Lineamientos para la administración de riesgos en los procesos del

LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP

Departamento Nacional de Planeación Bogotá, 2016

Este documento es fiel copia del original que reposa en el Grupo de planeación del DNP. Su impresión se considera copia no controlada.

LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP

CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 2 de 35

TABLA DE CONTENIDO

Pág.

1 OBJETIVO ..................................................................................................................................... 3

2 ALCANCE ...................................................................................................................................... 3

3 REFERENCIAS NORMATIVAS..................................................................................................... 3

4 DEFINICIONES ............................................................................................................................. 3

5 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS ........................................................................................................................................... 6

5.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos ...................................................................................................................................... 6

5.2 Los riesgos que se van a controlar. ........................................................................................ 7

5.3 Opciones de tratamiento de riesgos ....................................................................................... 7

5.4 Acciones para administrar los riesgos .................................................................................... 8

5.4.1 Tiempo y recursos .......................................................................................................... 8

5.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos ........................ 8

5.6 Recursos requeridos .............................................................................................................. 9

5.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos ...................................................................................................................................... 9

6 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO ............................................................ 10

6.1 Autocontrol ........................................................................................................................... 10

6.2 Evaluación Realizada por la Oficina de Control Interno ...................................................... 11

6.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de riesgos 11

6.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos ........ 12

7 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO ........................... 12

8 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP .............................................. 12

8.1 IDENTIFICACION DE RIESGOS ......................................................................................... 12

8.1.1 Priorización de riesgos ................................................................................................. 12

8.1.2 Estructura del formato para la identificación de riesgos ............................................... 13

8.2 ANÁLISIS Y VALORACIÓN DEL RIESGO ANTES DE CONTROLES (RIESGO INHERENTE) ................................................................................................................................... 19

8.3 MEDIDAS DE MITIGACION ................................................................................................. 23

8.3.1 Análisis Y Evaluación De Controles: ............................................................................ 25

8.3.2 Valoración De Riesgos Después De Controles (Riesgo Residual) ............................... 28

8.4 SEGUIMIENTO .................................................................................................................... 31

9 MATRICES DE LOS MAPAS DE RIESGO .................................................................................. 32

Mapa de riesgos institucional ........................................................................................................... 32

Mapa de riesgos de corrupción ........................................................................................................ 32

10 PRODUCTO O SERVICIO NO CONFORME .............................................................................. 32

10.1 Identificación de producto no conforme ................................................................................ 32

10.2 Tratamiento del producto no conforme ................................................................................. 33

10.2.1 Estructura la Matriz de Producto No Conforme ............................................................ 34

11 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA ADMINISTRACIÓN DE RIESGOS ....................................................................................................... 34



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 3 de 35

1 OBJETIVO

Establecer los parámetros para la administración de los riesgos relacionados a los procesos del DNP, su trazabilidad, registro y monitoreo, a través de la presentación de los criterios para la identificación, análisis, valoración, definición de acciones de mitigación y seguimiento a los riesgos en los procesos, que pueden afectar el cumplimiento de la misión y objetivos institucionales del DNP. Así como la presentación de las medidas de control y seguimiento de los riesgos enmarcados en las políticas de administración de riesgos adoptadas por la Entidad.

2 ALCANCE

Esta guía debe ser aplicada por la autoridad, líderes y ejecutores de las actividades de los procesos del Departamento Nacional de Planeación, que son responsables de la documentación, aplicación, actualización y seguimiento a los mapas de riesgos para los procesos de la Entidad.

3 REFERENCIAS NORMATIVAS

· Ley 87 de 1993 · Ley 872 de 2003 · Ley 1474 de 2011. Artículo 73 · Decreto 1083 de 2015 · Resolución Interna 1788 de 2015 · Resolución interna 1838 de 2006 · Guía para la Administración de Riesgos del DAFP vigente · Norma Técnica Colombiana NTC-ISO 9001:2008 · Norma Técnica de Calidad en la Gestión Pública NTCGP-1000:2009

4 DEFINICIONES

· Acción de riesgos: es la aplicación concreta de las opciones de tratamiento de riesgo. · Administración de Riesgos: es el proceso continuo basado en el conocimiento, evaluación y

manejo de los riesgos que mejora la toma de decisiones organizacionales. · Análisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos

y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo.

· Autoevaluación del control: Elemento de control que basado en un conjunto de mecanismos

de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada dependencia, permitiendo emprender las acciones de mejoramiento del control requeridas. (revisión periódica y sistemática de los procesos de la entidad para asegurar que los controles establecidos son eficaces).



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 4 de 35

· Calificación del riesgo: establece el grado de exposición de la Entidad bajo criterios de probabilidad e impacto de los riesgos.

· Categoría: cada uno de los grupos básicos en que puede incluirse o calificarse un riesgo. · Causas: son los medios, circunstancias y agentes generadores del riesgo. · Cliente: organización, entidad o persona que recibe un producto y/o servicio. · Compartir el Riesgo: Cambiar la responsabilidad o carga por las pérdidas que ocurran luego

de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio. · Control: proceso, política, dispositivo, práctica u otra acción existente para reducir la

probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo. · Efectos: lo que podría generarse en la Entidad con la materialización de un riesgo. Es el

resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso.

· Evento: hecho que una vez materializado genera desviaciones en el punto crítico de control,

afectando el logro del objetivo del proceso o la gestión institucional. · Impacto: magnitud de los efectos que puede ocasionar la materialización del riesgo. · Indicador: expresión cuantitativa o cualitativa que permite establecer el estado del objeto a

evaluar en un momento determinado, con relación a rangos establecidos. · Mapa de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos

ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias.

· Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una

actividad con el fin de identificar posibles cambios. · Pérdida: Consecuencia negativa que trae consigo un evento. · Política de riesgo: identifica las opciones para tratar y manejar los riesgos: · Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar

valor, las cuales transforman elementos de entrada en resultados. · Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo. · Punto Crítico de Control (PCC): es una actividad fundamental dentro del proceso, en la que

se debe ejercer un control para prevenir la materialización de un riesgo. Toda actividad no es un punto crítico de control.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 5 de 35

· Registro: documento que presenta resultados obtenidos o proporciona evidencia de las actividades adelantadas.

· Responsables: rol o cargo encargado de adelantar las acciones propuestas. · Responsable de liberación: rol o cargo que autoriza la entrega del producto o servicio al

cliente. · Riesgo: posibilidad de ocurrencia de aquella situación que puede afectar el logro de los

objetivos institucionales, o la calidad de los productos o servicios ofrecidos por la Entidad. · Riesgos de Corrupción: Posibilidad de que por acción u omisión, se use el poder para desviar

la gestión de lo público hacia un beneficio de lo privado.

· Riesgos Estratégicos: Están relacionados con la planificación, diseño y conceptualización de la Entidad por parte de la alta gerencia, en relación con su marco estratégico: misión, visión, cumplimiento de los objetivos estratégicos y la definición de políticas.

· Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

ciudadanía hacia la institución. · Riesgos Operativos: son los riesgos derivados del funcionamiento de los sistemas de gestión

institucional, la definición y ejecución de los procesos, la operación de los sistemas de información y herramientas de apoyo a la gestión, de la estructura de la entidad y de los mecanismos de comunicación y articulación entre dependencias.

· Riesgos Financieros1: Se relacionan con el manejo de los recursos de la entidad que incluyen:

la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de

excedentes de tesorería y el manejo sobre los bienes.

· Riesgos de Cumplimiento2: Se asocian con la capacidad de la entidad para cumplir con los

requisitos legales, contractuales, de ética pública y en general con su compromiso ante la

comunidad.

