible materialización de un riesgo, deberían gestionarse de manera

oportuna los correctivos o aclaraciones a las diferencias presentadas u observaciones.

Ejemplo: * Cada vez que se va a realizar un contrato el profesional de contratación, verifica a través de

una lista de chequeo que la información suministrada por el proveedor corresponda con los

requisitos establecidos de contratación. En caso de encontrar información faltante, requiere al

proveedor a través de correo el suministro de la información y poder continuar con el proceso

de contratación.

* El auxiliar de cartera mensualmente verifica que los valores recaudados en ‘Banco’

correspondan con los saldos adeudados por los clientes, este toma dicha información

directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de

pago, y que fueron canceladas según los extractos bancarios revisados. En caso de observar

cuentas de cobro que a la fecha no se ha recibido el pago, liste las cuentas pendientes de pago,

realice llamadas a los clientes y solicite la fecha para el pago de las mismas.

Evidencia: El control debe dejar evidencia de su ejecución. Esta evidencia ayuda a que se pueda

revisar la misma información por parte de un tercero y llegue a la misma conclusión de quien ejecutó

el control y se pueda evaluar que el control realmente fue ejecutado de acuerdo con los parámetros

establecidos y descritos anteriormente: 1. Fue realizado por el responsable que se definió. 2. Se realizó

de acuerdo a la periodicidad definida. 3. Se cumplió con el propósito del control. 4. Se dejó la fuente

de información que sirvió de base para su ejecución. 5. Hay explicación a las observaciones o

desviaciones resultantes de ejecutar el control.

Ejemplo: Cada vez que se va a realizar un contrato, el profesional de contratación verifica a través de

una lista de chequeo que la información suministrada por el proveedor corresponda con los

requisitos establecidos de contratación. En caso de encontrar información faltante, solicita al

proveedor por correo la información y poder continuar con el proceso de contratación.

Evidencia: la lista de chequeo diligenciada, la información de la carpeta del cliente y los correos

a que hubo lugar en donde solicitó la información faltante (en los casos que aplique).

EVALUACIÓN DEL DISEÑO DEL CONTROL: Para la adecuada mitigación de los riesgos no basta con

que un control esté bien diseñado, el control debe ejecutarse por parte de los responsables tal como

se diseñó. Porque un control que no se ejecute, o un control que se ejecute y esté mal diseñado, no

va a contribuir a la mitigación del riesgo.

Análisis y evaluación del diseño del control de acuerdo con las seis (6) variables establecidas:


CÓDIGO: IMAN-001

VERSIÓN: 05





CRITERIO DE EVALUACIÓN

ASPECTO A EVALUAR EN LA EJECUCIÓN DEL CONTROL OPCIONES DE RESPUESTA

1. Responsable

¿Existe un responsable asignado a la ejecución del control? Asignado No asignado

¿El responsable tiene la autoridad y adecuada segregación de

funciones en la ejecución del control? Adecuado Inadecuado

2. Periodicidad ¿La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación del riesgo o a

detectar la materialización del riesgo de manera oportuna?

Oportuna inoportuna

3. Propósito

¿Las actividades que se desarrollan en el

control realmente buscan por si sola prevenir o detectar las causas que pueden dar origen

al riesgo, Ej.: verificar, validar, cotejar, comparar, revisar, etc.?

Prevenir o detectar

No es un control

4. Cómo se

realiza la actividad de

control

¿La fuente de información que se utiliza en el desarrollo del control es información confiable que permita

mitigar el riesgo?

Confiable No confiable

5. Qué pasa con

las

observaciones o desviaciones

¿Las observaciones, desviaciones o diferencias identificadas

como resultados de la ejecución del control son investigadas y resueltas de manera

oportuna?

Se investigan y resuelven

oportunamente

No se

investigan

y resuelven oportunamente.

6. Evidencia de la

ejecución del control

¿Se deja evidencia o rastro de la ejecución del

control que permita a cualquier tercero con la evidencia llegar a la misma conclusión?

Completa Incompleta / no

existe

Peso de cada variable en el diseño del control para la mitigación del riesgo:


OPCIÓN DE RESPUESTA AL CRITERIO DE EVALUACIÓN

PESO EN LA EVALUACIÓN DEL

DISEÑO DEL CONTROL

1.1 Asignación del

responsable

Asignado 15

No Asignado 0

1.2 Segregación y autoridad del

responsable

Adecuado 15

Inadecuado 0

2. Periodicidad Oportuna 15

Inoportuna 0

3. Propósito

Prevenir 15

Detectar 10

No es un control 0


CÓDIGO: IMAN-001

VERSIÓN: 05






OPCIÓN DE RESPUESTA AL CRITERIO DE EVALUACIÓN

PESO EN LA EVALUACIÓN DEL

DISEÑO DEL CONTROL

4. Cómo se realiza

la actividad de control

Confiable 15

No Confiable 0

5. Qué pasa con las

observaciones o

desviaciones

Se investigan y resuelven

oportunamente 15

No se investigan y resuelven

oportunamente 0

6. Evidencia de la

ejecución del control

Completa 10

Incompleta 5

No existe 0

El resultado de cada variable de diseño, a excepción de la evidencia, va a afectar la calificación del

diseño del control, ya que deben cumplirse todas las variables para que un control se evalúe como

bien diseñado.

