LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN

Anuncio
LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP
Departamento Nacional de Planeación
Bogotá, 2016
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
TABLA DE CONTENIDO
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 2 de 35
Pág.
1
OBJETIVO ..................................................................................................................................... 3
2
ALCANCE...................................................................................................................................... 3
3
REFERENCIAS NORMATIVAS..................................................................................................... 3
4
DEFINICIONES ............................................................................................................................. 3
5
POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS
PROCESOS ........................................................................................................................................... 6
5.1
Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a
los Procesos ...................................................................................................................................... 6
5.2
Los riesgos que se van a controlar. ........................................................................................ 7
5.3
Opciones de tratamiento de riesgos ....................................................................................... 7
5.4
Acciones para administrar los riesgos .................................................................................... 8
5.4.1
Tiempo y recursos .......................................................................................................... 8
5.5
Responsables de aplicar la Política Institucional de Tratamiento de Riesgos ........................ 8
5.6
Recursos requeridos .............................................................................................................. 9
5.7
Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a
los Procesos ...................................................................................................................................... 9
6
SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO ............................................................ 10
6.1
Autocontrol ........................................................................................................................... 10
6.2
Evaluación Realizada por la Oficina de Control Interno ...................................................... 11
6.3
Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de
riesgos11
6.4
Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos ........ 12
7
DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO ........................... 12
8
METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP .............................................. 12
8.1
IDENTIFICACION DE RIESGOS ......................................................................................... 12
8.1.1
Priorización de riesgos ................................................................................................. 12
8.1.2
Estructura del formato para la identificación de riesgos ............................................... 13
8.2
ANÁLISIS Y VALORACIÓN DEL RIESGO ANTES DE CONTROLES (RIESGO
INHERENTE) ................................................................................................................................... 19
8.3
MEDIDAS DE MITIGACION ................................................................................................. 23
8.3.1
Análisis Y Evaluación De Controles: ............................................................................ 25
8.3.2
Valoración De Riesgos Después De Controles (Riesgo Residual) ............................... 28
8.4
SEGUIMIENTO .................................................................................................................... 31
9
MATRICES DE LOS MAPAS DE RIESGO .................................................................................. 32
Mapa de riesgos institucional ........................................................................................................... 32
Mapa de riesgos de corrupción ........................................................................................................ 32
10 PRODUCTO O SERVICIO NO CONFORME .............................................................................. 32
10.1 Identificación de producto no conforme ................................................................................ 32
10.2 Tratamiento del producto no conforme ................................................................................. 33
10.2.1 Estructura la Matriz de Producto No Conforme ............................................................ 34
11 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA
ADMINISTRACIÓN DE RIESGOS ....................................................................................................... 34
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
1
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 3 de 35
OBJETIVO
Establecer los parámetros para la administración de los riesgos relacionados a los procesos del DNP,
su trazabilidad, registro y monitoreo, a través de la presentación de los criterios para la identificación,
análisis, valoración, definición de acciones de mitigación y seguimiento a los riesgos en los procesos,
que pueden afectar el cumplimiento de la misión y objetivos institucionales del DNP. Así como la
presentación de las medidas de control y seguimiento de los riesgos enmarcados en las políticas de
administración de riesgos adoptadas por la Entidad.
2
ALCANCE
Esta guía debe ser aplicada por la autoridad, líderes y ejecutores de las actividades de los procesos
del Departamento Nacional de Planeación, que son responsables de la documentación, aplicación,
actualización y seguimiento a los mapas de riesgos para los procesos de la Entidad.
3
REFERENCIAS NORMATIVAS
· Ley
87 de 1993
872 de 2003
· Ley 1474 de 2011. Artículo 73
· Decreto 1083 de 2015
· Resolución Interna 1788 de 2015
· Resolución interna 1838 de 2006
· Guía para la Administración de Riesgos del DAFP vigente
· Norma Técnica Colombiana NTC-ISO 9001:2008
· Norma Técnica de Calidad en la Gestión Pública NTCGP-1000:2009
· Ley
4
DEFINICIONES
·
·
·
·
Acción de riesgos: es la aplicación concreta de las opciones de tratamiento de riesgo.
Administración de Riesgos: es el proceso continuo basado en el conocimiento, evaluación y
manejo de los riesgos que mejora la toma de decisiones organizacionales.
Análisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos
y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de
determinar la capacidad de la entidad pública para su aceptación y manejo.
Autoevaluación del control: Elemento de control que basado en un conjunto de mecanismos
de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel
de los procesos y de cada dependencia, permitiendo emprender las acciones de mejoramiento
del control requeridas. (revisión periódica y sistemática de los procesos de la entidad para
asegurar que los controles establecidos son eficaces).
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
·
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 4 de 35
Calificación del riesgo: establece el grado de exposición de la Entidad bajo criterios de
probabilidad e impacto de los riesgos.
·
Categoría: cada uno de los grupos básicos en que puede incluirse o calificarse un riesgo.
·
Causas: son los medios, circunstancias y agentes generadores del riesgo.
·
Cliente: organización, entidad o persona que recibe un producto y/o servicio.
·
·
·
·
·
·
·
·
Compartir el Riesgo: Cambiar la responsabilidad o carga por las pérdidas que ocurran luego
de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.
Control: proceso, política, dispositivo, práctica u otra acción existente para reducir la
probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo.
Efectos: lo que podría generarse en la Entidad con la materialización de un riesgo. Es el
resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida,
perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el
proceso.
Evento: hecho que una vez materializado genera desviaciones en el punto crítico de control,
afectando el logro del objetivo del proceso o la gestión institucional.
Impacto: magnitud de los efectos que puede ocasionar la materialización del riesgo.
Indicador: expresión cuantitativa o cualitativa que permite establecer el estado del objeto a
evaluar en un momento determinado, con relación a rangos establecidos.
Mapa de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos
ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las
posibles consecuencias.
Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una
actividad con el fin de identificar posibles cambios.
·
Pérdida: Consecuencia negativa que trae consigo un evento.
·
Política de riesgo: identifica las opciones para tratar y manejar los riesgos:
·
·
·
Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar
valor, las cuales transforman elementos de entrada en resultados.
Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo.
Punto Crítico de Control (PCC): es una actividad fundamental dentro del proceso, en la que
se debe ejercer un control para prevenir la materialización de un riesgo. Toda actividad no es un
punto crítico de control.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
·
·
·
·
·
·
·
·
·
·
·
·
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 5 de 35
Registro: documento que presenta resultados obtenidos o proporciona evidencia de las
actividades adelantadas.
Responsables: rol o cargo encargado de adelantar las acciones propuestas.
Responsable de liberación: rol o cargo que autoriza la entrega del producto o servicio al
cliente.
Riesgo: posibilidad de ocurrencia de aquella situación que puede afectar el logro de los
objetivos institucionales, o la calidad de los productos o servicios ofrecidos por la Entidad.
Riesgos de Corrupción: Posibilidad de que por acción u omisión, se use el poder para desviar
la gestión de lo público hacia un beneficio de lo privado.
Riesgos Estratégicos: Están relacionados con la planificación, diseño y conceptualización de
la Entidad por parte de la alta gerencia, en relación con su marco estratégico: misión, visión,
cumplimiento de los objetivos estratégicos y la definición de políticas.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la
ciudadanía hacia la institución.
Riesgos Operativos: son los riesgos derivados del funcionamiento de los sistemas de gestión
institucional, la definición y ejecución de los procesos, la operación de los sistemas de
información y herramientas de apoyo a la gestión, de la estructura de la entidad y de los
mecanismos de comunicación y articulación entre dependencias.
Riesgos Financieros1: Se relacionan con el manejo de los recursos de la entidad que incluyen:
la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Cumplimiento2: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
Riesgos de Tecnología3: Están relacionados con la capacidad tecnológica de la Entidad para
satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
Herramienta de seguimiento: mecanismo para controlar que la ejecución de los procesos y los
resultados obtenidos sean acordes con los requisitos, características o atributos establecidos,
de manera que se pueden identificar o monitorear la materialización de riesgos.
Guía para la administración del riesgo del Departamento Administrativo de la Función Pública. 2011 cuarta edición.
ibidem
3
ibidem
1
2
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
·
·
·
·
5
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 6 de 35
Subproceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales
transforman elementos de entrada en resultados. El desarrollo de uno o varios subprocesos
permite avanzar en el cumplimiento de los procesos.
