Metodologia Sistema Admon Riesgos

8/18/2019 Metodologia Sistema Admon Riesgos

1/54

ORDEN ADMINISTRATIVA Nº 000014 de diciembre 14 de 2009

ANEXO 2

METODOLOGÍA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOSOPERACIONALES

Versión 2.0

DIRECCIÓN DE IMPUESTOS Y ADUANAS NACIONALESDIRECCIÓN DE GESTIÒN ORGANIZACIONAL

SUBDIRECCIÓN DE GESTIÓN DE PROCESOS Y COMPETENCIAS LABORALES

COORDINACIÒN DE LA DINÀMICA DE LOS PROCESOS


2/54


ANEXO 2

INDICE

INTRODUCCIÓN .................................................................................................... 4

1. MARCO CONCEPTUAL ............................................................................ 5

2. METODOLOGÍA PARA EL DESARROLLO DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES ............................ 6

2.1. ALCANCE Y DEFINICIÓN METODOLÓGICA ___________________________6

2.2. ESTRUCTURA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS________7

2.2.1. Estructura de Dirección y Responsabilidad................................................................................ 8

2.2.2. Marco para la administración del riesgo..................................................................................... 8 2.2.3. Implementación de la Administración del Riesgo...................................................................... 9 2.2.3.1. Valoración de Riesgos......................................................................................................... 9 2.2.3.2. Tratamiento de Riesgos .................................................................................................... 10 2.2.3.3. Monitoreo de Riesgos........................................................................................................ 11 2.2.4. Seguimiento y Revisión al Sistema de Administración de Riesgos...................................... 11 2.2.5. Mejoramiento Continuo del Sistema ......................................................................................... 11

3. DESARROLLO DE LA METODOLOGÍA ................................................ 11

3.1. DEFINICIÓN DE LA ESTRUCTURA DE DIRECCIÓN Y RESPONSABILIDADDEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES ___11

3.2. DISEÑO DEL MARCO PARA LA ADMINISTRACIÓN DEL SISTEMA DERIESGOS OPERACIONALES ______________________________________12

3.2.1. Contextos en la DIAN.................................................................................................................. 12

3.2.1.1. Contexto Estratégico ......................................................................................................... 12 3.2.1.2. Contexto Organizacional ................................................................................................... 13 3.2.1.3. Contexto de Riesgos ......................................................................................................... 14 3.2.2. Principios Rectores del Sistema ................................................................................................ 15 3.2.3. Objetivos del Sistema.................................................................................................................. 16 3.2.4. Políticas de administración de riesgos ...................................................................................... 16


3/54


ANEXO 2

3.2.6.3. Formato 1367 Acciones Correctivas y Preventivas .......................................................... 18 3.2.6.4. Formato 1146 Identificación o Modificación de Riesgos Operacionales .......................... 18

3.3. IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOSOPERACIONALES_______________________________________________19

3.3.1. Identificación de Riesgos............................................................................................................ 19 3.3.1.1. Antecedentes..................................................................................................................... 19 3.3.1.2. Consolidación de la información e identificación final de los riesgos ............................... 20 3.3.1.3. Modificación de riesgos e identificación de nuevos eventos de riesgo............................. 21 3.3.2. Análisis de Riesgos...................................................................................................................... 21 3.3.2.1. Medición del Riesgo puro, absoluto o inherente............................................................... 22 3.3.2.2. Ejemplo Medición del Riesgo Inherente para el Mapa de Riesgo Institucional ................ 23 3.3.3. Evaluación de Riesgos ................................................................................................................ 26

3.3.3.1.

Eficiencia de los Controles ................................................................................................ 27

3.3.3.2. Mapa de Riesgos Residuales............................................................................................ 28 3.3.3.3. Ejemplo Medición del Riesgo Residual para el Mapa de Riesgo Institucional ................. 28 3.3.4. Tratamiento de Riesgos .............................................................................................................. 31 3.3.5. Monitoreo de Riesgos.................................................................................................................. 32 3.3.5.1. Reporte de Eventos de Riesgos Operacionales Materializados....................................... 32 3.3.5.2. Seguimiento al Nivel de Severidad de los Eventos de Riesgo Operacionales................. 33 3.3.5.3. Medición de Indicadores del Sistema de Administración de Riesgos Operacionales ...... 33

3.3.5.4.

Seguimiento a la ejecución de los planes de mejoramiento ............................................. 34

3.4. SEGUIMIENTO Y REVISIÓN DEL SISTEMA DE ADMINISTRACIÓN DERIESGOS OPERACIONALES ______________________________________34

3.5. MEJORAMIENTO CONTINUO DEL SISTEMA _________________________35

Anexo 1: Clas ificaciones de Riesgo .................................................................. 36

Anexo 2: Tabla de Riesgos Insti tucionales ....................................................... 37

Anexo 3: Tabla de medición del impac to .......................................................... 41

Anexo 4: Tabla de medición de la probabilidad ............................................... 43

Anexo 5: Mapa de Riesgos ................................................................................. 44

Anexo 6: Evaluación de Controles 45


4/54


ANEXO 2

INTRODUCCIÓN

Durante los últimos años la Dirección de Impuestos y Aduanas Nacionales, DIAN, hadedicado recursos y especial atención a la identificación de los principales riesgosoperacionales que pueden surgir en su operación. Atendiendo las orientacionesconsagradas en la normatividad nacional en materia de calidad y control interno en laGestión Pública, la entidad ha intensificado sus esfuerzos a fin de contar con un Sistemaidóneo de ADMINISTRACIÓN DE RIESGOS OPERACIONALES para enfrentar demanera solvente las contingencias que pudieran comprometer el logro de sus objetivosinstitucionales.

El presente documento contiene la metodología en la que se apoya la DIAN, para eldiseño, implementación, mantenimiento y gestión de su Sistema de Administración deRiesgos Operacionales. Este Sistema es resultado de un trabajo multidisciplinario y deamplia participación, adelantado al interior de la entidad con la colaboración de losfuncionarios que intervienen en los diversos procesos institucionales, liderado por unGrupo de Gestores de Riesgo y acompañados por un equipo de consultores externos, conexperiencia en el diseño e implementación de Sistemas de gestión de riesgoscorporativos.

El documento está estructurado en tres secciones. En la primera de ellas se presenta demanera sencilla un marco conceptual acerca de lo que puede entenderse por Sistema de Administración de Riesgos Operacionales y la pertinencia de su aplicación en la DIAN; enla segunda, se describen brevemente los principales elementos o etapas que conformanla gestión del riesgo. Por último, la sección tres presenta la metodología para el desarrollodel Sistema de riesgos operacionales en la DIAN, la cual incluye, la definición de laestructura de dirección y responsabilidad, el diseño del marco para la administración delriesgo, la implementación de las etapas de la administración del riesgo, el seguimiento y

revisión del Sistema y el Mejoramiento continuo del Sistema.


5/54


ANEXO 2

1. MARCO CONCEPTUAL

Se entiende por riesgo “toda posibilidad de ocurrencia de aquella situación que puedaentorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de susobjetivos” 1 y/o como el efecto de incertidumbre sobre los objetivos2.

En la DIAN se entiende como riesgo operacional todo evento adverso que se presente opueda presentarse en el desarrollo y/o ejecución de los procesos de la Entidad que esté ono bajo el control de la misma y pueda afectar en alguna medida el logro de los objetivosinstitucionales. Los riesgos operacionales se clasifican de acuerdo con las categoríasestablecidas en el Anexo 1: Clasificaciones de Riesgo 3.

La administración de riesgos, por su parte, “es el término aplicado a un método lógico ysistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear ycomunicar los riesgos asociados con una actividad, función o proceso de una forma quepermita a las organizaciones minimizar pérdidas y maximizar oportunidades.”4

Se trata de una herramienta de gestión, liderada desde la alta dirección de lasorganizaciones, incorporada en la definición de sus estrategias básicas e igualmenteaplicables en ámbitos más específicos de las instituciones.

El análisis de riesgos operacionales está diseñado para identificar eventos potencialesque puedan afectar a la organización, gestionarlos y brindar una seguridad razonablesobre la consecución de los objetivos de la entidad.

Las entidades de la administración pública no pueden ser ajenas a la materialización deeventos de riesgo y deben prepararse para gestionarlos adecuadamente, partiendo de labase de su razón de ser y su compromiso con la sociedad; por esto se debe tener encuenta que los riesgos no sólo son de carácter económico y están directamenterelacionados con entidades financieras o con lo que se ha denominado riesgosprofesionales sino que hacen parte de cualquier gestión que se realice 5.

1 Departamento Administrativo de la Función Pública. Guía Administración del Riesgo. Segunda edición. Colombia 2004.


6/54


ANEXO 2

Por supuesto, la DIAN, al igual que todas las organizaciones de carácter público, seencuentra permanentemente expuesta a estos eventos de riesgo, y por ello es necesariocrear mecanismos efectivos de control que permitan reducir la vulnerabilidad de laorganización ante los mismos, es decir, que la entidad debe realizar las accionesnecesarias, viables y efectivas con el objetivo de prevenir la ocurrencia o minimizar elimpacto de los eventos que puedan afectar el logro de sus objetivos y la adecuada gestión

de los procesos.La presencia latente de múltiples riesgos en torno a la gestión de la DIAN podría poner enpeligro la seguridad fiscal del Estado colombiano y el orden público económico nacional,si no se cuenta con un adecuado manejo de estas contingencias. La DIAN es una entidadde gran importancia en la sociedad colombiana en tanto que su misión permite recaudarla mayor parte de los ingresos corrientes de la nación y, por ello, un principio básico deresponsabilidad social exige que la administración tributaria cuente con un Sistema que lepermita hacer frente a eventos riesgosos sin afectar de manera sustancial sus objetivosfundamentales.