RANGO DE CALIFICACIÓN DEL

DISEÑO

RESULTADO - PESO EN LA EVALUACIÓN DEL DISEÑO

DEL CONTROL

Fuerte Calificación entre 96 y 100

Moderado Calificación entre 86 y 95

Débil Calificación entre 0 y 85

EVALUACIÓN DE LA EJECUCIÓN DEL CONTROL: Aunque un control esté bien diseñado, este debe

ejecutarse de manera consistente, de tal forma que se pueda mitigar el riesgo, ahora evaluaremos la

ejecución del Control

RANGO DE LA

CALIFICACIÓN DE LA EJECUCIÓN DEL CONTROL

RESULTADO -PESO DE LA EJECUCIÓN DEL CONTROL-

Fuerte El control se ejecuta de manera consistente por parte

del responsable.

Moderado El control se ejecuta algunas veces por parte del

responsable.

Débil El control no se ejecuta por parte del responsable.


CÓDIGO: IMAN-001

VERSIÓN: 05





SOLIDEZ DEL CONTROL

Dado que la calificación de riesgos inherentes y residuales se efectúa al riesgo y no a cada causa, hay

que consolidar el conjunto de los controles asociados a las causas, para evaluar si estos de manera

individual y en conjunto sí ayudan al tratamiento de los riesgos, considerando tanto el diseño,

ejecución individual y promedio de los controles.

En la evaluación del diseño y ejecución de los controles las dos variables son importantes y

significativas en el tratamiento de los riesgos y sus causas, por lo que siempre la calificación de la

solidez de cada control asumirá la calificación del diseño o ejecución con menor calificación entre

fuerte, moderado y débil, tal como se detalla en la siguiente tabla:

PESO DEL DISEÑO DE

CADA CONTROL

PESO DE LA EJECUCIÓN

DE CADA CONTROL

SOLIDEZ INDIVIDUAL DE CADA

CONTROL FUERTE = 100

MODERADO= 50 DÉBIL = 0

Fuerte:

calificación

entre 96 y 100

Fuerte (siempre se ejecuta) fuerte + fuerte = Fuerte

Moderado (algunas veces) fuerte + moderado = Moderado

Débil (no se ejecuta) fuerte + débil = Débil

Moderado: calificación

entre 86 y 95

Fuerte (siempre se ejecuta) moderado + fuerte = Moderado

Moderado (algunas veces) moderado + moderado = Moderado

Débil (no se ejecuta) moderado + débil = Débil

Débil:

calificación entre

0 y 85

Fuerte (siempre se ejecuta) débil + fuerte = Débil

Moderado (algunas veces) débil + moderado = Débil

Débil (no se ejecuta) débil + débil = Débil

Dado que un riesgo puede tener varias causas, a su vez varios controles y la calificación se realiza al

riesgo, es importante evaluar el conjunto de controles asociados al riesgo.

CALIFICACIÓN DE LA SOLIDEZ DEL CONJUNTO DE

CONTROLES

FUERTE El promedio de la solidez individual de cada control al sumarlos y ponderarlos es igual a 100.

MODERADO El promedio de la solidez individual de cada control al sumarlos y ponderarlos está entre 50 y 99.

DEBIL El promedio de la solidez individual de cada control

al sumarlos y ponderarlos es menor a 50.


CÓDIGO: IMAN-001

VERSIÓN: 05





DESPLAZAMIENTO DEL RIESGO INHERENTE PARA CALCULAR EL RIESGO RESIDUAL

Dado que ningún riesgo con una medida de tratamiento se evita o elimina, el desplazamiento de un

riesgo inherente en su probabilidad o impacto para el cálculo del riesgo residual se realizará de

acuerdo con la siguiente tabla:

SOLIDEZ DEL CONJUNTO

DE CONTROLES

CONTROLES

AYUDAN A DISMINUIR LA

PROBABILIDAD

CONTROLES

AYUDAN A DISMINUIR EL

IMPACTO

# DE COLUMNAS

QUE SE DESPLAZA EN EL EJE DE

PROBABILIDAD

# DE COLUMNAS

QUE SE DESPLAZA EN EL EJE DE

IMPACTO

Fuerte directamente directamente 2 2

Fuerte directamente indirectamente 2 1

Fuerte directamente no disminuye 2 0

Fuerte no disminuye directamente 0 2

Moderado directamente directamente 1 1

Moderado directamente indirectamente 1 0

Moderado directamente no disminuye 1 0

Moderado no disminuye directamente 0 1

Si la solidez del conjunto de los controles es débil, este no disminuirá ningún cuadrante de impacto o

probabilidad asociado al riesgo.

