guía de administración de riesgos

Proceso DIRECCIONAMIENTO ESTRATÉGICO

Procedimiento o Documento: Direccionamiento Institucional

DEPARTAMENTO ADMINISTRATIVO

DE LA DEFENSORÍA DEL ESPACIO PÚBLICO

Guía de

Administración

de Riesgos

Código: 127-GUIDE-05

Vigencia desde: 19/04/2017

Versión: 05

Guía de Administración de Riesgos 127-GUIDE-05

Versión 06

Vigente desde: 21/11/2017

Página 2 de 22

Proceso DIRECCIONAMIENTO ESTRATÉGICO Procedimiento o Documento: Direccionamiento Institucional Código: 127-FORDE- 04 Versión: 2 Vigencia desde: 21/11/2017

TABLA DE CONTENIDO

1. OBJETIVOS DE ESTA GUIA .............................................................................................................................................. 3

2. ALCANCE ........................................................................................................................................................................... 3

3. DEFINICIONES Y SIGLAS .................................................................................................................................................. 3

4. ADMINISTRACIÓN DEL RIESGO ....................................................................................................................................... 5

4.1 COMPROMISO DE LA ALTA DIRECCIÓN ................................................................................................................. 5

4.1.1 Responsable de la implementación ............................................................................................................. 6

4.1.2 Conformación de equipo interdisciplinario ................................................................................................ 6

4.2 GESTIÓN DEL RIESGO ............................................................................................................................................. 6

4.2.1 Información necesaria para la gestión del Riesgo ......................................................................................... 6

4.2.2 Criterios para calificación de riesgos. .............................................................................................................. 9

4.2.3 Matriz de calificación de riesgos ..................................................................................................................... 12

4.2.4 Matriz de calificación de oportunidades ........................................................................................................ 13

4.2.5 Metodología a aplicar para la valoración de los riesgos y oportunidades ............................................... 14

4.2.6 Riesgos a Administrar ........................................................................................................................................ 16

4.3 POLÍTICA DE ADMINISTRACIÓN DE RIESGOS ...................................................................................................... 17

4.3.1 Objetivos que se esperan lograr ...................................................................................................................... 17

4.3.2 Estrategias para establecer cómo se van a desarrollar la política, a largo, mediano y corto plazo. . 17

4.3.3 Comunicación y consulta .................................................................................................................................. 18

4.3.4 Periodicidad de la revisión de los riesgos y ciclo de control de los mismos .......................................... 18

4.3.4 Monitoreo a las acciones definidas ................................................................................................................ 19

4.3.5 Responsables ....................................................................................................................................................... 19

4.3.6 Registro de la administración del riesgo ...................................................................................................... 19


Versión 06


Página 3 de 22


1. OBJETIVOS DE ESTA GUIA

a. Facilitar la valoración de los riesgos y oportunidades en los procesos y proyectos de la entidad con el

fin de definir su tratamiento cuando se requiera.

b. Precisar los criterios para la calificación de los riesgos del DADEP.

c. Establecer los elementos a tener en cuenta para la identificación, análisis y evaluación de los riesgos y

oportunidades del Departamento Administrativos de la Defensoría del Espacio Público.

d. Definir la metodología para la Valoración de los riesgos y oportunidades de la Entidad.

2. ALCANCE

Aplica para la valoración de los riesgos relacionados con todos los procesos, proyectos e investigaciones

adelantadas en la Entidad.

Inicia con la identificación de los riesgos y finaliza con el monitoreo de los niveles de riesgo logrados a través

del tratamiento aplicado, cuando este se requiera.

3. DEFINICIONES Y SIGLAS

a. Administración del Riesgo1: Proceso efectuado por la Alta Dirección de la entidad y por todo el

personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de

los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino

logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de

planeación”.

b. Análisis de riesgos: Proceso que se realiza con el fin de comprender la naturaleza del riesgo y

determinar el nivel de riesgo2.

c. Causa:3 Medios, circunstancias, situaciones o agentes generadores del riesgo.

d. Consecuencia:4 Efectos generados por la ocurrencia de un riesgo que afecta los objetivos

e. o un proceso de la entidad. Pueden ser entre otros, una pérdida, un daño, un perjuicio, un

detrimento.

f. Contexto externo: Ambiente externo en el cual la organización busca alcanzar sus objetivos.

Nota: El contexto externo puede incluir:

1INTOSAI: Guía para las normas de control interno del sector público. 2 ICONTEC. NTC ISO 31000 Gestión del Riesgo. Principios y Directrices, p 22 3 Función Pública. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano -MECI- 2014. Página 64. 4 Función Pública. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano -MECI- 2014. Página 64. Ver Función Pública. Guía para la Administración del Riesgo. Bogotá, 2009. Página 25.