· Riesgos de Tecnología3: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

· Herramienta de seguimiento: mecanismo para controlar que la ejecución de los procesos y los resultados obtenidos sean acordes con los requisitos, características o atributos establecidos, de manera que se pueden identificar o monitorear la materialización de riesgos.

1 Guía para la administración del riesgo del Departamento Administrativo de la Función Pública. 2011 cuarta edición. 2 ibidem 3 ibidem



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 6 de 35

· Subproceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. El desarrollo de uno o varios subprocesos permite avanzar en el cumplimiento de los procesos.

· Valoración pura: grado de exposición al riesgo en un escenario sin controles. · Valoración residual: grado de exposición al riesgo con la calificación de probabilidad e impacto

aplicando los controles existentes. · Zona de riesgo: es el nivel de exposición al riesgo, hallado mediante el cruce entre la

probabilidad y el impacto.

5 POLÍTICAS INSTITUCIONALES DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS

Las políticas institucionales para la administración de riesgos del DNP, establecen las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos. Estas políticas reflejan la posición de la dirección y establecen las guías de acción para el tratamiento de los riesgos identificados.

El Departamento Nacional de Planeación se encuentra comprometido con la identificación y administración de los riesgos de los procesos del Sistema de Gestión de Calidad, para lo cual aquellos riesgos que después de la evaluación de los controles (ver numeral 8.3.2. de este documento) se valoren como importantes ó inaceptables, serán atendidos de forma inmediata a través de acciones concretas, las cuales podrán ser opciones de tratamiento independientes, interrelacionadas o en conjunto, que permitan definir las actividades correspondientes a dichas opciones.

Para los riesgos de corrupción, las acciones que se deben tener en cuenta son: Evitar el Riesgo y Reducir el Riesgo, las cuales se explican en el capítulo 5.3 de este documento.

Los riesgos en el DNP, se identifican en las actividades definidas como críticas en los procesos y se priorizan contemplando los principios de eficiencia, economía y objetividad para evitar afectación de las actividades que agregan valor en el desarrollo de los procesos y por tanto en los productos o servicios ofrecidos.

5.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos

Identificar y realizar análisis y control de los riesgos asociados a los puntos críticos de los procesos

del DNP. Efectuar el control y seguimiento de los riesgos que después de la calificación de los controles se

valoren como importantes o inaceptables, mediante la definición de acciones orientadas a evitar o reducir el riesgo.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 7 de 35

El cumplimiento de estos objetivos será consolidado mínimo una vez al año, por el Grupo de Planeación mediante comunicación escrita dirigida a Secretaria General como líder del proceso de Administración del Riesgo en el DNP.

5.2 Los riesgos que se van a controlar.

La administración de riesgos en el DNP tendrá un carácter prioritario y estratégico, en el marco del modelo de operación por procesos. Los riesgos a los cuales se aplicarán controles, son los relacionados con las actividades identificadas como críticas, las cuales están definidas en todos los procesos como PCC (Punto Crítico de Control), porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso. Por lo anterior, se establece que la totalidad de riesgos identificados en los mapas de riesgos de los procesos estarán sujetos al seguimiento, monitoreo, control y ajuste mediante la aplicación del proceso de administración de riesgos del DNP.

5.3 Opciones de tratamiento de riesgos

Teniendo en cuenta la valoración de riesgos después de controles (Capitulo 8.3.2.), se determinan las siguientes opciones de tratamiento para cada uno de los riesgos:

Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la primera alternativa a considerar y se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o sustitución de actividades y/o de controles y acciones emprendidas.

Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar controles.

Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.

Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que se mantiene, en este caso el Líder del proceso acepta la pérdida residual. Estas opciones se definen para cada riesgo (ver cuadro 1), teniendo en cuenta la zona de ubicación en el Formulario “Matriz de valoración de riesgos después de controles” y las Políticas Institucionales de Tratamiento de Riesgos Asociados a los Procesos.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 8 de 35

ZONA DE RIESGO COLOR

OPCIONES DE TRATAMIENTO DE RIESGOS

Evi

tar

Red

uci

r

Co

mp

arti

r

o t

ran

sfer

ir

Asu

mir

Inaceptable Rojo X X X

Importante Naranja X X X

Tolerable Amarillo X X X X

Aceptable Verde X

Cuadro 1. Opciones de tratamiento de riesgos de acuerdo con la zona de ubicación

Nota 1: Cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de tratamiento es asumir.

5.4 Acciones para administrar los riesgos

Teniendo en cuenta la valoración de riesgos obtenida (en el caso en que los riesgos residuales se encuentren en nivel importante o inaceptable) y la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos (evitar, reducir o compartir), se realiza la formulación de las acciones correspondientes. Estas acciones se diligencian según lo establecido en el proceso de Acciones Preventivas, Correctivas y de Mejora, usando el formato “Solicitud de acciones preventivas, correctivas y de mejora”, según lo establecido en el “Lineamiento para la administración de los riesgos relacionados a los procesos del DNP”.

5.4.1 Tiempo y recursos

Para la implementación de acciones y controles se tendrá como referente la viabilidad jurídica, financiera y la disponibilidad de recurso humano y tecnológico, así como el análisis costo/beneficio para el manejo o la administración del riesgo.

5.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos

La responsabilidad de la elaboración del mapa de riesgos por proceso, así como la aplicación de la política de riesgos del DNP, está a cargo de la autoridad, líderes y ejecutores de las actividades de cada uno de los procesos de la Entidad. La responsabilidad de acompañar en el desarrollo del proceso de administración de riesgos y la aplicación de la política de riesgos del DNP está a cargo del equipo de Calidad del Grupo de Planeación. El representante de la alta dirección es el encargado de velar por la elaboración de los mapas de riesgos asociados a los procesos del DNP y la aplicación de la política de administración de riesgo del DNP.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 9 de 35

Los responsables de los procesos (Autoridad, líder y responsables de actividades) serán los encargados de implementar los controles, verificar su efectividad, proponer cambios, velar por su adecuada documentación y por su socialización y aplicación al interior de su proceso. Así mismo, son los responsables de la formulación de las acciones pertinentes que permitan cumplir a cabalidad con la política de riesgos institucional.

La revisión de los avances de las acciones derivadas de la administración de riesgos, así como la revisión de su eficacia, y la aplicación de la política institucional para el tratamiento de los riesgos asociados a procesos, está a cargo de la Oficina de Control interno.

5.6 Recursos requeridos

En cada uno de los pasos de administración de riesgos se contemplaran los recursos necesarios para la definición, implementación y efectividad de las acciones que permitan un tratamiento adecuado de los riesgos. Para ello se involucrarán a los procesos que tengan incidencia en el cálculo, aplicación o solicitud de los recursos.

5.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos

La política de calidad será desarrollada mediante los ejercicios de revisión, actualización y seguimiento a los mapas de riesgos de la Entidad, de la siguiente manera, ver cuadro 2:

DESARROLLO DE LA POLÍTICA A:

Corto plazo Mediano Plazo 2016-2017 Largo Plazo 2018

Revisión anual de los mapas de riesgos por procesos.

Implementación de herramientas tecnológicas o de información que aumente el nivel de confianza de los controles.

Identificación y documentación de los riesgos transversales del sector planeación.

Revisión de los mapas de riesgos de corrupción cada cuatro meses.

Documentación de los mapas de riesgo relacionados a activos de información. Establecer una metodología de

valoración de los riesgos para estimar aquellos que tienen impacto ambiental

Identificar y documentar los riesgos asociados a los proyectos.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 10 de 35

Documentación de los mapas de riesgo relacionados con el programa de salud y seguridad en el trabajo.

Implementación de una herramienta tecnológica para la administración de riesgos (herramienta informática)

Cuadro 2. Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos

6 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO

El seguimiento a la administración del riesgo se encuentra conformado por dos componentes: el primero mediante el autocontrol realizado por los ejecutores del proceso y el segundo mediante las auditorías internas realizadas por la Oficina de Control Interno.

