Documente Academic
Documente Profesional
Documente Cultură
Esta guía es la base para la gestión integral del riesgo en el Departamento Para la
Prosperidad Social, igualmente podrá ser utilizado en otras entidades del sector de la
inclusión social y la reconciliación u otras entidades que decidan adoptar este modelo.
2. DEFINICIONES
Nota 1: En este modelo, el término “riesgo” es un número o una expresión cualitativa o cuantitativa
que expresa una magnitud o efecto; por tal motivo una expresión como “pérdida de la información
contenida en un Servidor” no es un Riesgo sino un Evento.
Nota 2: La norma ISO 31000:2009 define Riesgo como “Efecto de la incertidumbre sobre los
objetivos”, lo cual representa la misma definición anterior, dado que el “efecto de la incertidumbre”
tiene una magnitud (alta, media o baja) frente la mayor o menor capacidad de lograr los objetivos.
1
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Control: Actividad, recurso, actuación o dispositivo que se usa para cumplir con
una función.
Límite de aceptación del riesgo: Es la cuantía del riesgo a partir del cual el
mismo se define inaceptable.
Riesgo aceptable: Valor del riesgo en el cual se considera que los controles
existentes son apropiados y por lo tanto no se requiere de una mayor intervención.
Riesgo inaceptable: Valor del riesgo en el cual se considera que los controles
existentes no son suficientes y por lo tanto debería emprenderse alguna acción de
tratamiento del riesgo.
Nota 3: Pueden existir varios niveles de riesgo residual, tantos como controles adicionales se
apliquen en las actividades de tratamiento de riesgo.
Nota 4: En general las medidas para modificar el riesgo se reducen a modificar la probabilidad de
ocurrencia o sus consecuencias probables o una combinación de ambas.
2
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
3
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
3. METODOLOGÍA GENERAL
4
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Tipo de Riesgo:
Proceso:
AMENAZAS Y EVENTOS
OBJETIVOS (Situaciones
ESTRATÉGICOS potenciales que tienen CAUSAS (Agentes EFECTOS (Resultado
RELACIONADOS potencial de impedir o generadores) real o potencial)
CON EL TIPO DE dificultar el logro de los
RIESGO Objetivos)
5
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Tipo de Riesgo:
Proceso
Analizado:
EVENTOS (Situaciones
potenciales que tienen potencial
ACTIVIDADES CAUSAS (Agentes EFECTOS (Resultado real o
de impedir o dificultar la correcta
DEL PROCESO * generadores) potencial)
ejecución de la actividad
analizada)
Para efectos de realizar un análisis adecuado, cuando las tipologías de riesgo sean
la gestión ambiental, gestión de seguridad y salud en el Trabajo y la seguridad de
la información, deben considerarse actividades rutinarias y no rutinarias y en
ambos casos considerar condiciones de operación normal, anormal y de
emergencia para determinar los Eventos respectivos
6
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
El Modelo Estándar de Control Interno define este elemento como “Elemento de Control,
que permite establecer la probabilidad de ocurrencia de los eventos positivo y/o negativos y
el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la
capacidad de la Entidad Pública para su aceptación y manejo.”
Para efectos de hacer la estimación del riesgo, se emplean las siguientes tablas para la
determinación de la Probabilidad y la Consecuencia, empleando la metodología Semi-
Cuantitativa descrita en la norma NTC 5254:2006.
7
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Para efectos de la actividad de Identificación de Riesgos, bajo esta tipología, los “Eventos”
se denominan “Aspectos Ambientales” y los “Efectos” se denominan “Impactos
Ambientales”, según se ha definido en la norma ISO 14001:2004.
8
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Para efectos de la actividad de Identificación de Riesgos, bajo esta tipología, los “Eventos”
se denominan “Peligros”, según se ha definido en la norma OHSAS 18001:2007.