El Sistema de Administración de Riesgos Operacionales debe incorporarse en el diseñode la planeación estratégica institucional, al igual que en la formulación de losinstrumentos de planeación de periodicidad anual. Este Sistema debe constituir unproceso continuo de periódica actualización.

Esta clase de herramientas se emplea tanto para gestionar los riesgos en el conjunto de

la entidad como también en los distintos niveles que la integran. Consecuentemente, serequiere que el Sistema de Administración de Riesgos Operacionales de la entidad seaconocido por los funcionarios en todos los niveles de la organización.

2. METODOLOGÍA PARA EL DESARROLLO DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES

La metodología para el desarrollo del Sistema de Administración de RiesgosOperacionales en la DIAN, está soportada en la Norma Técnica Colombiana NTC 5254editada por el Instituto Colombiano de Normas Técnicas y Certificación y el EstándarInternacional ISO 31000 “Risk management Principles and guidelines” emitido por elOrganismo Internacional de Estandarización.


7/54


ANEXO 2

proceso de administración de riesgos involucrando el establecimiento del contexto y laidentificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso delos riesgos.

El Estándar Internacional ISO 31000 “Risk Management Principles and Guidelines”emitido por el Organismo Internacional de Estandarización, proporciona una guía para la

implementación de un Sistema de Administración de Riesgos que conciba no solo laimplementación de las etapas del proceso de administración de riesgos sino que permitaestablecer su estructura, el marco de gestión, elementos para su seguimiento, revisión ymejoramiento.

2.2. ESTRUCTURA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS

El Sistema de Administración de Riesgos Operacionales de la DIAN se estructura deacuerdo con las siguientes etapas:

1. Estructura de Dirección y Responsabilidad

2. Marco para la Administración del Riesgo

3. Implementación de la Administración del Riesgo: que contiene:

3.1 Valoración: involucra la identificación, análisis y evaluación de los riesgos.3.2 Tratamiento: Define los planes de mejoramiento

3.3 Monitoreo del Riesgo: Refleja las actividades de seguimiento y revisiónaplicables al Sistema para validar su conformidad.

4. Seguimiento y Revisión del Sistema de Administración de Riesgos Operacionales

5. Mejoramiento Continuo del Sistema

En el siguiente esquema se representa la estructura del Sistema de Administración deRiesgos Operacionales de la DIAN:


8/54


ANEXO 2

1. Definició n de la Estructu ra deDirección y Respon sabilidad

2. Diseño del marco p ara laadministración d el riesgo

3. Implementación de laadministración d el riesgo

4. Seguimiento y Revisión delSistema

5. Mejoramiento Continuo delSistema

3.1.1. Identificación de Riesgos

3.1.2. Análisis de Riesgos

3.1.3. Evaluación de Riesgos

3.1 Valoración de Riesgos

3.2. Tratamiento de Riesgo s

3.3. Monitoreo de Riesgos

2.2.1. Estructura de Dirección y Responsabilidad

El primer elemento requerido para la implantación del Sistema de Administración deRiesgos Operacionales y que asegura en gran medida su efectividad es la definición delas responsabilidades desde la Dirección General hacia todos los niveles que se veaninvolucrados en dicha gestión.

En esta etapa igualmente deben ser definidos algunos elementos como la política deadministración de riesgos y los indicadores de desempeño del Sistema asegurándose delcumplimiento normativo.

2.2.2. Marco para la administ ración del riesgo

El segundo elemento involucra el entendimiento del entorno en el cual se desarrolla elobjeto social de la Entidad, la adopción de la política de administración de riesgos y ladefinición de los elementos y criterios requeridos para la implantación del Sistema talescomo los recursos, integración con los procesos y mecanismos de medición, monitoreo yreporte.


9/54


ANEXO 2

2.2.3. Implementación de la Administración del Riesgo

En esta etapa se establecen las fases de implementación del Sistema de Administraciónde Riesgos Operacionales, así como las herramientas que deben ser utilizadas para suejecución. Se divide en la Valoración, tratamiento y monitoreo de riesgos.

2.2.3.1. Valoración de Riesgos

2.2.3.1.1. Identificación de Riesgos

El primer elemento de la valoración de los riesgos operacionales corresponde a laidentificación, en esta fase se busca identificar todos los riesgos que estén o no bajo elcontrol de la organización y que puedan afectar en alguna medida el logro de los objetivos

corporativos. La identificación de los riesgos posibilita definir las causas y los efectos desituaciones que pueden afectar el logro de los objetivos institucionales enmarcados en laestructura de dirección y responsabilidad definida y en el marco para la administración delriesgo. Este trabajo se realiza utilizando diferentes fuentes de información peroprincipalmente con la participación de los empleados públicos que día a día gestionan losprocesos en calidad de expertos.

Para la identificación de riesgos pueden utilizarse varias herramientas y técnicas, comoson: análisis de flujos y procesos, juicios basados en la experiencia, lluvia de ideas, listasde chequeo, etc., lo importante es que estas herramientas permitan determinar la lista deeventos que podrían afectar a la organización en la consecución de sus principalesobjetivos y en el desarrollo de sus procesos.

La información generada de la ejecución de esta etapa debe ser documentada en lamatriz de riesgo que la Entidad haya definido para este fin.

2.2.3.1.2. Análisis de Riesgos

Una vez identificados los riesgos, se avanza a la siguiente fase que consiste enestablecer la frecuencia o la probabilidad con la que se podrían materializar los eventosriesgosos y su grado de incidencia en la operación de las organizaciones sin tener encuenta el efecto de los controles

El áli i d l i it t bl l id d d l t d i l l


10/54


ANEXO 2

Las consecuencias y probabilidad de ocurrencia de un riesgo se pueden estimar utilizandoanálisis estadísticos, o mediante valoraciones cualitativas en las que prima la ordinalidad 6.

En esta etapa el principal producto es un mapa de riesgos inherente a la operación de laorganización. En el mapa se combinan las dos dimensiones del plano, la probabilidad y elimpacto, determinando en cada punto específico un nivel de severidad del evento

riesgoso.2.2.3.1.3. Evaluación de Riesgos

Durante esta etapa se identifican los controles que la entidad ha establecido paragestionar los riesgos operacionales inherentes a los procesos. Se estima la efectividad delos controles y de acuerdo con este cálculo se estima el nivel de severidad de los riesgosanalizándolos nuevamente en su probabilidad e impacto. Al calificar los riesgos teniendoen cuenta la incidencia de los controles sobre los mismos ya no se habla de riesgosinherentes sino de riesgos residuales, aludiendo con tal denominación a la porción delevento de riesgo que persiste aún después de haberse aplicado los controles diseñadospor la entidad; cuanto más alta sea la efectividad del control más baja será la severidaddel riesgo.

De este ejercicio, surge como producto el mapa de riesgos residuales, con base en lo cualse priorizan los eventos de riesgo y se determinan los tratamientos respectivos deacuerdo con lo definido en la siguiente fase de implementación.

2.2.3.2. Tratamiento de Riesgos

En esta etapa se toman decisiones entre una gama de opciones para definir, quétratamiento se aplicará a los riesgos residuales, incluyendo ajustes en los controles yaestablecidos.

A partir del grado de exposición al riesgo se priorizan los eventos de riesgo de acuerdo

con su severidad frente al logro de los objetivos de la entidad, y de acuerdo a estaclasificación se definen y ejecutan las acciones tomadas para evitar, gestionar, transferir oasumir las causas del riesgo.

Los tratamientos definidos independientemente de la zona de riesgo en la que esteclasificado el evento se manejan como planes de mejoramiento e impactan los planesoperativos establecidos en la Entidad


11/54


ANEXO 2

2.2.3.3. Monitoreo de Riesgos

En el monitoreo se definen los mecanismos que permitirán llevar a cabo un adecuadoseguimiento del Sistema y su respectiva retroalimentación asegurando así suactualización en el tiempo y la generación de información pertinente para la toma dedecisiones.

El monitoreo permite detectar nuevos riesgos, modificar los eventos de riesgo yaidentificados, hace posible asegurar la aplicación de los controles y verificar su efectividadasí como la eficacia de las acciones de tratamiento definidas.

2.2.4. Seguimiento y Revisión al Sistema de Administración de Riesgos

En esta etapa se establecen los mecanismos a través de los cuales de manera periódica

se validará la conformidad de los elementos definidos en el marco de la administración delriesgo y se determinan los ajustes que deban ser realizados al mismo para asegurar suefectividad y la generación de información fiable para la toma de decisiones.

2.2.5. Mejoramiento Continuo del Sistema

En esta etapa se modifican los elementos y etapas que de acuerdo con el seguimiento yrevisión del Sistema deban ser objeto de ajustes o complementos y debe involucrar losobjetivos, estrategias y acciones para incrementar la capacidad del Sistema de Administración de Riesgos operacionales en la eliminación o mitigación de los riesgos demayor severidad teniendo como objetivo principal incrementar la cultura de prevención ygestión de riesgos en la Entidad.

