Descargar el Manual de Riesgos - Mapa de Riesgos. 2010

6 METODOLOGIA PARA LA ADMINISTRACIÓN DEL RIESGO Y CONFORMACION DEL MAPA DERIESGOS6.1 Directrices generalesLas etapas sugeridas para una adecuada Administración del Riesgo son las siguientes:- Compromiso de la alta y media dirección: Es indispensable el compromiso de la altagerencia como encargada, en primera instancia, de estimular la cultura de la identificacióny prevención del riesgo y, en segunda instancia, de definir las políticas.- Conformación de un Equipo MECI: Lo deben integrar personas de diferentes áreas queconozcan muy bien la entidad y el funcionamiento de los diferentes procesos, para que sefacilite la administración del riesgo y la construcción de los mapas de riesgosinstitucionales.- Capacitación en la metodología: Debe capacitarse a sus integrantes en la metodología dela Administración del Riesgo y su relación con los demás Subsistemas y Elementos deControl del MECI 1000:2005. 4El Componente de la Administración del Riesgo en el Subsistema de Control Estratégico del MECI,habilita a la Defensoría del Pueblo para emprender las acciones necesarias que le permitan elmanejo de los riesgos que puedan afectar negativamente el logro de los objetivos institucionales.Para ello se integran cinco Elementos de Control: el Contexto Estratégico que permite establecerlos factores internos y externos que generan posibles situaciones de riesgo a la defensoría delPueblo; la Identificación de Riesgos que posibilita conocer los eventos potenciales, los agentesgeneradores, las causas (factores internos o externos) y los efectos o consecuencias de lassituaciones de riesgo; el Análisis de Riesgos que permite establecer la probabilidad de ocurrenciay el impacto de sus consecuencias, para calificar y evaluar los riesgos, con el fin de determinar lacapacidad de la Defensoría del Pueblo, pública para su aceptación y manejo; y la Valoración deRiesgos que permite estimar las prioridades de intervención y control para el tratamiento delriesgo. Todos estos elementos conducen a la definición de criterios base para la formulación delestándar de control que se consolida en la Política de Administración de Riesgos.4 Fuente: 7 Guía de Administración del Riesgo del DAFP, pagina 13, Noviembre de 20097

6.2 INFORMACIÓN PARA LA ADMINISTRACIÓN DEL RIESGO.Para la implementación de este componente, se toman como base los planes y programas, elModelo de Operación por procesos y, su Estructura Organizacional y sus diferentes niveles dedespliegue, con el propósito de establecer los posibles riesgos.Este componente se basa en la identificación de los factores internos o externos que puedanafectar el desarrollo de la función administrativa de la Defensoría del Pueblo; una vez identificadosse asocian a los procesos, analizándolos, valorándolos y calificándolos según su impacto yprobabilidad de ocurrencia.Finalmente, este resultado permitirá definir las directrices para la Administración del Riesgo ydarnos herramientas para el planteamiento de las políticas de administración del riesgo. En laDefensoría del Pueblo.Este componente se estructura a través de los siguientes Elementos de Control:- Contexto Estratégico.- Identificación de Riesgos.- Análisis de Riesgos.- Valoración de Riesgos.- Políticas de Administración de Riesgos.6.2.1 CONTEXTO ESTRATÉGICOPor medio de este primer elemento de la Administración de Riesgos, permite establecer ellineamiento estratégico y orienta las decisiones de la Defensoría del Pueblo frente a los riesgos; esproducto de la observación, distinción y análisis del conjunto de factores internos y externos, quepueden generar eventos que afecten el cumplimiento de los objetivos, cuya herramienta másusada es la matriz DOFA, con la cual determinamos en el contexto externo las amenazas yoportunidades, y en el contexto interno la fortalezas y debilidades.Contexto externo.Define el ambiente externo en el cuál funciona la organización, también la forma como serelacionan.8