Valoración pura: grado de exposición al riesgo en un escenario sin controles.
Valoración residual: grado de exposición al riesgo con la calificación de probabilidad e impacto
aplicando los controles existentes.
Zona de riesgo: es el nivel de exposición al riesgo, hallado mediante el cruce entre la
probabilidad y el impacto.
POLÍTICAS INSTITUCIONALES DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS
PROCESOS
Las políticas institucionales para la administración de riesgos del DNP, establecen las opciones para
tratar y manejar los riesgos basadas en la valoración de los mismos. Estas políticas reflejan la
posición de la dirección y establecen las guías de acción para el tratamiento de los riesgos
identificados.
 El Departamento Nacional de Planeación se encuentra comprometido con la identificación y
administración de los riesgos de los procesos del Sistema de Gestión de Calidad, para lo cual
aquellos riesgos que después de la evaluación de los controles (ver numeral 8.3.2. de este
documento) se valoren como importantes ó inaceptables, serán atendidos de forma inmediata
a través de acciones concretas, las cuales podrán ser opciones de tratamiento
independientes, interrelacionadas o en conjunto, que permitan definir las actividades
correspondientes a dichas opciones.
 Para los riesgos de corrupción, las acciones que se deben tener en cuenta son: Evitar el
Riesgo y Reducir el Riesgo, las cuales se explican en el capítulo 5.3 de este documento.
 Los riesgos en el DNP, se identifican en las actividades definidas como críticas en los
procesos y se priorizan contemplando los principios de eficiencia, economía y objetividad para
evitar afectación de las actividades que agregan valor en el desarrollo de los procesos y por
tanto en los productos o servicios ofrecidos.
5.1
Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos
Asociados a los Procesos
 Identificar y realizar análisis y control de los riesgos asociados a los puntos críticos de los procesos
del DNP.
 Efectuar el control y seguimiento de los riesgos que después de la calificación de los controles se
valoren como importantes o inaceptables, mediante la definición de acciones orientadas a evitar o
reducir el riesgo.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 7 de 35
El cumplimiento de estos objetivos será consolidado mínimo una vez al año, por el Grupo de
Planeación mediante comunicación escrita dirigida a Secretaria General como líder del proceso de
Administración del Riesgo en el DNP.
5.2
Los riesgos que se van a controlar.
La administración de riesgos en el DNP tendrá un carácter prioritario y estratégico, en el marco del
modelo de operación por procesos. Los riesgos a los cuales se aplicarán controles, son los
relacionados con las actividades identificadas como críticas, las cuales están definidas en todos los
procesos como PCC (Punto Crítico de Control), porque requieren de especial atención debido a que
su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso.
Por lo anterior, se establece que la totalidad de riesgos identificados en los mapas de riesgos de los
procesos estarán sujetos al seguimiento, monitoreo, control y ajuste mediante la aplicación del
proceso de administración de riesgos del DNP.
5.3
Opciones de tratamiento de riesgos
Teniendo en cuenta la valoración de riesgos después de controles (Capitulo 8.3.2.), se determinan las
siguientes opciones de tratamiento para cada uno de los riesgos:
 Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la
primera alternativa a considerar y se logra cuando al interior de los procesos se generan cambios
sustanciales por mejoramiento, rediseño o sustitución de actividades y/o de controles y acciones
emprendidas.
 Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas
de prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar
controles.
 Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras
organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir
una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.
 Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que
se mantiene, en este caso el Líder del proceso acepta la pérdida residual.
Estas opciones se definen para cada riesgo (ver cuadro 1), teniendo en cuenta la zona de ubicación
en el Formulario “Matriz de valoración de riesgos después de controles” y las Políticas Institucionales
de Tratamiento de Riesgos Asociados a los Procesos.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 8 de 35
Asumir
Compartir
o transferir
COLOR
Reducir
ZONA DE RIESGO
Evitar
OPCIONES DE
TRATAMIENTO DE RIESGOS
Inaceptable
Rojo
X
X
X
Importante
Naranja
X
X
X
Tolerable
Amarillo
X
X
X
X
Aceptable
Verde
X
Cuadro 1. Opciones de tratamiento de riesgos de acuerdo con la zona de ubicación
Nota 1: Cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de
tratamiento es asumir.
5.4
Acciones para administrar los riesgos
Teniendo en cuenta la valoración de riesgos obtenida (en el caso en que los riesgos residuales se
encuentren en nivel importante o inaceptable) y la Política Institucional de Tratamiento de Riesgos
Asociados a los Procesos (evitar, reducir o compartir), se realiza la formulación de las acciones
correspondientes. Estas acciones se diligencian según lo establecido en el proceso de Acciones
Preventivas, Correctivas y de Mejora, usando el formato “Solicitud de acciones preventivas,
correctivas y de mejora”, según lo establecido en el “Lineamiento para la administración de los riesgos
relacionados a los procesos del DNP”.
5.4.1
Tiempo y recursos
Para la implementación de acciones y controles se tendrá como referente la viabilidad jurídica,
financiera y la disponibilidad de recurso humano y tecnológico, así como el análisis costo/beneficio
para el manejo o la administración del riesgo.
5.5
Responsables de aplicar la Política Institucional de Tratamiento de Riesgos
La responsabilidad de la elaboración del mapa de riesgos por proceso, así como la aplicación de la
política de riesgos del DNP, está a cargo de la autoridad, líderes y ejecutores de las actividades de
cada uno de los procesos de la Entidad.
La responsabilidad de acompañar en el desarrollo del proceso de administración de riesgos y la
aplicación de la política de riesgos del DNP está a cargo del equipo de Calidad del Grupo de
Planeación.
El representante de la alta dirección es el encargado de velar por la elaboración de los mapas de
riesgos asociados a los procesos del DNP y la aplicación de la política de administración de riesgo del
DNP.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 9 de 35
Los responsables de los procesos (Autoridad, líder y responsables de actividades) serán los
encargados de implementar los controles, verificar su efectividad, proponer cambios, velar por su
adecuada documentación y por su socialización y aplicación al interior de su proceso. Así mismo, son
los responsables de la formulación de las acciones pertinentes que permitan cumplir a cabalidad con
la política de riesgos institucional.
La revisión de los avances de las acciones derivadas de la administración de riesgos, así como la
revisión de su eficacia, y la aplicación de la política institucional para el tratamiento de los riesgos
asociados a procesos, está a cargo de la Oficina de Control interno.
5.6
Recursos requeridos
En cada uno de los pasos de administración de riesgos se contemplaran los recursos necesarios para
la definición, implementación y efectividad de las acciones que permitan un tratamiento adecuado de
los riesgos. Para ello se involucrarán a los procesos que tengan incidencia en el cálculo, aplicación o
solicitud de los recursos.
5.7
Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos
Asociados a los Procesos
La política de calidad será desarrollada mediante los ejercicios de revisión, actualización y
seguimiento a los mapas de riesgos de la Entidad, de la siguiente manera, ver cuadro 2:
DESARROLLO DE LA POLÍTICA A:
Corto plazo
Mediano Plazo 2016-2017
Revisión anual de los mapas de
Implementación
de
riesgos por procesos.
herramientas tecnológicas o de
información que aumente el
Revisión de los mapas de nivel de confianza de los
riesgos de corrupción cada controles.
cuatro meses.
Documentación de los mapas
de riesgo relacionados a activos
Establecer una metodología de
de información.
valoración de los riesgos para
Identificar y documentar los estimar aquellos que tienen
riesgos asociados a los impacto ambiental
proyectos.
Largo Plazo 2018
Identificación y documentación
de los riesgos transversales del
sector planeación.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 10 de 35
Documentación de los mapas
de riesgo relacionados con el
programa de salud y seguridad
en el trabajo.
Implementación
de
una
herramienta tecnológica para la
administración de riesgos
(herramienta informática)
Cuadro 2. Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos
6
SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO
El seguimiento a la administración del riesgo se encuentra conformado por dos componentes: el
primero mediante el autocontrol realizado por los ejecutores del proceso y el segundo mediante las
auditorías internas realizadas por la Oficina de Control Interno.
6.1 Autocontrol
Es la actividad realizada por los implicados en el desarrollo y ejecución del proceso, donde se analizan
y revisan los mapas de riesgos asociados a los procesos una vez al año o cuando las circunstancias
lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto estratégico,
modificaciones o cambios relevantes en los procesos y/o subprocesos, o cualquier hecho externo o
interno que afecte la operación de la entidad.