3. DESARROLLO DE LA METODOLOGÍA

3.1. DEFINICIÓN DE LA ESTRUCTURA DE DIRECCIÓN Y RESPONSABILIDAD DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES

En la DIAN con el propósito de estructurar el Sistema de Administración de RiesgosOperacionales y acorde con la normatividad vigente se definieron las responsabilidades


12/54


ANEXO 2

3.2. DISEÑO DEL MARCO PARA LA ADMINISTRACIÓN DEL SISTEMA DERIESGOS OPERACIONALES

En la DIAN el marco para la administración del Sistema de Riesgos, contiene lossiguientes elementos:

3.2.1. Contextos en la DIAN

3.2.1.1. Contexto Estratégico

La DIAN es una entidad del gobierno central, adscrita al Ministerio de Hacienda y Créditopúblico, que tiene entre sus competencias la responsabilidad de administrar losprincipales tributos del orden nacional, dirigir la gestión aduanera y garantizar elcumplimiento del régimen cambiario por importación y exportación de bienes y servicios.

La DIAN, tal como ocurre con otras administraciones tributarias, es una de lasinstituciones públicas de mayor interacción directa con los ciudadanos. Sus actuacionesson un importante referente en la percepción social de la institucionalidad de un país.

En general, las administraciones tributarias son instituciones a las cuales se confía unconjunto de recursos humanos, financieros y tecnológicos, que deben articularse de lamanera más eficiente posible a fin de garantizar el cumplimiento de las obligacionestributarias que la normatividad ha impuesto a una sociedad.

La DIAN desarrolla esa misión brindando a los contribuyentes servicios que facilitan elcumplimiento de sus obligaciones, efectuando al mismo tiempo, los controles necesarios yenmarcando su actuación en los principios constitucionales y legales que regulan lagestión pública.

Frente a la DIAN las personas naturales y jurídicas declaran la renta que han obtenidodurante la vigencia fiscal y bimestralmente los responsables del IVA le informan mediante

declaraciones el comportamiento de sus ventas y de sus obligaciones tributarias. Almismo tiempo, la DIAN interactúa con personas naturales y jurídicas que mensualmentereportan las retenciones en la fuente por ellas practicadas. Esta información se constituyecomo el insumo principal para el cumplimiento de la misión de la entidad.

Al menos una vez en el año los importadores o exportadores emplean los servicios defacilitación del comercio exterior que brinda la DIAN


13/54


ANEXO 2

del gobierno nacional, de tal manera que con la introducción de los ajustes necesariospuede afirmarse que la organización ha logrado consolidar una planeación estratégica demediano plazo.

Sin embargo, las contingencias internas, así como las provenientes de su entornoeconómico, político y social, pueden afectar negativa y significativamente la gestión de la

entidad. Es por ello que la DIAN considera de importancia capital la incorporación delanálisis de riesgos en su planeación estratégica.

Actualmente el análisis de riesgos hace parte integral del Mapa Estratégico, del Código deBuen Gobierno, y de los Planes y Proyectos de la entidad. También es revelador de laconstrucción de una cultura de análisis de riesgos en la entidad, el hecho que en LasEvaluaciones Anuales al Plan Estratégico, los Informes de Gestión (rendición de cuentas),y el Diagnóstico del Desarrollo Institucional, se establecen las debilidades y amenazas alos que se enfrenta la DIAN y, a la vez, cada uno de sus procesos, subprocesos y

procedimientos aporta información relevante sobre la cual se va actualizando el mapa deeventos de riesgos.

La DIAN expidió la Resolución 10621 el 31 de octubre de 2008, por medio de la cualadoptó su Código de Buen Gobierno, el Código de Ética y los Valores Institucionales, quehacen parte de los soportes de la estrategia de la institución.

3.2.1.2. Contexto Organizacional

El proceso de modernización de la administración tributaria nacional que Colombia haadelantado durante los últimos años, ha llevado paulatinamente a que la entidad setransforme para enfatizar su orientación hacia la prestación de servicios de facilitación yasistencia a los contribuyentes, al tiempo que se han fortalecido los controles necesariospara afianzar el cumplimiento de las obligaciones tributarias.

La globalización de la economía a nivel internacional con sus exigencias en materia decompetitividad y el aumento de las responsabilidades fiscales a cargo del gobierno

nacional han sido dos rasgos fundamentales que caracterizan el entorno en el que operala administración impositiva colombiana. Esa realidad se ha expresado en importantesreformas al Sistema tributario nacional con la consecuencia para la DIAN de incrementarnotablemente sus metas de recaudo, el número de clientes directos, los procesos bajo suresponsabilidad y la cantidad de información relevante para su gestión. Estos retoscrecientes han debido afrontarse en medio de una legislación tributaria cuya persistente

l jid d d d i l l d l bj i i i i l


14/54


ANEXO 2

simplificación del Sistema tributario y permanentemente realiza aportes técnicos en taldirección.

La modernización institucional empezó a concretarse con la creación de un nuevo modelode gestión apoyado en el uso intensivo de tecnologías de la información y en el aporte delconocimiento especializado de su talento humano. En el nuevo modelo de gestión las

funciones y competencias trascienden el espacio que tradicionalmente ocupaban dentrode cada dependencia de la organización y se articulan ahora mediante procesos,subprocesos y procedimientos institucionales, claramente identificados, estandarizados yformalizados.

El modelo de gestión se complementa y consolida con la reciente aprobación de lasiniciativas que la DIAN había planteado ante el Ministerio de Hacienda, el DepartamentoNacional de Planeación y el Departamento Administrativo de la Función Pública, quepermiten a la entidad contar con una estructura organizacional y una planta defuncionarios alineadas con la estrategia de modernización.Otro de los principales logros en materia organizacional es la integración de los diferentesSistemas con que venía engranando sus acciones la entidad en los campos de Gestión dela Calidad (NTCGP 1000:2004) y Control Interno (MECI 1000:2005), de manera que laDIAN pueda responder adecuadamente a los requerimientos planteados en dichanormatividad a través de un único Sistema de gestión de calidad y control interno, queademás de integrar estas disposiciones, facilita su aplicación y desarrollo.Específicamente, el Modelo Estándar de Control Interno incluye un componente deanálisis de riesgos, ahora comprendido dentro de la norma integral que regula la gestiónde la DIAN.

El Sistema de Gestión de Calidad y Control Interno se adopta y define mediante laResolución No. 01131 de Diciembre 4 del 2008 y el Mapa de Procesos de la entidad seadoptó con la Resolución 10621 del 31 de Octubre de 2008, con la finalidad de mejorar eldesempeño de la entidad y su capacidad de proporcionar productos y servicios querespondan a las necesidades y expectativas de sus clientes, y a la vez fortalecer el control

y la evaluación interna, orientando a la entidad hacia el cumplimiento de sus objetivosinstitucionales.

3.2.1.3. Contexto de Riesgos

Para la adecuada administración de los riesgos en la DIAN, se cuenta con documentosguías que contienen los lineamientos generales de implementación del Sistema tales


15/54


ANEXO 2

mecanismos que permiten su escalamiento del Sistema a todos los niveles y surespectiva divulgación a todos los funcionarios.

La Coordinación de la Dinámica de los Procesos de la Subdirección de Gestión deProcesos y Competencias Laborales es responsable de diseñar y coordinar la gestión delsistema de administración de riesgos operacionales, componente del Sistema de Gestiónde calidad y Control Interno. La principal labor de esta Coordinación será la de ejecutarlas acciones necesarias para garantizar la eficiente operación del Sistema de Administración de Riesgos Operacionales de la DIAN, dando la orientación técnica ymetodológica para el desarrollo de las fases de implementación del Sistema en losdistintos niveles de la entidad.

3.2.2. Principios Rectores del Sistema

Las etapas definidas y la evolución del Sistema de Administración del Riesgo en laentidad están soportadas en los siguientes principios:

a. Prevención Adoptar las acciones necesarias, viables y efectivas para prevenir la ocurrencia ominimizar el impacto de los riesgos que puedan afectar o entorpecer el logro de losobjetivos y la gestión de los procesos.

b. AutorregulaciónLa administración de los riesgos se fundamenta en la utilización de métodos yprocedimientos idóneos, aplicados de manera participativa en los distintos nivelesde la organización, bajo un entorno de integridad, eficiencia y transparencia.

c. AutocontrolLa administración de riesgos proporciona controles adecuados que permiten a laorganización detectar oportunamente la ocurrencia de un evento riesgoso, a fin deefectuar las acciones preventivas y correctivas que sean necesarias.

d. RazonabilidadSe otorga prioridad al tratamiento de los riesgos de mayor severidad deconformidad con las decisiones que en tal materia tome la alta dirección de laorganización. Los recursos asignados al tratamiento de los riesgos y a laimplantación de controles guardan proporcionalidad con su incidencia y


16/54


ANEXO 2

3.2.3. Objetivos del Sistema

Tres son los objetivos generales que pretende alcanzar el sistema de ADMINISTRACIÓNde riesgos:

a. Consolidar la capacidad organizacional para cumplir la misión y lograr la visión.

b. Asegurar la confiabilidad de los procesos, subprocesos y procedimientosc. Modificar, alinear y blindar los procesos contra la subjetividad, la corrupción y lacontravención de los valores.

Otros objetivos específicos que deben tenerse en perspectiva para el diseño, construccióny operación del sistema son:

Articular, evaluar y controlar los riesgos que pueden afectar o impedir el desarrollode los procesos institucionales.

Interiorizar en la cultura institucional el concepto de riesgo y la concientizaciónsobre los aportes que todos los funcionarios de la entidad pueden realizar parafortalecer la capacidad de administrar los eventos riesgosos.

Lograr que los Directores de Gestión, Jefes de Oficina y Subdirectores administrenel sistema de riesgos de manera participativa, técnica y preventiva.