6.1 Autocontrol

Es la actividad realizada por los implicados en el desarrollo y ejecución del proceso, donde se analizan y revisan los mapas de riesgos asociados a los procesos una vez al año o cuando las circunstancias lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto estratégico, modificaciones o cambios relevantes en los procesos y/o subprocesos, o cualquier hecho externo o interno que afecte la operación de la entidad. La revisión se realiza teniendo en cuenta los siguientes aspectos: Correspondencia con el proceso y los puntos críticos de control definidos. Identificación de nuevos riesgos o eliminación cuando no sean significativos. Determinación de nuevas causas generadoras o efectos con la materialización de riesgos. Determinación de nuevos controles o ajuste en la evaluación de los mismos. Determinación de nuevas acciones de administración de riesgos o ajuste a las definidas. Modificación del indicador de riesgos o herramienta de seguimiento. Actualización de la matriz de producto o servicio no conforme. La revisión del Mapa de Riesgos no implica obligatoriamente su actualización, sin embargo en los casos en los que se identifique necesidad de ajustes, se debe solicitar su actualización, de acuerdo con lo establecido en el documento “Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” DS-L01 (el cual hace parte del Macroproceso: Gestión de Calidad). Para los riesgos de la categoría de Corrupción, es necesario que permanentemente se revisen las causas que generan estos riesgos. En este sentido se debe realizar seguimiento a los mapas de riesgo de corrupción por lo menos tres veces al año con corte a 30 de abril, 31 de agosto y diciembre 31. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la Republica-Secretaria de Transparencia: “Estrategias para la construcción del plan anticorrupción y atención al ciudadano”.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 11 de 35

6.2 Auditorías Internas Realizadas por la Oficina de Control Interno

Las auditorías internas permiten detectar nuevos eventos de riesgos y oportunidades de mejora disminuyendo la probabilidad e impacto de los posibles riesgos asociados a los procesos de la Entidad, contribuyendo de esta manera a la identificación de riesgos, a través de la evaluación sobre efectividad del manejo de los riesgos, verificando la vigencia de los mapas de riesgos documentados y la efectividad de las acciones de mejora originadas por la administración de riesgos.

El seguimiento adelantado por la Oficina de Control Interno a la administración de riesgos, se puede realizar a través de: Auditorías internas (Subprocesos: SG-EV-AI “Auditorías internas de calidad” y SG-EV-EI “Auditorías Internas”), Evaluación a la Gestión por Dependencias, revisión de la eficacia de las acciones preventivas, correctivas y de mejora – APCM originadas a partir de los mapas de riesgos (Proceso MC-AP “Acciones preventivas, correctivas y de mejora”), monitoreo de operaciones sensibles, entre otras.

6.3 Aspectos a tener en cuenta durante el seguimiento y auditoría interna de la administración de riesgos

Durante el seguimiento realizado a los mapas de riesgo por parte de la autoridad, líderes y ejecutores de las actividades de los procesos del DNP, así como en la auditoría interna adelantada por la OCI, se pueden obtener evidencias para determinar si el sistema de administración del riesgo está funcionando y el proceso es eficaz, verificar el nivel de cumplimiento de los controles asociados a los riesgos y el tratamiento de los mismos. A continuación se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los ejercicios mencionados:

Verificar la correspondencia entre el proceso y el mapa de riesgos. Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos del

proceso auditado. Validar el desarrollo del proceso GC-AR “Administración de riesgos”, el cual hace parte del

Macroproceso: Gestión de Calidad. Verificar que los controles internos definidos para tratar los riesgos existen, funcionan y son

suficientes. Revisar la ejecución y eficacia de las acciones de administración de riesgos definidas. Verificar la materialización de riesgos y cuando aplique la generación de productos y/o

servicios no conformes Verificar la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los

Procesos. Verificar las evidencias de la revisión del mapa de riesgos del proceso de acuerdo con la

periodicidad establecida en el capítulo 6.1 de este documento. Identificar los hallazgos relacionados con la administración del riesgo.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 12 de 35

6.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos

La Oficina de Control Interno realiza la auditoría interna de revisión de la eficacia de las acciones de mejora con origen en la administración de riesgos, enmarcada en los criterios establecidos en el documento: “Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora” AP-L01 y en el Proceso MC- AP “Acciones Preventivas, Correctivas y de Mejora”, que hacen parte del Macroproceso: Mejora Continua. 7 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO

La administración de riesgos debe ser un tema conocido por todos los funcionarios, contratistas y pasantes del DNP, para lo cual se utiliza la intranet de la Entidad para su publicación, los medios masivos de comunicación, reuniones de socialización y divulgación al interior de cada uno de los procesos.

8 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP

8.1 IDENTIFICACION DE RIESGOS

Permite conocer los riesgos que pueden afectar el logro del objetivo o la gestión de cada proceso documentado y sus características. El proceso de identificación del riesgo es iterativo y debe estar en permanente revisión y actualización, de acuerdo con la dinámica de los procesos de la Entidad. Este proceso es desarrollado en primera instancia por el equipo de trabajo que involucra el proceso (Autoridad, líder y responsables de las actividades) y en segunda instancia por el equipo de Calidad del Grupo de Planeación. La identificación de riesgos consiste en generar una lista de los eventos indeseados que puede tener impacto en las actividades del proceso al cual se le está documentando el mapa de riesgos, dichos eventos pueden impedir, degradar o retrasar el logro de los objetivos del proceso. La identificación de riesgos se realiza a partir de juicios por parte de los ejecutores de las actividades de los procesos, basados en su experiencia, los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas y análisis de escenarios. Nota 2: En los casos en los cuales las actividades críticas de un proceso contemplen la realización de un subproceso o se remitan al mismo, cabe la posibilidad de que el mapa de riesgos se documente al subproceso relacionado, puesto que los riesgos del proceso pueden ser más evidentes dentro de las actividades que constituyen el subproceso. 8.1.1 Priorización de riesgos Aunque en todas las actividades de un proceso se pueden presentar riesgos de diferente índole, es necesario priorizar las actividades a las cuales se les realizará el análisis de riesgos, para marcarlas como actividades críticas o Puntos Críticos de Control-PCC. Estas actividades han sido identificadas como PCC porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 13 de 35

Cuando se identifican los riesgos asociados a las actividades PCC, se realiza nuevamente un análisis en donde se priorizan aquellos eventos indeseados que pueden evitar el cumplimiento de la actividad y por tanto la obtención de la salida: producto y/o servicio generado en la actividad crítica, señalada en el descriptor del proceso. Para la priorización de riesgos que se pueden presentar en una actividad PCC, se pueden analizar las respuestas a las siguientes preguntas: -¿La materialización del riesgo afecta el cumplimiento del objetivo del proceso (producto y/o servicio)? -¿La materialización del riesgo afecta la obtención de la salida (producto y/o servicio) de la actividad? -¿La materialización del riesgo afecta la realización de otras actividades subsiguientes a la señalada como PCC, es decir, detiene la realización del proceso en esa actividad? -¿Al materializarse ese riesgo, es necesario repetir la realización de actividades anteriores? -¿La materialización del riesgo impide el cumplimiento de alguna normativa?

