Your SlideShare is downloading. ×
Metodologiasistemadeadministracionriesgos
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Metodologiasistemadeadministracionriesgos

921
views

Published on


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
921
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
72
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 EQUIPO DE TRABAJO Esperanza Sánchez Pérez Directora de Gestión Organizacional Javier Ávila Mahecha Subdirector de Gestión de Análisis Operacional Jhonn Lenin Bautista Guzmán Coordinación de Planeación y Evaluación Ángela Cruz Lasso Adriana Rivera Murcia Hugo Antonio Álvarez Agudelo Ivonne Rocío León Hernández Alfonso Gómez RojasFuncionarios de la Subdirección de Gestión de Análisis Operacional Consultoría: GLOBAL BUSINESS PARTNER GROUP Paola Benavides Velandia Clifor Maturana Sistema de Gestión de Calidad y Control Interno 1 de 37
  • 2. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 ÍndiceIntroducción 41. Marco conceptual 52. Metodología para el desarrollo del sistema de administración de riesgos 62.1. Alcance y definición metodológica 62.2. Elementos de la administración de riesgos 62.2.1. Establecimiento del contexto 82.2.2. Identificación de riesgos 82.2.3. Análisis de riesgos 82.2.4. Valoración del riesgo 92.2.5. Tratamiento del riesgo 92.2.6. Monitoreo y revisión 92.2.7. Comunicación y consulta 103. Desarrollo de la metodología 103.1. El contexto en el que opera la entidad 103.1.1. Contexto estratégico 103.1.2. Contexto organizacional 123.1.3. Contexto de riesgos 133.1.4. Principios rectores del sistema 153.1.5. Objetivos del sistema 153.1.6. Políticas de administración de riesgos 163.2. Identificación de los riesgos 173.2.1. Antecedentes 173.2.2. Consolidación de la información e identificación final de los riesgos 18 Sistema de Gestión de Calidad y Control Interno 2 de 37
  • 3. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/20083.3. Etapa de análisis 193.3.1. Tabla de medición del impacto 193.3.2. Tabla de medición de la probabilidad 213.3.3. Mapa de riesgo 223.3.4. Medición del riesgo puro, absoluto o inherente 233.3.5. El mapa de riesgos inherentes de la DIAN 243.4. Valoración del riesgo 293.4.1 Eficiencia de los controles 293.4.2. Mapa de riesgos residuales 313.5. Tratamiento 343.6. Monitoreo 363.7. Comunicación 37 Sistema de Gestión de Calidad y Control Interno 3 de 37
  • 4. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 IntroducciónDurante los últimos años la Dirección de Impuestos y Aduanas Nacionales, DIAN, hadedicado recursos y especial atención a la identificación de los principales riesgos quepueden surgir en su operación. Atendiendo las orientaciones consagradas en lanormatividad nacional en materia de calidad y control interno en la gestión Pública, laentidad ha intensificado sus esfuerzos a fin de contar con un sistema idóneo deADMINISTRACIÓN de riesgos para enfrentar de manera solvente las contingencias quepudieran comprometer el logro de sus objetivos institucionales.El presente documento contiene los lineamientos generales en los que se apoya la DIAN,para el diseño, implementación y gestión de su Sistema de Administración de Riesgos.Este Sistema es resultado de un trabajo multidisciplinario y de amplia participación,adelantado al interior de la entidad con la colaboración de los funcionarios que intervienenen los diversos procesos institucionales, liderado por el Grupo Básico de Gestores deRiesgos de la Subdirección de Gestión de Análisis Operacional y acompañados por unequipo de consultores externos, con experiencia en el diseño e implementación desistemas de gestión de riesgos corporativos.El documento está estructurado en tres secciones. En la primera de ellas se presenta demanera sencilla un marco conceptual acerca de lo que puede entenderse por sistema deadministración de riesgos y la pertinencia de su aplicación en la DIAN; en la segunda, sedescriben brevemente los principales elementos o etapas que conforman la gestión delriesgo. Por último, la sección tres presenta la metodología para el desarrollo del sistema deriesgos en la DIAN, la cual incluye, la definición del contexto, la identificación de losriesgos, su análisis y valoración. Sistema de Gestión de Calidad y Control Interno 4 de 37