La revisión se realiza teniendo en cuenta los siguientes aspectos:







Correspondencia con el proceso y los puntos críticos de control definidos.
Identificación de nuevos riesgos o eliminación cuando no sean significativos.
Determinación de nuevas causas generadoras o efectos con la materialización de riesgos.
Determinación de nuevos controles o ajuste en la evaluación de los mismos.
Determinación de nuevas acciones de administración de riesgos o ajuste a las definidas.
Modificación del indicador de riesgos o herramienta de seguimiento.
Actualización de la matriz de producto o servicio no conforme.
La revisión del Mapa de Riesgos no implica obligatoriamente su actualización, sin embargo en los
casos en los que se identifique necesidad de ajustes, se debe solicitar su actualización, de acuerdo
con lo establecido en el documento “Lineamientos para la elaboración y control de documentos de los
sistemas de gestión del DNP” DS-L01 (el cual hace parte del Macroproceso: Gestión de Calidad).
Para los riesgos de la categoría de Corrupción, es necesario que permanentemente se revisen las
causas que generan estos riesgos. En este sentido se debe realizar seguimiento a los mapas de
riesgo de corrupción por lo menos tres veces al año con corte a 30 de abril, 31 de agosto y diciembre
31. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la
Republica-Secretaria de Transparencia: “Estrategias para la construcción del plan anticorrupción y
atención al ciudadano”.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
6.2
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 11 de 35
Auditorías Internas Realizadas por la Oficina de Control Interno
Las auditorías internas permiten detectar nuevos eventos de riesgos y oportunidades de mejora
disminuyendo la probabilidad e impacto de los posibles riesgos asociados a los procesos de la
Entidad, contribuyendo de esta manera a la identificación de riesgos, a través de la evaluación sobre
efectividad del manejo de los riesgos, verificando la vigencia de los mapas de riesgos documentados y
la efectividad de las acciones de mejora originadas por la administración de riesgos.
El seguimiento adelantado por la Oficina de Control Interno a la administración de riesgos, se puede
realizar a través de: Auditorías internas (Subprocesos: SG-EV-AI “Auditorías internas de calidad” y
SG-EV-EI “Auditorías Internas”), Evaluación a la Gestión por Dependencias, revisión de la eficacia de
las acciones preventivas, correctivas y de mejora – APCM originadas a partir de los mapas de riesgos
(Proceso MC-AP “Acciones preventivas, correctivas y de mejora”), monitoreo de operaciones
sensibles, entre otras.
6.3
Aspectos a tener en cuenta durante el seguimiento y auditoría interna de la
administración de riesgos
Durante el seguimiento realizado a los mapas de riesgo por parte de la autoridad, líderes y ejecutores
de las actividades de los procesos del DNP, así como en la auditoría interna adelantada por la OCI, se
pueden obtener evidencias para determinar si el sistema de administración del riesgo está
funcionando y el proceso es eficaz, verificar el nivel de cumplimiento de los controles asociados a los
riesgos y el tratamiento de los mismos.
A continuación se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los
ejercicios mencionados:
 Verificar la correspondencia entre el proceso y el mapa de riesgos.
 Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos del
proceso auditado.
 Validar el desarrollo del proceso GC-AR “Administración de riesgos”, el cual hace parte del
Macroproceso: Gestión de Calidad.
 Verificar que los controles internos definidos para tratar los riesgos existen, funcionan y son
suficientes.
 Revisar la ejecución y eficacia de las acciones de administración de riesgos definidas.
 Verificar la materialización de riesgos y cuando aplique la generación de productos y/o
servicios no conformes
 Verificar la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los
Procesos.
 Verificar las evidencias de la revisión del mapa de riesgos del proceso de acuerdo con la
periodicidad establecida en el capítulo 6.1 de este documento.
 Identificar los hallazgos relacionados con la administración del riesgo.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
6.4
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 12 de 35
Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de
Riesgos
La Oficina de Control Interno realiza la auditoría interna de revisión de la eficacia de las acciones de
mejora con origen en la administración de riesgos, enmarcada en los criterios establecidos en el
documento: “Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y
de Mejora” AP-L01 y en el Proceso MC- AP “Acciones Preventivas, Correctivas y de Mejora”, que
hacen parte del Macroproceso: Mejora Continua.
7
DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO
La administración de riesgos debe ser un tema conocido por todos los funcionarios, contratistas y
pasantes del DNP, para lo cual se utiliza la intranet de la Entidad para su publicación, los medios
masivos de comunicación, reuniones de socialización y divulgación al interior de cada uno de los
procesos.
8
METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP
8.1
IDENTIFICACION DE RIESGOS
Permite conocer los riesgos que pueden afectar el logro del objetivo o la gestión de cada proceso
documentado y sus características. El proceso de identificación del riesgo es iterativo y debe estar en
permanente revisión y actualización, de acuerdo con la dinámica de los procesos de la Entidad.
Este proceso es desarrollado en primera instancia por el equipo de trabajo que involucra el proceso
(Autoridad, líder y responsables de las actividades) y en segunda instancia por el equipo de Calidad
del Grupo de Planeación.
La identificación de riesgos consiste en generar una lista de los eventos indeseados que puede tener
impacto en las actividades del proceso al cual se le está documentando el mapa de riesgos, dichos
eventos pueden impedir, degradar o retrasar el logro de los objetivos del proceso. La identificación de
riesgos se realiza a partir de juicios por parte de los ejecutores de las actividades de los procesos,
basados en su experiencia, los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas y
análisis de escenarios.
Nota 2: En los casos en los cuales las actividades críticas de un proceso contemplen la realización de
un subproceso o se remitan al mismo, cabe la posibilidad de que el mapa de riesgos se documente al
subproceso relacionado, puesto que los riesgos del proceso pueden ser más evidentes dentro de las
actividades que constituyen el subproceso.
8.1.1 Priorización de riesgos
Aunque en todas las actividades de un proceso se pueden presentar riesgos de diferente índole, es
necesario priorizar las actividades a las cuales se les realizará el análisis de riesgos, para marcarlas
como actividades críticas o Puntos Críticos de Control-PCC. Estas actividades han sido identificadas
como PCC porque requieren de especial atención debido a que su ejecución tiene un mayor impacto
sobre el resultado final esperado del proceso.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 13 de 35
Cuando se identifican los riesgos asociados a las actividades PCC, se realiza nuevamente un análisis
en donde se priorizan aquellos eventos indeseados que pueden evitar el cumplimiento de la actividad
y por tanto la obtención de la salida: producto y/o servicio generado en la actividad crítica, señalada en
el descriptor del proceso.
Para la priorización de riesgos que se pueden presentar en una actividad PCC, se pueden analizar las
respuestas a las siguientes preguntas:
-¿La materialización del riesgo afecta el cumplimiento del objetivo del proceso (producto y/o servicio)?
-¿La materialización del riesgo afecta la obtención de la salida (producto y/o servicio) de la actividad?
-¿La materialización del riesgo afecta la realización de otras actividades subsiguientes a la señalada
como PCC, es decir, detiene la realización del proceso en esa actividad?
-¿Al materializarse ese riesgo, es necesario repetir la realización de actividades anteriores?
-¿La materialización del riesgo impide el cumplimiento de alguna normativa?
Una vez analizadas las preguntas, es importante validar cuantas respuestas son afirmativas, de
manera que se seleccionen los riesgos cuyas respuestas, en su mayoría, son “SI” igual o mayor de 3
(=>3). Para los demás riesgos identificados, cuyas respuestas en su mayoría sean “NO” se excluyen
del análisis del riesgo, es decir no son incluidos dentro de la priorización, por tratarse de riesgos, que
aunque son eventos indeseados, no detienen la realización del proceso, no afectan la consecución de
resultados y no representan mayor impacto sobre el objetivo.
Igualmente, para adelantar una adecuada identificación de riesgos es necesario tener en cuenta, el
análisis de indicadores, los mapas de riesgos anteriores, los resultados de las auditorías internas y
externas de calidad, los informes de seguimiento y evaluación a la gestión de las dependencias, los
hallazgos de la auditoría gubernamental de la CGR, los informes de quejas y reclamos y la
retroalimentación de los clientes, entre otros. Estas fuentes de información permiten evidenciar la
materialización de riesgos, por tanto es indispensable su análisis al momento de identificar posibles
riesgos en los procesos. Lo anterior con el propósito de observar algún riesgo que se haya presentado
con anterioridad, cuya evidencia se hubiese presentado en alguna de las fuentes mencionadas.
