Académique Documents
Professionnel Documents
Culture Documents
A partir del promedio simple de la valoracin de los riesgos institucionales, se construy un mapa de riesgos para
la entidad.
Esta metodologa permiti identificar los riesgos de mayor severidad, que deben ser objeto de atencin por parte
de la alta direccin de la organizacin.
Presentacin
3. Resultados obtenidos
4. Conclusiones preliminares
Anexos
El presente documento tiene el propsito de identificar los riesgos operacionales de mayor incidencia en la
Entidad, labor realizada en el marco de la metodologa denominada Elementos para la Construccin del Sistema
de Administracin de Riesgos que se public el 5 de diciembre de 2008 y la cual fue desarrollada teniendo en
cuenta las normas tcnicas de calidad nacionales e internacionales tales como la Gua de Administracin del
Riesgo, segunda edicin. Colombia 2004. La Gua del Departamento Administrativo de la Funcin Pblica, el
Estndar Australiano de Administracin de Riesgos, AS/NZS 4360:1999 y las normas tcnicas de calidad
colombiana NTC 5254, NTCGP 1000:2004 y MECI (Modelo Estndar de Control Interno)
Posteriormente en noviembre y diciembre del ao 2009 esta metodologa fue actualizada de acuerdo a la norma
ISO 31000 Risk Management Principales and Guidelines 2009 de la Organizacin Internacional de
Estandarizacin y la norma tcnica de calidad en la Gestin Pblica NTCGP 1000:2009 de Colombia.
En concordancia con esta metodologa, se realiz la valoracin de los riesgos a partir de tres actividades:
identificacin, anlisis y evaluacin, efectuadas en cada uno de los 189 procedimientos institucionales, con ayuda
de una herramienta tecnolgica desarrollada para el efecto bajo el modelo Muisca y nombrada formato 1387. En
el contenido de este documento se explica su utilidad.
Cada uno de los riesgos institucionales cuenta con su respectivo Nmero, que corresponde a un cdigo
consecutivo; la Clasificacin, con la que se tipifican los riesgos a partir de siete (7) categoras; el Nombre del
Riesgo, el cual se expresa en trminos generales; y la Descripcin del Riesgo, que se refiere en trminos
especficos al significado del riesgo para la Entidad. De igual manera, se incluyen las Causas y Consecuencias
establecidas para cada uno de los riesgos, las cuales se presentan en el Anexo No. 1 de este documento.
En cuanto a la tipologa de los riesgos, la Entidad adopt lo propuesto por el Departamento Administrativo de la
Funcin Pblica, clasificndolos en las siguientes categoras: Operativo, Financiero, Tecnolgico, Estratgico,
Cumplimiento, Ocupacional y Ambiental. Las dos ltimas categoras no fueron incluidas en la construccin de los
Mapas de Riesgos por Procedimientos debido a que su identificacin, calificacin y tratamiento, se regulan por
normatividad tcnica y especfica y son de competencia de otras dependencias en la Entidad.
Imposibilidad de atender
Posibilidad de que las restricciones legales, la disponibilidad de
2 FINANCIERO oportunamente las devoluciones de
TIDIS o de efectivo retrasen las devoluciones de impuestos
impuestos
Dificultad en la suscripcin de Posibilidad de que se impida la realizacin de los convenios
3 OPERATIVO
convenios internacionales internacionales o los mismos no generen cooperacin efectiva
Posibilidad de que el cambio recurrente en la normatividad aplicable
4 CUMPLIMIENTO Inestabilidad jurdica afecte negativamente la eficiencia, eficacia y efectividad de los
procedimientos
Deterioro, prdida y/o dao de Posibilidad de que los bienes y/o mercanca aprehendida,
13 OPERATIVO mercanca y bienes a cargo de la decomisada, abandonada o recibida en dacin de pago y que este
DIAN en poder de la DIAN, se deteriore, pierda o dae
Deterioro, prdida y/o dao de la Posibilidad de que la muestra tomada de las mercancas se
14 OPERATIVO
muestra deteriore, pierda y/o dae
Posibilidad de ocurrencia de daos o colapsos en la infraestructura
15 OPERATIVO Falla en la infraestructura fsica
fsica de la DIAN
Disminucin de la credibilidad en las Posibilidad de que los ciudadanos perciban la gestin del Estado
30 ESTRATGICO
instituciones del Estado negativamente.