Versión 06


Página 4 de 22


Ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico,

natural y competitivo.

Impulsores claves y tendencias que tienen impacto en los objetivos de la organización

Relaciones con las partes involucradas

g. Contexto interno: Ambiente interno en el cual la organización busca alcanzar sus objetivos.

Nota: El contexto interno puede incluir:

Gobierno, estructura organizacional, funciones y responsabilidades.

Políticas, objetivos y estrategias implementadas para lograrlos.

Capacidades entendidas en términos de recursos y conocimiento (por ejemplo capital, tiempo,

personas, procesos, sistemas y tecnologías)

h. Corrupción:5 Uso del poder para desviar la gestión de lo público hacia el beneficio privado.

i. Criterios para la evaluación de riesgos: Términos de referencia o parámetros con base en los cuales

se evalúa la importancia de un riesgo6. Los criterios para la evaluación del riesgo los establece la

organización de acuerdo con sus necesidades y objetivos.

j. Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo, con los

criterios del riesgo, para determinar si el riesgo y su magnitud son aceptables o tolerables.7

k. Evento: Presencia o cambio de un conjunto particular de circunstancias. 8 Dependiendo de las

consecuencias o impactos que el evento pueda tener, se habla de que se materializa el riesgo para las

situaciones en las cuales las consecuencias son negativas y se materializan las oportunidades cuando

las consecuencias o impactos son positivos.

l. Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo.9 La identificación

del riesgo implica identificar los eventos, sus fuentes, causas, consecuencias, procesos donde podría

ocurrir el evento, cuando podría ocurrir y precisar si en la actualidad existen controles frente a

dichos eventos.

m. Impacto: Consecuencias que puede ocasionar a la organización, la materialización del riesgo.

n. Nivel de riesgo: Magnitud del riesgo, expresada en términos de la combinación de la probabilidad y

las consecuencias o impacto que este tiene.

5 CONPES N° 167 del 9 de diciembre de 2013. “Estrategia Nacional de la Política Pública Integral Anticorrupción” Numeral III

Marco Analítico, literal B) Marco Conceptual. Bogotá, 2013. 6 ICONTEC. NTC ISO 31000 Gestión del Riesgo. Principios y Directrices, p 22 7 Ibid. p23 8 ICONTEC. NTC ISO 31000 Gestión del Riesgo. Principios y Directrices. P21 9 Ibid p21


Versión 06


Página 5 de 22


o. Probabilidad: Posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia,

si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad

teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo,

aunque este no se haya materializado.

p. Riesgo: Efecto de la incertidumbre sobre los objetivos10 . Los objetivos pueden hacer referencia a los

de la Entidad, de un proceso o de un proyecto. Aunque en general se entiende que el riesgo algo

negativo o desfavorable en relación con el logro de objetivos, cuando se encuentran eventos que

tienen efectos positivos, se habla de oportunidades.

q. Tratamiento del riesgo: Acciones requeridas para modificar el riesgo.

Nota 1 El tratamiento puede implicar:

Evitar el riesgo decidiendo no iniciar o continuar con la actividad que lo originó.

Tomar o incrementar el riesgo con el fin de perseguir una oportunidad.

Retirar la fuente del riesgo.

Cambiar la probabilidad.

Cambiar las consecuencias.

Compartir el riesgo con una o varias partes (incluyendo los contratos y la financiación del

riesgo) y,

Retener el riesgo a través de decisión informada.

Nota 2. En ocasiones se hace referencia a los tratamientos del riesgo relacionados con consecuencias

negativas como “mitigación del riesgo, “eliminación del riesgo”, “prevención del riesgo” y “reducción

del riesgo”

Nota 3. El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes.

r. Valoración del riesgo: Proceso global de identificación, análisis y evaluación del riesgo.

4. ADMINISTRACIÓN DEL RIESGO

4.1 COMPROMISO DE LA ALTA DIRECCIÓN

El Departamento Administrativo de la Defensoría del Espacio Público – DADEP, se compromete a promover la

cultura de la identificación y prevención del riesgo, y desarrollar las herramientas y establecer los controles

encaminadas a prevenir y administrar los riesgos que puedan afectar el desarrollo de la misionalidad de la

10

ICONTEC, NTC ISO 31000 Gestión del Riesgo. Principios y Directrices. P18


Versión 06


Página 6 de 22


entidad y el cumplimiento de sus objetivos estratégicos, asignando los recursos necesarios e involucrando y

comprometiendo a todos los servidores de la entidad en su desarrollo.

4.1.1 Responsable de la implementación

La dirección es la responsable directa de la implementación de la presente guía de administración del riesgo,

sin embargo, se ha designado al Jefe de la Oficina asesora de Planeación, como asesor y apoyo para todos los

procesos en el diseño e implementación del mapa de riesgos de la entidad.

