MANUAL DE PROCESOS DE EVALUACION

CONTROL, EVALUACION Y MEJORA DEL SISTEMA DE GESTION

ADMINISTRACIN DEL RIESGO
MATRIZ ADMINISTRACION DEL RIESGO
FECHA DE ACTUALIZACIN:

9/6/2013
IDENTIFICACION DEL RIESGO

(1) TIPO DE PROCESO

(2) PROCESO

(3) OBJETIVO

(4) PROCEDIMIENTO

Control Evaluacin y Mejora del Sistema de Gestin

EVALUACIN

AUDITORIAS INTEGRALES DE
GESTIN

(5) ACTIVIDADES

(6) CLASIFICACIN
DEL RIESGO

1. ELABORACION PROGRAMA ANUAL DE OPERACIONAL

AUDITORIAS
CORRUPCION
2. PRESENTACION Y APROBACIN DEL
PROGRAMA ANUAL DE AUDITORIAS
3.ELABORACION PLAN DE LA AUDITORIA
4.PRESENTACION Y APROBACIN DEL
PROGRAMA ANUAL DE AUDITORIAS
5.COMUNICACIN PLAN DE AUDITORIA
6.LISTA DE VERIFICACION
7.REALIZACIN DE LA REUNIN DE
LEGAL
APERTURA
8.EJECUCIN DE LA AUDITORIA
9.ELABORACION Y REVISIN DEL
INFORME
10.ELABORACIN INFORME EJECUTIVO
CONSOLIDADO
11. ARCHIVO
12. EVALUACIN DE LA AUDITORA

CORRUPCION

Evaluar y asesorar de manera

oportuna e independiente el
desarrollo y mejora contina del
sistema de gestin integral HSEQ
de la corporacin.

MEJORA

1. IDENTIFICACIN DEL PROCESO, OPERACIONAL

FUENTE Y HALLAZGO
2. DETERMINACIN DE CAUSAS
3. DEFINICIN DE LAS ACCIONES
4. EJECUCIN DE LA ACCIONES
5. SEGUIMIENTO A LAS ACCIONES
TOMADAS
6. INFORME PLAN DE MEJORAMIENTO
7. ARCHIVO
LEGAL

(7) CAUSA

Programacin espordica y descoordinada de

seguimiento y evaluacin.
Falta de competencia y
criterio de los auditores.

No presentacin de los informes a los Entes de

Control.

Inseguridad en el cuidado de expedientes y

documentos.
Demora injustificada en el
estudio anlisis, pruebas y evaluacin de los
expedientes.

No fortalecer el sistema de gestin de la

Corporacin.
No generar acciones de mejora a los procesos.

Deficiente
seguimiento
Mejoramiento.

al

Plan

de

Incumplimiento en la presentacin de los

informes de seguimiento a la CGR.

ACOMPAAMIENTO Y
ASESORA A LA GESTIN
INSTITUCIONAL

1. RECIBO DE INFORMACIN
2. INFORMACIN DEL
PROCEDIMIENTO
3. REVISIN DE DOCUMENTOS
4. ELABORACIN PAPELES DE
TRABAJO
5. ELABORACIN DE INFORMES
6. SEGUIMIENTO (PC)
7. ARCHIVO INFORMACIN

OPERACIONAL

Deficiente capacitacin y falta de idoneidad del

grupo de auditores internos.

MPE-01-F-03-2
FECHA

VERSIN

8/12/2013

ANLISIS DE CALIFICACION Y EVALUACION DEL RIESGO

(8) DESCRIPCIN DEL RIESGO

(9) PROBABILIDAD

(10) IMPACTO

(11) ALCANCE

(12) CALIFICACION
(9+10+11)

VALORACION Y SEGUIMIENTO DE LOS RIESGOS Y CONTROLES

(13) ZONA DE
RIESGO

(14)
CLASIFICACIN
DE LOS
CONTROLES

(15) ACCIONES DE CONTROL

(16) RESPONSABLES

(17) EVIDENCIA DEL

CONTROL

Jefe Oficina de Control

Interno

Programa de auditoria
Hoja de vida de los auditores

Programa de auditoria aprobado por el

comit de Control Interno .
Baja capacidad de
evaluacin y
seguimiento a los procesos misionales y de
apoyo.