No obstante, la declaración de la materialización de un riesgo en alguno de los ejercicios
mencionados, no implica necesariamente su inclusión dentro del mapa, puesto que prima la
priorización de los riesgos y el análisis de la autoridad y/o líder del proceso en cuanto a la pertinencia
de incluir dichos riesgos.
Nota 3: En los casos en los cuales se documente el mapa de riesgos de un subproceso, teniendo
como referente la nota 2 de este documento, aplican las mismas condiciones de priorización, es decir
se tiene en cuenta el objetivo del proceso y adicionalmente el objetivo del subproceso.
8.1.2 Estructura del formato para la identificación de riesgos
La identificación de riesgos es desarrollada mediante el análisis y diligenciamiento de la siguiente
información:
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 14 de 35
- No. ACTIVIDAD (PCC): Es el punto de partida para la identificación de riesgos, en este campo
se relacionan el número de la actividad que en el descriptor del proceso se encuentra señalada
como Punto Crítico de Control y sobre la cual se identifica el riesgo correspondiente.
- ACTIVIDAD (PCC): En este campo se relacionan textualmente las actividades de los procesos
que durante su documentación se han señalado como Puntos Críticos de Control (PCC), según
lo dispuesto en el documento: Lineamientos para la Elaboración y Control de
Documentos de los Sistemas de Gestión del DNP - DS-L01, capítulo 6.2.1 Documentación
de Procesos.
- CATEGORIA DE RIESGO4: Con base en las clasificaciones establecidas en la lista
desplegable, se selecciona el grupo al que pertenece el riesgo a identificar. Estas categorías
han sido priorizadas para administrar los riesgos más relevantes a los que están expuestos los
procesos de la entidad.
A continuación se relacionan las categorías establecidas en las que puede incluirse o
clasificarse un riesgo, ver cuadro 3. Categorías de riesgos. En las columnas, “SE PUEDEN
PRESENTAR POR” y “PUEDEN OCASIONAR” se exponen algunos ejemplos de causas y
efectos respectivamente relacionados con el riesgo identificado según su categoría.
CATEGORÍA
SE PUEDE PRESENTAR POR:
PUEDE OCASIONAR:
1. Decisiones Erróneas: se
manifiestan en diferentes
ámbitos:
- Errores en la información que
a) Estratégico: se materializa
soportan las decisiones.
cuando
se
definen
lineamientos,
políticas,
- Errores de juicio.
estrategias, directrices que no
son
adecuadas
o
- Aplicación errónea de criterios
convenientes para la Entidad.
o instrucciones para la
realización de actividades.
b) Operativo: corresponde a
la escogencia de alternativas
- Actos accidentales o mal
impropias.
intencionados
de
los
funcionarios o de terceros.
c) Financiero: está dado por
la inapropiada asignación de
recursos.
4
- Pérdida de credibilidad de la
Entidad.
- Pérdida de confianza en la
Entidad.
- Pérdidas económicas de la
Entidad.
- Quejas y reclamos de los
clientes (internos y/o externos)
Adaptación de la metodología AUDIRISK de la firma AUDISIS Ltda. y del Consejo Superior de la Judicatura.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CATEGORÍA
SE PUEDE PRESENTAR POR:
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 15 de 35
PUEDE OCASIONAR:
- Sanciones Legales.
2. Incumplimientos legales:
se materializan con el no
- Pérdidas económicas
por
acatamiento de la normativa - Ejecución de operaciones multas a la Entidad e
desconociendo el marco legal
externa o interna.
incremento de costos en
establecido.
prórrogas y adiciones a
presupuestos.
- Actos accidentales o mal
intencionados
de
los
- Pérdida de credibilidad y
funcionarios o de terceros.
confianza por no cumplir con
responsabilidades y tareas
encomendadas.
por
3. Incumplimientos de - Errores en la información que - Pérdidas económicas
multas a la Entidad e
compromisos:
se soportan las decisiones.
incremento de costos en
materializan al pasar por alto
las obligaciones o los - Asumir responsabilidades que prórrogas y adiciones a
presupuestos.
compromisos de la Entidad.
exceden las capacidades de la
Entidad y no se puedan realizar
- Pérdida de credibilidad y
oportuna o adecuadamente.
confianza por no cumplir con
responsabilidades y tareas
- Actos accidentales o mal
encomendadas.
intencionados
de
los
funcionarios o de terceros.
- Quejas y reclamos de los
clientes (internos y/o externos)
4. Daño de activos: se
- Pérdida de la información.
materializa con el abandono,
uso inapropiado o colocar en - Accidentes
y
desastres - Pérdidas económicas por
inferioridad de condiciones naturales.
obsolescencia, reparación o
los recursos físicos y
reposición de instalaciones,
tecnológicos de la Entidad.
- Uso mal intencionado e equipos,
accesorios
y
inapropiado.
herramientas de trabajo.
- Falta
de
idoneidad
o - Fallas de hardware y software.
capacitación en el manejo de
recursos.
- Detrimento de seguridad de los
recursos que soportan la
prestación de los servicios.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CATEGORÍA
SE PUEDE PRESENTAR POR:
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 16 de 35
PUEDE OCASIONAR:
5. Hurto: se materializa con - Alteración y/o desviación de la - Pérdida de la información.
la apropiación indebida, por información de las operaciones
parte de un servidor o de y transacciones de la Entidad.
- Pérdidas Económicas.
terceros de propiedad física,
financiera e intelectual de la - Sustracción deliberada de - Detrimento del patrimonio de la
Entidad.
activos.
Entidad.
6. Fraude: se materializa al
inducir a cometer un error
para obtener una resolución
contraria a la ley; así como
- Pérdida de la información.
evitar el cumplimiento de - Alteración y/o desviación de la
obligaciones
impuestas. información de las operaciones - Pérdidas Económicas.
También al obtener mediante y transacciones de la Entidad.
maniobras engañosas una
- Detrimento del patrimonio de la
ventaja en detrimento de - Sustracción deliberada de Entidad.
alguien
–
sustracción activos.
maliciosa que alguien hace a
las normas de la ley o a las
de un contrato en perjuicio de
otro.
- Errores en la información que - Pérdida de credibilidad de la
soportan las decisiones
Entidad.
7. Inexactitud: se materializa
- Aplicación errónea de criterios - Pérdida de confianza en la
al presentar datos o
o instrucciones para la Entidad.
estimaciones equivocadas,
realización de actividades.
incompletas, o desfiguradas.
- Pérdidas económicas de la
- Actos accidentales o mal Entidad.
intencionados
de
los
funcionarios o de terceros.
- Decisiones erróneas
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CATEGORÍA
SE PUEDE PRESENTAR POR:
8. Corrupción: Se entiende
por riesgo de corrupción la
posibilidad de que por acción
u omisión, se use el poder
para desviar la gestión de lo
público hacia un beneficio de
lo privado.
- Concentración de autoridad o
excesos de poder
- Archivos contables con vacíos
de información
- Toma de decisiones ajustadas
a intereses particulares
- Cobrar por un trámite
- Tráfico
de
Influencias
(Amiguismo,
persona
influyente)
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 17 de 35
PUEDE OCASIONAR:
- Pérdida de credibilidad de la
Entidad.
- Pérdida de confianza en la
Entidad.
- Pérdida de transparencia y la
probidad en la Entidad.
- Pérdidas económicas de la
Entidad.
Cuadro 3. Categorías de riesgos
Posterior a la selección de la categoría, es necesario establecer una preposición que relacione
la categoría con el evento, se recomienda utilizar las siguientes preposiciones según la
categoría:

Decisiones erróneas: al, durante, en, para, sobre.

Incumplimientos legales: al, ante, con, durante, en.

Incumplimientos de compromisos: al, ante, con, durante, en, hacia.

Daño de activos: al, de, durante, en, para, sobre.

Hurto: de, durante, en, mediante, para.

Fraude: de, durante, en, mediante, para.

Inexactitud: al, con, de, durante, en, para, sobre.

Corrupción al, durante, por, en
Nota 4: Se recomienda analizar cuidadosamente el uso de la preposición “por” ya que se podría
asimilar el evento con una causa.