Desactualizacin del Registro nico Posibilidad de que la informacin contenida en el RUT est
31 ESTRATGICO
Tributario (RUT) desactualizada
Tal y como se explic en el numeral 1 del presente documento, la Valoracin de los riesgos se realiz con base
en la metodologa denominada Elementos para la Construccin del Sistema de Administracin de Riesgos, la
cual establece que esta etapa se lleva a cabo con tres actividades: Identificacin, Anlisis y Evaluacin. En la
Identificacin se parte de los Riesgos Institucionales descritos. El Anlisis, consiste en la medicin inherente
(estado de los riesgos antes de la implementacin de controles) en trminos de probabilidad de ocurrencia y
magnitud de impacto, y se determinaron para ello dos tablas, las cuales se detallan ms adelante. Y por ltimo la
Evaluacin, permite examinar la reduccin de severidad de los riesgos inherentes a travs de los controles y as
obtener la calificacin residual.
La tabla de medicin de probabilidad de ocurrencia es sencilla y de fcil manejo para los funcionarios teniendo
en cuenta su experiencia en la realizacin de las actividades ejecutadas en cada procedimiento, y de gran ayuda
cuando se tiene deficiencias de estadsticas o mediciones de todas las actividades de la operacin, generando un
anlisis ms objetivo de la calificacin a asignar. Las calificaciones determinadas en esta tabla son: Muy Alta
(Valor=4), Alta (Valor=3), Media (Valor=2) y Baja (Valor=1).
La tabla de medicin de impacto por ocurrencia determina las consecuencias internas que se derivan de la
ocurrencia del riesgo en la DIAN, definiendo cuatro dimensiones especificas (Econmica, Imagen Institucional,
Operacional y Humana), y que al ser aplicada aporta mayor agilidad a la determinacin de dichas calificaciones
puesto que en ella los funcionarios expertos ven reflejados los efectos que pueden evidenciarse al presentarse
algn riesgo operacional.
Las tablas de medicin de la probabilidad de ocurrencia e Impacto por ocurrencia, son de gran utilidad puesto que
se utiliza una medicin 4 x 4 a fin de evitar los sesgos de conveniencia que usualmente son adoptados por los
evaluadores, y que tienden a generar calificaciones agrupadas en el punto central que pueden dar las mediciones
5 x 5 o 3 x 3.
Una vez culminada la Valoracin para cada uno de los 189 procedimientos institucionales realizada en el formato
1387, herramienta informtica desarrollada para tal fin, se realiza una labor de formulacin de cada uno de los
campos contenidos en dicho formato, con el objetivo de consolidar la informacin y en trminos de promedio,
lograr determinar cules son los riesgos de mayor incidencia en la Entidad. Las calificaciones promedio de la
probabilidad y el impacto se ven afectadas por el nmero de procedimientos que consideraron en su valoracin a
los diferentes riesgos. Sin embargo se decidi prescindir de tomar el promedio de cada riesgo con base en los
189 procedimientos, en razn a que cada riesgo es representativo de la entidad en conjunto.
A partir de la consolidacin de la informacin de los 189 Mapas de Riesgos por Procedimientos, que puede
denominarse el universo de informacin, se logra determinar cules son los riesgos de mayor incidencia en la
Entidad, cules son los que se valoraron con mayor frecuencia, cules no fueron considerados en ninguno de los
procedimientos y grficamente se determina el mapa de riesgos inherente, que muestra el estado de los riesgos
antes de la implementacin de controles, y el Mapa de Riesgos Residual que muestra la reduccin de severidad
de los riesgos inherentes gracias a la aplicacin de los controles establecidos.
En este universo de informacin pueden proliferar los controles para un mismo riesgo, en razn a que cada
procedimiento de manera independiente gener los controles del caso. Esta caracterstica demanda un
importante esfuerzo institucional para identificar los controles ms efectivos y promover su aplicacin homognea
en toda la entidad. En la medida en que se generen controles concretos de gran efectividad, su aplicacin
producir un significativo impacto en toda la organizacin.
En el ejercicio de valoracin, los funcionarios expertos deciden cules de los 189 riesgos estn presentes en el
procedimiento a su cargo. En el contexto del presente documento se denomina frecuencia de los riesgos a la
cantidad de procedimientos que incluyeron un riesgo en su ejercicio de valoracin. La frecuencia del riesgo se
sita en el intervalo [ 0 189 ].
En la tabla que se muestra ms adelante se definieron cuatro categoras para la frecuencia de los riesgos. Se
atribuye la categora Frecuencia Generalizada a aquellos riesgos que se encuentran presentes en el 60% o ms
de los procedimientos institucionales. La Frecuencia Intermedia se asigna a aquellos riesgos que se presentan en
ms del 30% y menos del 60% de los procedimientos. La Frecuencia Baja es corresponde a los riesgos que
fueron valorados por ms del 10% y menos del 30% de los procedimientos, y la Frecuencia Localizada se asocia
a los riesgos que se presentan en menos del 10% de los procedimientos.
Un riesgo de frecuencia baja o localizada potencialmente puede tener un gran impacto sobre la organizacin y no
debe perderse de vista para efectos de determinar el tratamiento a seguir. Sin embargo, en primera lnea deben
ubicarse aquellos riesgos que estn diseminados en toda la organizacin, es decir los riesgos de frecuencia
generalizada.
