GESTION DE RIESGOS

La gestión de Riesgos es una parte fundamental de la Gobernabilidad corporativa que busca contribuir eficientemente
en la identificación, análisis, tratamiento, comunicación y monitoreo de los riesgos del negocio.

La gestión de riesgos se puede aplicar a toda la organización, en todas sus áreas y niveles, en cualquier momento, así como

Cuando la gestión de riesgos se implementa, le permite a la organización:

Aumentar la probabilidad de alcanzar los objetivos
Cumplir con los requisitos legales, reglamentarios y normas
Mejorar la confianza y honestidad de las partes involucradas
Mejorar los controles
Minimizar las perdidas

PROCESO PARA LA GESTIÓN DEL RIESGO:

1.       Entender la organización o el proceso y su contexto
2.       Identificación de riesgos
3.       Análisis de los riesgos inherentes: Calificación y Evaluación
4.       Valoración de los riesgos: identificación y evaluación de controles
5.       Evaluación de los riesgos Residuales
6.       Tratamiento de los riesgos
7.       Planes de acción
8.       Seguimiento a los planes de acción definidos
9.       Aplicación de acciones preventivas y de mejoramiento
10.   Actualización mapas de riesgos
11.   Seguimiento a las acciones preventivas y de mejoramiento

REFERENCIAS BIBIOGRAFICAS
NTC 5254 - GESTION DE RIESGOS
AS/NZ 4360:2004 - ESTANDAR AUSTRALIANO
NTC 31000 - GESTION DE RIESGO
Guía de para la Administración del riesgo / Departamento Administrativo de la Función Pública
ontribuir eficientemente
o.

ualquier momento, así como a funciones, proyecto y actividades especificas.

(PROCESO O EMPRESA A TRABAJAR)

OBJETIVOS DEL PROCESO PROCESO O CORPORATIVOS

ACTIVIDADES DEL PROCESO O ESTRATEGIAS CORPORATIVAS

NOMBRE DE LA EMPRESA
MATRIZ DE RIESGOS
NOMBRE DEL PROCESO O CORPORATIVOS

IDENTIFICACIÓN DE R

OBJETIVOS DEL PROCESO

O CORPORATIVOS N.
DE DESCRIPCIÓN DEL RIESGO CAUSA DEL RIESGO
RIESGO (QUE) (POR QUE)

R1
R2
R3
R4
R5
IDENTIFICACIÓN DE RIESGOS

ACTIVIDAD DEL
PROCESO IMPACTO CLASIFICACIÓN DEL
(DONDE) RIESGO
 ANÁLISIS DEL RIESGO INHERENTE

CALIFICACIÓN EVALUACIÓN IDENTIFICACIÓN DE

ZONA DE RIESGO TRATAMIENTO DEL N.

PROBABILIDAD IMPACTO RIESGO SEGÚN LA DE
O SEVERIDAD SEVERIDAD CONTROL

* Reducir el riesgo
Alto * Evitar el riesgo

* Compartir o
PROBABLE MAYOR transferir el riesgo C1
C2
C3
 VALORACIÓN DE RI

IDENTIFICACIÓN DE CONTROLES

¿EXISTEN HERRAMIENTAS PARA

DESCRIPCIÓN DEL CONTROL EJERCER EL CONTROL?

PROBABILIDAD / IMPACTO
 VALORACIÓN DE RIESGOS

EVALUACIÓN DE CONTROLES

¿ESTÁN DEFINIDOS LOS RESPONSABLES ¿LA HERRAMIENTA PARA EJERCER EL ¿LA FRECUENCIA DE EJECUCIÓN DEL
DE LA EJECUCIÓN DEL CONTROL Y DEL CONTROL, SE APLICA? CONTROL Y SEGUIMIENTO ES
SEGUIMIENTO? ADECUADA?

PROBABILIDAD / IMPACTO PROBABILIDAD / IMPACTO PROBABILIDAD / IMPACTO

 EVALUACIÓN DEL RIESGO RESIDUAL

CALIFICACIÓN EVALUACIÓN

¿EL CONTROL HA DEMOSTRADO SER ZONA DE

EFECTIVO? TOTAL PROBABLIDAD
/ IMPACTO PROBABILIDAD IMPACTO RIESGO O
SEVERIDAD
PROBABILIDAD / IMPACTO

Moderado

0
0
0
0
0
0
0
ESGO RESIDUAL PLANES DE ACCIÓN

EVALUACIÓN
No
ACCIÓN DESCRIPCIÓN FECHA DE FECHA DE
TRATAMIENTO DEL DE LA ACCIÓN INICIO FINALIZACIÓN
RIESGO PREVENTIVA
 SEGUIMIENTO A LOS PLANES DE
ACCIÓN