Una vez analizadas las preguntas, es importante validar cuantas respuestas son afirmativas, de manera que se seleccionen los riesgos cuyas respuestas, en su mayoría, son “SI” igual o mayor de 3 (=>3). Para los demás riesgos identificados, cuyas respuestas en su mayoría sean “NO” se excluyen del análisis del riesgo, es decir no son incluidos dentro de la priorización, por tratarse de riesgos, que aunque son eventos indeseados, no detienen la realización del proceso, no afectan la consecución de resultados y no representan mayor impacto sobre el objetivo. Igualmente, para adelantar una adecuada identificación de riesgos es necesario tener en cuenta, el análisis de indicadores, los mapas de riesgos anteriores, los resultados de las auditorías internas y externas de calidad, los informes de seguimiento y evaluación a la gestión de las dependencias, los hallazgos de la auditoría gubernamental de la CGR, los informes de quejas y reclamos y la retroalimentación de los clientes, entre otros. Estas fuentes de información permiten evidenciar la materialización de riesgos, por tanto es indispensable su análisis al momento de identificar posibles riesgos en los procesos. Lo anterior con el propósito de observar algún riesgo que se haya presentado con anterioridad, cuya evidencia se hubiese presentado en alguna de las fuentes mencionadas. No obstante, la declaración de la materialización de un riesgo en alguno de los ejercicios mencionados, no implica necesariamente su inclusión dentro del mapa, puesto que prima la priorización de los riesgos y el análisis de la autoridad y/o líder del proceso en cuanto a la pertinencia de incluir dichos riesgos.

Nota 3: En los casos en los cuales se documente el mapa de riesgos de un subproceso, teniendo como referente la nota 2 de este documento, aplican las mismas condiciones de priorización, es decir se tiene en cuenta el objetivo del proceso y adicionalmente el objetivo del subproceso.

8.1.2 Estructura del formato para la identificación de riesgos

La identificación de riesgos es desarrollada mediante el análisis y diligenciamiento de la siguiente información:



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 14 de 35

- No. ACTIVIDAD (PCC): Es el punto de partida para la identificación de riesgos, en este campo se relacionan el número de la actividad que en el descriptor del proceso se encuentra señalada como Punto Crítico de Control y sobre la cual se identifica el riesgo correspondiente.

- ACTIVIDAD (PCC): En este campo se relacionan textualmente las actividades de los procesos que durante su documentación se han señalado como Puntos Críticos de Control (PCC), según lo dispuesto en el documento: Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del DNP - DS-L01, capítulo 6.2.1 Documentación de Procesos.

- CATEGORIA DE RIESGO4: Con base en las clasificaciones establecidas en la lista

desplegable, se selecciona el grupo al que pertenece el riesgo a identificar. Estas categorías han sido priorizadas para administrar los riesgos más relevantes a los que están expuestos los procesos de la entidad. A continuación se relacionan las categorías establecidas en las que puede incluirse o clasificarse un riesgo, ver cuadro 3. Categorías de riesgos. En las columnas, “SE PUEDEN PRESENTAR POR” y “PUEDEN OCASIONAR” se exponen algunos ejemplos de causas y efectos respectivamente relacionados con el riesgo identificado según su categoría.

CATEGORÍA SE PUEDE PRESENTAR POR: PUEDE OCASIONAR:

1. Decisiones Erróneas: se manifiestan en diferentes ámbitos: a) Estratégico: se materializa cuando se definen lineamientos, políticas, estrategias, directrices que no son adecuadas o convenientes para la Entidad. b) Operativo: corresponde a la escogencia de alternativas impropias. c) Financiero: está dado por la inapropiada asignación de recursos.

- Errores en la información que soportan las decisiones.

- Errores de juicio.

- Aplicación errónea de criterios o instrucciones para la realización de actividades.

- Actos accidentales o mal intencionados de los funcionarios o de terceros.

- Pérdida de credibilidad de la Entidad.

- Pérdida de confianza en la Entidad.

- Pérdidas económicas de la Entidad.

- Quejas y reclamos de los clientes (internos y/o externos)

4 Adaptación de la metodología AUDIRISK de la firma AUDISIS Ltda. y del Consejo Superior de la Judicatura.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 15 de 35


2. Incumplimientos legales: se materializan con el no acatamiento de la normativa externa o interna.

- Ejecución de operaciones desconociendo el marco legal establecido.


- Sanciones Legales.

- Pérdidas económicas por multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos.

- Pérdida de credibilidad y confianza por no cumplir con responsabilidades y tareas encomendadas.

3. Incumplimientos de compromisos: se materializan al pasar por alto las obligaciones o los compromisos de la Entidad.

- Errores en la información que soportan las decisiones.

- Asumir responsabilidades que exceden las capacidades de la Entidad y no se puedan realizar oportuna o adecuadamente.


- Pérdidas económicas por multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos.

- Pérdida de credibilidad y confianza por no cumplir con responsabilidades y tareas encomendadas.

- Quejas y reclamos de los clientes (internos y/o externos)

4. Daño de activos: se materializa con el abandono, uso inapropiado o colocar en inferioridad de condiciones los recursos físicos y tecnológicos de la Entidad.

- Accidentes y desastres naturales.

- Uso mal intencionado e inapropiado.

- Falta de idoneidad o capacitación en el manejo de recursos.

- Pérdida de la información.

- Pérdidas económicas por obsolescencia, reparación o reposición de instalaciones, equipos, accesorios y herramientas de trabajo.

- Fallas de hardware y software.

- Detrimento de seguridad de los recursos que soportan la prestación de los servicios.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 16 de 35


5. Hurto: se materializa con la apropiación indebida, por parte de un servidor o de terceros de propiedad física, financiera e intelectual de la Entidad.

- Alteración y/o desviación de la información de las operaciones y transacciones de la Entidad.

- Sustracción deliberada de activos.


- Pérdidas Económicas.

- Detrimento del patrimonio de la Entidad.

6. Fraude: se materializa al inducir a cometer un error para obtener una resolución contraria a la ley; así como evitar el cumplimiento de obligaciones impuestas. También al obtener mediante maniobras engañosas una ventaja en detrimento de alguien – sustracción maliciosa que alguien hace a las normas de la ley o a las de un contrato en perjuicio de otro.

- Alteración y/o desviación de la información de las operaciones y transacciones de la Entidad.

- Sustracción deliberada de activos.


- Pérdidas Económicas.

- Detrimento del patrimonio de la Entidad.

7. Inexactitud: se materializa al presentar datos o estimaciones equivocadas, incompletas, o desfiguradas.

- Errores en la información que soportan las decisiones

- Aplicación errónea de criterios o instrucciones para la realización de actividades.





- Decisiones erróneas



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 17 de 35


8. Corrupción: Se entiende por riesgo de corrupción la posibilidad de que por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio de lo privado.

- Concentración de autoridad o excesos de poder

- Archivos contables con vacíos de información

- Toma de decisiones ajustadas a intereses particulares

- Cobrar por un trámite - Tráfico de Influencias (Amiguismo, persona influyente)



- - Pérdida de transparencia y la probidad en la Entidad.


Cuadro 3. Categorías de riesgos

Posterior a la selección de la categoría, es necesario establecer una preposición que relacione la categoría con el evento, se recomienda utilizar las siguientes preposiciones según la categoría:

Decisiones erróneas: al, durante, en, para, sobre. Incumplimientos legales: al, ante, con, durante, en. Incumplimientos de compromisos: al, ante, con, durante, en, hacia. Daño de activos: al, de, durante, en, para, sobre. Hurto: de, durante, en, mediante, para. Fraude: de, durante, en, mediante, para. Inexactitud: al, con, de, durante, en, para, sobre. Corrupción al, durante, por, en

Nota 4: Se recomienda analizar cuidadosamente el uso de la preposición “por” ya que se podría asimilar el evento con una causa.

- EVENTO: Se describe el hecho asociado al punto crítico de control que se está analizando, teniendo en cuenta la categoría de Riesgo y preposición escogida anteriormente, conformando de esta manera la situación indeseable (Riesgo) que requerimos prevenir en cuanto a su ocurrencia. Para identificar correctamente el evento, puede ser muy útil revisar en el descriptor del proceso la columna “descripción de la actividad” relacionada con la actividad identificada como critica.