6 Daos, deterioro o prdida de equipos y herramientas de trabajo excepto hardware y software 24 12,7% Baja
Tal como se anunci, tambin se ha construido a partir de la informacin recolectada de los 189 Mapas de
Riesgos por Procedimientos, un Mapa Inherente que permite visualizar la ubicacin de aquellos riesgos valorados
en trminos de Probabilidad e Impacto cuyo cruce ubica los riesgos en cuatro zonas de severidad promedio
permitiendo identificar los riesgos que requieren mayor prioridad de gestin. Este Mapa se constituye en la
fotografa de la situacin de los riesgos de la Entidad antes de la implementacin de los controles y sirve como
seal de alerta para su efectiva gestin.
M
U
Y
A
L
T
A
23
P A
R L 48 25
O T
35
B A
A
B
I 1 8 22 45
L 9 16 2 46
I M
3 24 31
D E
A D 11 32 4
D I 5 12 19
A
13 27
21 28 37 14
15 29
30
B 10 17 47
A
18
J
A 26
6 20 36
7
LEVE MODERADO GRAVE CRTICO
IMPACTO
Zona Riesgo Inaceptable
Zona Riesgo Importante
Zona Riesgo Moderado
Zona Riesgo Aceptable
Es importante destacar que la funcin de los controles en la construccin de los mapas de riesgo es mitigar la
probabilidad de que los riesgos se materialicen y, en ocasiones, cuando se renen ciertas calidades los controles
tambin pueden morigerar el impacto del evento de riesgo.
En la construccin de los mapas de riesgos a nivel de los procedimientos institucionales, la efectividad de los
controles fue determinada nominalmente por parte de los funcionarios expertos en cada procedimiento. An la
DIAN no ha efectuado el monitoreo de los controles establecidos a fin de evaluar su efectividad. Es por ello que
en el estadio en que se encuentra el sistema no debe perderse de vista el mapa de riesgos inherente,
especialmente para priorizar los riesgos que merecen atencin particular y la definicin de los correspondientes
planes de mejora.
M
U
Y
A
L
T
A
P A
R L
O T
B A
A
B
I
L 23
I M
31
D E
A D 32
D I
A
37
15 29 1 8 22 45
9 2 16 30 46
B 10 3 17 47 24
A
18 48 4 11 25
J
A 5 12 19 35 26
6 36 13 20 27
7 21 28 14
LEVE MODERADO GRAVE CRTICO
IMPACTO
Zona Riesgo Inaceptable
Zona Riesgo Importante
Zona Riesgo Moderado
Zona Riesgo Aceptable
A fin de determinar cules son los riesgos institucionales que mayor impacto tienen sobre la organizacin se debe
acudir al mapa de riesgos residual. Sin embargo, antes de llevar a cabo el anlisis es preciso realizar dos
advertencias.
En primer lugar el mapa residual agregado que se presenta en este documento no fue construido con la
metodologa estndar sino que es un promedio simple de la valoracin efectuada en cada uno de los 189 mapas
de los procedimientos de la entidad. En otras palabras, este mapa de toda la organizacin no representa
estrictamente el todo sino que es resultado de la suma de las partes.
En segundo trmino, como ya se advirti previamente, los controles an no han sido objeto de monitoreo.
Aunque en el mapa de riesgos inherente uno de los riesgos estaba situado en la zona de severidad inaceptable
(Roja) y 10 riesgos ms se ubicaban en la zona de severidad importante (Naranja), en virtud de la efectividad de
los controles, se observa que en el mapa de riesgos residual no qued ningn riesgo ubicado en estas zonas de
severidad.
De los 39 riesgos institucionales valorados, el 21% de ellos se localizaron en la zona de severidad moderada
(Amarilla) en el mapa de riesgos residual y el restante 79% en la zona aceptable (Verde).
Entre los 8 riesgos ubicados en la zona de severidad moderada del mapa de riesgos residual, se pueden
diferenciar dos grupos. Uno de ellos corresponde a cinco riesgos que estaban ubicados en el mapa de riesgos
inherente en la zona inaceptable o importante; el otro, corresponde a tres riesgos que se mantuvieron en dicha
zona.
A pesar de que los controles establecidos para este primer grupo lograron reducir su probabilidad de ocurrencia,
ellos continan siendo los que relativamente tienen mayor severidad para la organizacin.
- 16 - Versin No.1. Sep. 2010
Los riesgos del segundo grupo son:
Este segundo grupo contiene riesgos cuya probabilidad de materializacin e impacto no han logrado mitigarse y,
por lo tanto, es fundamental revisar los controles establecidos para ajustarlos o reemplazarlos a fin de lograr
mayor efectividad.