Ejemplo N° 4. Para diligenciar la hoja 3.2 Evaluación de Riesgos del FMAM-013 te presentamos el

siguiente ejemplo del proceso seguimiento y Control


CÓDIGO: IMAN-001

VERSIÓN: 05






CÓDIGO: IMAN-001

VERSIÓN: 05





3.4. ACCIONES PARA LA ADMINISTRACIÓN DEL RIESGO

3.4.1. Tratamiento del Riesgo

Es la respuesta establecida para la mitigación de los diferentes riesgos.

Evitar el riesgo, cuando los escenarios de riesgo identificado se consideran demasiado

extremos, se puede tomar una decisión para evitar el riesgo, mediante la cancelación de una

actividad o conjunto de actividades, para no continuar con la actividad que origina el riesgo.

Un ejemplo de estos puede ser el control de calidad, manejo de los insumos, mantenimiento

preventivo de los equipos, desarrollo tecnológico, etc.

Reducir el riesgo, implica tomar medidas para disminuir la probabilidad (medidas de

prevención), o el impacto (medidas de protección), o ambos. Por medio de la implementación

de controles.

Compartir el riesgo, cuando no es posible reducir el riesgo a un nivel aceptable, o se carece

de conocimientos necesarios para gestionarlo, el riesgo puede ser compartido con otra parte

interesada que pueda gestionarlo con mayor eficacia. como en el caso de los contratos de

seguros.

Aceptar el riesgo, Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no

es necesario poner controles y el riesgo puedes ser aceptado. La aceptación del riesgo puede

ser una opción viable para los riesgos bajos, pero también pueden existir escenarios de riesgo

a los que no se les pueden aplicar controles y por ende, se acepta el riesgo.

3.4.2. Acciones

Es la aplicación concreta de las opciones de manejo del riesgo (tratamiento) que entrarán a prevenir

o a reducir el riesgo y harán parte del plan de manejo del riesgo.

Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben

ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares,

optimización de procesos y procedimientos y cambios físicos entre otros. La selección de las acciones

más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica.

De acuerdo a la política de administración de Riesgos establecida por la Universidad de Córdoba:

Si el riesgo se ubica en la Zona de Riesgo Baja, el riesgo se encuentra en un nivel que se puede

aceptar sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

Si el riesgo se ubica en la Zona de Riesgo extrema, es aconsejable eliminar la actividad que genera

el riesgo en la medida que sea posible, de lo contrario, se deben implementar controles de

prevención para evitar la materialización del riesgo y detectivos para disminuir el Impacto, o

compartir o transferir el riesgo si es posibles a través de pólizas de seguros u otras opciones que

estén disponibles.


CÓDIGO: IMAN-001

VERSIÓN: 05





Si el riesgo se sitúa en cualquier de las otras zonas Moderada o Alta, se deben tomar medidas

para llevar en lo posible los riesgos a la zona moderada o baja.

Siempre que el riesgo sea calificado con Impacto catastrófico, la Entidad debe diseñar planes de

contingencia, para protegerse en caso de su ocurrencia.

Ningún riesgo de corrupción podrá ser aceptado y se deberán adoptar medidas para reducir, evitar

o compartir el riesgo y establecer acciones de control preventivas con el fin de reducir probabilidad

o el impacto del riesgo, o ambos.

En relación a lo anterior, se adelantaran las acciones para administrar el riesgo.

Responsable. Son las dependencias o áreas encargadas de adelantar las acciones propuestas.

Frecuencia. Son las fechas establecidas para implementar las acciones por parte del grupo de

trabajo. (Anual, Mensual, Bimensual, Semestral u otros).

Indicador. Se consignan los indicadores claves de riesgo que permiten monitorear el cumplimiento

e impacto de las actividades de control.