a. Ambiente social, reglamentario, cultural, competitivo, financiero y político.b. Fortalezas, debilidades, oportunidades y amenazas de la Defensoría del Pueblo.c. Las partes externas involucradas.d. Las directrices claves.Contexto interno.Esta se realiza generalmente, antes de comenzar las actividades de gestión de riesgo paracomprender a la entidad.a. Cultura Organizacional en la Defensoría del Pueblo.b. Partes internas involucradas.c. Estructura Organizacional de la Defensoría del Pueblo.d. Capacidades en términos de recursos tales como personas, sistemas, procesos y capital del aDefensoría del Pueblo.e. Metas, objetivos y las estrategias establecidas para lograrlos.Teniendo en cuenta los fundamentos teóricos – técnicos de la guía de administración de riesgos, elcontexto estratégico de la entidad fue elaborado por la firma Misión Humana, en informe del 8 demayo de 2001. (Se anexa informe)El objetivo general del informe entregado por Misión Humana es:“Realizar un diagnostico organizacional Integral a la Defensoría del Pueblo, quepermita analizar su desempeño y resultados, se convierta en el marco de referencia parala determinación de áreas y procesos críticos y conduzca a la elaboración deobservaciones y recomendaciones que puedan ser utilizados como ruta critica paraalcanzar el “Deber ser “ de la entidad.Dentro de los objetivos específicos del diagnostico, cabe señalar el análisis del contextoestratégico externo e interno de la entidad, a partir de los referentes documentales y la PolíticaPública institucional de la Defensoría del Pueblo, un examen de la Planeación Estratégica, elmodelo organizacional, estrategias de comunicaciones, conocimiento y normalización de losprocesos y procedimientos al interior de la entidad, cultura y estilo organizacional.Se fundamenta el análisis del contexto estratégico presentado por la firma Misión HumanaConsultores, dentro del siguiente esquema descriptivo del proceso:9

1. Análisis Marco general.2. Revisión Documental.3. Entrevista con el Defensor del Pueblo.4. Entrevistas Semiestructuradas.5. Talleres de profundización Diagnostica y validación.6. Encuentro Nacional.7. Validación y comité grupo de expertos-plan de intervención- observación e investigacióndirecta de expertos-.8. Establecimiento de recomendaciones.9. Entrega del Informe final.La estrategia metodológica básica del análisis del contexto estratégico, se fundamenta “en elmodelo de operación por políticas, desde la perspectiva de Akao, King y muñoz”. Son cuatro loscaracterísticas básicas del modelo metodológico a saber: Participativo, Centrado en laIdentificación de Variables Criticas, Constructivista y Formador de Facilitadores.Los ejes del diagnostico que fundamenta el análisis del contexto estratégico son:1. Plan estratégico.2. Modelo Organizacional.3. Estrategia de comunicaciones.4. Procesos y Procedimientos.5. Modelo Gerencial.6. Sistema de evaluación y seguimiento.7. Cultura organizacional.8. Tecnología e informática.9. Política Pública Institucional.En el informe de Misión Humana que es parte integral de este manual, se dan los resultados delContexto Estratégico de acuerdo con los ejes expuestos.10

6.2.2 IDENTIFICACIÓN DE RIESGOSEl proceso de la identificación del riesgo en la Defensoría del Pueblo, es un proceso permanente einteractivo, basado tanto en el resultado del análisis del Contexto Estratégico como en el procesode planeación, y parte de la claridad de los objetivos estratégicos de la Defensoría del Pueblo parala obtención de resultados.La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico,identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos queafecten el logro de los objetivos. Es la base del análisis de riesgos que permite avanzar hacia unaadecuada implementación de políticas que conduzcan a su control.Para los propósitos del análisis, la identificación de los riesgos se hace mediante un análisis sobreeventos generados tanto en el entorno, como al interior de la entidad, que puedan afectar el logrodel objetivo de los procesos; esto es realizado directamente por los responsables de cada procesoy su equipo de trabajo, quienes deben identificar y diseñar los puntos de control sobre riesgos quegeneren impacto en la satisfacción de las necesidades y expectativas de calidad para la ciudadaníaa quien le presta el servicio la Defensoría del Pueblo.Se considera fuente de riesgo, a todos los elementos generadores de condiciones de riesgo quepudieran generar una afectación a:• El cumplimiento de la misión, visión, los objetivos, lineamientos estratégicos, planes yprogramas de la Defensoría del Pueblo.• El cumplimiento de un requisito especificado, legal o de otra índole.• El personal, los recursos o bienes de la Defensoría del Pueblo.• La imagen, credibilidad y confianza de la Defensoría del Pueblo.“Es importante centrarse en los riesgos más significativos para la entidad, relacionados con eldesarrollo de los procesos y los objetivos institucionales.”OBJETIVO DELPROCESOCAUSAS (Factoresinternos y externos,agente generador)PROCESORIESGODESCRIPCIÓNEFECTO(CONSECUENCIAS)Fuente: Cuadro Formato de identificación de riesgo, Guía 7 de Administración de Riesgo de DAFP, pagina 30.Proceso: Nombre del procesoObjetivo del proceso: Se escribe el objetivo que se ha definido para el proceso al cual se le estánidentificando los riesgos.11

Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadoresde riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienenla capacidad de originar un riesgo; pueden ser personas, materiales, comités, instalaciones yentorno.Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normaldesarrollo de las funciones de la Defensoría del Pueblo y afectar el logro de sus objetivos.Descripción: Se refiere a las características generales o las formas en que se observa o manifiestael riesgo identificado.Efecto (consecuencias): Constituyen las consecuencias de la ocurrencia del riesgo sobre losobjetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales oinmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones,pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza,interrupción del servicio y daño ambiental.• Clasificación del riesgoPara la identificación de los riesgos se recomienda hacer una clasificación de los mismos teniendoen cuenta los siguientes conceptos: (Fuente, Guía 7 de Administración de Riesgo de DAFP, pagina30 y 31)Riesgo Estratégico: Forma en que se administra la Defensoría del Pueblo. El manejo del riesgoestratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de losobjetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la Defensoríadel Pueblo por parte de la alta gerencia.Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa comotécnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información,en la definición de los procesos, en la estructura de la Defensoría del Pueblo, la desarticulaciónentre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción eincumplimiento de los compromisos institucionales.Riesgos Financieros: Se relacionan con el manejo de los recursos de la Defensoría del Pueblo queincluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos deexcedentes de tesorería y el manejo sobre los bienes.Riesgos de Cumplimiento: Se asocian con la capacidad de la Defensoría del Pueblo para cumplircon los requisitos legales, contractuales, de ética pública y en general con su compromiso ante lacomunidad.Riesgos de Tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponiblesatisfaga las necesidades actuales y futuras, y soporte el cumplimiento de la misión.12

FUENTESRIESGOEstratégicoOperativoDELFinancieroCumplimientoTecnologíaPROCESO EN EL QUE IMPACTAProceso 1 Proceso 2 Proceso 3 Proceso 4 Proceso 5Fuente: Cuadro Formato Clasificación del Riesgo, Guía 7 de Administración de Riesgo de DAFP, pagina 31.6.2.3 ANÁLISIS DEL RIESGOEl análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto desus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecerel nivel de riesgo y las acciones que se van a implementar en la Defensoría del Pueblo. El análisisdel riesgo dependerá de la información obtenida en el formato de identificación de riesgos y ladisponibilidad de datos históricos y aportes de los servidores de la entidad.Los parámetros de calificación general aplicables a los riesgos identificados se han definido comola probabilidad de ocurrencia del evento y el establecimiento del nivel de daño potencial opérdidas generadas por la materialización del riesgo, definido como consecuencia o impacto.Para determinar de manera objetiva la probabilidad, se utilizará la siguiente tabla:NIVEL CONCEPTO DESCRIPCIÓNA Casi Certeza Se espera que ocurra en la mayoría de las circunstanciasB Probable Probablemente ocurrirá en la mayoría de las circunstanciasC Posible Podría ocurrir en algún momentoD Improbable Pudo ocurrir en algún momentoE Raro Puede ocurrir sólo en circunstancias excepcionalesFuente: Matriz probabilidad de riesgo, Guía 7 de Administración de Riesgo de DAFP, pagina 32.Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:– La Calificación del Riesgo: Se logra a través de la estimación de probabilidad de su ocurrencia y elimpacto que puede causar la materialización del riesgo. La primera representa el número de vecesque el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda serefiere a la magnitud de sus efectos.– La Evaluación del Riesgo: Permite comparar los resultados de su calificación con los criteriosdefinidos para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible13

distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijarlas prioridades de las acciones requeridas para su tratamiento.Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la matriz,según la celda que ocupa.- Zona de Riesgo Baja, significa que su Probabilidad es rara, improbable o moderada y suImpacto es insignificante o menor, lo cual permite a la entidad asumirlo.- Zona de Riesgo extrema, su Probabilidad es moderado, probable o casi certeza y suImpacto moderado, mayor o catastrófico; por tanto, es aconsejable eliminar la actividadque genera el riesgo en la medida que sea posible, o implementar controles de prevenciónpara evitar la probabilidad del riesgo en la Defensoría del Pueblo.- Si el riesgo se sitúa en cualquiera de las otras zonas (moderada o alta), se deben tomarmedidas para llevar en lo posible los riesgos a la zona moderada o baja.- Siempre que el riesgo sea calificado con Impacto catastrófico, la entidad debe diseñarplanes de contingencia, para protegerse en caso de su ocurrencia.La siguiente es una matriz que contempla un análisis cualitativo, hace referencia a la utilización deformas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y laposibilidad de ocurrencia (probabilidad): Insignificante, Menor, Moderado, Mayor y Catastróficaen relación con el impacto, y Casi Certeza, Probable, Moderado, Improbable y Raro respecto a laprobabilidad. Así mismo, presenta un análisis cuantitativo, que contempla valores numéricos quecontribuyen a la calidad en la exactitud de la calificación y evaluación de los riesgos. Tanto para elimpacto como para la probabilidad se han determinado valores de 1 a 5. La forma en la cual laprobabilidad y el impacto son expresados y combinados en la matriz, nos provee la evaluación delriesgo.PROBABILIDADINSIGNIFICANTE1IMPACTOMENOR 2 MODERADO 3 MAYOR 4CATASTRÓFICO5E (RARO)1 B B M A AD (IMPROBABLE)2 B B M A EC (MODERADO)3 B M A E EB (PROBABLE)4 M A A E E14

A (CASI CERTEZA)5 A A E E EFuente: Matriz de calificación, evaluación y respuesta a los riesgos, Guía 7 de Administración de Riesgo de DAFP, pagina34.B: Zona de riesgo Baja, asumir el riesgo.M: Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo.A: Zona de riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir.E: Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir.6.2.4 VALORACIÓN DEL RIESGOLa valoración del riesgo determina el nivel o grado de exposición de la Defensoría del Pueblo alimpacto del riesgo, permitiendo estimar las prioridades para su tratamiento. La valoración delriesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controlesidentificados, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Paraadelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en losdiferentes procesos, los cuales permiten obtener información para la toma de decisiones.Para adelantar la evaluación de los controles existentes es necesario describirlos estableciendo sison preventivos o correctivos. Una vez calificados y evaluados los riesgos, analícelos frente a loscontroles existentes en cada riesgo; ubique en la Matriz la casilla de controles existentes a losriesgos en la lista desplegable donde aparecerán los criterios y automáticamente aparecerá lavaloración de acuerdo a la siguiente tabla.CRITERIOSNo existen ControlesLos controles existentes, no son efectivosLos controles existentes son efectivos pero noestán documentadosLos controles son efectivos y están documentados.VALORACIÓN DEL RIESGOSe mantiene el resultado de la evaluación antes de controlesSe mantiene el resultado de la evaluación antes de controlesCambia el resultado a una casilla inferior de la matriz deevaluación antes de controles (el desplazamiento depende de siel control afecta el impacto o la probabilidad)Pasa a escala inferior (el desplazamiento depende de si el controlafecta el impacto o la probabilidad)Fuente: Matriz de calificación, evaluación y respuesta a los riesgos, Guía 7 de Administración de Riesgo de DAFP, pagina 36.Con la realización de esta etapa se busca que la Defensoría del Pueblo obtenga los siguientesresultados:- Identificación de los controles existentes para los riesgos identificados y analizados.- Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar laevaluación del riesgo con los controles existentes, a fin de establecer aquellos que puedencausar mayor impacto a la entidad en caso de materializarse.- Elaborar el mapa de riesgos para cada proceso.15

6.2.5 POLÍTICAS DE ADMINISTRACIÓN DE RIESGOSCon base en los resultados de la identificación, análisis, clasificación, evaluación, y valoración delos riesgos a los cuales está expuesta la Defensoría del Pueblo, se establecerá la Política deAdministración de Riesgos como criterio orientador en la toma de decisiones respecto altratamiento de los mismos, y sus efectos al interior de la entidad. La política permite estructurarcriterios orientadores y directrices respecto al tratamiento de riesgos. Esta política será revisadaanualmente, en cada ejercicio de revisión del mapa de riesgos de la Defensoría.Se deben tener en cuenta, algunas de las siguientes opciones, las cuales pueden considerarse cadauna de ellas independientemente, interrelacionadas o en conjunto.• Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre laprimera alternativa a considerar, se logra cuando al interior de los procesos se generancambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuadoscontroles y acciones emprendidas.• Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad, comoel impacto. Se consigue mediante la optimización de los procedimientos y la implementaciónde controles.• Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otrasorganizaciones, como en el caso de los contratos de seguros, que permiten distribuir unaporción del riesgo con otra entidad, como en los contratos a riesgo compartido.• Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgoresidual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdidaresidual probable y elabora planes de contingencia para su manejo. 57 ELABORACIÓN DEL MAPA DE RIESGOSEl mapa de riesgos contiene a nivel estratégico los principales riesgos a los cuales está expuesta laDefensoría del Pueblo, permitiendo conocer las políticas inmediatas de respuesta ante ellostendientes a evitar, reducir, dispersar o transferir el riesgo; y la aplicación de acciones, así comolos responsables, el cronograma y los indicadores.5 Fuente: 7 Guía de Administración del Riesgo del DAFP, pagina 13, Noviembre de 200916