3.2.4. Políticas de administ ración de riesgos

En su Código de Buen Gobierno la DIAN establece un conjunto de directrices quedeterminan el marco de actuación de la gestión institucional de manera que se garanticela coherencia entre sus propósitos y sus prácticas. Estas directrices constituyen laspolíticas de buen gobierno y en materia de análisis de riesgos la entidad adoptó lassiguientes políticas:

a. Sobre metodologíaLos responsables de los procesos en la DIAN administrarán los riesgosoperacionales de manera participativa, técnica y preventiva, utilizandometodologías que le permitan determinar causas y efectos, establecer laprobabilidad de su ocurrencia, medir el impacto de sus consecuencias y definircriterios de calificación y evaluación de los riesgos con el fin de identificarprioritariamente aquellos que le impidan alcanzar los objetivos institucionales.

b Sobre control


17/54


ANEXO 2

c. Sobre tratamientoLos responsables de los procesos en la DIAN, con el propósito de alcanzar losobjetivos institucionales, administrarán las acciones preventivas y/o correctivastendientes a evitar, reducir o transferir el riesgo bajo criterios de autorregulación yautocontrol.

3.2.5. Criterios de Medición

Para el análisis y la evaluación de los riesgos operacionales de la DIAN se definieroncriterios de medición que incluyen una tabla de medición del impacto, una tabla demedición de la probabilidad y los parámetros para la construcción y lectura del mapa deriesgo.

Para la definición de estos criterios el equipo de trabajo inicialmente discutió las diferentesdimensiones que podrían tener los tres instrumentos de medición requeridos en esta

etapa (5×5, 4×4, 3×3), y adoptó finalmente una estructura en 4 dimensiones básicas,tanto para el impacto como para la probabilidad, a fin de evitar los sesgos deconveniencia que usualmente son adoptados por evaluadores, analistas o encuestados yque tienden a generar calificaciones agrupadas en el punto central.

3.2.5.1. Tabla de Medición del Impacto

En esta tabla se encuentran asociados los diferentes tipos de consecuencias que puedetraer para la organización la materialización de un riesgo así como las posiblesdimensiones en que el mismo puede ser evaluado. Está información se encuentran en el Anexo 3 “Tabla de Medición del Impacto” de esta metodología.

3.2.5.2. Tabla de Medición de la Probabilidad

En esta tabla se encuentra asociada una medida porcentual que refleja la periodicidad enla que se puede evidenciar un evento de riesgo operacional. Esta información seencuentra en el Anexo 4 “Tabla de Medición de la Probabilidad” de esta metodología.

3.2.5.3. Mapa de Riesgo

Los mapas de riesgo constituyen una herramienta gerencial que brinda criterios dedecisión a la alta dirección frente a los cambios que deben ser realizados en la entidadpara controlar los riesgos existentes y prevenir su materialización.


18/54


ANEXO 2

El impacto y la probabilidad determinan en forma conjunta laseveridad del riesgo , conuna representación particular en el mapa (un punto). Esta herramienta fue dividida enzonas de severidad del riesgo las cuales fueron definidas por el equipo de trabajo yaprobadas por la Dirección de Gestión Organizacional.

La información de este criterio de medición se encuentra en el Anexo 5 “Mapa deRiesgos” de esta metodología.

3.2.6. Herramientas del Sistema de Administración de Riesgos Operacionales

A continuación se describen los formatos que serán utilizados durante la ejecución de lasfases de la etapa de implementación del Sistema de Administración de RiesgosOperacionales. Cada uno de estos formatos cuenta con un instructivo en el que seestablecen las pautas para su diligenciamiento y que podrán ser consultados en el in situ.

3.2.6.1. Formato 1387 Valoración de Riesgos Operacionales

Este formato incluye la información de los riesgos operacionales por procedimiento en suetapa de identificación, análisis y evaluación. Con la información de este formatoautomáticamente la herramienta de Administración de Riesgos construye el mapa deriesgo inherente y residual del procedimiento.

3.2.6.2. Formato 1453 Identificación o Modificación de Riesgos Operacionales

Este formato es utilizado para solicitar la adición de un nuevo riesgo o para lamodificación de uno de los atributos del mismo (nombre, descripción, clasificación,causas, consecuencias, calificación inherente o residual y controles).

3.2.6.3. Formato 1367 Acciones Correctivas y Preventivas

Este formato es utilizado para la documentación de riesgos operacionales que requierantratamiento en el mediano plazo dentro del ámbito de la ejecución de los procesos yprocedimientos sin que se requieran cambios estructurales.

3.2.6.4. Formato 1146 Identificación o Modificación de Riesgos Operacionales

Este formato permite registrar la información de las principales características delprocedimiento incluyendo los riesgos a los cuales esta expuesto y las actividades del


19/54


20/54


ANEXO 2

Procesos y Talento Humano, la cual contenía 11 tipos de riesgos y una opción para quelos usuarios identificaran otros riesgos y los relacionaran.

La información recolectada fue incluida en los formatos de caracterización 1146, en losque los riesgos se identifican al nivel más detallado del mapa de procesos, es decir a nivelde procedimiento. La opción “otros riesgos” contemplada en el instrumento diseñado parala captura de la información fue profusamente diligenciada por los funcionarios, dandolugar nuevamente a un amplio conjunto de riesgos, que estaban clasificados solamenteen dos categorías, riesgos operacionales y riesgos ocupacionales.

La base de datos así construida constituye el punto de partida para la definición yelaboración de la primera versión del Sistema de Administración de RiesgosOperacionales de la DIAN.

3.3.1.2. Consolidación de la información e identif icación final de los riesgos

Los resultados alcanzados por la DIAN en los antecedentes se convirtieron en una basede datos que fue suministrada al equipo de trabajo conformado por el grupo básico degestión de riesgos y la consultoría y a partir de tal información se llevaron a cabo lassiguientes actividades:

a. Análisis, depuración y consolidación de la base de datos inicial, conformando unabase de datos con riesgos revisados a nivel de procedimiento.

b. Identificación de posibles eventos que no estaban contenidos en la base inicial,especialmente los relacionados con procesos estratégicos de la DIAN.

c. Asociación de cada uno de los riesgos identificados a nivel de procedimiento consus correspondientes subprocesos y procesos.

d. Revisión y consolidación de las causas reales y potenciales que pueden originar lamaterialización de los riesgos.

e. Revisión y consolidación de las consecuencias que produce en la entidad laocurrencia de cada uno de los eventos de riesgo identificados.

f. Redefinición de la agrupación de los riesgos, pasando de las dos tipologíasiniciales (riesgos operacionales y riesgos ocupacionales) a la clasificación deriesgos establecida en el Anexo 1 de la presente metodología.

g. Revisión final para consolidar los riesgos identificados, asociando en un únicoriesgo aquellos en los que se reconoció gran afinidad. Esta unificación implicórealizar ajustes en la denominación, definición, causas y consecuencias del riesgounificado, de manera que éste fuera comprensivo de los eventos que le dieron


21/54


ANEXO 2

El objeto de la depuración y consolidación de los riesgos identificados en la DIAN en unaTabla de Riesgos Institucionales es estandarizar y definir riesgos a nivel organizacional,consolidar del Sistema de Administración de Riesgos Operacionales en la Entidad yfacilitar su aplicación a nivel de procesos, subprocesos y procedimientos

Los eventos de riesgo identificados y vigentes para la entidad se encuentrandocumentados en el Anexo 2 de esta metodología “Tabla de Riesgos Institucionales”.

3.3.1.3. Modificación de riesgos e identificación de nuevos eventos de riesgo

Para la DIAN teniendo en cuenta que existe un trabajo previo frente a la definición de loseventos de riesgo a los que están expuestos cada uno de los procesos en la Entidad, sepueden presentar las siguientes situaciones:

- Identificación de Riesgos por procedimiento: La identificación de los riesgosoperacionales por procedimientos estará a cargo de los empleados públicosseleccionados por los Directores de Gestión, Jefes de Oficina y Subdirectores y sedebe realizar teniendo en cuenta la tabla de de riesgos institucionales con la cualse determina dentro de ellos los riesgos que afectan la ejecución delprocedimiento evidenciándolos en la primera hoja del formato 1387.

- Modificación de los eventos de riesgo documentados en la “Tabla de RiesgosInstitucionales”. Todos los empleados públicos de la DIAN tienen conocimiento y

acceso a la “Tabla de Riesgos Institucionales” de la Entidad y participan en losprocesos de revisión de los mismos, lo cual permite validar si los eventosidentificados y documentados en la “Tabla de Riesgos Institucionales” estánacordes con la realidad del proceso y de la organización y si tienen documentadatoda la información requerida en la matriz de riesgo. En el caso que estáinformación no cumpla con los criterios mencionados se deberá solicitar lamodificación de la información que se consideren pertinentes a través deldiligenciamiento del formato 1453.

- Identificación de eventos de riesgo que no hayan sido considerados en análisisprevios y que no se encuentren documentados en la “Tabla de RiesgosInstitucionales”. En los procesos de la Entidad, se pueden presentar eventos deriesgo que no se hayan contemplado durante la fase de identificación y queimpliquen el incumplimiento parcial o total de los objetivos del proceso y por lotanto de los objetivos corporativos. En el caso de que está situación se presente


22/54


ANEXO 2

magnitud de su impacto. En el caso de la DIAN implica medir los eventos de riesgo quese encuentran documentados en la “Tabla de Riesgos Institucionales” para cada uno delos procesos y posteriormente llevar esté análisis a nivel de procedimientos.

Cuando se realiza el análisis del riesgo con relación a su impacto puede que este no seaigual en las 4 dimensiones consideradas, de hecho algunos riesgos únicamente afectaranuna o dos dimensiones. Sin embargo, es necesario obtener una sola valoración delimpacto institucional del riesgo por lo que se establece como una política de operaciónque el impacto del riesgo corresponde al nivel más alto que se haya registrado encualquiera de las dimensiones.