- EVENTO: Se describe el hecho asociado al punto crítico de control que se está analizando,
teniendo en cuenta la categoría de Riesgo y preposición escogida anteriormente, conformando
de esta manera la situación indeseable (Riesgo) que requerimos prevenir en cuanto a su
ocurrencia. Para identificar correctamente el evento, puede ser muy útil revisar en el descriptor
del proceso la columna “descripción de la actividad” relacionada con la actividad identificada
como critica.
Ejemplo:
CATEGORÍA DE
RIESGO
PREPOSICIÓN
Decisiones erróneas
Durante
Inexactitud
En
EVENTO
RIESGO
La verificación y
análisis de las
presuntas
irregularidades
El diligenciamiento
del formato
Decisiones
erróneas
durante la verificación y
análisis de las presuntas
irregularidades
Inexactitud
en
el
diligenciamiento
del
formato
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CATEGORÍA DE
RIESGO
PREPOSICIÓN
Incumplimientos
legales
Al
Incumplimientos de
compromisos
En
Daño de activos
Hurto
Fraude
Corrupción
Durante
PAGINA: 18 de 35
EVENTO
RIESGO
Dar respuesta a una
petición fuera de los
términos establecidos
por ley.
La revisión oportuna
de la iniciativa de
elaboración del
documento Conpes
Al dar respuesta de una
petición fuera de los
términos
establecidos
por ley.
Incumplimientos
de
compromisos en la
revisión oportuna de la
iniciativa de elaboración
del documento Conpes
Daño de activos durante
la
ejecución
del
mantenimiento y luego
de este
Hurto de bienes durante
la verificación física de
existencias
Fraude
durante
la
preparación de la baja o
la entrega del bien
Corrupción
por
la
dilatación
de
los
procesos
con
el
propósito de obtener el
vencimiento de términos
o la prescripción de
mismo.
La ejecución del
mantenimiento y
luego de este
Bienes durante la
verificación física de
existencias
La preparación de la
Durante
baja o la entrega del
bien
La dilatación de los
procesos con el
propósito de obtener
Por
el vencimiento de
términos o la
prescripción de
mismo.
Cuadro 4. Categorías de riesgos: Ejemplos
De
CÓDIGO: AR-L02
VERSIÓN: 6
Nota 5: Es necesario priorizar los riesgos para el proceso. La priorización de cada riesgo
depende de la incidencia del riesgo identificado en la ejecución de la actividad crítica, así como
el efecto del riesgo dentro de la ejecución del proceso, la consecución del objetivo del mismo y
el impacto en la entidad en cuanto al cumplimiento de los componentes del contexto estratégico
del DNP. La priorización la realiza la autoridad o líder del proceso bajo criterios de experiencia,
experticia o conocimiento de quien analiza, así como en datos y hechos históricos (cuando
existan o aplique).
Nota 6: A cada Punto Crítico de Control se le puede asociar más de un riesgo.
- CLASE: De acuerdo con las definiciones de riesgos mencionadas en el capítulo 4 de este
documento, se elige a cual clase pertenece el riesgo identificado (Estratégico, Imagen,
Operativo, Financiero, Cumplimiento, Tecnológico).
- CAUSAS: se enumeran los medios, circunstancias y/o agentes que generan el riesgo
identificado o que propician su materialización. Estas causas pueden ser intrínsecas (internas)
al ser atribuidas a personas, métodos, equipos, materiales e instalaciones, directamente
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 19 de 35
involucradas en el proceso, es decir debilidades de la entidad, o extrínsecas (externas) cuando
provienen del entorno en el que se desarrolla el proceso, es decir amenazas. Las causas
deben quedar discriminadas según corresponda en internas y externas.
Nota 7: En la identificación de las causas de los riesgos cuya categoría sea corrupción, se
busca “identificar un conjunto sistemático de situaciones que por sus características pueden
originar prácticas corruptas” así mismo, es conveniente analizar los hechos de corrupción
presentados en procesos similares de otras entidades.
- EFECTOS: se enumeran las consecuencias asociadas a la materialización del riesgo que
inciden en el objetivo del proceso, subprocesos asociados, a la dependencia que lidera el
proceso o a la Entidad. Existen dos tipos de efectos, los inmediatos que afectan el desarrollo de
actividades posteriores y los extremos que se relacionan con efectos legales, sanciones o
afectación en la operación de la Entidad. Pueden agruparse en:




Pérdidas económicas representadas en sobrecostos por reproceso, duplicidad o
inactividad y detrimento del patrimonio, multas entre otras.
Detrimento de la imagen constituido por la pérdida de credibilidad y confianza en el
cumplimiento de la misión y tareas encomendadas.
Sanciones legales constituidas por las sanciones que debe pagar la Entidad
Afectación en la operación (misional y/o apoyo) de la entidad
Nota 8: Los efectos no tienen relación uno a uno con las causas del riesgo, es decir, una o
varias causas desencadenan el riesgo y la materialización del mismo ocasiona uno o varios
efectos.
8.2
ANÁLISIS Y VALORACIÓN DEL RIESGO ANTES DE CONTROLES (RIESGO
INHERENTE)
Posterior a la identificación, se realiza el análisis del riesgo puro o inherente en donde se evalúan los
riesgos sin considerar los controles que pudieran existir, analizando la naturaleza y la forma como se
llevan a cabo las actividades en el proceso. Para ello, se determina la probabilidad de ocurrencia y el
impacto de la materialización de cada riesgo identificado, en un escenario hipotético en donde los
controles para prevenir o mitigar el riesgo no existen o no se aplican.
PROBABILIDAD DE MATERIALIZACION: Se establece la frecuencia con la que se ha presentado o
puede presentarse el riesgo cuando no existen controles. Se mide en términos de la factibilidad con la
que el riesgo se podría llegar a materializar, teniendo en cuenta la presencia y exposición ante
factores internos y externos. Es importante tener en cuenta el análisis de aspectos como:
 Número de veces que se realiza la actividad en un espacio de tiempo
 Número de personas que intervienen en la realización de la actividad
 Estadísticas (si se cuenta con ellas) de las materialización del riesgo
 Número de correcciones y acciones correctivas formuladas en el Balance de acciones de
mejora (F-GP-24), relacionadas con la materialización del riesgo, el cual se encuentra
publicado en el disco O para su consulta, ruta: O:\Planeacion Institucional\Documentos SGC.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 20 de 35
 Los hallazgos de la auditoría gubernamental de la CGR
 Las acciones adelantadas respecto a la materialización del riesgo, que fueron registradas en
el Consolidado de productos y/o servicios no conformes formato F-GP-34 (el cual hace parte
del Macroproceso: Gestión de Calidad y que se encuentra publicado en el disco O, ruta:
O:\Planeacion Institucional\Documentos SGC\Seguimiento SGC\PNC)
De acuerdo con el análisis, se selecciona el grado de probabilidad con base en las siguientes
categorías5, ver cuadro 5. Escalas de probabilidad:
PROBABILIDAD
REMOTA
POCO PROBABLE
ESCALA
CALIFICACIÓN
PROBABILÍSTICA
DESCRIPCIÓN
La eventualidad de ocurrencia es
muy baja, casi nula.
0 – 19%
1
Podría
ocurrir
circunstancias
excepcionales.
20 – 49%
2
sólo
bajo
muy
PROBABLE
Podría o no ocurrir en algún
momento.
50%
3
OCASIONAL
Puede ocurrir en algún momento
o algunas veces.
51 – 79%
4
FRECUENTE
La posibilidad de ocurrencia se
da en la mayoría de las
circunstancias.
80 – 100%
5
Cuadro 5. Escalas de probabilidad
Es importante señalar que para la probabilidad de materialización de los riesgos de la categoría
Corrupción, se consideran únicamente dos criterios OCASIONAL O FRECUENTE.
IMPACTO DE LA MATERIALIZACION: Se establece la magnitud de los efectos ocasionados con la
materialización del riesgo cuando no existen controles. De acuerdo con un análisis cualitativo, se
selecciona el nivel con base en las siguientes categorías 6, Ver cuadro 6. Escalas de impacto.
5
6
Adaptación de la Norma Técnica Colombiana NTC 5254.
Ibidem
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
BAJO
Sobre la
imagen
Ante el personal
que ejecuta la
actividad critica.