Baja, los efectos causados podrían generar lesiones leves (no incapacitantes)
2
o daños leves a la infraestructura (que no requieren de intervención mecánica)
Media, los efectos causados podrían causar lesiones con incapacidad menor a
3
tres días o daños a la infraestructura que generan sobrecostos a la entidad
Alta, los efectos causados pueden llevar a lesiones con incapacidad mayor a 3
4
días y menor a 30 días o deterioro medio de la imagen institucional
Muy Alta, los efectos causados podrían estar asociados con la muerte, lesiones
5 permanentes, incapacidad permanente o deterioro grave a la imagen
institucional
9
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
10
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
En este tipo de riesgos, se busca identificar un conjunto sistemático de eventos que por sus
características, pueden originar prácticas corruptas en la Entidad.
La evaluación del Riesgo de Corrupción en todos los casos debe llevar a estrategias
de prevención de la corrupción.
11
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
El Modelo Estándar de Control Interno, define la valoración del riesgo como el “Elemento de Control,
que determina el nivel o grado de exposición de la Entidad Pública a los impactos del riesgo,
permitiendo estimar las prioridades para su tratamiento”, así mismo define las Políticas de
Administración del Riesgo como “Elemento de Control, que permite estructurar criterios orientadores
en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la Entidad
Pública”.
El Riesgo, resulta de multiplicar las variables de “Probabilidad” y “Consecuencia”, por tal motivo se
puede observar que, según las tablas anteriormente expuestas, el máximo valor de Riesgo es 25.
Para el DPS y a manera de sugerencia para otras entidades, se emplea la siguiente tabla:
VALOR OBTENIDO
VALORACIÓN DEL RIESGO (CRITERIO DE ACEPTABILIDAD)
DE RIESGO
Riesgo aceptable, no se requiere tomar más acciones por cuanto las
1 – 12 actuales son suficientes para mantener bajo control la actividad, el
objetivo o el activo.
Riesgo inaceptable, se requiere tomar acciones adicionales a las
actuales, las cuales deberían estar orientadas a disminuir la probabilidad
13 – 20 o la consecuencia o ambas, teniendo como orden de prioridad lo
siguiente: Evitar, Sustituir, disminuir la probabilidad, disminuir la
consecuencia, transferir.
Riesgo crítico, además del establecimiento de acciones de mitigación, el
21 – 25 tema debe ser abordado por la Alta Dirección.
12
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
3.4. Tablas para el esquema completo de gestión del Riesgo por cada Tipología
Tipo de Riesgo:
Proceso:
EVENTOS
OBJETIVOS (Situaciones
ESTRATÉGICOS potenciales que CAUSAS EFECTOS
PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN ACCIONES PARA
RELACIONADOS tienen potencial (Agentes (Resultado real o
CON EL TIPO DE (P) (C) (P*C) DEL RIESGO MITIGAR
de impedir o generadores) potencial)
RIESGO dificultar el logro
de los Objetivos)
Tipo de Riesgo:
Proceso:
EVENTOS
(Situaciones
potenciales que
tienen potencial
de impedir o
CAUSAS EFECTOS
ACTIVIDAD / dificultar la PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN ACCIONES PARA
(Agentes (Resultado real o
ACTIVO correcta (P) (C) (P*C) DEL RIESGO MITIGAR
generadores) potencial)
ejecución de la
actividad
analizada o
afectar al Activo
analizado)
13
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
14
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
15
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
16
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
17
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
18
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
19
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
20
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
21
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
De Información y Documentación
De Investigación y Sanción.
Fallos amañados.
Dilatación de los procesos con el propósito de obtener el vencimiento
de términos o la prescripción del mismo.
Desconocimiento de la ley, mediante interpretaciones subjetivas de
las normas vigentes para evitar o postergar su aplicación.
Exceder las facultades legales en los fallos.
Soborno (Cohecho).
De Actividades Regulatorias.
Decisiones ajustadas a intereses particulares.
Tráfico de influencias, (amiguismo, persona influyente).
Soborno (Cohecho).
22
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
23
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
El Plan de Manejo del Riesgo se basa en la ejecución de las tareas definidas como “Acciones para
Mitigar” definidas en las tablas de identificación de riesgos. Para tal fin deben establecerse los
responsables de éstas y fijar fechas para su implementación. Los responsables también deben velar
por el cumplimiento en el desarrollo e implementación de las tareas propuestas.