Ejemplo:

CATEGORÍA DE RIESGO

PREPOSICIÓN EVENTO RIESGO

Decisiones erróneas Durante

La verificación y análisis de las

presuntas irregularidades

Decisiones erróneas durante la verificación y análisis de las presuntas irregularidades

Inexactitud En El diligenciamiento

del formato Inexactitud en el diligenciamiento del formato



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 18 de 35

CATEGORÍA DE RIESGO

PREPOSICIÓN EVENTO RIESGO

Incumplimientos legales

Al

Dar respuesta a una petición fuera de los

términos establecidos por ley.

Al dar respuesta de una petición fuera de los términos establecidos por ley.

Incumplimientos de compromisos

En

La revisión oportuna de la iniciativa de elaboración del

documento Conpes

Incumplimientos de compromisos en la revisión oportuna de la iniciativa de elaboración del documento Conpes

Daño de activos Durante

La ejecución del mantenimiento y

luego de este

Daño de activos durante la ejecución del mantenimiento y luego de este

Hurto De Bienes durante la

verificación física de existencias

Hurto de bienes durante la verificación física de existencias

Fraude Durante La preparación de la baja o la entrega del

bien

Fraude durante la preparación de la baja o la entrega del bien

Corrupción Por

La dilatación de los procesos con el

propósito de obtener el vencimiento de

términos o la prescripción de

mismo.

Corrupción por la dilatación de los procesos con el propósito de obtener el vencimiento de términos o la prescripción de mismo.

Cuadro 4. Categorías de riesgos: Ejemplos

Nota 5: Es necesario priorizar los riesgos para el proceso. La priorización de cada riesgo depende de la incidencia del riesgo identificado en la ejecución de la actividad crítica, así como el efecto del riesgo dentro de la ejecución del proceso, la consecución del objetivo del mismo y el impacto en la entidad en cuanto al cumplimiento de los componentes del contexto estratégico del DNP. La priorización la realiza la autoridad o líder del proceso bajo criterios de experiencia, experticia o conocimiento de quien analiza, así como en datos y hechos históricos (cuando existan o aplique). Nota 6: A cada Punto Crítico de Control se le puede asociar más de un riesgo.

- CLASE: De acuerdo con las definiciones de riesgos mencionadas en el capítulo 4 de este documento, se elige a cual clase pertenece el riesgo identificado (Estratégico, Imagen, Operativo, Financiero, Cumplimiento, Tecnológico).

- CAUSAS: se enumeran los medios, circunstancias y/o agentes que generan el riesgo identificado o que propician su materialización. Estas causas pueden ser intrínsecas (internas) al ser atribuidas a personas, métodos, equipos, materiales e instalaciones, directamente



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 19 de 35

involucradas en el proceso, es decir debilidades de la entidad, o extrínsecas (externas) cuando provienen del entorno en el que se desarrolla el proceso, es decir amenazas. Las causas deben quedar discriminadas según corresponda en internas y externas. Nota 7: En la identificación de las causas de los riesgos cuya categoría sea corrupción, se busca “identificar un conjunto sistemático de situaciones que por sus características pueden originar prácticas corruptas” así mismo, es conveniente analizar los hechos de corrupción presentados en procesos similares de otras entidades.

- EFECTOS: se enumeran las consecuencias asociadas a la materialización del riesgo que inciden en el objetivo del proceso, subprocesos asociados, a la dependencia que lidera el proceso o a la Entidad. Existen dos tipos de efectos, los inmediatos que afectan el desarrollo de actividades posteriores y los extremos que se relacionan con efectos legales, sanciones o afectación en la operación de la Entidad. Pueden agruparse en:

Pérdidas económicas representadas en sobrecostos por reproceso, duplicidad o

inactividad y detrimento del patrimonio, multas entre otras. Detrimento de la imagen constituido por la pérdida de credibilidad y confianza en el

cumplimiento de la misión y tareas encomendadas. Sanciones legales constituidas por las sanciones que debe pagar la Entidad Afectación en la operación (misional y/o apoyo) de la entidad

Nota 8: Los efectos no tienen relación uno a uno con las causas del riesgo, es decir, una o varias causas desencadenan el riesgo y la materialización del mismo ocasiona uno o varios efectos.

8.2 ANÁLISIS Y VALORACIÓN DEL RIESGO ANTES DE CONTROLES (RIESGO INHERENTE)

Posterior a la identificación, se realiza el análisis del riesgo puro o inherente en donde se evalúan los riesgos sin considerar los controles que pudieran existir, analizando la naturaleza y la forma como se llevan a cabo las actividades en el proceso. Para ello, se determina la probabilidad de ocurrencia y el impacto de la materialización de cada riesgo identificado, en un escenario hipotético en donde los controles para prevenir o mitigar el riesgo no existen o no se aplican. PROBABILIDAD DE MATERIALIZACION: Se establece la frecuencia con la que se ha presentado o puede presentarse el riesgo cuando no existen controles. Se mide en términos de la factibilidad con la que el riesgo se podría llegar a materializar, teniendo en cuenta la presencia y exposición ante factores internos y externos. Es importante tener en cuenta el análisis de aspectos como:

Número de veces que se realiza la actividad en un espacio de tiempo Número de personas que intervienen en la realización de la actividad Estadísticas (si se cuenta con ellas) de las materialización del riesgo Número de correcciones y acciones correctivas formuladas en el Balance de acciones de

mejora (F-GP-24), relacionadas con la materialización del riesgo, el cual se encuentra publicado en el disco O para su consulta, ruta: O:\Planeacion Institucional\Documentos SGC.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 20 de 35

Los hallazgos de la auditoría gubernamental de la CGR Las acciones adelantadas respecto a la materialización del riesgo, que fueron registradas en

el Consolidado de productos y/o servicios no conformes formato F-GP-34 (el cual hace parte del Macroproceso: Gestión de Calidad y que se encuentra publicado en el disco O, ruta: O:\Planeacion Institucional\Documentos SGC\Seguimiento SGC\PNC)

De acuerdo con el análisis, se selecciona el grado de probabilidad con base en las siguientes categorías5, ver cuadro 5. Escalas de probabilidad:

PROBABILIDAD DESCRIPCIÓN ESCALA

PROBABILÍSTICA CALIFICACIÓN

REMOTA La eventualidad de ocurrencia es muy baja, casi nula.

0 – 19% 1

POCO PROBABLE Podría ocurrir sólo bajo circunstancias muy excepcionales.

20 – 49% 2

PROBABLE Podría o no ocurrir en algún momento.

50% 3

OCASIONAL Puede ocurrir en algún momento o algunas veces.

51 – 79% 4

FRECUENTE La posibilidad de ocurrencia se da en la mayoría de las circunstancias.

80 – 100% 5

Cuadro 5. Escalas de probabilidad Es importante señalar que para la probabilidad de materialización de los riesgos de la categoría Corrupción, se consideran únicamente dos criterios OCASIONAL O FRECUENTE.

IMPACTO DE LA MATERIALIZACION: Se establece la magnitud de los efectos ocasionados con la materialización del riesgo cuando no existen controles. De acuerdo con un análisis cualitativo, se selecciona el nivel con base en las siguientes categorías 6, Ver cuadro 6. Escalas de impacto.

5 Adaptación de la Norma Técnica Colombiana NTC 5254. 6 Ibidem



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 21 de 35

IMPACTO MUY BAJO BAJO MODERADO ALTO MUY ALTO S

obre

la

imag

en

Ante el personal que ejecuta la actividad critica.

Ante el personal del área que lidera el proceso.

Ante otras áreas de la Entidad

Ante las entidades con las que interactúa la entidad.