4.1.2 Conformación de equipo interdisciplinario

Los enlaces de Planeación designados por cada proceso, se encargarán de liderar el diseño y gestión de los

riesgos de la entidad y serán el canal directo de comunicación con el designado de la dirección. Dicho equipo,

facilitará la aplicación de la metodología y la construcción de los mapas de riesgos por proceso e

institucionales.

4.2 GESTIÓN DEL RIESGO

“Es un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la

administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se

determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta

en una parte natural del proceso de planeación”.11

4.2.1 Información necesaria para la gestión del Riesgo

La Gestión de Riesgos, es un conjunto de estrategias que a partir de los recursos (físicos, humanos y

financieros) con que cuenta la entidad, busca minimizar los riesgos internos y externos a los que está

expuesto el DADEP y que pueden influir en el no cumplimiento de su objeto misional, desarrollado

periódicamente a través de sus objetivos estratégicos.

La Gestión del riesgo incluye las siguientes actividades:

Identificación de los riesgos

Análisis de los riesgos

Evaluación de los riesgos

Definición y ejecución del tratamiento de los riesgos

Seguimiento al tratamiento de los riesgos

11 INTOSAI: Guía para las normas de control interno del sector público. http://www.intosai.org.


Versión 06


Página 7 de 22


Iniciación de un nuevo ciclo de valoración con el fin de identificar nuevos riesgos u oportunidades.

Para el desarrollo integral de la gestión del riesgo, se deben llevar a cabo las siguientes acciones:

a. Determinación del contexto de la organización

Para determinar el contexto, la Entidad puede hacer uso de herramientas que le permitan conocer, en qué

estado se encuentra tanto en relación con su entorno, como en su ambiente interno. La finalidad de esta

actividad es establecer el marco de referencia dentro del cual se encuentra y tener claridad sobre los riesgos

que le pueden afectar y sus fuentes. El establecimiento del contexto es importante independientemente de

si los riesgos a valorar están asociados al logro de los objetivos estratégicos o si estos se identifican en el

marco de la planificación de un proyecto. La identificación de dichos factores permite precisar hacia donde

deberán orientarse las acciones para el tratamiento de los riesgos cuando sea pertinente. Establecer los

factores de riesgo hace parte de la identificación de los riesgos. Las tablas que siguen muestran los factores

de riesgo tanto externos como internos que pueden afectar el cumplimiento de los objetivos de la entidad o

del desarrollo de un proyecto.

Identificación de factores externos: Tal como se indicó previamente, precisar los factores de riesgo

es una actividad que debe realizarse independientemente de si se están identificando los riesgos que afectan

el cumplimiento de los objetivos de la entidad, una investigación o un proyecto.

Tabla No.1 Factores Externos

Factor Temas a tener en cuenta

Económico

Restricciones de orden económico que pueden afectar el funcionamiento de la entidad o la

ejecución del proyecto.

Principales fuentes de gastos.

Asignación presupuestal de la entidad o para el proyecto

Político Situaciones políticas que puedan afectar el cumplimiento de los objetivos de la

organización o del proyecto (Las que favorecen y las que impiden).

Legal

Cambios en disposiciones legales actuales (en relación con trabajadores, contratistas,

manejo del espacio público).

Nuevas disposiciones legales que afecten a la entidad (laborales, contratación, manejo de

espacio público).

Ambiental Disposiciones ambientales que la organización deba cumplir.


Versión 06


Página 8 de 22



Desastres naturales (Terremotos).

Manejo de residuos y Contribución al desarrollo sostenible.

Social

Relación con las partes interesadas externas (Ejemplo: Con IDRD en la administración de

Espacios Públicos – Parques y/o Secretaría de Integración a través de los contratos de

administración indirecta)

Requerimientos de las partes interesadas externas (Vecinos, comerciantes, alcalde,

concejales)

Identificación de factores internos: Como en el caso anterior esta actividad aplica para al identificar

los riesgos frente al cumplimiento de los objetivos de la entidad, como de los proyectos que se definan.

Tabla No.2 Factores Internos


Personal

Disponibilidad y suficiencia de personal.

Nivel de preparación del personal de la entidad

Cultura organizacional.

Infraestructura

Disponibilidad de recursos para el desarrollo de las labores propias de la entidad o de la

ejecución de un proyecto.

Estado de las instalaciones.

Estado de los equipos.

Avance tecnológico de la entidad.

Métodos de

Trabajo

Claridad de los métodos de trabajo tanto para las labores habituales de la entidad como

para la ejecución de un proyecto.

Conocimiento de las disposiciones del Sistema Integrado de Gestión.