2.6

ALTO

Preventivos

Sanciones disciplinarias, penales o fiscales

por el Incumplimiento de las obligaciones
legales.

2.6

ALTO

Preventivos

Cumplimiento de las fechas establecidad

segn la NORMATIVIDAD VIGENTE.
Jefe Oficina de Control
Revisin y aprobacin de los informes por
Interno
el Jefe de la oficina

Informes de auditoria

Inadecuado manejo
documentos

2.1

MEDIO

Preventivos

Custodia de los documentos de auditoria

Auditores

Archivo y entrega de
documentacin

El no mejoramiento continuo del sistema de

gestin.

2.3

MEDIO

Preventivos

Seguimiento
acciones.

Jefe Oficina de Control

Interno - Equipo de
Control Interno

Informes de seguimiento

Sanciones por los entes de control por

deficiente
aplicacin
de
las
recomendaciones formuladas.

2.6

ALTO

Preventivos

Seguimiento
a
los
planes
de
mejoramiento.
Informes de seguimiento
Jefe Oficina de Control
Si no se implement, requerir al Lder del
Requerimientos a los lideres de
Interno
proceso para que ejecute la accin
los procesos
correctiva.

Falta de competencias, objetividad

independencia de los auditores internos.

2.3

MEDIO

Preventivos

de

expedientes

Revisin y
aprobacin de los informes de
seguimiento por el Jefe de la oficina.
Listado de
auditores con el respectivo perfil .

al

cumplimiento

de

las

Revisin y aprobacin de los informes de

seguimiento por el Jefe de la oficina.

Jefe Oficina de Control

Interno

Programa de auditoria

VALORACION Y SEGUIMIENTO DE LOS RIESGOS Y CONTROLES

(18) VALORACION
DEL CONTROL

(19) RIESGO Vs.

CONTROL

(20) VALORACION DEL

RIESGO

5.2

MODERADO

5.2

MODERADO

2.1

ACEPTABLE

4.6

MODERADO

5.2

MODERADO

4.6

MODERADO

INSTRUCTIVO PARA EL DILIGENCIAMIENTO DE LA MATRIZ DE ADMINISTRACIN DEL RIESGO

Identificacin de riesgos
(1) Tipo de Proceso: En este espacio debe definirse el tipo de proceso al que corresponde de acuerdo a los definidos en el Mapa de Procesos: Gerenciales /
Estratgico, Operativo / Misional, Apoyo y Evaluacin.
(2) Proceso: Indicar el nombre del Proceso que corresponde de acuerdo al Mapa de Procesos del Sistema de Gestin de la Corporacin.
(3) Objetivo: Hace referencia la objetivo del Proceso, descrito en la caracterizacin del mismo.
(4) Procedimiento: Escribir el nombre del procedimiento relacionado con el proceso objeto de anlisis,
(5) Actividades: escribir las actividades correspondientes al procedimiento en las cuales se identifican los factores de riesgos.
(6) Clasificacin del Riesgo: durante el proceso de identificacin del riesgo se recomienda hacer una clasificacin de los riesgos, con el fin de establecer con
mayor facilidad el anlisis del impacto, teniendo en cuenta los siguientes conceptos:

Riesgo Estratgico: se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la
misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad por parte de la alta gerencia.

Riesgos de Imagen: estn relacionados con la percepcin y la confianza por parte de la ciudadana hacia la institucin.
Riesgos Operativos: comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de informacin institucional, de la definicin de los
procesos, de la estructura de la entidad, de la articulacin entre dependencias.
Riesgos Financieros: se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecucin presupuestal, la elaboracin de los estados
financieros, los pagos, manejos de excedentes de tesorera y el manejo sobre los bienes.
Riesgos de Tecnologa: estn relacionados con la capacidad tecnolgica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de
la misin.
Riesgos de Cumplimiento: se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de tica pblica y en general con su
compromiso ante la comunidad.