Ante el nivel nacional e internacional

En

lo

econ

ómic

o Ningún costo o pérdidas financieras insignificantes

Incremento de costos menos del 5%

Incremento de costos entre el 5% y 10%

Incremento de costos entre el 10% y 20%

Incremento de costos más del 20%

En

el c

umpl

imie

nto

de

met

as

Problemas menores con las metas. Existe posibilidad de reprogramar la actividad o ajustar el plan de trabajo.

Restricciones para lograr las metas

Incumplimiento de algunos aspectos de las metas

Incumplimiento parcial de las metas Incumplimiento de algunas metas

Incumplimiento total de las metas

En

el

cum

plim

ient

o de

fech

as,

com

prom

iso

s pa

ctad

os

1 día a 1 semana

Más de 1 semana a 1 mes

Más de 1 mes a 3 meses

Más de 3 meses a 6 meses

Más de 6 meses

En

el m

anej

o de

arc

hivo

s

/ act

ivos

Daños menores en el activo que no requieren reparación

Daños menores en el activo a un bajo costo

Implica reparación del activo a un costo moderado

Implica reparación del activo costo elevado

Daño severo, implica baja del activo

Ningún daño o daños menores

Interrupción de labores menos de un 1 día

Interrupción de actividades de 1 día a 1 semana

Interrupción de actividades de 1 semana a 1 mes

Cese de labores por más de 1mes

Incu

mpl

imie

ntos

le

gale

s

No Aplica No Aplica

Pérdida de credibilidad y confianza por no cumplir con responsabilidad.

Multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos.

Sanciones Legales. Proceso disciplinario

Afe

ctac

ión

en

la o

pera

ción

Interrupción de labores <1 día

Interrupción de actividades de 1 día

Interrupción de actividades de más de un1 día a 1 semana

Interrupción de actividades de más de 1 semana a 1 mes

Cese de labores >1mes

Cuadro 6. Escalas de impacto.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 22 de 35

Para el análisis del impacto de la materialización de los riesgos de la categoría Corrupción, siempre será calificado como MUY ALTO por la gravedad en los efectos que se generan. VALORACION ANTES DE CONTROLES: Se establece de acuerdo al nivel de probabilidad e impacto calificado para el riesgo, teniendo en cuenta la matriz de valoración del Gráfico 1 y las escalas definidas en el Cuadro 7.

ZONA DE RIESGO

COLOR DESCRIPCIÓN

INACEPTABLE Rojo Se requiere una acción inmediata

IMPORTANTE Naranja Se requiere una pronta atención

TOLERABLE Amarillo Se administra con procedimientos normales de control

ACEPTABLE Verde Genera menores efectos que pueden ser fácilmente remediados

Cuadro 7. Escalas de valoración

Gráfico 1. Matriz de valoración de riesgos



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 23 de 35

8.3 MEDIDAS DE MITIGACION

CONTROLES QUE SE REALIZAN ACTUALMENTE: En esta sección, se busca determinar y evaluar las acciones que permiten reducir la probabilidad e impacto de la materialización de los riesgos. Consiste en documentar los controles que en la actualidad se realizan con el fin de prevenir o mitigar los efectos de posibles desviaciones en la actividad calificada como punto crítico de control.

Es necesario que los funcionarios que participan en el análisis de riesgos, tengan conocimiento de la ejecución del proceso, así como de las herramientas informáticas utilizadas para el desarrollo de actividades, la normativa que reglamenta la actividad, los documentos asociados, registros etc., que se emplean para efectuar algún tipo de control.

Es importante revisar si los controles identificados están documentados (proceso, normativa, etc), si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Así mismo, es necesario conservar los registros que evidencian la aplicación del control para el correspondiente seguimiento. Algunos de estos controles pueden ser actividades incluidas en el mismo descriptor del proceso en la descripción de actividades o ser actividades propias del mismo. Así mismo, se debe tener en cuenta que los controles permiten prevenir la ocurrencia de eventos que ponen en riesgo la adecuada ejecución de los procesos, y cuando esto no es posible, desarrollar un plan de respaldo, o de contingencia. Nota 9: Los controles deben tener relación directa con las causas generadoras del riesgo identificado. Para ello es importante revisar que las actividades de control subsanen y/o prevengan los agentes generadores del riesgo identificado. Así mismo, es importante considerar las acciones de manera correctiva que se pueden adelantar para mitigar los efectos de un riesgo cuando se ha materializado. El control es una ACTIVIDAD, por tanto debe iniciar con un verbo, seguido del sustantivo que tenga que ver con el verbo utilizado, acompañado de la herramienta (si existe) que permite efectuar el control.

X INCORRECTO CORRECTO

Informes mensuales que incluyen vencimientos.

Elaboración, seguimiento, revisión, o análisis de informes mensuales que incluyen vencimientos.

Metodología de medición y análisis de desempeño municipal.

Aplicación de la Metodología de medición y análisis de desempeño municipal en el análisis de información.

Ejemplo 1: al escribir como control los Informes, estos por sí solos no efectúan el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí seria: elaboración o seguimiento de informes mensuales que incluyen vencimientos. Por tanto el control efectuado es la actividad sobre una herramienta, en este caso los informes. Ejemplo 2: Al documentar que la Metodología de medición y análisis de desempeño municipal es el control, no se específica como se realiza el control o en que consiste, por ello, la metodología por sí



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 24 de 35

sola no efectúa el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí sería: aplicación de la metodología de medición y análisis de desempeño municipal en el análisis de información. Es importante revisar que los controles documentados son actividades RECURRENTES o PERIODICAS. Para el caso de un control relacionado con la realización de una capacitación, debe evaluarse si dicha capacitación tiene una periodicidad, es recurrente o si está programada, de lo contrario esta no podría considerarse como un control.

TIPO DE CONTROL: Existen dos tipos de controles, en cuanto al efecto sobre el riesgo: • Preventivos: Son aquellas acciones encaminadas a eliminar las causas generadoras de un riesgo, de tal manera que eviten o disminuyan su ocurrencia o materialización. • Correctivos: Son aquellas acciones que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable. A través de estos controles se puede cambiar o modificar las acciones que propiciaron su ocurrencia y corregir los productos o servicios generados de la actividad critica antes de ser suministrados al cliente. Clases de control: Cada control identificado se selecciona de acuerdo a la siguiente clasificación:

CLASES DE CONTROL

Controles de Gestión

Evaluación de desempeño

Generación de alarmas (Sistemas, Aplicativos)

Generación de informes de gestión o reportes

Indicadores de gestión: Procesos, Proyectos

Monitoreo de riesgos

Seguimiento al cronograma, herramienta de gestión, bases de datos, sistemas o aplicativos

Seguimiento al plan de acción de la dependencia

Validación de información por parte de un sistema o aplicativo

Controles Operativos

Aplicación de listas de chequeo, formatos

Aplicación de: lineamientos, Manuales, guías, procesos, instructivos, (Internos y/o Externos)

Capacitación del personal

Validación de información por parte de una persona o comité (Conciliación, revisión, comparación, inspección)

Verificación de firmas

Copias de seguridad, contingencias y respaldo

Custodia Apropiada



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 25 de 35

Envío de comunicaciones escritas informando o solicitando información

Generación de registros controlados

Niveles de autorización: Revisión jefes inmediatos, superiores

Pólizas

Realización de llamadas o visitas

Segregación de funciones

Solicitud o recepción de concepto, asesoría o acompañamiento de otras dependencias

Uso de consecutivos

Controles Legales Control de términos

Normas Claras y Aplicadas

8.3.1 Análisis Y Evaluación De Controles: Cada uno de los controles es evaluado frente a criterios de probabilidad e impacto, generando una valoración, tal como se explica a continuación; UBICACIÓN: Se debe indicar el lugar en medio físico o magnético, donde se encuentran los soportes de cumplimiento del control. PONDERACION: Los controles definidos para un mismo riesgo son ponderados de acuerdo con su grado de incidencia frente al riesgo identificado. CRITERIOS PARA EVALUAR EL CONTROL FRENTE A LA PROBABILIDAD:

Se obtiene diligenciando el siguiente cuestionario, teniendo en cuenta las herramientas para ejercer cada control y el seguimiento realizado, ver Cuadro 8.

PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES

HERRAMIENTAS PARA EJERCER

EL CONTROL

No. PREGUNTA SI NO Parcialmente Siempre

La mayoría de las veces

Algunas veces

(muestra) No Aplica

1

¿Posee una herramienta para ejercer el control?

20 0

2

¿Esta sistematizada o es una aplicación?

20 0



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 26 de 35


3

¿Existen manuales, instructivos, guías, etc. para el manejo del sistema o aplicación?

5 0

4

¿Se ha documentado el mapa de riesgos del sistema o aplicación según el SGSI?

10 0

Redistribuye puntaje de

10 en las preguntas 1 a 3 cuando la respuesta

sea SI

COMPETENCIA DE QUIEN EJERCE EL

CONTROL

5

¿Están definidos los responsables de la ejecución del control?

10 0 5

6

¿Se ha capacitado a los responsables de ejercer el control, respecto a cómo se debe realizar?

10 0

DOCUMENTACIÓN DEL CONTROL

7

¿Existen manuales, instructivos, guías, etc. que detalle cómo se realiza las actividades del control?

5 0

FRECUENCIA DE APLICACIÓN DEL

CONTROL 8

¿El control se aplica todas las veces que se realiza la actividad crítica (PCC)?

20 10 5

Cuadro 8. Criterios para evaluar el control frente a la probabilidad

Cuando no existe una herramienta para ejercer el control, es decir la respuesta a la pregunta número 1 es NO, no se realizan las preguntas de la 2 a la 4 y se resta 55 puntos de la calificación total (100 puntos). Estos 55 puntos corresponden a 35 puntos que se obtendrían si la respuesta a las preguntas 2 a la 4 fuera afirmativa (SI), en caso de que hubiera herramienta, al no existir la herramienta no se



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 27 de 35

puntúa estos aspectos. Los otros 20 puntos que se restan, son aquellos que se otorgan cuando existe una herramienta que permita efectuar el control. La puntuación de la probabilidad para cada control se obtiene multiplicando el puntaje obtenido por la ponderación asignada. Para realizar la valoración de los riesgos de la categoría de Corrupción, se adiciona la pregunta: ¿En el tiempo que lleva implementada la herramienta ha demostrado ser efectiva?, la cual asigna una puntuación adicional así, ver cuadro 9:


FRECUENCIA DE

APLICACIÓN DEL CONTROL

PREGUNTA

SI NO

Nunca ha ocurrido el riesgo desde que se implementa el control

La implementación del control ha evitado la ocurrencia del riesgo

en el último año

El riesgo aun ocurre con frecuencia,

aunque en menor medida a que si no existiera el control

10 5 0

Cuadro 9. Criterio adicional para evaluar el control frente a la probabilidad para los riesgos de la categoría de Corrupción.

Esta puntuación redistribuye los pesos de las calificaciones otorgadas en las 8 preguntas relacionadas en el cuadro 8, disminuyendo 1 punto para cada pregunta de la 1 a la 8, a excepción de la pregunta 4, en la cual se hace reducción de 3 puntos.

Nota 10: La pregunta número 9, se habilita únicamente para los riesgos de la categoría de Corrupción y redistribuye los pesos porcentuales solo para estos riesgos. CRITERIOS PARA EVALUAR EL CONTROL FRENTE AL IMPACTO: Se obtiene diligenciando el siguiente cuestionario para el conjunto de controles, teniendo en cuenta la mitigación de la materialización del riesgo bajo criterios de cubrimiento y administración, ver cuadro 10. Criterios para evaluar el conjunto de controles frente al impacto:

PARAMETROS RESPUESTA PUNTAJE CRITERIOS PUNTAJE

¿Cuenta con copias de

seguridad, pólizas de seguro, planes

de respaldo o planes de

contingencia?

Sí 20

¿Cubre todos los efectos del riesgo?

SI NO Parcialmente

40 0 20

¿Se revisan y mantienen actualizadas?

40 0 20

No 0

Cuadro 10. Criterios para evaluar el conjunto de controles frente al impacto



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 28 de 35

Nota 11: En caso que la respuesta sea “SI” es necesario especificar cuál mecanismo se cumple para tal fin. Es importante resaltar que un plan de contingencia es todo tipo de actividad que se puede llevar a cabo para minimizar el impacto del riesgo materializado. La puntuación del impacto para el conjunto de controles se obtiene mediante la sumatoria de los puntajes obtenidos. De no contar con copias de seguridad, pólizas de seguro, planes de respaldo o planes de contingencia, se deshabilitan las preguntas relacionadas con los criterios y la calificación asignada es cero.

8.3.2 Valoración De Riesgos Después De Controles (Riesgo Residual)

Utiliza la evaluación de los controles para reducir la probabilidad e impacto que se determinó en la valoración del riesgo antes de controles. Determina el riesgo no cubierto por los controles establecidos. Reducción de la probabilidad

Al obtener el promedio de la evaluación de los controles respecto a la probabilidad, se determina el número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información: ver cuadro 11. Disminución de la probabilidad con la calificación del riesgo:

CALIFICACIÓN DE CONTROLES

CUADRANTES A DISMINUIR EN LA PROBABILIDAD

91-100 3 cuadrantes

76- 90 2 cuadrantes

51-75 1 cuadrantes

0-50 0 cuadrantes

Cuadro 11. Disminución de la probabilidad con la calificación del riesgo

Reducción del impacto

Al obtener la evaluación de los controles respecto al impacto, se determina el número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información, ver cuadro 12. Disminución de la probabilidad con la calificación del riesgo:

CALIFICACIÓN DE CONTROLES

CUADRANTES A DISMINUIR EN EL IMPACTO

91-100 2 cuadrantes

76- 90 1 cuadrante

0-75 0 cuadrantes

Cuadro 12. Disminución del impacto con la calificación del riesgo



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 29 de 35

Zona de riesgo: Se obtiene a partir del cruce entre la probabilidad e impacto, determinada por el número de cuadrantes a disminuir, luego de la valoración de los controles. Priorización de riesgos Al obtener la valoración de los riesgos después de controles, se define cuáles requieren acciones inmediatas. Con el fin de determinar cuantitativamente la priorización de riesgos, se asociaron valores numéricos a cada una de las escalas de probabilidad y ocurrencia definidas, de la siguiente manera:

VALOR PROBABILIDAD VALOR IMPACTO

5 Frecuente 5 Muy alto

4 Ocasional 4 Alto

3 Probable 3 Moderado

2 Poco probable 2 Bajo

1 Remota 1 Muy bajo

La multiplicación entre estos valores genera la siguiente calificación:



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 30 de 35

Asignando las prioridades en orden decreciente con la calificación se obtiene:

Prioridades de cuadrantes con la calificación en la valoración de riesgos después de controles.

Priorizando el impacto en calificaciones iguales, se organizan así:

Prioridades de cuadrantes para calificaciones iguales en la valoración de riesgos después

de controles”.

Al aplicar el semáforo de zonas de riesgo se obtiene el orden de las prioridades para el tratamiento, pasando de la zona inaceptable a aceptable – rojo a naranja respectivamente -.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 31 de 35

Prioridades de cuadrantes para zonas de riesgo en la matriz de valoración de riesgos

después de controles”

ADMINISTRACION DEL RIESGO

Una vez realizado la priorización de riesgos y la evaluación de controles obteniendo el riesgo residual se debe identificar la opción para el tratamiento de estos riesgos de acuerdo a lo descrito en el numeral 5.3 de este lineamiento.