Aplicación de las disposiciones del Sistema Integrado de Gestión.

Comprensión de las interrelaciones entre los procesos y las áreas

Conocimiento interno de las disposiciones legales aplicables.

Monitoreo y

medición

Pertinencia de los indicadores.

Grado en que se monitorean los procesos o el proyecto.

Grado en que se monitorea el cumplimiento de los objetivos de la entidad o del proyecto.

Eficacia de los controles.


Versión 06


Página 9 de 22



Utilización de los indicadores para tomar decisiones.

Grado en que se ejecuta el plan de acción y plan operativo de la entidad.

Hallazgos identificados en auditorías internas.

Las quejas, reclamos y/o sugerencias de nuestros usuarios.

La identificación de los factores de riesgo, permite priorizar cuáles son las fuentes que dan origen a las

causas de los riesgos y definir acciones de tratamiento que lleven a disminuir los niveles de riesgo. Esta

identificación de los factores de riesgo y la priorización es equivalente a lo que en la gestión de riesgos de

proyectos se llama la estructura desglosada de riesgos. En el caso del DADEP, la priorización de los riesgos de

acuerdo con los factores que los determinan, queda registrada en el mapa de riesgos de cada proceso o

proyecto y facilita la definición de acciones preventivas.

4.2.2 Criterios para calificación de riesgos.

Los criterios para calificar los riesgos y las oportunidades permiten a la entidad y los diferentes interesados

en el ejercicio, establecer los parámetros que tendrá en cuenta para determinar si un riesgo es aceptable o

no y definir el tratamiento que se dará al mismo.

En el caso del DADEP, los criterios para la calificación de los riesgos y las oportunidades, están relacionados

con los siguientes temas, los cuáles son válidos, en relación con los identificados para la entidad, como

aquellos descritos en el marco de un proyecto:

a. El cumplimiento del Plan de Desarrollo actual

b. El cumplimiento de la Misión y Visión de la entidad

c. El logro de los objetivos estratégicos o en el caso de los proyectos los objetivos de éste en

términos de alcance, costo y calidad

d. La imagen de la entidad

e. El cumplimiento de disposiciones legales

Frente a estos temas, la entidad definió como criterio para la calificación de los riesgos, el impacto que los

eventos que se puedan presentar, puedan llegar a tener. En el caso en que un evento tenga consecuencias

negativas dado que impiden o desfavorecen el logro de los objetivos, se estarán identificando el riesgo.

Cuando el Evento tenga consecuencias positivas, que contribuyan al cumplimiento de los objetivos, se estarán

identificando oportunidades.


Versión 06


Página 10 de 22


Teniendo en cuenta lo anterior, se define como parámetro de calificación el impacto sobre los temas

anteriormente citados los cuales se describen en la tabla No.1, en el caso de los impactos o consecuencias

negativos (riesgos). En la tabla No. 2 para los impactos o consecuencias positivos (oportunidades).

Adicionalmente, es necesario considerar la probabilidad con la cual los eventos se pueden presentar. La

descripción de la probabilidad se encuentra en la tabla No.3

Tabla No. 3 Impacto o Consecuencia Negativos (Riesgos)

Calificación Nombre Descripción

5 Muy Grave

(Catastrófico)

El evento lleva al incumplimiento de todos los objetivos estratégicos de la entidad

y/o del proyecto

El evento lleva al incumplimiento de las disposiciones del Plan de gobierno que se

relacionan con la entidad

El evento produce repercusiones negativas en la imagen de la entidad en el ámbito

nacional y/o insatisfacción en sus partes interesadas.

El evento generará sanciones administrativas, fiscales y/o judiciales.

El evento genera pérdidas en los bienes de la ciudad que son administrados por la

entidad.

El evento implica pérdidas de información que impiden el cumplimiento de la

misión de la entidad.

4 Grave

(Mayor)

El evento lleva al incumplimiento del 50% o más de los objetivos estratégicos de la

entidad y/o del proyecto

El evento lleva al incumplimiento del 50% o más de las disposiciones del Plan de

Gobierno que se relacionan con la entidad.

El evento conlleva pérdida de información que dificulta el funcionamiento de

alguno de los procesos de apoyo de la entidad.

El evento produce repercusiones negativas en la imagen de la entidad, en el ámbito

regional y/o Distrital.

3 Medio

(moderado)

El evento lleva al incumplimiento del 30% al 49% de los objetivos de la entidad y/o

del proyecto

El evento lleva al incumplimiento de 30% al 49% de las disposiciones del plan de

Gobierno, que se relacionan con la entidad.

El evento genera pérdida de información que impacta algunas actividades de los

procesos de la organización, sin que se vea reflejado en el desarrollo de su misión.