(7) Causa: son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que
tienen la capacidad de originar un riesgo. En este punto debe describirse las causas que originan los riesgos identificados de acuerdo a los factores internos y
externos analizados que pueden afectar el logro de los objetivos del proceso.
(8) Descripcin del Riesgo: se debe describir los riesgos que pueden afectar el normal desarrollo de las actividades de acuerdo a las causas identificadas.
Anlisis de calificacin y evaluacin del riesgo
El anlisis de riesgos busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, ste ltimo aspecto puede orientar la clasificacin del
riesgo, con el fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar.
Con la informacin recogida o suministrada se determina el impacto y la probabilidad de los riesgos clasificndolos y evalundolos para poder hallar la capacidad
de la corporacin en su aceptacin o manejo.
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia.
Por impacto se entiende las consecuencias que puede ocasionar a la organizacin la materializacin del riesgo.
Para el Anlisis del Riesgo se puede implementar los siguientes criterios de calificacin y valoracin del riesgo establecidos por la Corporacin

(9) Probabilidad: Se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia.
Nivel

Descriptor

Casi seguro

Posible

Raro

Tabla de probabilidad
Descripcin
Frecuencia
Se espera que el evento ocurra en la mayora de
Ms de una vez al ao
las circunstancias
Al menos 1 vez en los ltimos
El evento podra ocurrir en algn momento
2 aos
El evento puede ocurrir solo en circunstancias No se ha presentado en los
excepcionales
ltimos 5 aos

(10) Impacto: Se entiende las consecuencias que pueden ocasionar a la organizacin la materializacin del riesgo. Escala de medida cualitativa estableciendo
las categoras y la descripcin. Por ejemplo:
Tabla de Impacto
IMPACTO

Toda versin impresa de este documento se considera documento o copia no controlada

Pgina 4 INSTRUCTIVO MATRIZ RIESGOS

INSTRUCTIVO PARA EL DILIGENCIAMIENTO DE LA MATRIZ DE ADMINISTRACIN DEL RIESGO

No.

Rango

Severo

Moderado

Leve

Descripcin
Si el hecho llegara a presentarse, tendra alto impacto o efectos sobre
la entidad.
Si el hecho llegara a presentarse, tendra mediano impacto o efectos
sobre la entidad.
Si el hecho llegara a presentarse, tendra bajo impacto o efectos
mnimos sobre la entidad.

(11) Alcance: se determina el rea de afectacin afectada por la materializacin del riesgo.
Tabla de Alcance
ALCANCE
No.

Rango

Global

Local

Puntual

Descripcin
Eventos que puede afectar transversalmente la ejecucin de varios
procesos de la entidad
Eventos que pueden afectar la ejecucin del proceso.
Eventos que suceden puntualmente y que se pueden tratar dentro de
los lmites donde se ejecutan las actividades propias del
procedimiento.

(12) Calificacin: resultado de la formula matemtica de la calificacin entre los resultados de la probabilidad Vs impacto Vs alcance, la cual posteriormente
permitir indicar la zona de riesgo en la cual se clasificara el riesgo.
(13) Zona de riesgo: una vez realizado el anlisis de riesgo con base a los aspectos de probabilidad, impacto y alcance, se determina la priorizacin de la zona
de riesgo con base en las formulas establecidas en la matriz, lo que permite determinar cules requieren de un tratamiento inmediato.
Tabla de Zona de Riesgo
ZONA DEL RIESGO
No.

Rango

Descripcin

> = 2,5

ALTO

La zona de riesgo supera los lmites establecidos en cuanto a impacto

y alcance afectando las actividades que realiza la entidad para lo cual
se debe reducir, evitar, compartir o transferir el riesgo implementando
o estableciendo controles adicionales

> 2,0 a < 2,5

MEDIO

La zona de riesgo se encuentra en los limites permisibles en cuanto a

impacto y alcance, para lo cual se debe asumir o reducir el riesgo se
materialice implementando los controles adecuados

< = 2,0

BAJO

La zona de riesgo se encuentra dentro de los rangos establecidos por

la entidad en cuanto alcance e impacto permitiendo asumir el control
del riesgo.