En lo
económico
IMPACTO
Ningún costo o
pérdidas
financieras
insignificantes
Problemas
menores con las
metas. Existe
posibilidad de
reprogramar la
actividad o
ajustar el plan de
trabajo.
Afectación en
la operación
Incumplimientos
legales
En el manejo de archivos
/ activos
En el
cumplimient
o de fechas,
compromiso
s pactados
MUY BAJO
En el cumplimiento de
metas
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 21 de 35
MODERADO
ALTO
Ante el
personal del
área que
lidera el
proceso.
Ante otras áreas
de la Entidad
Ante las
entidades con
las que
interactúa la
entidad.
Ante el nivel
nacional e
internacional
Incremento
de costos
menos del
5%
Incremento de
costos entre el
5% y 10%
Incremento de
costos entre el
10% y 20%
Incremento de
costos más
del 20%
Incumplimiento
Restricciones
de algunos
para lograr
aspectos de las
las metas
metas
MUY ALTO
Incumplimiento
parcial de las
metas
Incumplimient
o total de las
Incumplimiento metas
de algunas
metas
Más de 1
1 día a 1 semana semana a 1
mes
Más de 1 mes a
3 meses
Más de 3
meses a 6
meses
Daños menores
en el activo que
no requieren
reparación
Daños
menores en
el activo a un
bajo costo
Implica
reparación del
activo a un costo
moderado
Implica
reparación del
activo costo
elevado
Ningún daño o
daños menores
Interrupción
de labores
menos de un
1 día
Interrupción de
actividades de 1
día a 1 semana
No Aplica
No Aplica
Pérdida de
credibilidad y
confianza por no
cumplir con
responsabilidad.
Interrupción de
labores <1 día
Interrupción
de
actividades
de 1 día
Interrupción de
actividades de
más de un1 día
a 1 semana
Interrupción de
actividades de
1 semana a 1
mes
Multas a la
Entidad e
incremento de
costos en
prórrogas y
adiciones a
presupuestos.
Interrupción de
actividades de
más de 1
semana a 1
mes
Más de 6
meses
Daño severo,
implica baja
del activo
Cese de
labores por
más de 1mes
Sanciones
Legales.
Proceso
disciplinario
Cese de
labores
>1mes
Cuadro 6. Escalas de impacto.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 22 de 35
Para el análisis del impacto de la materialización de los riesgos de la categoría Corrupción, siempre
será calificado como MUY ALTO por la gravedad en los efectos que se generan.
VALORACION ANTES DE CONTROLES: Se establece de acuerdo al nivel de probabilidad e impacto
calificado para el riesgo, teniendo en cuenta la matriz de valoración del Gráfico 1 y las escalas
definidas en el Cuadro 7.
ZONA DE
RIESGO
INACEPTABLE
IMPORTANTE
TOLERABLE
ACEPTABLE
COLOR
DESCRIPCIÓN
Rojo
Naranja
Amarillo
Se requiere una acción inmediata
Se requiere una pronta atención
Se administra con procedimientos normales de control
Genera menores efectos que pueden ser fácilmente
Verde
remediados
Cuadro 7. Escalas de valoración
Gráfico 1. Matriz de valoración de riesgos
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
8.3
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 23 de 35
MEDIDAS DE MITIGACION
CONTROLES QUE SE REALIZAN ACTUALMENTE: En esta sección, se busca determinar y evaluar
las acciones que permiten reducir la probabilidad e impacto de la materialización de los riesgos.
Consiste en documentar los controles que en la actualidad se realizan con el fin de prevenir o mitigar
los efectos de posibles desviaciones en la actividad calificada como punto crítico de control.
Es necesario que los funcionarios que participan en el análisis de riesgos, tengan conocimiento de la
ejecución del proceso, así como de las herramientas informáticas utilizadas para el desarrollo de
actividades, la normativa que reglamenta la actividad, los documentos asociados, registros etc., que
se emplean para efectuar algún tipo de control.
Es importante revisar si los controles identificados están documentados (proceso, normativa, etc), si
se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Así mismo, es
necesario conservar los registros que evidencian la aplicación del control para el correspondiente
seguimiento. Algunos de estos controles pueden ser actividades incluidas en el mismo descriptor del
proceso en la descripción de actividades o ser actividades propias del mismo.
Así mismo, se debe tener en cuenta que los controles permiten prevenir la ocurrencia de eventos que
ponen en riesgo la adecuada ejecución de los procesos, y cuando esto no es posible, desarrollar un
plan de respaldo, o de contingencia.
Nota 9: Los controles deben tener relación directa con las causas generadoras del riesgo identificado.
Para ello es importante revisar que las actividades de control subsanen y/o prevengan los agentes
generadores del riesgo identificado. Así mismo, es importante considerar las acciones de manera
correctiva que se pueden adelantar para mitigar los efectos de un riesgo cuando se ha materializado.
El control es una ACTIVIDAD, por tanto debe iniciar con un verbo, seguido del sustantivo que tenga
que ver con el verbo utilizado, acompañado de la herramienta (si existe) que permite efectuar el
control.
X INCORRECTO
 CORRECTO
Informes
mensuales
que
incluyen Elaboración, seguimiento, revisión, o
vencimientos.
análisis de informes mensuales que
incluyen vencimientos.
Metodología de medición y análisis de Aplicación de la Metodología de medición
desempeño municipal.
y análisis de desempeño municipal en el
análisis de información.
Ejemplo 1: al escribir como control los Informes, estos por sí solos no efectúan el control en la
actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se
debería documentar allí seria: elaboración o seguimiento de informes mensuales que incluyen
vencimientos. Por tanto el control efectuado es la actividad sobre una herramienta, en este caso los
informes.
Ejemplo 2: Al documentar que la Metodología de medición y análisis de desempeño municipal es el
control, no se específica como se realiza el control o en que consiste, por ello, la metodología por sí
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 24 de 35
sola no efectúa el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar
el control, por tanto lo que se debería documentar allí sería: aplicación de la metodología de medición
y análisis de desempeño municipal en el análisis de información.
Es importante revisar que los controles documentados son actividades RECURRENTES o
PERIODICAS. Para el caso de un control relacionado con la realización de una capacitación, debe
evaluarse si dicha capacitación tiene una periodicidad, es recurrente o si está programada, de lo
contrario esta no podría considerarse como un control.
TIPO DE CONTROL: Existen dos tipos de controles, en cuanto al efecto sobre el riesgo:
• Preventivos: Son aquellas acciones encaminadas a eliminar las causas generadoras de un riesgo,
de tal manera que eviten o disminuyan su ocurrencia o materialización.
• Correctivos: Son aquellas acciones que permiten el restablecimiento de la actividad, después de ser
detectado un evento no deseable. A través de estos controles se puede cambiar o modificar las
acciones que propiciaron su ocurrencia y corregir los productos o servicios generados de la actividad
critica antes de ser suministrados al cliente.
Clases de control: Cada control identificado se selecciona de acuerdo a la siguiente clasificación:
CLASES DE CONTROL
Evaluación de desempeño
Generación de alarmas (Sistemas, Aplicativos)
Generación de informes de gestión o reportes
Indicadores de gestión: Procesos, Proyectos
Controles de Gestión
Monitoreo de riesgos
Seguimiento al cronograma, herramienta de gestión, bases de datos,
sistemas o aplicativos
Seguimiento al plan de acción de la dependencia
Validación de información por parte de un sistema o aplicativo
Controles Operativos
Aplicación de listas de chequeo, formatos
Aplicación de: lineamientos, Manuales, guías, procesos, instructivos,
(Internos y/o Externos)
Capacitación del personal
Validación de información por parte de una persona o comité (Conciliación,
revisión, comparación, inspección)
Verificación de firmas
Copias de seguridad, contingencias y respaldo
Custodia Apropiada
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 25 de 35
Envío de comunicaciones escritas informando o solicitando información
Generación de registros controlados
Niveles de autorización: Revisión jefes inmediatos, superiores
Pólizas
Realización de llamadas o visitas
Segregación de funciones
Solicitud o recepción de concepto, asesoría o acompañamiento de otras
dependencias
Uso de consecutivos
Control de términos
Controles Legales
8.3.1
Normas Claras y Aplicadas
Análisis Y Evaluación De Controles:
Cada uno de los controles es evaluado frente a criterios de probabilidad e impacto, generando una
valoración, tal como se explica a continuación;
UBICACIÓN: Se debe indicar el lugar en medio físico o magnético, donde se encuentran los soportes
de cumplimiento del control.