Tipo de Riesgo:
Proceso:
PLAN DE MANEJO DEL RIESGO SEGUIMIENTO 1 SEGUIMIENTO 2
ACCIONES FECHA DE
EVENTO RESPONSABLES* FECHA RESULTADOS FECHA RESULTADOS
PARA MITIGAR CULMINACIÓN
*Se incluyen aquí dependencias internas así como personas naturales o jurídicas externas
(operadores, contratistas, aliados, etc.) cuando sea pertinente.
A partir del cuadro anterior y previo a la aprobación del mismo, se debe evaluar si las “Acciones
para Mitigar” no generan eventos con riesgos inaceptables para la operación (Calidad), el
ambiente, la Seguridad y Salud en el Trabajo, la Seguridad de la Información y la prevención de
la Corrupción.
Para lograr esto, es necesario que se evalúen estas “Acciones para Mitigar” y las acciones
correctivas y preventivas de manera independiente en el siguiente cuadro replicado para
Calidad, Ambiental, SST, SI y Prevención de la Corrupción:
24
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Tipo de Riesgo:
Proceso:
EVENTOS
(Situaciones
potenciales que
tienen potencial
DECISIÓN (Se
ACCIONES de impedir o
CAUSAS EFECTOS mantiene el control,
PARA MITIGAR / dificultar la PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN
(Agentes (Resultado real o se cambia por otro,
ACCIONES DE correcta (P) (C) (P*C) DEL RIESGO
generadores) potencial) se adicionan
MEJORA ejecución de la
controles adicionales)
actividad
analizada o
afectar al Activo
analizado)
Se repite el análisis por cada eje (Calidad, Ambiental, SST, SI y Prevención de la Corrupción).
Si el Riesgo resulta aceptable, se mantiene el control o la acción correctiva o preventiva (queda validado).
Si el Riesgo llegare a resultar Inaceptable o Crítico, se debe decidir sobre alguna de las siguientes opciones para validar
los controles (Acciones para Mitigar, Acciones Correctivas o Preventivas):
a) Cambiar la “Acción para mitigar”, la acción correctiva o la acción preventiva por otra cuyo Riesgo resulte aceptable,
para lo cual se debe repetir el análisis, o
b) Adicionar otras “Acciones para mitigar”, acciones correctivas o acciones preventivas a las inicialmente definidas,
para que estas últimas controlen los nuevos riesgos generados.
25
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Una vez elaborados los Planes de Manejo del Riesgo, cada dependencia líder del proceso debe
realizar una difusión de las actividades hacia otras dependencias involucradas; así mismo, debe
comunicar a los Supervisores de Contratos y Convenios la información referente a las
obligaciones de los contratistas y ejecutores (entidad ejecutante del convenio o similar) frente a
los procedimientos a seguir y requisitos que deben cumplir frente a los eventos, aspectos o
peligros significativos según sea el caso, sin perjuicio de su obligación de cumplimiento legal.
El monitoreo debe realizarse mínimo dos veces por año y debe estar a cargo de los
responsables de los procesos que hayan hecho el análisis y los respectivos Enlaces
GAC. Su finalidad es la de sugerir y aplicar los correctivos y ajustes necesarios para
asegurar un efectivo manejo del riesgo; sin embargo, las matrices de riesgos deben ser
revisadas como mínimo trimestralmente en cada proceso y consecuentemente se deben
actualizar los Planes de Manejo del Riesgo, acumulando las acciones que estén
propuestas de análisis previos. Las matrices y Planes de Manejo del Riesgo se deben
remitir actualizadas vía correo electrónico a gestionintegral@dps.gov.co trimestralmente
o cada vez que se actualicen.
26
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
Otras referencias:
27
Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO
Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
CONTROL DE CAMBIOS
Razón del Cambio Versión Fecha de
Actualización
Se modifica el punto 3.2.8 relacionado con la
evaluación de los riesgos de corrupción conforme a las
directrices dadas en el documento “Estrategias para la
19/04/2013
construcción del Plan Anticorrupción y de Atención al 02
Ciudadano” de la Secretaría de Transparencia de la
Presidencia de la República, de diciembre de 2012
28