  • 5. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/20081. Marco conceptualSe entiende por riesgo “toda posibilidad de ocurrencia de aquella situación que puedaentorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de susobjetivos” 1.La administración de riesgos, por su parte, “es el término aplicado a un método lógico ysistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear ycomunicar los riesgos asociados con una actividad, función o proceso de una forma quepermita a las organizaciones minimizar pérdidas y maximizar oportunidades.”2Se trata de una herramienta de gestión, liderada desde la alta dirección de lasorganizaciones, incorporada en la definición de sus estrategias básicas e igualmenteaplicable en ámbitos más específicos de las instituciones.El análisis de riesgos está diseñado para identificar eventos potenciales que puedanafectar a la organización, para gestionar la ocurrencia de tales eventos y para brindar unaseguridad razonable sobre la consecución de los objetivos de la entidad.Las entidades de la administración pública no pueden ser ajenas a la inseguridadvinculada a los riesgos y deben prepararse para gestionarlos adecuadamente, partiendode la base de su razón de ser y su compromiso con la sociedad; por esto se debe tener encuenta que los riesgos no sólo son de carácter económico y están directamenterelacionados con entidades financieras o con lo que se ha denominado riesgosprofesionales sino que hacen parte de cualquier gestión que se realice3.Por supuesto, la DIAN, al igual que todas las organizaciones de carácter publico, seencuentra permanentemente expuesta a estos eventos de riesgo, y por ello es necesariocrear mecanismos efectivos de control que permitan reducir la vulnerabilidad de laorganización ante los mismos, es decir, que la entidad debe realizar las accionesnecesarias, viables y efectivas con el objetivo de prevenir la ocurrencia o minimizar elimpacto de los eventos que puedan afectar el logro de sus objetivos y la adecuada gestiónde los procesos.1 Departamento Administrativo de la Función Pública. Guía Administración del Riesgo. Segunda edición. Colombia 2004.2 Standars Australia. Administración de Riesgos, AS/NZS 4360:1999 Estándar Australiano. (El estándar australiano es una metodología con reconocimientointernacional, sobre la cual se basó el ICONTEC para el desarrollo de la Norma Técnica Colombiana NTC 5254).3 Op. Cit,. Departamento Administrativo de la Función Pública. 2004. Sistema de Gestión de Calidad y Control Interno 5 de 37
  • 6. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008La presencia latente de múltiples riesgos en torno a la gestión de la DIAN podría poner enpeligro la seguridad fiscal del Estado colombiano y el orden público económico nacional, sino se cuenta con un adecuado manejo de estas contingencias. La DIAN es una entidadde gran importancia en la sociedad colombiana en tanto que su misión permite recaudar lamayor parte de los ingresos corrientes de la nación y, por ello, un principio básico deresponsabilidad social exige que la administración tributaria cuente con un sistema que lepermita hacer frente a eventos riesgosos sin afectar de manera sustancial sus objetivosfundamentales.Los sistemas de administración de riesgos deben incorporarse en el diseño de laplaneación estratégica institucional, al igual que en la formulación de los instrumentos deplaneación de periodicidad anual. Estos sistemas deben constituirse en un procesocontinuo de periódica actualización.Esta clase de herramientas se emplea tanto para gestionar los riesgos en el conjunto de laentidad como también en los distintos niveles que la integran. Consecuentemente, serequiere que el sistema de administración de riesgos de la entidad sea conocido por losfuncionarios en todos los niveles de la organización.2. Metodología para el desarrollo del sistema de administración de riesgosLa metodología para el desarrollo del Sistema de Administración del Riesgo en la DIAN,está soportada en la Norma Técnica Colombiana NTC 5254 editada por el InstitutoColombiano de Normas Técnicas y Certificación.2.1. Alcance y definición metodológicaLa NTC 5254 – Gestión del Riesgo, presentada por el Instituto Colombiano de NormasTécnicas y Certificación – ICONTEC -, que tomó como referencia el estándar australianoAS/NZ 4360:1999, provee una guía genérica para el establecimiento e implementación delproceso de administración de riesgos involucrando el establecimiento del contexto y laidentificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso delos riesgos.2.2. Elementos de la administración de riesgosLos principales elementos contenidos en la metodología para la administración de riesgos,son: a. Establecimiento del Contexto. Sistema de Gestión de Calidad y Control Interno 6 de 37