PONDERACION: Los controles definidos para un mismo riesgo son ponderados de acuerdo con su
grado de incidencia frente al riesgo identificado.
CRITERIOS PARA EVALUAR EL CONTROL FRENTE A LA PROBABILIDAD:
Se obtiene diligenciando el siguiente cuestionario, teniendo en cuenta las herramientas para ejercer
cada control y el seguimiento realizado, ver Cuadro 8.
PARÁMETROS
CRITERIOS
No.
HERRAMIENTAS
PARA EJERCER
EL CONTROL
1
2
PREGUNTA
OPCIONES DE RESPUESTAS Y PUNTAJES
La
Algunas
mayoría
veces
SI NO Parcialmente Siempre
de las
(muestra)
veces
¿Posee una
herramienta
20
para ejercer el
control?
¿Esta
sistematizada o
20
es una
aplicación?
No Aplica
0
0
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
PARÁMETROS
CRITERIOS
3
4
5
COMPETENCIA DE
QUIEN EJERCE EL
CONTROL
6
DOCUMENTACIÓN
DEL CONTROL
7
FRECUENCIA DE
APLICACIÓN DEL
CONTROL
8
¿Existen
manuales,
instructivos,
guías, etc. para 5
el manejo del
sistema o
aplicación?
¿Se ha
documentado
el mapa de
riesgos del
10
sistema o
aplicación
según el SGSI?
¿Están
definidos los
responsables
10
de la ejecución
del control?
¿Se ha
capacitado a
los
responsables
de ejercer el
10
control,
respecto a
cómo se debe
realizar?
¿Existen
manuales,
instructivos,
guías, etc. que
5
detalle cómo se
realiza las
actividades del
control?
¿El control se
aplica todas las
veces que se
realiza la
actividad crítica
(PCC)?
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 26 de 35
OPCIONES DE RESPUESTAS Y PUNTAJES
0
Redistribuy
e puntaje de
10 en las
preguntas 1
a 3 cuando
la respuesta
sea SI
0
0
5
0
0
20
10
5
Cuadro 8. Criterios para evaluar el control frente a la probabilidad
Cuando no existe una herramienta para ejercer el control, es decir la respuesta a la pregunta número
1 es NO, no se realizan las preguntas de la 2 a la 4 y se resta 55 puntos de la calificación total (100
puntos). Estos 55 puntos corresponden a 35 puntos que se obtendrían si la respuesta a las preguntas
2 a la 4 fuera afirmativa (SI), en caso de que hubiera herramienta, al no existir la herramienta no se
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 27 de 35
puntúa estos aspectos. Los otros 20 puntos que se restan, son aquellos que se otorgan cuando existe
una herramienta que permita efectuar el control. La puntuación de la probabilidad para cada control se
obtiene multiplicando el puntaje obtenido por la ponderación asignada.
Para realizar la valoración de los riesgos de la categoría de Corrupción, se adiciona la pregunta: ¿En
el tiempo que lleva implementada la herramienta ha demostrado ser efectiva?, la cual asigna una
puntuación adicional así, ver cuadro 9:
PARÁMETROS
CRITERIOS
OPCIONES DE RESPUESTAS Y PUNTAJES
SI
FRECUENCIA
DE
APLICACIÓN
DEL CONTROL
PREGUNTA
NO
Nunca ha ocurrido el
riesgo desde que se
implementa el control
La implementación del
control ha evitado la
ocurrencia del riesgo
en el último año
El riesgo aun ocurre
con frecuencia,
aunque en menor
medida a que si no
existiera el control
10
5
0
Cuadro 9. Criterio adicional para evaluar el control frente a la probabilidad para los riesgos de la
categoría de Corrupción.
Esta puntuación redistribuye los pesos de las calificaciones otorgadas en las 8 preguntas relacionadas
en el cuadro 8, disminuyendo 1 punto para cada pregunta de la 1 a la 8, a excepción de la pregunta 4,
en la cual se hace reducción de 3 puntos.
Nota 10: La pregunta número 9, se habilita únicamente para los riesgos de la categoría de Corrupción
y redistribuye los pesos porcentuales solo para estos riesgos.
CRITERIOS PARA EVALUAR EL CONTROL FRENTE AL IMPACTO:
Se obtiene diligenciando el siguiente cuestionario para el conjunto de controles, teniendo en cuenta la
mitigación de la materialización del riesgo bajo criterios de cubrimiento y administración, ver cuadro
10. Criterios para evaluar el conjunto de controles frente al impacto:
PARAMETROS
RESPUESTA PUNTAJE
CRITERIOS
PUNTAJE
¿Cubre todos
¿Cuenta con
SI
NO
Parcialmente
los efectos del
copias de
40
0
20
riesgo?
seguridad, pólizas
Sí
20
¿Se revisan y
de seguro, planes
mantienen
40
0
20
de respaldo o
actualizadas?
planes de
contingencia?
No
0
Cuadro 10. Criterios para evaluar el conjunto de controles frente al impacto
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 28 de 35
Nota 11: En caso que la respuesta sea “SI” es necesario especificar cuál mecanismo se cumple para
tal fin. Es importante resaltar que un plan de contingencia es todo tipo de actividad que se puede llevar
a cabo para minimizar el impacto del riesgo materializado.
La puntuación del impacto para el conjunto de controles se obtiene mediante la sumatoria de los
puntajes obtenidos. De no contar con copias de seguridad, pólizas de seguro, planes de respaldo o
planes de contingencia, se deshabilitan las preguntas relacionadas con los criterios y la calificación
asignada es cero.
8.3.2
Valoración De Riesgos Después De Controles (Riesgo Residual)
Utiliza la evaluación de los controles para reducir la probabilidad e impacto que se determinó en la
valoración del riesgo antes de controles. Determina el riesgo no cubierto por los controles
establecidos.

Reducción de la probabilidad
Al obtener el promedio de la evaluación de los controles respecto a la probabilidad, se determina el
número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información: ver
cuadro 11. Disminución de la probabilidad con la calificación del riesgo:
CALIFICACIÓN DE
CUADRANTES A DISMINUIR EN
CONTROLES
LA PROBABILIDAD
91-100
3 cuadrantes
76- 90
2 cuadrantes
51-75
1 cuadrantes
0-50
0 cuadrantes
Cuadro 11. Disminución de la probabilidad con la calificación del riesgo

Reducción del impacto
Al obtener la evaluación de los controles respecto al impacto, se determina el número de
cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información, ver cuadro 12.
Disminución de la probabilidad con la calificación del riesgo:
CALIFICACIÓN DE
CUADRANTES A DISMINUIR EN
CONTROLES
EL IMPACTO
91-100
2 cuadrantes
76- 90
1 cuadrante
0-75
0 cuadrantes
Cuadro 12. Disminución del impacto con la calificación del riesgo
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 29 de 35
Zona de riesgo: Se obtiene a partir del cruce entre la probabilidad e impacto, determinada por el
número de cuadrantes a disminuir, luego de la valoración de los controles.
Priorización de riesgos
Al obtener la valoración de los riesgos después de controles, se define cuáles requieren acciones
inmediatas.
Con el fin de determinar cuantitativamente la priorización de riesgos, se asociaron valores numéricos a
cada una de las escalas de probabilidad y ocurrencia definidas, de la siguiente manera:
VALOR
5
4
3
2
1
PROBABILIDAD
Frecuente
Ocasional
Probable
Poco probable
Remota
VALOR
5
4
3
2
1
IMPACTO
Muy alto
Alto
Moderado
Bajo
Muy bajo
La multiplicación entre estos valores genera la siguiente calificación:
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 30 de 35
Asignando las prioridades en orden decreciente con la calificación se obtiene:
Prioridades de cuadrantes con la calificación en la valoración de riesgos después de
controles.
Priorizando el impacto en calificaciones iguales, se organizan así:
Prioridades de cuadrantes para calificaciones iguales en la valoración de riesgos después
de controles”.
Al aplicar el semáforo de zonas de riesgo se obtiene el orden de las prioridades para el tratamiento,
pasando de la zona inaceptable a aceptable – rojo a naranja respectivamente -.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 31 de 35
Prioridades de cuadrantes para zonas de riesgo en la matriz de valoración de riesgos
después de controles”
ADMINISTRACION DEL RIESGO
Una vez realizado la priorización de riesgos y la evaluación de controles obteniendo el riesgo residual
se debe identificar la opción para el tratamiento de estos riesgos de acuerdo a lo descrito en el
numeral 5.3 de este lineamiento.