El evento produce repercusiones negativas en la imagen de la entidad en el ámbito

de las localidades.


Versión 06


Página 11 de 22



2 Bajo

El evento impide que se cumpla uno de los objetivos estratégicos de la entidad y/o

del proyecto

El evento dificulta en alguna medida el cumplimiento de alguna de las disposiciones

del plan de gobierno, establecidas para la entidad

El evento impacta negativamente la imagen de la entidad dentro de las entidades

del Distrito

1 Inexistente

El evento no afecta el cumplimiento de los objetivos estratégicos de la entidad y/o

del proyecto

El evento no afecta el cumplimiento de las disposiciones del plan de gobierno,

establecidas para la entidad

El evento no tiene repercusiones en la imagen de la entidad

Tabla No. 4 Impacto o Consecuencia Positiva (Oportunidades)


5 Muy Importante

El evento contribuye al cumplimiento de todos los objetivos estratégicos de la

entidad y/o del proyecto

El evento contribuye al cumplimiento de las disposiciones del Plan de gobierno que

se relacionan con la entidad.

El evento produce repercusiones favorables en la imagen de la entidad a nivel

nacional.

El evento impide que se produzcan sanciones administrativas, fiscales y/o

judiciales.

El evento asegura la protección de la información con que cuenta la entidad para el

desarrollo de su misión

El evento lleva a la recuperación de los bienes de la ciudad que son administrados

por la entidad.

4 Importante

El evento favorece el cumplimiento del 50% o más de los objetivos estratégicos de

la entidad y/o del proyecto

El evento contribuye a la protección de la información en algunos de los procesos

de la entidad.

El evento favorece el cumplimiento del 50% o más de las disposiciones del Plan de

Gobierno que se relacionan con la entidad.

El evento contribuye a mejoramiento de la imagen de la entidad en los ámbitos


Versión 06


Página 12 de 22



regional y/o Distrital.

3 Medio

El evento contribuye al cumplimiento del 30% al 49% de los objetivos de la entidad

y/o del proyecto

El evento lleva al cumplimiento de 30% al 49% de las disposiciones del plan de

Gobierno, que se relacionan con la entidad.

El evento produce repercusiones favorables en la imagen de la entidad a nivel de

las localidades.

2 Bajo

El evento favorece que se cumpla uno de los objetivos estratégicos de la entidad

y/o del proyecto

El evento favorece en alguna medida el cumplimiento de alguna de las

disposiciones del plan de gobierno, establecidas para la entidad.

El evento impacta positivamente la imagen de la entidad dentro de las entidades

del Distrito

1 Muy Bajo

El evento afecta el cumplimiento de algún objetivo del área, de los procesos o los

proyectos.

El evento contribuye al cumplimiento de las disposiciones internas de la

organización, establecidas por la entidad

El evento tiene repercusiones favorable en la imagen de la entidad, entre sus

funcionarios

Tabla No. 5 Probabilidad


5 Muy probable Es seguro que el evento ocurrirá

4 Probable Es muy probable que el evento ocurra

3 Factible Es posible que el evento se presente con alguna frecuencia

2 Ocasional El evento eventualmente podría ocurrir

1 Muy improbable El evento ocurrirá en ocasiones excepcionales

4.2.3 Matriz de calificación de riesgos

La definición de los criterios y la asignación de la escala numérica, permite definir la matriz para calificar de

los riesgos la cual se presenta a continuación:


Versión 06


Página 13 de 22


IMPACTO NEGATIVO

Inexistente Bajo Medio Grave Muy Grave

Calificación 1 2 3 4 5

PR

OBA

BIL

IDA

D

Muy probable 5 5 10 15 20 25

Probable 4 4 8 12 16 20

Factible 3 3 6 9 12 15

Ocasional 2 2 4 6 8 10

Muy

improbable 1 1 2 3 4 5

Los valores allí obtenidos surgen de la multiplicación de la probabilidad por el impacto. Con base en los

resultados, se generan lo que se llaman niveles de riesgo que son los que permiten establecer

posteriormente, sobre cuales riesgos se desarrollarán planes para tratamiento con el fin de eliminarlos o

atenuarlos según sea el caso.

De acuerdo con lo anterior, los niveles de riesgo a tener en cuenta son los siguientes:

Tabla No. 6 Niveles de Riesgo

NIVEL DE RIESGO CALIFICACIÓN

Inaceptable 15 a 25

Alto 9 a 14

Moderado 4 a 8

Bajo 1 a 3

4.2.4 Matriz de calificación de oportunidades

Al igual que en el caso de los riesgos, se puede hacer una calificación de las oportunidades. En ambos casos

se hace uso del impacto y de la probabilidad, con el fin de hacer la valoración. En el caso de las

oportunidades, se busca que se materialicen. Enseguida se muestra la matriz para la calificación de

oportunidades.