  • 7. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 b. Identificación de Riesgos. c. Análisis de Riesgos. d. Valoración de Riesgos. e. Tratamiento del Riesgo. f. Monitoreo y Revisión del Riesgo. g. Comunicación y Consulta. Figura 1. Elementos que conforman el proceso de gestión del riesgo44 ICONTEC. Norma Técnica Colombiana NTC 5254 – Gestión del Riesgo. Colombia 2004. Sistema de Gestión de Calidad y Control Interno 7 de 37
  • 8. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/20082.2.1. Establecimiento del contextoEl primer elemento corresponde al establecimiento del contexto, consiste en definir losparámetros básicos dentro de los cuales se va a gestionar el riesgo; estos parámetrosdeben ser determinados desde tres contextos: el estratégico, el organizacional y el de lagestión del riesgo.2.2.2. Identificación de riesgosEl segundo elemento del proceso corresponde a la identificación del riesgo, en esta fasese busca identificar todos los riesgos que estén o no bajo el control de la organización yque van a ser gestionados.La identificación de los riesgos posibilita definir las causas y los efectos de situaciones quepueden afectar el logro de los objetivos institucionales enmarcados en el análisis delentorno y de la situación actual de la entidad. Este trabajo se realiza utilizando diferentesfuentes de información pero principalmente con la participación de los empleados públicosque día a día gestionan los procesos en calidad de expertos.Para la identificación de riesgos pueden utilizarse varias herramientas y técnicas, comoson: análisis de flujos y procesos, juicios basados en la experiencia, lluvia de ideas, listasde chequeo, etc., lo importante es que estas herramientas permitan determinar la lista deeventos que podrían afectar a la organización en la consecución de sus principalesobjetivos y en el desarrollo de sus procesos.2.2.3. Análisis de riesgosUna vez identificados los riesgos, se avanza en el siguiente elemento que consiste enanalizar la frecuencia o la probabilidad con la que se podrían materializar los eventosriesgosos y su grado de incidencia en la operación de las organizaciones.El análisis del riesgo permite establecer la severidad de los eventos de riesgoidentificados, a través de una evaluación en la que se involucran simultáneamente laestimación de la probabilidad de ocurrencia y el impacto de sus consecuencias. Estaprimera calificación proporciona una aproximación a la capacidad requerida por la entidadpara la administración de sus riesgos.Las consecuencias y probabilidad de ocurrencia de un riesgo se pueden estimar utilizandoanálisis estadísticos, o mediante valoraciones cualitativas en las que prima la ordinalidadsobre la cardinalidad. Sistema de Gestión de Calidad y Control Interno 8 de 37
  • 9. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008En esta etapa el principal producto es un mapa de riesgos inherentes a la operación de laorganización. En el mapa se combinan en las dos dimensiones del plano, la probabilidad yel impacto, determinando en cada punto específico un nivel de severidad del eventoriesgoso.2.2.4. Valoración del riesgoDurante esta etapa se identifican los controles que la entidad a establecido para gestionarlos riesgos inherentes a la operación. Se evalúa la efectividad de los controles y éstacalificación se emplea para reestimar el nivel de severidad de los riesgos. Cuanto más altasea la efectividad del control más baja será la severidad del riesgo y en este caso ya no sehabla de riesgos inherentes sino de riesgos residuales, aludiendo con tal denominación ala parte del evento que persiste después de haberse aplicado los controles diseñados porla entidad.Surge entonces el mapa de riesgos residuales y éstos se clasifican de acuerdo con sugrado de severidad para que la alta dirección de la entidad determine el tratamiento que seofrecerá a cada uno de ellos.2.2.5. Tratamiento del riesgoEn esta etapa se toman decisiones entre una gama de opciones para definir, quétratamiento se aplicará a los riesgos residuales, incluyendo ajustes en los controles yaestablecidos.A partir del grado de exposición al riesgo se priorizan aquellos eventos que generen unmayor impacto en el logro de los objetivos de la entidad, y de acuerdo a esta clasificaciónse definen y ejecutan las acciones tomadas para evitar, gestionar, transferir o asumir lascausas del riesgo.2.2.6. MonitoreoEn el monitoreo se definen los mecanismos que permitirán llevar a cabo un adecuadoseguimiento del sistema y su respectiva retroalimentación asegurando así su actualizaciónen el tiempo y la generación de información pertinente para la toma de decisiones.El monitoreo permite detectar nuevos riesgos ya que estos no permanecen estáticos, haceposible evaluar la calidad de los controles implantados y verificar la eficacia de lasacciones de tratamiento definidas por la alta dirección. Sistema de Gestión de Calidad y Control Interno 9 de 37