Es importante señalar que en la etapa previa de identificación, se determinaron losriesgos específicos que afectan a cada proceso institucional. Un riesgo puede incidirsobre uno o más procesos o procedimientos y su impacto sobre cada uno de ellos seevalúan en forma independiente.

3.3.2.1. Medición del Riesgo puro , absoluto o inherente

Para llevar a cabo la medición inherente de los riesgos identificados en todos los procesosy/o procedimientos de la Entidad se debe medir para cada evento de riesgo su nivel deimpacto y probabilidad, empleando para ello los instrumentos de medición previamentediseñados y que fueron descritos en el numeral 3.2.5 Criterios de Medición de estametodología así como la información histórica o la experiencia del empleado públicodesignado para el proceso o procedimiento objeto de análisis.

Esta calificación es asignada sin tener en cuenta la incidencia de los controles que laentidad tiene implementados para mitigar la frecuencia y la incidencia de los riesgosoperacionales identificados sin olvidar el contexto estratégico, organizacional y de riesgosya establecido.

La metodología para obtener el mapa institucional de riesgos inherentes consistefundamentalmente en sintetizar las evaluaciones, tanto de impacto como de probabilidad,

otorgadas a los riesgos operacionales en cada uno de los procesos, calificación que a suvez se obtiene de condensar las calificaciones asignadas a cada riesgo operacional encada uno de los procedimientos que lo integran antes de la aplicación de controles.

La asignación de cada calificación trae consigo una valoración de orden nominal como seestableció en las tablas de impacto y probabilidad y como se indica en la siguiente tabla.


23/54


ANEXO 2

Mediante esta convención es posible obtener una cuantificación promedio de variasevaluaciones cualitativas7. Sin embargo, el promedio no necesariamente corresponderá aun número entero por lo cual es preciso traducir este resultado cuantitativo en escalascualitativas de la manera que se indica seguidamente.

Promedio (P) Impacto ProbabilidadP =1 LEVE BAJ A

1


24/54


ANEXO 2

Esta matriz muestra que el riesgo 1 no tiene incidencia sobre el primer proceso pero queafecta de manera moderada al proceso 2 y en forma leve al proceso 3. Para sintetizarestos dos efectos se acude a la primera equivalencia y se asignan valoracionescuantitativas para los dos eventos: 2 en el caso del impacto moderado y 1 para el impactoleve. El promedio simple de estas calificaciones es 1,5 y entonces se acude a la segundaequivalencia a fin de traducir este resultado en una evaluación cualitativa. Así puedeafirmarse que en promedio el riesgo 1 impacta de manera moderada la institución.

De igual forma se aprecia en una lectura vertical de la matriz 1 que el proceso 2 esafectado solamente por dos de los riesgos considerados. El riesgo 1 que tiene un impactomoderado y el riesgo 2 con un impacto crítico. Acudiendo nuevamente a la primeraequivalencia, los dos impactos se convierten respectivamente en 2 y 4 con un promediode 3. El promedio a su turno se traduce en una evaluación cualitativa con el empleo de lasegunda escala y se concluye que, en promedio, los riesgos institucionales relevantespara el proceso 2 lo impactan de forma grave.

Un resultado general de gran importancia es la incidencia del conjunto de riesgos sobre laentidad. Este resultado se encuentra en la intersección de fila y columna de “impactopromedio”. En el ejemplo considerado los riesgos identificados impactan de manera gravea la institución, antes de considerar los controles establecidos. El impacto general sepuede calcular tomando las evaluaciones de la totalidad de los riesgos y empleando lasequivalencias cuantitativas y cualitativas ya descritas, siguiendo estos pasos:

Convertir en cantidades cada una de las calificaciones cualitativas inicialmenteasignadas a cada riesgo en cada proceso (8 eventos en el caso del ejemplo).

Obtener el promedio simple de las cantidades de que trata el paso precedente. Emplear la segunda equivalencia para traducir el promedio del paso anterior en una

evaluación general de tipo cualitativo.

La última columna de la Matriz 1 permite establecer el aporte relativo con que cada unode los riesgos contribuye al impacto total sobre la entidad. Conocido el hecho de que elimpacto general de los riesgos es “grave”, la última columna advierte que el 55% de tal

resultado se explica por la incidencia del riesgo 4, seguido en importancia por lascontribuciones relativas de los riesgos 2 y 1 respectivamente.

El riesgo 3 únicamente contribuye con el 5% en la explicación del impacto sobre laentidad, en primer lugar porque por sí sólo tan sólo tiene un impacto “leve” y, en segundotérmino, porque este riesgo es relevante apenas para uno de los tres procesos o, desde


25/54


ANEXO 2

La interpretación de la Matriz 2 es exactamente igual, con la diferencia de que laprobabilidad de ocurrencia se halla graduada con denominaciones diferentes a lasempleadas en la matriz de impacto.

Probabilidad de ocurrencia de los riesgos en la DIANEJEMPLO PARA ILUSTRAR LA METODOLOG A

En el total deeventosries osos

En la probabilidadpromedio de ocurrencia de

un ries o en la DIANRiesgo 1 MEDIA ALTA ALTA 25,0% 31,3%Riesgo 2 BAJ A BAJ A BAJ A 25,0% 12,5%Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%Riesgo 4 ALTA BAJ A BAJ A MEDIA 37,5% 31,3%Probabilidad promedio deocurrencia de los riesgos encada proceso

ALTA MEDIA MEDIA MEDIA

Riesgos de cada proceso / Total de eventos riesgosos 37,5% 25,0% 37,5% 100,0%

Contribución de cadaproceso en la probabilidadpromedio de ocurrencia deriesgos en la DIAN

50,0% 18,8% 31,3% 100,0%

Probabilidad promediode ocurrencia del riesgo

en la DIAN

Contribución relativa de cada riesgoConceptos Proceso 1 Proceso 2 Proceso 3

El riesgo 4 tiene una alta probabilidad de ocurrir en el proceso 1 pero esa probabilidad esbaja en los procesos 2 y 3. En términos cuantitativos las tres probabilidades corresponden

respectivamente a 4, 1 y 1, según se propuso en la primera equivalencia. El promediosimple de los tres valores es 2 y la segunda equivalencia indica que, en promedio, elriesgo 4 se presenta en la entidad con una probabilidad media.

El resultado general de la Matriz 2, intersección de la fila y columna de “probabilidadpromedio” concluye que los riesgos relevantes para la entidad ocurren con unaprobabilidad “media”.

Las matrices 1 y 2 aportan para el caso del ejemplo los elementos necesarios para definirel grado de severidad de los riesgos institucionales. Teniendo en cuenta esa informaciónasí como las zonas de riesgo establecidas en el apartado 3.3.3 de este documento, esposible construir el “mapa de riesgos inherentes de la organización”.

Elementos para determinar el grado de severidad de los riesgos en la DIANEJEMPLO PARA ILUSTRAR LA METODOLOG A


26/54


ANEXO 2

Mapa de riesgos inherentes de la DIAN para un ejemplo h ipotético

Los resultados obtenidos en este ejemplo indican que los 4 riesgos considerados (antesde la aplicación de los controles) podrían generar, en promedio, un impacto “grave” sobrela organización si llegaran a materializarse. La probabilidad promedio de que estosriesgos efectivamente tengan ocurrencia es “media” en el conjunto de la institución. Laasociación entre un impacto “grave” y una probabilidad “media” se traduce en nivel deexposición o de severidad del riesgo “importante”.

La metodología observada también permite jerarquizar los riesgos de acuerdo con sunivel de severidad. En el ejemplo que apoya la explicación y en el que aún no se hanaplicado controles, el riesgo 4 se califica como inaceptable, es decir, el que mayor gestióndemanda por parte de la entidad. En segundo lugar de severidad aparece el riesgo 1,

catalogado como “importante”, mientras que los riesgos con menor grado de severidadson el 1 y el 2, severidad “moderada”.

3.3.3. Evaluación de Riesgos

En la etapa precedente se analizaron los riesgos potenciales o inherentes, en los que no

03

01

04

02

CONSECUENCIA - IMPACTO

MUY ALTA

LEVE MODERADO GRAVE CRÍTICO

MAPA DE RIESGO INHERENTE

PROB ABILID AD

ALTA

MEDIA

BAJA

Zona Riesgo InaceptableZona Riesgo ImportanteZona Riesgo ModeradoZona Riesgo Aceptable


27/54


ANEXO 2

efectividad de las acciones que haya dispuesto la organización para administrar susriesgos. La valoración que se realiza incluyendo los efectos de los controles da lugar alos riesgos residuales.