La identificación, análisis, clasificación, evaluación, y valoración de los riesgos a los cuales estáexpuesta la Defensoría del Pueblo, se compilarán en el formato “Matriz Mapa de Riesgos”.Se diligencia el formato Matriz Mapa de Riesgos, se elabora un mapa de riesgos por cada procesopara facilitar la administración del riesgo, el cual debe elaborarse al finalizar la etapa de Valoracióndel Riesgo.Riesgo Impacto ProbabilidadEvaluaciónriesgoControlesexistentesValoraciónriesgoAcciones Responsables Cronograma IndicadorFormato Mapa de Riesgos, Guía de Administración de Riesgos de DAFP, pagina 39.17

INTERNOEXTERNOEl formato que la Defensoría del Pueblo Adoptará, será el que presentamos a continuación:DEFENSORIA DEL PUEBLO PAGINA 1 DE: 1MATRIZ MAPA DE RIESGOS VERSION: 01FECHA DE ELABORACION:PROCESO:OBJETIVO DEL PROCESO :IDENTIFICACION DEL RIESGO ANALISIS DEL RIESGO VALORACION DEL RIESGOPOLITICAS DEADMINISTRACION DELRIESGOMONITOREO Y REVISIONCAUSAS(1)RIESGO(2)DESCRIPCIONDEL RIESGO(3)EFECTOS OCONSECUENCIAS(4)CLASIFICACIÓN(5)IMPACTO(6)VALORPROBABILIDAD(7) EVALUACIONDEL RIESGO(8)VALORCONTROLESEXISTENTES(9)VALORACIONDEL RIESGO(10)OPCIONESDEMANEJO(11)ACCIONES(12)RESPONSABLE(13)CRONOGRAMAFecha deImplementación(14)INDICADORES(15)18

• Descripción del Mapa de riesgosRiesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de lasfunciones de la entidad y le impidan el logro de sus objetivos.Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.Probabilidad: posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios deFrecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o deFactibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciarel riesgo, aunque éste no se haya materializado.Evaluación del riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a losriesgos.Controles existentes: especificar cuál es el control que la entidad tiene implementado paracombatir, minimizar o prevenir el riesgo.Valoración del riesgo: es el resultado de determinar la exposición de la entidad al riesgo, luego deconfrontar la evaluación del riesgo con los controles existentes.Opciones de manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersaro transferir el riesgo; o asumir el riesgo residual.Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir oa reducir el riesgo y harán parte del plan de manejo del riesgo.Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas.Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo detrabajo.Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de las accionesimplementadas.19

• Formulación de las PolíticasPolítica de la Defensoría: "La Defensoría del Pueblo, en cumplimiento de su misión constitucional ylegal, prestar oportunamente sus servicios tanto a los habitantes del territorio nacional como a losColombianos en el exterior, con el fin de lograr la efectividad en la defensa y protección de losDerechos Humanos, y el respeto del Derecho Internacional Humanitario. Contando con excelentetalento humano, con conocimientos especializados, y que aplique el mejoramiento continuo atodos sus procesos”.La formulación de las políticas a la administración del riesgo, están a cargo del RepresentanteLegal de la Defensoría del Pueblo y el Comité de Coordinación de Control Interno, y se basa en elmapa de riesgos, resultado del proceso de la administración del riesgo; la política señala, qué debehacerse para efectuar el control y la implementación de la misma, basándose en los planesestratégicos y los objetivos institucionales o por procesos.Objetivos1. Mejorar las competencias y capacidades del personal de la entidad.2. Mejorar la oportunidad de los servicios en la Defensoría del Pueblo.3. Aumentar la efectividad en la defensa y protección de los Derechos Humanos.4. Aumentar la cobertura de la promoción y divulgación de los Derechos Humanos y del DerechoInternacional Humanitario.8 MONITOREO Y REVISIÓNUna vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, esnecesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenazapara la Defensoría del Pueblo.El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar laeficiencia en su implementación, adelantando revisiones sobre la marcha para evidenciar todasaquellas situaciones o factores que pueden estar influyendo en la aplicación de las accionespreventivas.El monitoreo estará a cargo de los responsables de los procesos y de la Oficina de Control Interno,su finalidad principal será la de aplicar, y sugerir los correctivos y ajustes necesarios para asegurarun efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función asesoracomunicará y presentará luego del seguimiento y evaluación, sus resultados y propuestas demejoramiento, y el tratamiento correspondiente a las situaciones detectadas.20