  • 10. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/20082.2.7. Comunicación y consultaEn razón a que el sistema de administración de riesgos de la DIAN se rige, entre otrosprincipios, por la autorregulación y el autocontrol, la comunicación es una actividadprioritaria entre los funcionarios de la entidad que gestionan el sistema en los distintosniveles de la organización. Así mismo, todos los funcionarios que conforman la entidad yque intervienen en los diferentes procedimientos, tienen permanentemente acceso ainformación relevante para la actualización y apropiada gestión del sistema, razón por lacual deben preverse idóneos canales de comunicación para la divulgación de los ajustesintroducidos en el sistema.3. Desarrollo de la metodología3.1. El contexto en el que opera la entidadEl perfil que adopte un sistema de ADMINISTRACIÓN de riesgo depende de laorganización concreta para la cual se está diseñando dicho sistema. Aunque existenriesgos de carácter general comunes a muchas instituciones, su incidencia difiere en cadacaso particular y, adicionalmente, existen riesgos propios del ámbito específico en el queoperan las entidades.El diseño de un sistema de ADMINISTRACIÓN de riesgos se elabora en consecuenciapara una institución concreta, en un marco temporal definido y en el contexto interno yexterno relevante para cada entidad. La definición del contexto también es fundamentalpara determinar los principios rectores del sistema y sus objetivos.3.1.1. Contexto estratégicoLa DIAN es una entidad del gobierno central, adscrita al Ministerio de Hacienda y Créditopúblico, que tiene entre sus competencias la responsabilidad de administrar los principalestributos del orden nacional, dirigir la gestión aduanera y garantizar el cumplimiento delrégimen cambiario por importación y exportación de bienes y servicios.La DIAN, tal como ocurre con otras administraciones tributarias, es una de lasinstituciones públicas de mayor interacción directa con los ciudadanos. Sus actuacionesson un importante referente en la percepción social de la institucionalidad de un país.Alrededor de 1.000.000 de personas naturales y cerca de 300.000 empresas declaran antela DIAN la renta que han obtenido durante una vigencia fiscal. Cerca de 400.000responsables del IVA informan a la entidad mediante declaraciones bimestrales el Sistema de Gestión de Calidad y Control Interno 10 de 37
  • 11. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008comportamiento de sus ventas y de sus obligaciones tributarias. Al mismo tiempo, la DIANinteractúa con aproximadamente 330.000 entidades que mensualmente reportan lasretenciones en la fuente por ellas practicadas.En el año 2007 cerca de 42.000 importadores o exportadores emplearon al menos una vezen el año los servicios de facilitación del comercio exterior que brinda la DIAN.En general, las administraciones tributarias son instituciones a las cuales se confía unconjunto de recursos humanos, financieros y tecnológicos, que deben articularse de lamanera más eficiente posible a fin de garantizar el cumplimiento de las obligacionestributarias que la normatividad ha impuesto a una sociedad.La DIAN desarrolla esa misión brindando a los contribuyentes servicios que facilitan elcumplimiento de sus obligaciones, efectuando al mismo tiempo, los controles necesarios yenmarcando su actuación en los principios constitucionales y legales que regulan lagestión pública.En el mediano plazo la entidad pretende consolidar la autoridad fiscal del Estado y laautonomía de la administración tributaria, alcanzar altos niveles de cumplimiento voluntariode las obligaciones impositivas y lograr que la sociedad colombiana se sensibilice frente ala importancia de contar con un sistema tributario más simple.La misión y visión de la DIAN forman parte de una estrategia de modernizacióninstitucional puesta en práctica en el año 2003 y que ha contado con el apoyo y confianzadel gobierno nacional, de tal manera que con la introducción de los ajustes necesariospuede afirmarse que la organización ha logrado consolidar una planeación estratégica demediano plazo.Sin embargo, las contingencias internas, así como las provenientes de su entornoeconómico, político y social, pueden afectar negativa y significativamente la gestión de laentidad. Es por ello que la DIAN considera de importancia capital la incorporación delanálisis de riesgos en su planeación estratégica.Actualmente el análisis de riesgos hace parte integral del Mapa Estratégico, del Código deBuen Gobierno, y de los Planes y Proyectos de la entidad. También es revelador de laconstrucción de una cultura de análisis de riesgos en la entidad, el hecho que en LasEvaluaciones Anuales al Plan Estratégico, los Informes de Gestión (rendición de cuentas),y el Diagnóstico del Desarrollo Institucional, se establecen las debilidades y amenazas alos que se enfrenta la DIAN y, a la vez, cada uno de sus procesos, subprocesos yprocedimientos aporta información relevante sobre la cual se va actualizando el mapa deeventos de riesgos. Sistema de Gestión de Calidad y Control Interno 11 de 37