Versión 06


Página 14 de 22


IMPACTO POSITIVO

Muy Bajo Bajo Medio Importante Muy

Importante

Calificación 1 2 3 4 5

PR

OBA

BIL

IDA

D Muy Alta 5 5 10 15 20 25

Alta 4 4 8 12 16 20

Media 3 3 6 9 12 15

Baja 2 2 4 6 8 10

Insignificante 1 1 2 3 4 5

A diferencia de los riesgos en donde lo que se quiere es evitar que se presenten los eventos que materialicen

los riesgos, en las oportunidades lo que se busca es propiciar que se produzcan eventos que favorezcan el

logro de los objetivos. De ahí surgen los niveles de oportunidad que permiten establecer en cuales

oportunidades se deben centrar los esfuerzos, pues son las que más pueden contribuir a la consecución se los

objetivos que persigue la entidad.

De acuerdo con lo anterior los niveles de oportunidad serían:

Tabla No.7 Niveles de Oportunidad

Nivel de Oportunidad Calificación

REALIZABLE 15 a 25

MUY PROBABLE 9 a 14

APROVECHABLE 4 a 8

TRABAJABLE 1 a 3

4.2.5 Metodología a aplicar para la valoración de los riesgos y oportunidades

A continuación se describe la metodología a aplicar para la elaboración del mapa de riesgos de los procesos

de tal manera que se realice la valoración (identificación, análisis y evaluación) de los riesgos y

oportunidades. Este ejercicio debe llevarse a cabo con la participación del personal que cuente con la mejor


Versión 06


Página 15 de 22


información disponible sobre el tema que está siendo analizado. En el caso de los proyectos, esto puede

incluir las partes interesadas en el mismo. La convocatoria de estas personas busca darle confiabilidad al

proceso de valoración de los riesgos.

Para facilitar el ejercicio, es deseable trabajar primero los riesgos, es decir la identificación de los eventos

que pueden generar consecuencias negativas y luego pasar a las oportunidades. Este ejercicio se lleva a cabo

utilizando el formato de mapa de riesgos. La siguiente es la secuencia sugerida.

a. Identificar los objetivos estratégicos de la entidad y/u objetivos del proyecto a adelantar

b. Identificar las fuentes de riesgo/oportunidad que pueden afectar su cumplimiento.12

c. Para cada fuente identificar los eventos que se pueden presentar.

d. Para cada evento identificar:

Las causas

Las consecuencias (negativas dan lugar a los riesgos y positivas a las oportunidades)

Los procesos o actividades en donde puede ocurrir el evento

El momento en el cual se puede presentar el evento

Los controles actuales (si existen y cuáles son o si no hay controles)

e. Calificar el riesgo o la oportunidad, utilizando los criterios definidos (Impacto y probabilidad). Esto

implica asignar los valores y con base en la matriz de calificación determinar el nivel de riesgo o de

oportunidad según sea el caso

f. Analizar los riesgos o las oportunidades identificando:

Las causas que más se repiten

Las consecuencias que más se repiten.

Los procesos o actividades del proyecto que originan la mayor cantidad de riesgos/Procesos o

actividades del proyecto que generar la mayor cantidad de oportunidades.

Los objetivos estratégicos o del proyecto mayormente afectados por los riesgos o favorecidos por las

oportunidades.

Lo anterior implica que tomando los riesgos de acuerdo al nivel, se precisen los principales factores de riesgo

y se determine hacia donde se deben orientar las acciones para tratarlos cuando así se decida.

g. Evaluar los riesgos sobre los cuales se hará tratamiento teniendo en cuenta el análisis y los niveles de

riesgo definidos y dando prioridad a aquellos que lo requieran.

12

Aunque se pueden identificar primero las fuentes de riesgo, en muchas ocasiones para las personas es más fácil identificar los eventos

que pueden llegar a afectar el cumplimiento de los objetivos. Esto también es válido. En ese caso, el orden se invierte. Primero se

identifican los eventos, sus causas y a cada causa se le asocia la fuente que la origina. Lo importante es garantizar que al final la

información quede completa en el formato.


Versión 06


Página 16 de 22


h. Definir los planes de tratamiento de riesgos o Determinar las oportunidades para las cuales se definirán

planes de aprovechamiento cuando se requiera de acuerdo con los niveles encontrados. Estos planes

implicarán la definición de acciones preventivas en el caso de los riesgos y de acciones de mejora en el

caso de las oportunidades.

El plan de tratamiento de riesgos consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de

poder modificar el riesgo, para reducir de este modo, la posibilidad de que este se pueda presentar. El plan

de tratamiento implica la definición de una acción preventiva. Es posible que una misma acción preventiva

contribuya al tratamiento de más de un riesgo.