Valoracin y Seguimiento de los riesgos y controles:

(14) Clasificacin de los controles:
Para realizar la valoracin de los controles existentes es necesario recordar que stos se clasifican en:
- Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin.
- Correctivos: aquellos que permiten el restablecimiento de la actividad, despus de ser detectado un evento no deseable; tambin permiten la modificacin de
las acciones que propiciaron su ocurrencia.
(15) Acciones de Control: una vez determinada la zona de riesgo, se debe analizar alguna accin preventiva o control para reducir la probabilidad de
materializacin del riesgo, la cual debe escribirse en este tem.
(16): Responsables: hace referencia a los lderes de los procesos donde se desarrollarn las acciones propuestas y los responsables de ejecutarlas.
(17) Evidencia del control / Indicador: se debe indicar los registros donde se evidencia la aplicacin del control.
(18) Valoracin del Control: la determinacin del control existente al interior de los diferentes procesos y procedimientos que se realizan.
Algunos ejemplos de tipos de control:

Controles de Gestin

Polticas claras aplicadas

Seguimiento al plan estratgico y operativo
Indicadores de gestin
Tableros de control
Seguimiento a cronograma
Evaluacin del desempeo
Informes de gestin

Toda versin impresa de este documento se considera documento o copia no controlada

Pgina 5 INSTRUCTIVO MATRIZ RIESGOS

Controles de Gestin
INSTRUCTIVO PARA EL DILIGENCIAMIENTO DE LA MATRIZ DE ADMINISTRACIN DEL RIESGO
Monitoreo de riesgos
Conciliaciones
Consecutivos
Verificacin de firmas
Listas de chequeo
Registro controlado
Segregacin de funciones
Niveles de autorizacin
Custodia apropiada
Procedimientos formales aplicados
Plizas
Seguridad fsica
Contingencia y respaldo
Personal capacitado
Aseguramiento y calidad
Normas claras y aplicadas
Control de trminos

Controles Operativos

Controles Legales

Tabla de Valoracin del Control

VALORACION DEL CONTROL
No.

Rango

INEFECTIVO

ADECUADO

EFECTIVO

Formula
El control no existe, o existe pero no se aplica, o existe y se aplica
pero el mismo no es efectivo.
El Control existe y est en implementacin pero an no se evidencia
su efectividad.
El control existe y se aplica de manera efectiva, asegurando la no
materializacin del riesgo

(19) Riesgo Vs Control: resultado de la formula matemtica resultante de la calificacin del riesgo vs valoracin del control, la cual permitir la nueva valoracin
del riesgo y su clasificacin luego de aplicado el control.
(20) Valoracin del Riesgo: la determinacin del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad y el alcance con los controles
existentes al interior de los diferentes procesos y procedimientos que se realizan. Se debe tener muy claros los puntos de control existentes en los diferentes
procesos, los cuales permiten obtener informacin para efectos de tomar decisiones, estos niveles de riesgos son:
Tabla de Valoracin del Riesgo
VALORACION DEL RIESGO
No.

Rango

Descripcin

>=6

INACEPTABLE

El control con el que actualmente se cuenta para la mitigacin del

riesgo no asegura que la materializacin del mismo no se presente,
por lo cual la entidad debe adelantar las acciones inmediatas con el
fin de asegurar la efectividad del control (establecer el control,
reevaluarlo, establecer unos nuevos, entre otros).

>3 y <6

MODERADO

El Control existente debe evaluarse mediante auditorias o seguimiento

permanente con el fin de garantizar el resultado satisfactorio del
proceso mediante la mitigacin del riesgo.

ACEPTABLE

Ya la entidad evalu el control y se est asegurando el resultado del

proceso, el riesgo no se ha materializado y mediante la aplicacin de
estos controles se puede asegurar que el riesgo es aceptable y se
controlar a travs de seguimiento de auditorias de gestin y externas
por parte de los entes de control.

<=3

Toda versin impresa de este documento se considera documento o copia no controlada

Pgina 6 INSTRUCTIVO MATRIZ RIESGOS