  • 12. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008La DIAN expidió la Resolución 10621el 31 de octubre de 2008, por medio de la cualadoptó su Código de Buen Gobierno, el Código de Ética y los Valores Institucionales, quehacen parte de los soportes de la estrategia de la institución.3.1.2. Contexto organizacionalEl proceso de modernización de la administración tributaria nacional que Colombia haadelantado durante los últimos seis años, a llevado paulatinamente a que la entidad setransforme para enfatizar su orientación hacia la prestación de servicios de facilitación yasistencia a los contribuyentes, al tiempo que se han fortalecido los controles necesariospara afianzar el cumplimiento de las obligaciones tributarias.La globalización de la economía a nivel internacional con sus exigencias en materia decompetitividad y el aumento de las responsabilidades fiscales a cargo del gobiernonacional han sido dos rasgos fundamentales que caracterizan el entorno en el que opera laadministración impositiva colombiana. Esa realidad se ha expresado en importantesreformas al sistema tributario nacional con la consecuencia para la DIAN de incrementarnotablemente sus metas de recaudo, el número de clientes directos, los procesos bajo suresponsabilidad y la cantidad de información relevante para su gestión. Estos retoscrecientes han debido afrontarse en medio de una legislación tributaria cuya persistentecomplejidad es generadora de riesgos para el logro de los objetivos institucionales.En este entorno la DIAN ha definido y gestionado las acciones necesarias para armonizarsus recursos humanos y tecnológicos y la estructura organizacional con la estrategia demodernización. Por otra parte, desde su rol propositivo, la DIAN también ha continuadollamando la atención sobre la importancia que para el desarrollo del país tiene lasimplificación del sistema tributario y permanentemente realiza aportes técnicos en taldirección.La modernización institucional empezó a concretarse con la creación de un nuevo modelode gestión apoyado en el uso intensivo de tecnologías de la información y en el aporte delconocimiento especializado de su talento humano. En el nuevo modelo de gestión lasfunciones y competencias trascienden el espacio que tradicionalmente ocupaban dentro decada dependencia de la organización y se articulan ahora mediante procesos,subprocesos y procedimientos institucionales, claramente identificados, estandarizados yformalizados.La DIAN incluyó la identificación de los riesgos operacionales y de salud ocupacional juntocon los respectivos controles para afrontar dichas contingencias como parte de losatributos que formalmente caracterizan a sus procedimientos. Esta identificación se llevó acabo con la participación universal de los funcionarios de la DIAN que contribuyeron a estepropósito mediante el diligenciamiento de una encuesta sistematizada. Esta información, Sistema de Gestión de Calidad y Control Interno 12 de 37
  • 13. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008debidamente estandarizada, constituye la materia prima básica para la construcción delsistema de administración de riesgos de la entidad.El modelo de gestión se complementa y consolida con la reciente aprobación de lasiniciativas que la DIAN había planteado ante el Ministerio de Hacienda, el DepartamentoNacional de Planeación y el Departamento Administrativo de la Función Pública, quepermiten a la entidad contar con una estructura organizacional y una planta de funcionariosalineadas con la estrategia de modernización.Otro de los principales logros en materia organizacional es la integración de los diferentessistemas con que venía engranando sus acciones la entidad en los campos de Gestión dela Calidad (NTCGP 1000:2004) y Control Interno (MECI 1000:2005), de manera que laDIAN pueda responder adecuadamente a los requerimientos planteados en dichanormatividad a través de un único sistema de gestión de calidad y control interno, queademás de integrar estas disposiciones, facilita su aplicación