Los planes de aprovechamiento de oportunidades consisten en establecer las acciones que propiciarán que se

materialicen los eventos que favorecen el logro de los objetivos.

4.2.6 Riesgos a Administrar

La entidad establece las siguientes categorías de riesgos; Estratégicos, Operativos, Financieros, Normativos,

Tecnológicos, ambientales, investigaciones y de conocimiento.

a. Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico

se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos

estratégicos, la clara definición de políticas, diseño y conceptualización de la Entidad por parte de la

alta gerencia.

b. Operativo: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de

información institucional, de la definición de los procesos, de la estructura de la entidad, de la

articulación entre dependencias.

c. Financiero: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución

presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería

y el manejo sobre los bienes.

d. Normativos: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales,

contractuales, de ética pública y en general con su compromiso ante la comunidad.

e. Tecnológicos: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus

necesidades actuales y futuras y el cumplimiento de la misión.

f. Ambiental: Asociados al incumplimiento de u requerimientos relaciona con la corresponsabilidad de la

entidad con el ambiente.


Versión 06


Página 17 de 22


g. Investigaciones: Relacionados con el desarrollo de una investigación. Asociado al proceso de Estudio

sobre espacio Público.

h. Conocimiento: Relacionado con el desconocimiento sobre el que hacer institucional.

Los riesgos asociados a la Seguridad y Salud en el trabajo se manejan a través del Subsistema de Seguridad y

Salud en el trabajo en el formato denominado “Matriz de identificación de peligros, evaluación, valoración

de riesgos y determinación de controles”.

Considerando los niveles de riesgo establecidos para la entidad, se acuerda realizar tratamiento sobre los

riesgos que obtengan calificación de nivel inaceptable y/o alto.

4.2.6.1 Disposición para riesgos de corrupción

Dando cumplimiento al decreto 124 de 2016 los riesgos de corrupción se incluyen en una matriz diferente al

mapa de riesgos, siguiendo los lineamientos establecidos en la guía para la gestión del riesgo de corrupción.

4.3 POLÍTICA DE ADMINISTRACIÓN DE RIESGOS

4.3.1 Objetivos que se esperan lograr

a. Contribuir al logro de los objetivos estratégicos del Departamento Administrativo de la Defensoría del

Espacio público, a través de la identificación, análisis y evaluación de sus riesgos y oportunidades, de

manera que se pueda obrar preventivamente.

b. Involucrar y comprometer a todos los servidores del DADEP en la búsqueda de acciones encaminadas a

prevenir y administrar los riesgos.

c. Proteger los recursos que se han asignado a la entidad.

d. Establecer una base confiable para la toma de decisiones y la planificación.

4.3.2 Estrategias para establecer cómo se van a desarrollar la política, a largo, mediano y corto plazo.

a. Establecer y documentar una herramienta de gestión de riesgos, que pueda ser aplicada por cada uno

de los procesos de la Entidad.

b. Designar un líder, responsable de capacitar y acompañar a los procesos en el diseño y actualización

periódica de sus mapas de riesgos.

c. Establecer un equipo de trabajo conformado por un servidor público de cada proceso, que garantice la

gestión del riesgo al interior de cada uno de ellos.

d. Hacer seguimiento periódico a la administración del riesgo y al cumplimiento de las acciones

preventivas establecidas para tal fin.


Versión 06


Página 18 de 22


e. Realizar la revisión anual de los riesgos asociados a cada proceso.

4.3.3 Comunicación y consulta

La Oficina asesora de Planeación liderará el proceso de actualización de los mapas de riesgos de la

entidad.

Cada proceso deberá designar a uno o más servidores que se encargarán de hacer la actualización

periódica.

El mapa de riesgos de la entidad, se publicará en la página web de la entidad.

Los enlaces de planeación se encargarán de divulgar y socializar los mapas de riesgos al interior de

cada proceso.

Se informara a través de los canales establecidos para tal fin, la actualización de los documentos

relacionados con la administración de los riesgos.

4.3.4 Periodicidad de la revisión de los riesgos y ciclo de control de los mismos

Los riesgos de los procesos se revisarán, como mínimo una vez al año o cuando las circunstancias lo ameriten,

a partir de modificaciones o cambios sustanciales en el contexto estratégico, en los procesos y/o

procedimientos, o cualquier hecho externo o interno que afecte la operación de la entidad, implicando una

nueva valoración. Por ejemplo: Cambio de directivos, Modificaciones en los objetivos estratégicos,

Reasignación de responsabilidades de los cargos, Modificaciones tecnológicas, Ajustes en las prácticas de

trabajo, Cambios en las disposiciones legales.