Ejemplo N° 5. Para diligenciar la hoja 3.2 Evaluación de Riesgos del FMAM-013 te presentamos el

siguiente ejemplo del proceso seguimiento y Control

POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

RIESGOS CONTROLES OBSERVACIONES VALORACIÓN DEL

RIESGO

ACCIONES A DESARROLLAR PARA ADMINISTRAR EL

RIESGO FRECUENCIA

RESPONSABLE (De ejecutar la

acción y/o de hacerle

seguimiento)

INDICADOR (Criterio de

efectividad: Si se alcanza la meta de este indicador, Los

controles y acciones

planteadas han

sido efectivos)

Incumplimiento

del programa de Auditoria

Anualmente el líder del proceso verifica la idoneidad de auditores mediante el

diligenciamiento del formato FMAM- 003 programa de Auditoria, teniendo en

cuenta el acta de reunión donde se priorizaron las auditorias.

En caso de no contar con el personal idóneo para llevar a cabo la realización de la

auditoria lo solicitará por escrito a la alta dirección. Evidencia: FMAM-003

Programa de Auditoria, Acta de equipo de mejoramiento, solicitudes de auditores en

los casos que fue necesario.

El Riesgo se

encuentra en un nivel que se

puede aceptar sin

necesidad de tomar otras

medidas de control

Zona de Riesgo Baja

(Asumir el Riesgo)

Solicitar capacitación para los

auditores internos de la Institución.

Anual Líder proceso de

Seguimiento y Control

(Número de Auditorías

realizadas/número de Auditorias

programadas)*10

0


CÓDIGO: IMAN-001

VERSIÓN: 05





En el ejemplo para el cual el riesgo residual quedó en zona Baja, no es necesario establecer acciones

para administrar el riesgo como se detalla en la columna de observaciones, pero el proceso lo

consideró necesario teniendo en cuenta que la acción descrita los ayuda a controlar el riesgo.

3.5. MONITOREO Y REVISIÓN

Los riesgos son necesarios monitorearlo teniendo en cuenta que estos nunca dejan de representar

una amenaza para la organización.

El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia

en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas

situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

El monitoreo y revisión de los controles y acciones a los riesgos lo realizan los Líderes de los procesos.

La Unidad de Control Interno realiza seguimiento al plan de manejo y/o Controles establecidos en el

Mapa de riesgos cada cuatro meses.

3.6. COMUNICACIÓN Y CONSULTA

Se constituye en un elemento transversal a todo el proceso al involucrar a todos los funcionarios para

el levantamiento de los mapas de riesgos.

Es la actividad que se refiere al conocimiento previo que deben tener quienes participan en la

administración del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en

información pertinente y actualizada. Estos deberían incluir aspectos como el riesgo identificado, sus

causas, sus consecuencias y las medidas que se toman para tratarlo. Esta comunicación es eficaz para

garantizar que los responsables de implementar las actividades relacionadas con la gestión del riesgo

entiendan las bases sobre las cuales se toman las decisiones.

Es preciso promover la participación de los funcionarios con mayor experticia, con el fin de que aporten

su conocimiento en la identificación, análisis y evaluación del riesgo.


CÓDIGO: IMAN-001

VERSIÓN: 05





4. REGISTROS

N° Código Nombre Responsable

Lugar

de

Archivo

Medio de

Archivo

Tiempo

de

Archivo

Disposición

01 FMAM-013 Mapa de

Riesgo

Gestores

Documentales

de cada

proceso

Procesos

que lo

Generan,

pagina

Web del

SIGEC

Físico y

electrónico 3 años Conservación

02 N.A

Guía de Administración del Riesgo y el

diseño de controles en entidades públicas

N.A N.A Electrónico N.A N.A

5. CONTROL DE CAMBIOS

Versión N° Descripción del Cambio Fecha

1

Se modificó la forma en que se valoran los riesgos, dándole mayor peso a la eficacia de los controles. Se dieron ejemplos de Riesgos de Corrupción y se agregó la definición de Riesgos de Corrupción.

17 de Septiembre 2012

2

Se redefinió la calificación del impacto de los riesgos de corrupción Se agregaron nuevas definiciones Se agregó un mecanismo para determinar la asignación del puntaje del impacto

28 de Febrero de 2013

3

Se definió el periodo de monitoreo, revisión y seguimiento por parte de los líderes de los procesos a los Mapas de Riesgos. Se estableció la elaboración de planes de mejoramientos cuando se materializa un riesgo

13 de Abril de 2016


CÓDIGO: IMAN-001

VERSIÓN: 05





Versión N° Descripción del Cambio Fecha

4

Se ajustó la metodología de administración de Riesgos de acuerdo a la guía actualizada Guía para la administración del riesgo y el diseño de controles en entidades públicas, versión 4 emitida por el Departamento Administrativo de la Función Pública en octubre de 2018, la cual fortalecer la metodología para diseñar y aplicar controles que permitan asegurar el logro de los objetivos.

26/05/2017

6. ANEXOS.

N.A

instructivo mapa de riesgo pÁgina dedocsigec. · 2019. 12. 6. · orientar acerca de la...

Documents