8.4
SEGUIMIENTO
En cumplimiento a la política de administración del riesgo todos los riesgos cuya valoración después
de controles se encuentre en nivel: inaceptable o importante o para los riesgos de corrupción, se debe
formular una acción orientada a la mitigación de dichos riesgos; dando cumplimiento al “Lineamiento
para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora – AP-L01” (el
cual hace parte del Macroproceso: Mejora Continua). Una vez formulada la acción y registrada en el
Balance de acciones, el código correspondiente debe ser registrado en el campo ACCIONES.
De igual forma se debe registrar:
 Responsable (indicando el cargo correspondiente) de la administración de cada una de los
riesgos identificados para el proceso (es el encargado de implementar los controles, verificar
su seguimiento, efectividad y proponer cambios).
 Mecanismo de seguimiento, necesario para identificar y/o monitorear la materialización de
riesgos, tales como: auditorías internas, herramienta de seguimiento del proceso (siempre y
cuando aplique para esta verificación), implementación de las acciones para la administración
de riesgos, indicador de gestión del proceso (siempre y cuando aplique para esta verificación),
revisión del mapa de riesgos (autocontrol por parte de la autoridad o líder del proceso).
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
9
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 32 de 35
MATRICES DE LOS MAPAS DE RIESGO
Las matrices de los mapas de riesgo documentados serán publicadas por el Grupo de Planeación una
vez recibida la aprobación correspondiente.
Mapa de riesgos institucional
Contiene el consolidado de los riesgos a los cuales están expuestos los procesos de la Entidad,
permitiendo conocer la aplicación de las Políticas Institucionales de Tratamiento de Riesgos
Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se
elabora con la información de todos los mapas de riesgos documentados para los procesos y se
ajusta con la actualización de los mismos a medida que se requiera a través del formato F-GP-11
Mapa de riesgos institucional, el cual se publica en la Intranet de la Entidad como parte del campo:
MECI, en el elemento: Administración de Riesgos, del módulo: Control de Planeación y Gestión.
Mapa de riesgos de corrupción
Contiene la consolidación de los riesgos de la categoría Corrupción a los cuales están expuestos los
procesos de la Entidad, permitiendo conocer la aplicación de las Políticas Institucionales de
Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas.
Este documento se ajusta con la actualización que se derive luego de las revisiones realizadas a estos
riesgos en el marco del seguimiento descrito en el capítulo 6 de este documento, los cuales atienden
los dispuesto por la Presidencia de la Republica en el documento “Estrategias para la construcción del
plan anticorrupción y atención al ciudadano”.
Este consolidado se publica en la Intranet como parte del MECI y en la página Web de la Entidad
(DNP/Gestión/Planeación Estratégica Institucional) a través del formato F-GP-35 Consolidación
riesgos de corrupción.
10 PRODUCTO O SERVICIO NO CONFORME
La no conformidad que se presenta en un producto o servicio prestado por el DNP, está directamente
asociada con la materialización de los riesgos identificados para el proceso misional que genera el
producto o servicio. Por esta razón se ha identificado, para todos los productos y/o servicios del DNP
una matriz de productos y/o servicio, en la cual están definidos las variables y atributos que deben
cumplir los productos y servicios generados por el DNP en cada uno de los procesos. Esta matriz
establece además, el responsable del producto y/o servicio (según actividad descrita en el proceso) y
a quien va dirigido, es decir, los clientes (según actividad descrita en el proceso).
10.1 Identificación de producto no conforme
La identificación de productos no conformes se realiza de acuerdo con el esquema presentado a
continuación. El Gráfico 2 representa las etapas más relevantes del tratamiento del producto no
conforme, el cual esta descrito al detalle en el documento “Lineamiento para el control y tratamiento
de productos y/o servicios no conformes del DNP” (AR-L01), el cual hace parte del Macroproceso:
Gestión de Calidad.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 33 de 35
10.2 Tratamiento del producto no conforme
Antes de la materialización de un riesgo que pueda incidir en la conformidad de un producto y/o
servicio, se deben identificar las actividades de corrección que se van a ejecutar en caso tal que al
materializarse un riesgo se obtenga un producto y/o servicio no conforme. Esta identificación de
actividades o acciones de corrección se realiza únicamente para los productos y/o servicios (finales e
intermedios, de acuerdo con el PCC) de los procesos misionales contenidos en los macroproceso de:
Planeación de Mediano y Largo Plazo, Finanzas Públicas, Gestión y Coordinación, Monitoreo al SGR
y Seguimiento control y evaluación de PPPP.
Una vez se haya identificado la materialización de un riesgo que como consecuencia genere un
producto y/o servicio no conforme, se identifican las acciones posteriores a la materialización del
riesgo en la “Matriz de producto o servicio no conforme” con su respectivo registro de acciones
tomadas posteriormente.
Nota 12: Para asegurar el tratamiento completo, se debe diligenciar la Matriz de Producto o Servicio
No Conforme, relacionando todos los riesgos del proceso misional, identificados en los diferentes PCC
del mismo, teniendo en cuenta que el tratamiento del producto y/o servicio no conforme se debe
realizar tanto sobre el producto y/o servicio final como parcial.
Gráfico 2. Etapas relevantes del tratamiento del producto no conforme
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 34 de 35
10.2.1 Estructura la Matriz de Producto No Conforme
El tratamiento de producto o servicio no conforme se encuentra en la “Matriz de Producto o
servicio No Conforme” cuyos campos se describen a continuación:
Punto Crítico de Control: Se incluye la actividad del proceso definida como punto crítico de
control asociado al riesgo que puede generar el producto o servicio no conforme.
Producto y/o Servicio Actividad PCC: Se identifica el resultado de la actividad señalada en el
proceso como crítica, en la cual la materialización de alguno de los riesgos, provoque la no
conformidad.
Responsable de la Liberación del Producto: persona que autoriza la entrega del producto al
cliente (Según actividad descrita en el proceso).
Cliente Actividad: se indica la organización, entidad o persona que recibe el producto y/o
servicio (Según actividad descrita en el proceso).
Riesgo Asociado: relaciona el riesgo identificado en el proceso.
Incidencia del producto y/o servicio no conforme: Señala la relación directa del riesgo
identificado en el proceso en cuanto a su incidencia en el producto o servicio generado por el
proceso o su objetivo.
Acción: se enumeran las acciones que se van a ejecutar, cuando se identifique la
materialización del riesgo, para garantizar que el productos o servicio generado por la actividad
sea conforme respecto a las variables y atributos que debe cumplir.
Responsable de la ejecución: Se indica el cargo del funcionario que debe ejecutar la acción
planteada como tratamiento de producto o servicio no conforme, cuando este se materialice.
Registro: documenta la posible forma de evidenciar acción tomada posteriormente, ejemplo:
comunicación escrita dirigida a la entidad que genera la información, solicitando la aclaración de
datos que presenten inconsistencias.
11 CONTROL DE CAMBIOS DE
ADMINISTRACIÓN DE RIESGOS
LOS
DOCUMENTOS
RELACIONADOS
CON
LA
El cambio de versión en un mapa de riesgos por proceso, se realiza de acuerdo con el documento:
“Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” (DSL01), el cual hace parte del Macroproceso: Gestión de Calidad. La actualización que se realice a los
Mapas de Riesgos de los procesos, debe contemplar la actualización inmediata del Mapa de Riesgos
Institucional y el Mapa de Riesgos de corrupción en caso que aplique.
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
LINEAMIENTO PARA LA ADMINISTRACIÓN DE
RIESGOS EN LOS PROCESOS DEL DNP
CÓDIGO: AR-L02
VERSIÓN: 6
PAGINA: 35 de 35
En el caso específico del mapa de riesgos de corrupción, se llevará un control de los cambios y las
versiones de este documento, teniendo en cuenta los cambios que surjan de las revisiones que se
deben realizar con plazo: 30 de abril, 30 de agosto y 31 de diciembre.,
Fecha aprobación: 21 de Enero de 2016
Revisó:
______________________________
Karol Mayerly Rodriguez Cabrera
Coordinadora Grupo de Planeación
Aprobó:
______________________________
Edgar Antonio Gomez Álvarez
Secretario General
Representante de la Alta Dirección
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
Descargar