y desarrollo.Específicamente, el Modelo Estándar de Control Interno incluye un componente de análisisde riesgos, ahora comprendido dentro de la norma integral que regula la gestión de laDIAN.El Sistema de Gestión de Calidad y el MECI fueron integrados en la DIAN el 8 de febrerode 2006 mediante la Resolución No. 01094 y el Mapa de Procesos de la entidad se adoptócon la Resolución 10621 del 31 de Octubre de 2008, con la finalidad de mejorar eldesempeño de la entidad y su capacidad de proporcionar productos y servicios querespondan a las necesidades y expectativas de sus clientes, y a la vez fortalecer el controly la evaluación interna, orientando a la entidad hacia el cumplimiento de sus objetivosinstitucionales.3.1.3. Contexto de riesgosPara la adecuada administración de los riesgos en la DIAN, se cuenta con documentosguías que contienen los lineamientos generales de implementación del sistema tales comoobjetivos y políticas operacionales, incluyendo las actividades requeridas para suimplementación y mantenimiento y la respectiva estructura organizacional para sudesarrollo.Este sistema se integra en todas sus fases con los procesos, subprocesos yprocedimientos establecidos en la Resolución 10621 de 2008 a través de metodologías dereconocido valor técnico en la administración de riesgos, las cuales contienen mecanismosque permiten su escalamiento del sistema a todos los niveles y su respectiva divulgación atodos los funcionarios. Sistema de Gestión de Calidad y Control Interno 13 de 37
  • 14. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008Para consolidar y apoyar la administración de riesgos dentro de la entidad, se conformó demanera no formal en la Subdirección de Gestión de Análisis Operacional el Grupo 1 ogrupo básico de Gestión de Riesgos, integrado inicialmente por 5 funcionarios incluidos elSubdirector del área y el jefe de la Coordinación de Planeación y Evaluación. La principallabor del grupo básico será la de coordinar las acciones necesarias para garantizar laeficiente operación del sistema de administración de riesgos de la entidad y su capacidadpara identificar, valorar y gestionar los nuevos riesgos detectados en los distintos nivelesde la entidad.En la segunda fase de cobertura se conformará en el nivel central de la entidad el grupo 2de gestión de riesgos, del que formarán parte el grupo 1 y funcionarios de enlace de laDirección General y de cada una de las Direcciones de Gestión del nivel central.En esta etapa el grupo básico brindará capacitación a los funcionarios de enlace del nivelcentral en los aspectos conceptuales de la administración de riesgos, su metodología y lainterpretación de resultados.En la tercera etapa los Directores Seccionales deberán identificar un funcionario de susrespectivos despachos que permitirá enlazar en materia de administración de riesgos aesas dependencias con el grupo básico de la Subdirección de Gestión de AnálisisOperacional. Sistema de análisis de riesgos en la DIAN Estructura sugerida para su operación Dependencia Gestores de riesgos Funciones Evaluar periódicamente los resultados del sistema, definir losComité de Coordinación Director General, Directores de Gestión niveles de tolerancia al riesgo, dirigir el establecimiento deestratégica(CCE) del nivel central controles y el tipo de tratamiento asignado a los riesgos prioritarios Administrar la operación del sistema, actualizarlo con los Subidrector, Coordinador de PlaneaciónSubdirección de Gestión de Análisis reportes de los gestores, presentar al CCE periódicas y Evaluación, funcionarios de estaOperacional (SAO) evaluaciones y coordinar la ejecución de las decisiones Coordinación adoptadas por el CCE Coordinar con los Directores la aplicación de los controles yDirecciones de Gestión en el nivel tratamientos definidos por el CCE, identificar nuevos riesgos o Funcionarios gestores en cada Direccióncentral y Direcciones Seccionales cambios relevantes en los riesgos existentes y reportarlos a la SAOEn toda la entidad Responsables de los procesos Administrar los riesgos de sus respectivos procesos Conocer el sistema y reportar a través de los gestores losEn toda la entidad Todos los funcionarios hechos relevantes relacionados con los riesgos de los procedimientos en los que participan Sistema de Gestión de Calidad y Control Interno 14 de 37