RESPONSABLE FECHA RESULTADO DEL

(Nombre y cargo) SEGUIMIENTO
 MAPA DE RIESGOS INHERENTES

Probabilidad/Impacto Insignificante Menor Moderado

Casi Cierto

Probable

Posible

Poco probable

Raro

Probabilidad/Impacto Insignificante (1) Menor (5) Moderado (25)

Casi Cierto (5) 5 25 125
Probable (4) 4 20 100
Posible (3) 3 15 75
Poco probable (2) 2 10 50
Raro (1) 1 5 25

RESULTADO
Menor o Igual a 10 Bajo
Entre 15 y 75 Moderado
Entre 100 y 500 Alto
Mayor a 625 Extremo
PROCESO:

Mayor Catastrófico

SEVERIDAD DEL RIESGO

R1 Bajo

Moderado

Alto

Extremo

Mayor (125) Catastrófico (625)

625 3125
500 2500
375 1875
250 1250
125 625
 MAPA DE RIESGOS RESIDUAL

Probabilidad/Impacto Insignificante Menor Moderado

Casi Cierto

Probable

Posible R1

Poco probable

Raro

Probabilidad/Impacto Insignificante (1) Menor (5) Moderado (25)

Casi Cierto (5) 5 25 125
Probable (4) 4 20 100
Posible (3) 3 15 75
Poco probable (2) 2 10 50
Raro (1) 1 5 25

RESULTADO
Menor a Igual a 10 Bajo
Entre 15 y 75 Moderado
Entre 100 y 500 Alto
Mayor a 625 Extremo
PROCESO:

Mayor Catastrófico

SEVERIDAD DEL RIESGO

Bajo

Moderado

Alto

Extremo

Mayor (125) Catastrófico (625)

625 3125
500 2500
375 1875
250 1250
125 625
 CLASIFICACIÓN DE LOS RIESGOS
ESTRATÉGICOS

IMAGEN

OPERATIVO

FINANCIERO

CUMPLIMIENTO

TECNOLOGÍA

AMBIENTALES Y DE
SALUD
OCUPACIONAL
 CLASIFICACIÓN DE LOS RIESGOS
Son aquellos que se asocian con toda posibilidad de que suceda algo relacionado con el cumplimiento de los objetiv
estratégicos y la misión institucional, la sostenibilidad y subsistencia de la entidad en el corto, mediano y largo plazo

Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la entidad, tiene que ver c
conocimiento de prácticas corruptas, manejo desacertado de los medios de comunicación, insatisfacción ciudada
por el mal servicio, incumplimiento de planes, programas y proyectos.

Son aquellos relacionados con la parte operativa y técnica de la entidad que provienen de la operación cotidiana
específica de cada proceso. Dentro de ellos se pueden encontrar deficiencias en los flujos de información
comunicación, cifras, así como desarticulación entre procesos, debilidades en infraestructura, dotación y talen
humano, lo cual conduce a ineficiencias, corrupción e incumplimiento de los objetivos institucionales.

Son aquellos asociados a la probabilidad de que un evento adverso o alguna fluctuación financiera repor
consecuencias negativas en una empresa; hace referencia a la incertidumbre producida en el rendimiento de u
inversión o a los sobrecostos o perdidas economicas como consecuación de una acción dentro de la empresa.

Son todos los relacionados con la capacidad de la entidad para cumplir con los requisitos, aca están inmersos l
requisitos regulativos, legales, contractuales, políticas internas, solicitudes de información, ética, calidad, entre otro

Son los relacionados con la capacidad de la entidad, para que la tecnología disponible y proyectada satisfaga
necesidades actuales, futuras y de soporte de la entidad. Esto tiene que ver con Software (compatibilida
configuración), Hardware (capacidades, desempeños, obsolescencia), Sistemas (Diseños, especificidad
complejidad)

Son aquellos generados por la exposición a factores internos y externos que afectan el medio ambiente de la entida
(la contaminación, ambientes poco saludables, malos hábitos) inherentes a las actividades que desarrolla en ca
proceso.
PROBABILIDAD:

La probabilidad de ocurrencia es la posibilidad que un evento se materialice. Para determinar la probabilidad se puede utilizar
el análisis cualitativo o cuantitativo, así como la estadística de la situación. El análisis cualitativo se utiliza para aquellos casos
los cuales no existen datos para generar estadísticas; ésta se asocia al criterio de frecuencia (medida de las veces que se suced
un evento expresado como la cantidad de ocurrencias en un tiempo dado).

TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN (FACTIBILIDAD) FRECUENCIA
El evento puede ocurrir solo en circunstancias No se ha presentado en
1 RARO excepcionales los últimos 5 años.
Al menos de 1 vez en los
2 POCO PROBABLE El evento puede ocurrir en algún momento.
últimos 5 años.
Al menos de 1 vez en los
3 POSIBLE El evento podría ocurrir en algún momento.
últimos 2 años.
El evento probablemente ocurrirá en la mayoría de Al menos de 1 vez en el
4 PROBABLE
las circunstancias. último año.

5 CASI CIERTO Se espera que el evento ocurra en la mayoría de las Más de 1 vez al año.
circunstancias.

EFECTO EN LA PROBABILIDAD DESPUÉS DE EVALUAR LOS CONTROLES

PUNTAJE RESPUESTA
PREGUNTAS
AFIRMATIVA

¿EXISTE UNA HERRAMIENTA PARA EJERCER EL CONTROL?

1 15

¿ESTÁN DEFINIDOS LOS RESPONSABLES DE LA EJECUCIÓN DEL

CONTROL Y DEL SEGUIMIENTO?
2 15

¿LA HERRAMIENTA PARA EJERCER EL CONTROL, SE APLICA?

3 15

¿LA FRECUENCIA DE EJECUCIÓN DEL CONTROL Y SEGUIMIENTO ES

ADECUADA?
4 25

¿EL CONTROL HA DEMOSTRADO SER EFECTIVO?

5 30
TOTAL 100
 RESULTADO
0 a 50 puntos No hay disminución de Nivel de probabilidad
51 a 75 puntos Se disminuye en 1 nivel de probabilidad
76 a 100 puntos Se disminuye en 2 niveles de probabilidad
 la probabilidad se puede utilizar
o se utiliza para aquellos casos en
medida de las veces que se sucede

CALIFICACION

CONTROLES
PUNTAJE RESPUESTA
NEGATIVA

0
0
IMPACTO:

La magnitud del impacto es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, pe
definen rangos sobre los resultados posibles asociados a un evento.

TABLA DE IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
El evento no afectaría de manera importante la
1 INSIGNIFICANTE
continuidad del proceso ni sus resultados
El evento no afectaría la continuidad; pero si
2 MENOR
levemente los resultados esperados del proceso

De persistir el evento podría afectar la continuidad del

3 MODERADO
proceso, u afectaría mesuradametne los resultados

El evento puede interrumpir temporalmente la

4 MAYOR continuidad del proceso; y/o generar pérdidad
considerables
El evento puede interrumpir la continudidad del
5 CATASTRÓFICO proceso; y severamente sus resultados

EFECTO EN LA IMPACTO DESPUÉS DE EVALUAR LOS CONTROLES

PREGUNTAS

¿EXISTE UNA HERRAMIENTA PARA EJERCER EL CONTROL?

1

¿ESTÁN DEFINIDOS LOS RESPONSABLES DE LA EJECUCIÓN DEL CONTROL Y

DEL SEGUIMIENTO?
2

¿LA HERRAMIENTA PARA EJERCER EL CONTROL, SE APLICA?

3

¿LA FRECUENCIA DE EJECUCIÓN DEL CONTROL Y SEGUIMIENTO ES ADECUADA?

¿EL CONTROL HA DEMOSTRADO SER EFECTIVO?

5
TOTAL

RESULTADO
0 a 50 puntos No hay disminución de Nivel de impacto
51 a 75 puntos Se disminuye en 1 nivel de impacto
76 a 100 puntos Se disminuye en 2 niveles de impacto
titativamente, sea este una pérdida, perjuicio o desventaja. Se

CTO
MONTO DEL IMPACTO CALIFICACION

1 SMLV 1

10 SMLV 5

50 SMLV 25

100 SMLV 125

200 SMLV 625

EVALUAR LOS CONTROLES

PUNTAJE RESPUESTA
AFIRMATIVA NEGATIVA

15 0

15 0

15 0

25 0

30 0
100 0
TRATAMIENTO DEL RIESGO:
El tratamiento de los riesgo consiste en identificar las opciones para mitigar/tratar los riesgos
se realizar la evaluación de dichas opciones, se preparan los planes de mitigación de riesgos y
su implementación. Sin embargo, la Organización puede decidir aceptar el riesgo sin tomar
acciones adicionales.

TRATAMIENTO DEL RIESGO

DESCRIPTOR DESCRIPCIÓN

No se emprende ninguna acción que afecte la probabilidad o

ACEPTAR
el impacto del riesgo.

Se implementan controles y sus acciones de manejo del

REDUCIR riesgo orientadas a disminuir la probabilidad de
materialización del riesgo.

EVITAR Supone salir de las actividades que generan riesgos.

Implica disminuir la probabilidad o el impacto del riesgo

COMPARTIR
trasladandolo o compartiendo una parte del riesgo.

REDUCIR Implica llevar a cabo acciones para minimizar la probabilidad

o el impacto del riesgo o ambos conceptos a la vez.