9 DEFINICIÓN DE TERMINOS”Las definiciones de términos usados durante el desarrollo de la presente Guía, fueron tomados de la Guía 7de Administración de Riesgo del Departamento Administrativo de la Función Pública DAFP”.Administración de riesgos: Conjunto de Elementos de Control que al interrelacionarse permiten ala Entidad Pública evaluar aquellos eventos negativos, tanto internos como externos, que puedanafectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitanidentificar oportunidades para un mejor cumplimiento de su función. Se constituye en elcomponente de control que al interactuar sus diferentes elementos le permite a la entidad públicaautocontrolar aquellos eventos que pueden afectar el cumplimiento de sus objetivos.Análisis de riesgos: Determinación del Impacto y la Probabilidad del riesgo. Dependiendo de lainformación disponible pueden emplearse desde modelos de simulación, hasta técnicascolaborativas.Causa: Son los medios, circunstancias y agentes que generan los riesgos.Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de lasoperaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción demedidas preventivas.Controles existentes: medidas que la entidad tiene implementadas para combatir, minimizar oprevenir el riesgo.Consecuencias o Impacto: efectos que puede ocasionar a la organización la materialización delriesgo.Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta alos riesgos.Factores de riesgo: Manifestaciones o características medibles u observables de un proceso queindican la presencia de Riesgo o tienden a aumentar la exposición, pueden ser internos o externosa la entidad.Identificación del Riesgo: Establecer la estructura del riesgo; fuentes o factores, internos oexternos, generadores de riesgos; puede hacerse a cualquier nivel: toda, por áreas, por procesos,incluso, bajo el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humildeoperativo.21

Indicador: es la valoración de una o más variables que informa sobre una situación y soporta latoma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa.Mapas de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos,ordenada y sistemáticamente, haciendo la descripción de cada uno de estos y las posiblesconsecuencias.Opciones de Manejo: Posibilidades de respuesta ante los riesgos tendientes a evitar, reducir,dispersar o transferir el riesgo; o asumir el riesgo residualPlan de manejo del Riesgo: Plan de acción propuesto por el grupo de trabajo, cuya evaluación debeneficio costo resulta positiva y es aprobado por la Dirección.Plan de mejoramiento: Parte del plan de manejo que contiene las técnicas de la administracióndel riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos.Probabilidad: Posibilidad de ocurrencia del riesgo, ésta puede ser medida con criterios deFrecuencia, si se ha materializado, o de Factibilidad de acuerdo a factores internos y externos quepueden propiciar el riesgo, aunque éste no se haya materializado.Responsables: Son las dependencias o áreas encargadas de adelantar las acciones propuestas.Riesgo: posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normaldesarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.Riesgo absoluto: el máximo riesgo sin los efectos mitigantes de la administración.Riesgo residual: es el riesgo que queda cuando las técnicas de la administración han sidoaplicadas.Seguimiento: Recolección regular y sistemática sobre la ejecución del plan, que sirven paraactualizar y mejorar la planeación futura.Técnicas para manejar el Riesgo: Evitar o prevenir, reducir, dispersar, transferir y asumir riesgos.Valoración del riesgo: Es el resultado de confrontar la evaluación del riesgo con los controlesexistentes.22

BIBLIOGRAFÍA Guía de Administración del Riesgo. Departamento Administrativo de la Función Pública,Noviembre de 2009 Guía armonización Modelo Estándar de Control Interno MECI 1000:2005 Sistema deGestión de la Calidad NTCGP 1000:2004 Entidades Públicas., Departamento Administrativode la Función Pública, Secretaria General de la Alcaldía Mayor de Bogotá, 2007. Norma técnica de calidad en la gestión pública NTCGP 1000:2009 Norma Técnica Colombiana NTC 525423