El seguimiento a las Acciones preventivas o de mejora que se originen a partir del análisis de los riesgos y

oportunidades, debe realizarse a tiempo de acuerdo con los planes de acción definidos. El estado de avance

de dichas acciones deberá reportarse en el Comité Directivo por parte de la Oficina de Control interno,

indicando el estado de avance e identificando si se han identificado nuevos riesgos como consecuencia de las

acciones tomadas.

Para el caso de los riesgos definidos para los proyectos la periodicidad de revisión para el monitoreo y control

de los riesgos será determinada según el juicio de los miembros del equipo y/o el gerente del proyecto de

acuerdo con la duración y el tipo de complejidad del mismo. Este monitoreo debe consignarse en el formato

de mapa de riesgos para el proyecto en la columna Seguimiento a la respuesta indicando la fecha y el estado

en que se encuentra el riesgo. Es importante, hacer seguimiento a todos los riesgos y establecer si algunos de


Versión 06


Página 19 de 22


los que se consideraron de baja relevancia se han materializado de tal manera que se pueda actualizar la

información.

4.3.4 Monitoreo a las acciones definidas

El seguimiento y el control a las acciones definidas a partir de la valoración de los riesgos de la entidad, le

corresponde al responsable del proceso, gerente del proyecto y de cómo evaluación independiente a la

Oficina de Control Interno y se realizarán teniendo en cuenta las fechas establecidas por el responsable de la

acción y/o las normas legales aplicables.

4.3.5 Responsables

Los responsables en las diferentes fases de la administración del riesgo, son los siguientes:

DEPENDENCIA RESPONSABILIDAD

Oficina Asesora de Planeación

Acompañar a los responsables de los procesos y/o proyectos en la

administración del riesgo, construir los mapas de riesgos con cada proceso

y/o proyectos, socializaros y publicarlos.

Comité SIG Encargado de definir y aprobar la política de riesgos de la entidad.

Oficina de Control Interno

La medición de los avances de las acciones de respuesta y evaluación de la

efectividad de las políticas estará cargo del Grupo Interno de Trabajo de

Control interno.

Responsables de cada proceso y/o

proyecto

Dar cumplimiento a los lineamientos y la metodología de Administración

del Riesgo adoptada. Realizar análisis, identificar, analizar, valorar el

riesgo y tratamiento y determinar los recursos, las acciones y las acciones

necesarias.

Aplicar, verificar y controlar los planes de mitigación correspondientes a

los procesos y/o proyectos que lideran.

4.3.6 Registro de la administración del riesgo

Los registros que dan cuenta del monitoreo a los riesgos de la entidad son los siguientes:

a. Mapa de riesgos aprobado y publicado (Proceso, proyecto o investigación, mapa de riesgos de

corrupción, matriz de identificación de riesgos de Seguridad y salud Ocupacional)

b. Plan de tratamiento y de oportunidades: El plan de tratamiento y/o oportunidades será documentado

dentro del aplicativo acciones CPM ubicado dentro de la herramienta SIG.


Versión 06


Página 20 de 22


c. Monitoreo y control realizado por Oficina de control interno.

d. Auditorías internas.

CONTROL DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN DE MODIFICACIÓN

3 15/01/2016 Se agrega la descripción para la gestión de riesgos en proyectos

4 15/06/2016 Se ajusta el tratamiento a los riesgos ambientales. Se agrega política de administración

del riesgo. Se establece disposición para riesgos de corrupción.

5 01/03/2017 Se incluyeron los numerales denominados responsable de la implementación y

conformación de equipo interdisciplinario; Se incluyó la definición de gestión del Riesgo.

Se incluyó dentro de los riesgos a administrar los de las investigaciones. Se incluyó el

numeral políticas de administración de riesgos, que contiene los objetivos que se esperan

lograr, las estrategias y la comunicación y consulta, de acuerdo con lo propuesto por la

Función pública en su Guía para la administración del riesgo. Se ajusta la

normatividad. Se modifica el párrafo relacionado con gestión de riesgos de proyectos,

toda vez que se nombraba un documento no adoptado por la entidad. Se incluye el tipo

de riesgos de investigaciones.

6 21/11/2017 Se eliminan los requerimientos normativos que deben ser incluidos dentro de la matriz de

requisitos legales y normativos.

Se reorganiza el documento.

AUTORIZACIÓN

Elaboró:

Luz Angélica Beltrán Beltrán

Profesionales Oficina Asesora de Planeación

Revisó:

Isaías Sánchez Rivera

Jefe Oficina Asesora de Planeación

Aprobó:

Isaías Sánchez Rivera

Jefe Oficina Asesora de Planeación

guía de administración de riesgos

Documents