Dificultad en la suscripcin de Deficiencias en las polticas de la DIAN Efectos negativos en la competitividad del pas
3
convenios internacionales
Deficiencias en el apoyo de otras instituciones relacionadas
Mayores niveles de incumplimiento
con la gestin internacional
Pases que no desean colaborar con Colombia Desestmulos a la inversin extranjera
Prdida de competitividad de la economa
Presiones de grupos polticos y/o econmicos Inadecuada aplicacin de las normas
Cambio de polticas macroeconmicas Afectacin negativa en la competitividad del pas
Necesidad de dar respuesta a condiciones especiales en
4 Inestabilidad jurdica sectores econmicos y grupos de poblacin (regiones) Inconvenientes en la planeacin para la DIAN y clientes
Dinmica del Comercio Exterior Bajo cumplimiento del propsito de las medidas
Ineficiencia en los procedimientos
Capacitacin deficiente e Inadecuada identificacin de las necesidades de
5 Productos de baja calidad
insuficiente capacitacin
Restricciones presupuestales Cumplimiento deficiente del propsito del procedimiento
Limitacin de ofertas de capacitacin especializada Desconocimiento y mala aplicacin de los procedimientos
Retraso en el desarrollo de las actividades propias del
Capacitacin de baja calidad
procedimiento
Dificultades logsticas
Afectacin de la DIAN por la Inadecuado mantenimiento a las estructuras Lesiones a la integridad fsica de funcionarios y/o clientes
7 ocurrencia de fenmenos Inapropiados planes de contingencia Interrupcin total o parcial de la operacin
naturales
Ubicacin de infraestructura y oficinas en zonas
vulnerables a los fenmenos naturales o de alto riesgo
No tener identificada la informacin requerida Producto de baja calidad
Desconocimiento del procedimiento por parte de quien
Reproceso
entrega o recibe el insumo
Inoportunidad o errores en la informacin remitida Desacierto en la toma de decisiones
Deficiencia en los insumos de Retrasos en el desarrollo de las actividades propias del
8 Capacitacin deficiente y/o insuficiente
informacin del proceso procedimiento
Deficiencias en las actividades de planeacin para la
ejecucin del procedimiento
Limitacin en el acceso a los Sistemas de Informacin
Electrnicos de la DIAN o de entidades del Estado
Falta identificacin de los recursos fsicos y/o tecnolgicos
Producto de baja calidad
requeridos
Desconocimiento del procedimiento por parte del proveedor
Reproceso
del insumo
No controlar la calidad de los recursos fsicos y/o
Desacierto en la toma de decisiones
tecnolgicos recibidos
Deficiencia o ausencia de los Retrasos en el desarrollo de las actividades propias del
9 recursos logsticos fsicos Falta identificacin de los recursos logsticos fsicos
procedimiento
(excepto hardware y software)
Desconocimiento del procedimiento por parte de quien
entrega o recibe el insumo
Control deficiente de la calidad de los recursos logsticos
fsicos
Inexistencia de solicitud o ausencia de la debida
justificacin para acceder a la asignacin de los recursos
logsticos fsicos
Falta de claridad en la identificacin de los insumos Producto de baja calidad
Desconocimiento del procedimiento por parte del proveedor
Reproceso
Deficiencia en los insumos del insumo
10
diferentes a informacin
No controlar la calidad del insumo Desacierto en la toma de decisiones
Retrasos en el desarrollo de las actividades propias del
procedimiento
Desactualizacin normativa de
11 las bases de datos del sistema Inestabilidad jurdica Desacierto en la toma de decisiones
jurdico
Diversidad de fuentes de informacin jurdica Errores en los procedimientos
Prdida de documentos, Espacios fsicos inadecuados e insuficientes para la Retrasos en el desarrollo de las actividades propias del
22 custodia de la informacin procedimiento
bienes y/o informacin
Eventos de fuerza mayor (robo de terceros, incendios,
Sanciones para la entidad
fenmenos de la naturaleza, anegacin)
Deterioro en el clima Ineficiente asignacin de cargas de trabajo Operacin de menor calidad, deterioro de la imagen de la DIAN
36
organizacional
Deficiencias en liderazgo relacionado con talento humano Desmotivacin de los empleados
Irrespeto al conducto regular en la toma de decisiones Deficiencia o no realizacin del procedimiento
Aumento en la complejidad de las operaciones econmicas
Deterioro del recaudo
por su propia dinmica
Deficiencia en la capacidad de Percepcin de ineficacia de la DIAN
37 respuesta a los cambios del
Aumento de la evasin y/o elusin
entorno econmico
Prdida de oportunidad de controlar operaciones novedosas y/o
complejas
No contar con los elementos de proteccin adecuados Epidemias
Existencia de agentes biolgicos en el ambiente Afectaciones generales a la salud
Mal manejo de desechos