OPCIONES DE MANEJO DEL RIESGO SEGÚN SU SEVERIDAD

SEVERIDAD DEL RIESGO OPCIONES DE TRATAMIENTO DE

Bajo * Asumir el riesgo

* Asumir el riesgo
Moderado
* Reducir el riesgo
 * Reducir el riesgo

Alto * Evitar el riesgo

* Compartir o transferir el riesgo

* Reducir el riesgo

Extremo * Evitar el riesgo

* Compartir o transferir el riesgo

OPCIONES DE TRATAMIENTO DEL RIESGO

Se asume el riesgo.
Si el riesgo inherente se ubica en la zona baja, se debe revisar si éste riesgo amerita o
no, que se incluya en el mapa de riesgos, para su administración.

Se asume el riesgo.
Reducir el riesgo: Se implementan controles y sus acciones de manejo del riesgo
orientadas a disminuir la probabilidad de materialización del riesgo Y/O controles y sus
acciones de manejo del riesgo , orientadas a disminuir el impacto de la materialización del
riesgo. Lo anterior con el propósito de llevar el riesgo a la zona baja.
Reducir y evitar el riesgo: Se implementan controles y sus acciones de manejo del riesgo,
orientadas a disminuir o evitar la materialización del riesgo Y/O controles y sus acciones
de manejo del riesgo orientadas a disminuir o evitar el impacto de la materialización del
riesgo. Lo anterior con el propósito de llevar el riesgo a zona moderada.
Compartir o transferir el riesgo: se podría establecer el mantenimiento de pólizas de
seguros, tercerización, entre otras; como controles o acciones de manejo del riesgo
enfocadas a la protección. Esta opción de manejo se deberá tener en cuenta, con base
en la capacidad del proceso y/o la entidad, para asumir las consecuencias del impacto
producido por la materialización del riesgo.

Reducir y evitar el riesgo: Se implementan controlesy sus acciones de manejo del riesgo,
orientadas a disminuir o evitar la materialización del riesgo Y/O controles y sus acciones
de manejo del riesgo orientadas a disminuir o evitar el impacto de la materialización del
riesgo.
Compartir o transferir el riesgo: teniendo en cuenta que en esta zona de riesgo se pueden
producir pérdidas considerables para el proceso y/o la entidad, se hace necesario que se
implementen controles de protección y sus acciones de manejo del riesgo, en los cuales
se involucren pólizas, tercerizaciones, entre otras medidas que protejan el proceso y/o la
entidad.
Actividades de Control:
Las actividades de control son las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar qu
las instrucciones de la Dirección para mitigar los riesgos que inciden en el cumplimiento de los objetivos.

Tipos de controles por su oportunidad:

-          preventivos
-          Detectivos
-          correctivos

Tipos de controles por su naturaleza:

-          Manual
-          Automatico
-          Semiautomatico

Se identifican los controles y se determina si estan bien diseñados para mitigar las causas y si funcionan tal como fueron diseñ

Aspectos Claves de Diseño a Identificar en un Control:

Quién lleva a cabo el control (Responsable)

Frecuencia del Control (Cada cuanto se realiza)
Qué busca hacer el control (objetivo)
Cómo se lleva a cabo el control (procedimiento)
Que pasa con las desviaciones y/o excepciones (Investigación y análisis)
Evidencia de la ejecución del control (La firma no es evidencia suficiente de que un control se ejecuto)

Para que desde la lectura se pueda hacer una idea preliminar del diseño del control y que realmente sea un control, redacta
Quien – Frecuencia - Cuando - Que - Como - Que pasa si hay excepciones - Evidencia

Documentación del Control :

La documentación del control es parte fundamental del control interno por que:
-          Aporta Claridad a las funciones. (quien, que, como, cuando, evidencia).
-          Ayuda en la formación de nuevo personal
-          Constituye un medio para conservar el conocimiento de la organización
-          Información actualizada y referencia para el resto de los empleados
-          Establece expectativa de desempeño y conducta.

Un control bien diseñado:

Mitiga la Causa Asociada
La frecuencia del control permite identificar un error oportunamente
La persona que ejecuta el control tiene el conocimiento y la experiencia suficiente.
Existe segregación de funciones en quien hace la actividad y el que ejecuta el control.
La Información utilizada para realizar el control es adecuada y confiable.
Las excepciones resultantes de ejecutar el control son resueltas oportunamente
Es posible reprocesar la actividad de control de acuerdo a las evidencias y soportes anexos de su ejecución.
que contribuyen a garantizar que se lleven a cabo
objetivos.

uncionan tal como fueron diseñados.

ejecuto)

almente sea un control, redactarlo en el siguinte orden:

su ejecución.