3.3.3.1. Eficiencia de los Controles

Para determinar los controles con los que la Entidad cuenta para reducir la severidad delos riesgos identificados se puede acudir a diferentes fuentes tales como los controlesreportados en el formato 1146 (Caracterización de Procedimientos),los informestrimestrales de autoevaluación que las dependencias de la Entidad que son reportados através del Sistema Estadístico de Gestión Global, SEGG y la información que suministrenlos funcionarios que participan en la caracterización de los procedimientos institucionaleso en la metodología de valoración de riesgos. Cada control identificado debe serevaluado frente a los siguientes atributos para determinar su efectividad:

a. Tipo: preventivo, detectivo o correctivo.Los controles preventivos, dependiendo de su grado de efectividad, permitenreducir la probabilidad de ocurrencia del evento. Los controles detectivos puedenmitigar tanto la probabilidad de ocurrencia del suceso como su impacto, mientrasque los correctivos fundamentalmente actúan disminuyendo la magnitud delimpacto.

b. Documentación: El riesgo está documentado, no hay documentación.Los controles deben estar debidamente documentados para facilitar su

comprensión y aplicación. En el evento que tal documentación no exista se reducela efectividad de la acción de control.

c. Aplicación: El control está siendo aplicado, no se aplica.La respuesta básica en este atributo es de tipo binario: Sí o No. Cuando no seaplica el control evidentemente no existe ningún nivel de efectividad mientras quela aplicación del mismo aplaza la calificación de la efectividad en función de losresultados observados en los demás atributos.

d. Mitigación: Alta, media y baja.La forma específica que asume la mitigación depende del grado de cumplimiento

Riesgos inherentes - Efecto controles = Riesgos Residuales


28/54


ANEXO 2

Finalmente, la mitigación baja corresponde a una situación en la que el control nocumple el objetivo y las deficiencias implican costos importantes.

e. Frecuencia del control: Permanente, diaria, semanal, mensual, etc.La frecuencia del control debe guardar relación con la periodicidad con la que sepresenta el evento riesgoso. Potencialmente podría plantearse que los controlesse aplicaran siempre que ocurriera el riesgo. Sin embargo esto puede resultar muycostoso para la organización y es por ello que se debe definir la frecuencia de loscontroles tomando en cuenta el costo de aplicación y la efectividad deseada.

De acuerdo con la calificación asignada a cada uno de los atributos del controlmencionados previamente se pueden establecer de acuerdo con la siguiente escala laefectividad del control:

Calificación Impacto de la calificación

A Control que reduce máximo 2 escalas el nivel de probabilidad y/o de impactoB Control que disminuye en una escala el nivel de probabilidad y/o impactoC Control que no tiene efecto sobre la probabilidad y/o el impacto del evento.

La combinación de los criterios para llegar a la calificación del control y su incidenciasobre la calificación se encuentra en el Anexo 6 Evaluación de Controles.

3.3.3.2. Mapa de Riesgos Residuales

Una vez establecido el nivel de efectividad e identificados los tipos de control, estos debenser aplicados a los eventos de riesgo calificados en la matriz de riesgos inherentes,obteniendo una nueva valoración del impacto y la probabilidad de ocurrencia. De laasociación de estas nuevas valoraciones surge la “matriz de riesgos residuales” delproceso, la cual representa el grado de severidad de los riesgos analizados después deconsiderar la incidencia de los respectivos controles.

Para realizar la medición residual de los riesgos identificados en todos los procesos y/oprocedimientos de la Entidad al igual que para la medición del riesgo inherente se debemedir para cada evento de riesgo su nivel de impacto y probabilidad, empleando para ellolos instrumentos de medición previamente diseñados y que fueron descritos en el numeral3.2.5 Criterios de Medición de esta metodología así como la información histórica o laexperiencia del empleado público designado para el proceso o procedimiento objeto deanálisis


29/54


ANEXO 2

encuentran documentados, se determina el grado de efectividad, el cual estácorrelacionado de manera directa con el grado de mitigación.

En el literal a. del subapartado 3.4.1 se indicó que la tipología de los controles define si su

efectividad permite reducir el impacto y/o la probabilidad del riesgo. Así mismo, el gradode efectividad determina la magnitud de esta disminución.

Teniendo en cuenta estas consideraciones se construyen nuevamente las matrices 1 y 2,expuestas en el subapartado 3.3.5. Siguiendo este procedimiento, por una parte, seobtiene el impacto promedio de los riesgos residuales y de otra, la probabilidad promediode ocurrencia de riesgo residual, a partir de la información obtenida para cada proceso.

Las matrices resultantes del ejemplo se presentan a continuación.

Impacto de los riesgos en la DIAN una vez aplicados los controlesEJEMPLO PARA ILUSTRAR LA METODOLOGÍA

En el total deeventos

riesgosos

En el impactopromedio

sobre la DIAN

Riesgo 1 LEVE LEVE LEVE 25,0% 15,4%Riesgo 2 GRAVE MODERADO GRAVE 25,0% 38,5%Riesgo 3 LEVE LEVE 12,5% 7,7%Riesgo 4 MODERADO MODERADO LEVE MODERADO 37,5% 38,5%Impacto prome o elos riesgosencada MODERADO MODERADO MODERADO MODERADO

Contribución relativa de cadariesgo

Conceptos Proceso 1 Proceso 2 Proceso 3

Impactopromedio de los

riesgos en laDIAN

Nombre Aplicado a Tipo Mitigación Efectividad

Control 1 Riesgo 1 Detectivo Alto A

Control 2 Riesgo 2 Correctivo Bajo C

Control 3 Riesgo 3 Preventivo Medio B

Control 4 Riesgo 4 Correctivo Alto A

Controles aplicados sobre los riesgos inherentes de la DIANEJEMPLO PARA ILUSTRAR LA METODOLOGÍA


30/54


ANEXO 2

Probabilidad de ocurrencia de los riesgos en la DIAN una vez aplicados los controlesEJEMPLO PARA ILUSTRAR LA METODOLOGÍA

En el total deeventosriesgosos

En laprobabilidadpromedio deocurrenciade un ries o

Riesgo 1 MEDIA ALTA ALTA 25,0% 31,3%Riesgo 2 BAJ A BAJA BAJ A 25,0% 12,5%Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%Riesgo 4 ALTA BAJ A BAJA MEDIA 37,5% 31,3%Probabilidad promedio deocurrencia de los riesgos en

cada proceso

ALTA MEDIA MEDIA MEDIA

Riesgos de cada proceso / Total de eventos riesgosos 37,5% 25,0% 37,5% 100,0%

Contribución de cadaproceso en la probabilidadpromedio de ocurrencia deriesgos en la DIAN

50,0% 18,8% 31,3% 100,0%

Probabilidad promediode ocurrencia del riesgo

en la DIAN

Contribución relativa de cadariesgo

Conceptos Proceso 1 Proceso 2 Proceso 3

La relación entre el impacto y la probabilidad promedio de los riesgos indica el grado deseveridad de los riesgos residuales, a partir de la cual se construye el “mapa de riesgosresiduales de la organización”.

Elementos para determinar el grado de severidad de los riesgos residuales en la DIANEJEMPLO PARA ILUSTRAR LA METODOLOG A

Cód. Conceptos Impacto promedio Probabilidadpromedio Zona de riesgo

01 Riesgo 1 LEVE BAJ A ZONA DE RIESGO AC EPTABLE02 Riesgo 2 G RAVE BAJ A ZONA DE RIESGO MODERADO03 Riesgo 3 LEVE ALTA ZONA DE RIESGO MODERADO04 Riesgo 4 MODERADO MEDIA ZONA DE RIESGO MODERADO

© Total riesgos MODERADO MEDIA ZONA DE RIESGO MODERADO


31/54


ANEXO 2

Mapa de riesgo residual

3.3.4. Tratamiento de Riesgos

Después de calificar los riesgos residuales se deben priorizar dichos eventos por su nivelde severidad y proceder al envío de la información a los responsables del tratamientoestablecidos en el numeral 5.3.2 Tratamiento de la Orden Administrativa N° .

En general la administración de los riesgos residuales exige revisar la efectividad de loscontroles existentes, verificando fundamentalmente si éstos cubren todas o la mayoría delas causas que los originan, así como el grado de mitigación alcanzado. Además se debecontemplar la posibilidad de introducir nuevos controles que complementen los existentes.

Después de validar lo anterior se pueden presentar las siguientes situaciones:a. El riesgo se mantiene en una zona diferente a la “Zona de Riesgo Aceptable”: En

este caso y de acuerdo con las responsabilidades establecidas en el numeral 5.3.2Tratamiento de la Orden Administrativa N° se deberá determinar el tipo detratamiento a implementar, el cual deberá quedar registrado en el formato 1367

03

04©

01

02

PROB

ABILID

AD

ALTA

MEDIA

BAJA

CONSECUENCIA - IMPACTO

MAPA DE RIESGO RESIDUAL

MUY ALTA

LEVE MODERADO GRAVE CRÍTICO

Zona Riesgo InaceptableZona Riesgo ImportanteZona Riesgo ModeradoZona Riesgo Aceptable


32/54


ANEXO 2

Responsables de la definic ión del Tratamiento

Zona del mapa de riesgo Nivel Central Nivel Seccional

Inaceptable Director General Director Seccional

Importante Directores de Gestión Jefes de División

Moderado Subdirectores y Jefes de Oficina Jefes de Grupo

Aceptable Jefes de Coordinación Jefes de Grupo

b. El riesgo baje a una zona de riesgo menor pero que esta no sea la “Zona deRiesgo Aceptable”. En este caso se deberá seguir el procedimiento descrito en elliteral anterior.

c. El riesgo se lleve a la “Zona de Riesgo Aceptable”. En este caso y si la entidaddecide continuar gestionando el riesgo se deberá seguir el procedimiento descritoen el literal a; si la entidad decide no seguir realizando gestión sobre el evento deriesgo esta decisión deberá quedar documentada en un oficio en el que se justifique la decisión tomada y además se comprometa la dependencia remitenteen mantener los controles documentados para tal fin.

Los tratamientos específicos que pueden aplicarse en cualquiera de las anterioressituaciones sobre los riesgos residuales de la DIAN se encuentran en el Anexo 7 “Tiposde Tratamientos”.

Cuando el tratamiento a aplicar sea “Asumir”, dicho riesgo se deberá borrar del mapa deriesgo del procedimiento o proceso respectivo sin que esta acción implique que el riesgohaya sido eliminado del procedimiento, proceso o de la Entidad ya que el mismo puedeescalar hacia otra zona de riesgo si llegan a fallar los controles o se cambian lascondiciones de la actividad a la cual está atado. La Coordinación de la Dinámica de losProcesos deberá contar con un registro en el que se evidencien los riesgos asumidos porprocedimiento así como la fecha y el registro que soporta dicha decisión.