8.4 SEGUIMIENTO

En cumplimiento a la política de administración del riesgo todos los riesgos cuya valoración después de controles se encuentre en nivel: inaceptable o importante o para los riesgos de corrupción, se debe formular una acción orientada a la mitigación de dichos riesgos; dando cumplimiento al “Lineamiento para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora – AP-L01” (el cual hace parte del Macroproceso: Mejora Continua). Una vez formulada la acción y registrada en el Balance de acciones, el código correspondiente debe ser registrado en el campo ACCIONES.

De igual forma se debe registrar:

Responsable (indicando el cargo correspondiente) de la administración de cada una de los riesgos identificados para el proceso (es el encargado de implementar los controles, verificar su seguimiento, efectividad y proponer cambios).

Mecanismo de seguimiento, necesario para identificar y/o monitorear la materialización de riesgos, tales como: auditorías internas, herramienta de seguimiento del proceso (siempre y cuando aplique para esta verificación), implementación de las acciones para la administración de riesgos, indicador de gestión del proceso (siempre y cuando aplique para esta verificación), revisión del mapa de riesgos (autocontrol por parte de la autoridad o líder del proceso).



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 32 de 35

9 MATRICES DE LOS MAPAS DE RIESGO

Las matrices de los mapas de riesgo documentados serán publicadas por el Grupo de Planeación una vez recibida la aprobación correspondiente. Mapa de riesgos institucional Contiene el consolidado de los riesgos a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de las Políticas Institucionales de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se elabora con la información de todos los mapas de riesgos documentados para los procesos y se ajusta con la actualización de los mismos a medida que se requiera a través del formato F-GP-11 Mapa de riesgos institucional, el cual se publica en la Intranet de la Entidad como parte del campo: MECI, en el elemento: Administración de Riesgos, del módulo: Control de Planeación y Gestión.

Mapa de riesgos de corrupción

Contiene la consolidación de los riesgos de la categoría Corrupción a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de las Políticas Institucionales de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se ajusta con la actualización que se derive luego de las revisiones realizadas a estos riesgos en el marco del seguimiento descrito en el capítulo 6 de este documento, los cuales atienden los dispuesto por la Presidencia de la Republica en el documento “Estrategias para la construcción del plan anticorrupción y atención al ciudadano”. Este consolidado se publica en la Intranet como parte del MECI y en la página Web de la Entidad (DNP/Gestión/Planeación Estratégica Institucional) a través del formato F-GP-35 Consolidación riesgos de corrupción.

10 PRODUCTO O SERVICIO NO CONFORME

La no conformidad que se presenta en un producto o servicio prestado por el DNP, está directamente asociada con la materialización de los riesgos identificados para el proceso misional que genera el producto o servicio. Por esta razón se ha identificado, para todos los productos y/o servicios del DNP una matriz de productos y/o servicio, en la cual están definidos las variables y atributos que deben cumplir los productos y servicios generados por el DNP en cada uno de los procesos. Esta matriz establece además, el responsable del producto y/o servicio (según actividad descrita en el proceso) y a quien va dirigido, es decir, los clientes (según actividad descrita en el proceso).

10.1 Identificación de producto no conforme

La identificación de productos no conformes se realiza de acuerdo con el esquema presentado a continuación. El Gráfico 2 representa las etapas más relevantes del tratamiento del producto no conforme, el cual esta descrito al detalle en el documento “Lineamiento para el control y tratamiento de productos y/o servicios no conformes del DNP” (AR-L01), el cual hace parte del Macroproceso: Gestión de Calidad.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 33 de 35

10.2 Tratamiento del producto no conforme

Antes de la materialización de un riesgo que pueda incidir en la conformidad de un producto y/o servicio, se deben identificar las actividades de corrección que se van a ejecutar en caso tal que al materializarse un riesgo se obtenga un producto y/o servicio no conforme. Esta identificación de actividades o acciones de corrección se realiza únicamente para los productos y/o servicios (finales e intermedios, de acuerdo con el PCC) de los procesos misionales contenidos en los macroproceso de: Planeación de Mediano y Largo Plazo, Finanzas Públicas, Gestión y Coordinación, Monitoreo al SGR y Seguimiento control y evaluación de PPPP.

Una vez se haya identificado la materialización de un riesgo que como consecuencia genere un producto y/o servicio no conforme, se identifican las acciones posteriores a la materialización del riesgo en la “Matriz de producto o servicio no conforme” con su respectivo registro de acciones tomadas posteriormente.

Nota 12: Para asegurar el tratamiento completo, se debe diligenciar la Matriz de Producto o Servicio No Conforme, relacionando todos los riesgos del proceso misional, identificados en los diferentes PCC del mismo, teniendo en cuenta que el tratamiento del producto y/o servicio no conforme se debe realizar tanto sobre el producto y/o servicio final como parcial.

Gráfico 2. Etapas relevantes del tratamiento del producto no conforme



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 34 de 35

10.2.1 Estructura la Matriz de Producto No Conforme

El tratamiento de producto o servicio no conforme se encuentra en la “Matriz de Producto o servicio No Conforme” cuyos campos se describen a continuación: Punto Crítico de Control: Se incluye la actividad del proceso definida como punto crítico de control asociado al riesgo que puede generar el producto o servicio no conforme. Producto y/o Servicio Actividad PCC: Se identifica el resultado de la actividad señalada en el proceso como crítica, en la cual la materialización de alguno de los riesgos, provoque la no conformidad.

Responsable de la Liberación del Producto: persona que autoriza la entrega del producto al cliente (Según actividad descrita en el proceso). Cliente Actividad: se indica la organización, entidad o persona que recibe el producto y/o servicio (Según actividad descrita en el proceso).

Riesgo Asociado: relaciona el riesgo identificado en el proceso.

Incidencia del producto y/o servicio no conforme: Señala la relación directa del riesgo identificado en el proceso en cuanto a su incidencia en el producto o servicio generado por el proceso o su objetivo. Acción: se enumeran las acciones que se van a ejecutar, cuando se identifique la materialización del riesgo, para garantizar que el productos o servicio generado por la actividad sea conforme respecto a las variables y atributos que debe cumplir.

Responsable de la ejecución: Se indica el cargo del funcionario que debe ejecutar la acción planteada como tratamiento de producto o servicio no conforme, cuando este se materialice. Registro: documenta la posible forma de evidenciar acción tomada posteriormente, ejemplo: comunicación escrita dirigida a la entidad que genera la información, solicitando la aclaración de datos que presenten inconsistencias.

11 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA ADMINISTRACIÓN DE RIESGOS

El cambio de versión en un mapa de riesgos por proceso, se realiza de acuerdo con el documento: “Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” (DS-L01), el cual hace parte del Macroproceso: Gestión de Calidad. La actualización que se realice a los Mapas de Riesgos de los procesos, debe contemplar la actualización inmediata del Mapa de Riesgos Institucional y el Mapa de Riesgos de corrupción en caso que aplique.



CÓDIGO: AR-L02

VERSIÓN: 6

PAGINA: 35 de 35

En el caso específico del mapa de riesgos de corrupción, se llevará un control de los cambios y las versiones de este documento, teniendo en cuenta los cambios que surjan de las revisiones que se deben realizar con plazo: 30 de abril, 30 de agosto y 31 de diciembre., Fecha aprobación: 21 de Enero de 2016 Revisó: ______________________________ Karol Mayerly Rodriguez Cabrera

Coordinadora Grupo de Planeación Aprobó: ______________________________ Edgar Antonio Gomez Álvarez Secretario General Representante de la Alta Dirección


Documents

Lineamientos para la administración de riesgos en los procesos del