3.3.5. Monitoreo de Riesgos

El Monitoreo de los riesgos operacionales de la DIAN se debe realizar de acuerdo con las


33/54


ANEXO 2

local como delegado de acuerdo con las responsabilidades establecidas en la Orden Administrativa Nº . Este reporte tiene por objeto consolidar una base de datos deeventos de pérdida de la Entidad y actualizar las calificaciones de probabilidad e impactoasignadas a los eventos de riesgo.

La base de datos creada permitirá a largo plazo llevar el Sistema de Administración deRiesgos Operacionales a la cuantificación de la probabilidad y el impacto de la ocurrenciade los eventos de riesgo a través de análisis estadísticos de la información recolectada.

3.3.5.2. Seguimiento al Nivel de Severidad de los Eventos de RiesgoOperacionales

La Gestión del Sistema de Administración de Riesgos Operacionales se evidencia en loscambios de nivel de severidad de cada uno de los eventos de riesgo identificados en laDIAN y que se encuentran en el Anexo 2 “Tabla de Riesgos Institucionales” a nivel

organizacional, de procesos y procedimientos.Para realizar este seguimiento la Coordinación de la Dinámica de los Procesos debeelaborar informes trimestrales en los que de forma comparativa se muestre el nivel deseveridad inicial del riesgo y el nivel de riesgo resultante después de la gestión realizadadurante el período de análisis.

Para la elaboración del informe se debe tener en cuenta los históricos de los mapas,matrices e indicadores de comportamiento de riesgos operacionales para cada uno de losprocedimientos, subprocesos y procesos de la Entidad y las Actas o demás documentosque soporten los cambios en las calificaciones asignadas. Esta información proviene delos informes trimestrales de autoevaluación en lo referente a la gestión de riesgos quesean enviados por los Directores de Gestión, Jefes de Oficina y Subdirectores, los cualesdeben contener la evaluación de los riesgos operacionales al corte trimestralespecificando los cambios en la calificación de la probabilidad y/o el impacto de loseventos de riesgo operacionales asociados a su proceso, subproceso y/o procedimiento.

Los informes resultantes del seguimiento realizado a los riesgos operacionales por partede la Coordinación de la Dinámica de los Procesos deberán ser enviados a las Directoresde Gestión, Jefes de Oficina y Subdirectores correspondientes en caso de que lacalificación de riesgo se incremente o no se vean cambios en su calificación después detres trimestres consecutivos.


34/54


ANEXO 2

La medición de estos indicadores es realizada por la Coordinación de la Dinámica de losProcesos de acuerdo con la información reportada desde todos los procesos,subprocesos y procedimientos a través de los informes trimestrales de autoevaluaciónenviados por los Directores de Gestión, Jefes de Oficina y Subdirectores conforme alprocedimiento que la Dirección de Gestión Organizacional establezca.

En el anexo 8 “Indicadores del Sistema de Administración de Riesgos Operacionales”, selistan los indicadores a medir y a cada uno se le establece la fórmula para su medición yla periodicidad con la que los mismos deben ser analizados.

3.3.5.4. Seguimiento a la ejecución de los planes de mejoramiento

Toda acción de tratamiento que se establezca en el Sistema de Administración deRiesgos Operacionales debe ser considerada como un plan de mejoramiento, lo queimplica que su registro, control y seguimiento deben ser realizados conforme a lo

establecido en la Orden Administrativa 007 de agosto de 2009.3.4. SEGUIMIENTO Y REVISIÓN DEL SISTEMA DE ADMINISTRACIÓN DE

RIESGOS OPERACIONALES

Esta etapa requiere de la revisión mínimo anual por parte de la Coordinación de laDinámica de los Procesos de los elementos definidos en la etapa de la definición de laestructura de dirección y de responsabilidad y el diseño del marco para la administración

del riesgo.La revisión debe ser realizada sobre los siguientes elementos:

• Objetivos del Sistema de Administración de Riesgos Operacionales• Políticas del Sistema de Administración de Riesgos Operacionales• Principios rectores del Sistema de Administración de Riesgos Operacionales• Contextos para la administración de los riesgos operacionales.• Criterios de calificación de los riesgos operacionales en términos de probabilidad yconsecuencia.• Configuración del mapa de riesgos (establecimiento de las zonas de riesgo)• Criterios establecidos para determinar los tratamientos a implementar en los riesgos

objeto de análisis y evaluación.Metodología y medios de capacitación en riesgos


35/54


ANEXO 2

o ajustados. Entre algunos de los casos que generarían cambios en los mencionadoselementos son:

• Incumplimiento permanente de los objetivos y/o políticas definidas para el Sistemasde Administración de Riesgos Operacionales

• Cambios en las políticas de la DIAN o en sus modelos de operación.• Imposibilidad de asignar calificaciones a los riesgos identificados por las escalas

manejadas en las tablas de probabilidad e impacto.• Falta de oportunidad en la atención de los riesgos materializados por parte de los

empleados públicos y vinculados de la DIAN.• Falta de operatividad del Sistema debida a la rigidez de la estructura de dirección y

responsabilidad definida.• Desconocimiento del funcionamiento del Sistema de Administración de Riesgos

Operacionales por parte de los empleados públicos y vinculados de la DIAN.

De la revisión realizada debe quedar un informe en el que se detallen los cambios en loselementos que componen el Sistema y se describa la situación generadora de losmismos.

3.5. MEJORAMIENTO CONTINUO DEL SISTEMA

En esta etapa se deberán realizar las acciones pertinentes a que haya lugar para laactualización, adecuación, modificación y mejora del Sistema de Administración deRiesgos Operacionales teniendo en cuenta que este hace parte del Sistema de Gestiónde Calidad y Control Interno y conforme a lo establecido en el numeral 8.5 de la NormaTécnica Corporativa – Sistema de Gestión de Calidad y Control Interno.

Las acciones adelantadas deberán partir de los resultados obtenidos de la revisión por ladirección al Sistema de Gestión de Calidad y de Control Interno y de las revisionesrealizadas al Sistema de Riesgos Operacionales por la Coordinación de la Dinámica delos Procesos, la Oficina de Control Interno y los órganos externos de control.


36/54


ANEXO 2

Anexo 1: Clasificaciones de Riesgo

Riesgo Estratégico: Está asociado a la administración de la Entidad. Comodeficiencia o falta de políticas, diseño de estrategias, cumplimiento de metas.

Riesgo Operativo: Relacionado con las deficiencias de infraestructura yorganización. Como desarticulación de las dependencias, fallas de lossistemas de información, falta de documentación de los procesos, etc.

Riesgo Financiero: Se relaciona con el manejo eficiente y transparente de losrecursos financieros. Como Dificultades y retrasos en la ejecuciónpresupuestal, Descontrol de los pagos, demoras en la elaboración de losestados financieros.

Riesgo de Cumplimiento: Capacidad para el cumplimiento de los requisitoslegales, contractuales, de ética pública.

Riesgo de Tecnología: Asociado a la capacidad y seguridad de la tecnologíadisponible y su adaptación a las necesidades actuales y futuras.

Riesgo Ocupacional: Relacionado con los efectos y consecuencias queproducen al personal de la entidad el desarrollo de sus actividades laborales.

Riesgo Ambiental: Asociado al deterioro de las condiciones que pueden afectarla persona, los bienes, el ambiental y los ecosistemas como resultado de laejecución de actividades en cumplimiento de la operación.


37/54


ANEXO 2

Anexo 2: Tabla de Riesgos Inst itucionales

Nº CLASIFICACIÓN NOMBRE DEL RIESGO DESCRIPCIÓN

01 OPERATIVO Uso indebido de la informaciónPosibilidad de que se acceda, manipule y/o divulgue sin

autorización la información privilegiada o de reserva que se origine,suministre o custodie en la entidad.

02 FINANCIEROImposibilidad de atender

oportunamente las devoluciones deimpuestos

Posibilidad de que las restricciones legales, la disponibilidad deTIDIS o de efectivo retrasen las devoluciones de impuestos.

03 OPERATIVO Dificultad en la suscripción deconvenios internacionalesPosibilidad de que se impida la realización de los convenios

internacionales o los mismos no generen cooperación efectiva

04 CUMPLIMIENTO Inestabilidad jurídicaPosibilidad de que el cambio recurrente en la normatividad aplicable

afecte negativamente la eficiencia, eficacia y efectividad de losprocedimientos.

05 OPERATIVOCapacitación deficiente e insuficientePosibilidad de que la capacitación dada al personal de la entidad nocumpla parcial o totalmente con las expectativas y necesidades de

cada una de las áreas para la gestión de sus procedimientos

06 OPERATIVODaños, deterioro o pérdida de

equipos y herramientas de trabajoexcepto hardware y software

Posibilidad de que se presenten daños o fallas en el funcionamientode vehículos, muebles y enseres, elementos de laboratorio,

elementos de almacenaje y cualquier herramienta que utilicen losfuncionarios en desarrollo de sus actividades y que no esté

clasificada como hardware o software.

07 OPERATIVO Afectación de la DIAN por laocurrencia de fenómenos naturales

Posibilidad de que se presenten fenómenos naturales tales comoterremotos, sismos, avalanchas, inundaciones, granizadas, etc., que

puedan afectar el normal desarrollo de los procedimientos de laDIAN en cualquiera de sus dependencias.

08 OPERATIVO Deficiencia en los insumos deinformación del procesoDificultad para obtener o acceder a la información necesaria,

suficiente y apropiada requerida para desarrollar las actividades delos procedimientos.

09 OPERATIVODeficiencia en los recursos logísticosfísicos (excepto hardware y software)

Dificultades para desarrollar los procesos de la entidad ante laposibilidad de no contar con los recursos logísticos físicosnecesarios y/o de baja calidad, tales como: escáneres, mobiliario,

equipos de transporte, elementos de seguridad industrial,herramientas, entre otros.

Deficienciaenlosinsumosdiferentes Dificultad de acceder u obtener insumos de calidad diferentes a


38/54


ANEXO 2


12 OPERATIVOFalta de compromiso por parte delpersonal de otros procesos para

participar en las actividadesprogramadas

Ausentismo y desinterés durante la realización de actividades quese programen con otros procesos.

13 OPERATIVODeterioro, pérdida y/o daño de

mercancía y bienes a cargo de laentidad.

Posibilidad de que los bienes y/o mercancía aprehendida,decomisada, abandonada o recibida en dación de pago y que este

en poder de la entidad. se deteriore, pierda o dañe.14 OPERATIVO Deterioro, pérdida y/o daño de lamuestra

Posibilidad de que la muestra tomada de las mercancías sedeteriore, pierda y/o dañe.

15 OPERATIVO Falla en la Infraestructura física Posibilidad de ocurrencia de daños o colapsos en la infraestructurafísica de la entidad.

16 TECNOLÓGICODeficiencias en el hardware y/o en elsoftwarePosibilidad de que se presenten fallas en el hardware y/o en el

software que destina la entidad para el desarrollo de susoperaciones.

17 TECNOLÓGICOFallas en las telecomunicaciones y/oen el fluido eléctricoPosibilidad de que se presenten fallas en las telecomunicaciones(Internet, redes, intranet, servicio telefónico) o en el fluido eléctrico

de la entidad utilizadas para el desarrollo de sus operaciones.

18 OPERATIVO Falta a la ética y valores Posibilidad de que actos mal intencionados de los funcionariosafecten el normal desarrollo de los procedimientos.

19 OPERATIVO Deficiencias en la información desalida del procedimientoDeficiencia en la información suministrada a los clientes internos yexternos acorde con los atributos de confidencialidad, integridad,

disponibilidad, efectividad, eficiencia y confiabilidad.

20 CUMPLIMIENTOIncumplimiento en la ejecución decontratosPosibilidad de que las obras de ingeniería civil, consultoría yactividades que se contraten no se ejecuten de acuerdo con lo

planeado y/o estipulado.

21 OPERATIVODeficiencia en la asignación de

personal para gestionar losprocedimientos

Posibilidad de que el personal requerido para gestionar losprocedimientos no sea suficiente o no reúna las competencias

necesarias para las funciones a desempeñar.

22 OPERATIVO Pérdida de documentos, bienes y/oinformaciónPosibilidad de que los documentos, bienes y/o información a cargode la entidad se extravíen o sean destruidos total o parcialmente.

23 OPERATIVO Piratería informática

Posibilidad de que terceros accedan fraudulentamente a lossistemas de la entidad con el fin de obtener información privilegiada

y confidencial o causar daños a los mismos sistemas. Incluyetambién la descarga o instalación de software no autorizado o que

no cumpla con los requisitos de derechos de autor.

ó ó lSituación que conlleva que la entidad se vea obligada a archivar los

l d bl h


39/54


ANEXO 2


27 OPERATIVO Clientes de difícil manejoPosibilidad de que en la atención o interacción con clientes

alterados, estos puedan afectar la integridad física y/o psicológicade los funcionarios

28 CUMPLIMIENTO Vacíos normativosPosibilidad de que se presenten diferentes interpretaciones,

carencias o ausencia de la normatividad tributaria, aduanera ycambiaria

29 ESTRATÉGICO Deficiencias en la planeaciónestratégica y operativa de la entidadDeficiencias en la planeación estratégica y operativa de la entidadtales como definición de políticas, establecimiento de instrucciones

de carácter general, entre otros.

30 ESTRATÉGICODisminución de la credibilidad en lasinstituciones del EstadoPosibilidad de que los ciudadanos perciban la gestión del Estado

negativamente.

31 ESTRATÉGICODesactualización del Registro ÚnicoTributario (RUT)Posibilidad de que la información contenida en el RUT esté

desactualizada.

32 ESTRATÉGICORecortes al presupuesto de inversiónpor parte del sector Hacienda y DNP

Posibilidad de que por política nacional los organismos encargadosasignen menor presupuesto a la entidad afectando su

funcionamiento.

33 ESTRATÉGICOCobertura parcial o insuficiente de losprogramas de controlImposibilidad de que la DIAN pueda hacerle control mínimo al

universo de contribuyentes

34 ESTRATÉGICO Continuidad en la concesión detratamientos tributarios preferenciales

Posibilidad de que otorgamientos de beneficios tributarios yaduaneros coexistan y perduren con el régimen tributario y

aduanero ordinario, lo cual hace al sistema más complejo y másdifícil de administrar.

35 FINANCIEROSobrevaluación de las aprehensiones Posibilidad de que las aprehensiones sean valoradasinadecuadamente

36 ESTRATÉGICODeterioro en el clima organizacional Situaciones que afecten el comportamiento, expectativas ydinámicas del entorno laboral.

37 ESTRATÉGICODeficiencia en la capacidad de

respuesta a los cambios del entornoeconómico.

Imposibilidad de actuar de la entidad por desconocimiento deoperaciones de difícil control que se crean con los cambios del

entorno económico.

38 OCUPACIONAL Afectación por exposición a agentes

biológicos

Posibilidad de que se afecte la salud humana por exposición aagentes biológicos (microorganismos, bacterias, hongos, virus,

ácaros, entre otros) en los lugares y condiciones de trabajo o dondese realicen los procedimientos.

39 OCUPACIONAL Afectación psicolaboralPosibilidad de daños en la salud de los trabajadores por el

desarrollo de actividades con alta exposición a la crítica interna ypública, agresión de compañeros y superiores, trabajo bajo presión

y otros.

º


40/54


ANEXO 2

Nº CLASIFICACIÓN NOMBRE DEL RIESGO DESCRIPCIÓNafecten su salud.

43 OCUPACIONALExposición a condiciones físicasdesfavorablesPosibilidad de que los funcionarios estén expuestos a condiciones

de trabajo donde los factores como la luz, ruido, calor y frío losafecten negativamente.

44 OCUPACIONAL Afectación a la integridad físicaPosibilidad de que la realización de actividades monótonos,

repetitivas, de fuerza extrema, inseguras afecten la salud física delfuncionario.

45 OPERATIVO Vencimiento de TérminosIncumplimiento de los téminos legales (prescripción, caducidad) enlas actuaciones que debe realizar la DIAN en cumplimiento de sus

funciones

46 OPERATIVOFalta, omisión o fallas en la aplicación

de criterios técnicos para laselectividad de casos y/o programas.

Posibilidad de que no se apliquen, se apliquen de manera deficienteo se desconozcan los criterios de riesgos y los análisis o estudios

técnicos para seleccionar los casos o programas

47 ESTRATÉGICODeficiencias en la función gerencial Limitaciones en la administración de la entidad, seguimiento yevaluación de los resultados y operación de la Entidad por parte dela Alta Gerencia.

La información correspondiente a las causas y consecuencias de los riesgosoperacionales de la DIAN será publicada en in situ para el conocimiento de todos losempleados públicos de la Entidad.

ORDEN ADMINISTRATIVA Nº


41/54


ANEXO 2

Anexo 3 Tabla de medición del impacto

Para evaluar las consecuencias que se deriven de la ocurrencia de un evento de riesgo sedefinieron las siguientes dimensiones:

Y para medir el impacto del riesgo en cada una de estas dimensiones se definieron cuatroniveles que gradúan en forma ascendente la incidencia del evento en la entidad:

o Leve;o Moderado;o Grave y,o Crítico.

DESCRIPCIÓN DE LAS DIMENSIONES UTILIZADAS EN LA TABLA DE IMPACTO PARA LA MEDICIÓN DERIESGOS

DIMENSIÓNECONÓMICA

Costo asociado a la materialización del riesgo analizado desde la perspectiva del costo fiscal, esdecir, la disminución en el recaudo de los tributos y desde la perspectiva del costo financiero parala entidad, entendido como el deterioro del presupuesto asignado para su funcionamiento.

DIMENSIÓNIMAGEN

INSTITUCIONAL

Detrimento de la imagen de la entidad evaluado desde la percepción del cliente, teniendo encuenta el volumen de quejas, reclamos, sugerencias y peticiones (QRSP), las posibles sancionespor parte de entes de control y el nivel que alcance la divulgación de los riesgos materializados.

DIMENSIÓNOPERACIONAL Retraso en la operación de la entidad evaluado con base en la duración del evento y la cantidadde información que pueda verse afectada o comprometida por la ocurrencia del evento de riesgo.

DIMENSIÓNHUMANA

Daños que pueden presentarse en la integridad física de funcionarios o clientes debido a lamaterialización del riesgo


42/54

ORDEN ADMINISTRATIVA Nº 000014 de diciembre 14 de


43/54

2009 ANEXO 2

Anexo 4 Tabla de medición de la probabi lidad

Para medir la frecuencia con la que se podrían materializar los eventos de riesgo seplantearon cuatro intervalos de probabilidad:

o Bajao Mediao Altao Muy alta.

MUY ALTA(VALOR=4)

ALTA(VALOR=3)

MEDIO(VALOR=2)

BAJA(VALOR=1)

TABLA DE ME DIC IÓN DE L

Documents

Metodologia Sistema Admon Riesgos