  • 15. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/20083.1.4. Principios rectores del sistemaLas etapas definidas y la evolución del Sistema de Administración del Riesgo en la entidadestán soportadas en los siguientes principios: a. Prevención Adoptar las acciones necesarias, viables y efectivas para prevenir la ocurrencia o minimizar el impacto de los riesgos que puedan afectar o entorpecer el logro de los objetivos y la gestión de los procesos. b. Autorregulación La administración de los riesgos se fundamenta en la utilización de métodos y procedimientos idóneos, aplicados de manera participativa en los distintos niveles de la organización, bajo un entorno de integridad, eficiencia y transparencia. c. Autocontrol La administración de riesgos proporciona controles adecuados que permiten a la organización detectar oportunamente la ocurrencia de un evento riesgoso, a fin de efectuar las acciones preventivas y correctivas que sean necesarias. d. Razonabilidad Se otorga prioridad al tratamiento de los riesgos de mayor severidad de conformidad con las decisiones que en tal materia tome la alta dirección de la organización. Los recursos asignados al tratamiento de los riesgos y a la implantación de controles guardan proporcionalidad con su incidencia y probabilidad de materialización. e. Atenuabilidad La administración del riesgo se enfoca en la necesidad de mitigación efectiva de un riesgo considerando su real impacto en el logro de los objetivos estratégicos y en el desarrollo de los procesos institucionales.3.1.5. Objetivos del sistemaTres son los objetivos generales que pretende alcanzar el sistema de ADMINISTRACIÓNde riesgos: a. Consolidar la capacidad organizacional para cumplir la misión y lograr la visión. Sistema de Gestión de Calidad y Control Interno 15 de 37
  • 16. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 b. Asegurar la confiabilidad de los procesos, subprocesos y procedimientos c. Modificar, alinear y blindar los procesos contra la subjetividad, la corrupción y la contravención de los valores.Otros objetivos específicos que deben tenerse en perspectiva para el diseño, construccióny operación del sistema son: Articular, evaluar y controlar los riesgos que pueden afectar o impedir el desarrollo de los procesos institucionales. Interiorizar en la cultura institucional el concepto de riesgo y la concientización sobre los aportes que todos los funcionarios de la entidad pueden realizar para fortalecer la capacidad de administrar los eventos riesgosos. Lograr que los responsables de los procesos administren el sistema de riesgos de manera participativa, técnica y preventiva.3.1.6. Políticas de administración de riesgosEn su Código de Buen Gobierno la DIAN establece un conjunto de directrices quedeterminan el marco de actuación de la gestión institucional de manera que se garantice lacoherencia entre sus propósitos y sus prácticas. Estas directrices constituyen las políticasde buen gobierno y en materia de análisis de riesgos la entidad adoptó las siguientespolíticas: a. Sobre metodología Los responsables de los procesos en la DIAN tienen a su cargo la administración de los riesgos a partir de los principios rectores definidos y utilizando la metodología aprobada en la DIAN para determinar prioritariamente aquellos eventos de riesgo que le impidan alcanzar los objetivos institucionales. b. Sobre identificación La identificación y gestión de los riesgos no incluirá las fallas que pueden presentarse en los procesos, pues estas se consideran pueden ser corregidas oportunamente ya que están bajo total gobernabilidad del proceso. c. Sobre control Sin excepción, la DIAN identificará, adecuará e implementará los controles razonables en términos de suficiencia, comprensión, eficacia, economía y Sistema de Gestión de Calidad y Control Interno 16 de 37
  • 17. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 oportunidad sobre los riesgos identificados, analizados que sea necesario gestionar para el logro pleno de los objetivos de los procesos. d. Sobre tratamiento Los responsables de los procesos en la DIAN con el propósito de alcanzar los objetivos institucionales administrarán las acciones preventivas y/o correctivas tendientes a evitar, gestionar o transferir el riesgo bajo criterios de autorregulación, autogestión y autocontrol.3.2. Identificación de los riesgosLa identificación de los riesgos pretende además de la designación nominal y descripciónde los eventos de riesgo, clasificar estos sucesos, establecer las fuentes de generación ylas causas que los originan, así como las áreas de impacto en la organización y lasconsecuencias que puede generar la materialización de los riesgos.Las fuentes de riesgo son usualmente clasificadas en grupos que integran elementoshomogéneos tales como el recurso humano, la tecnología, la infraestructura, los procesos,eventos externos, etc. Las principales áreas de impacto de los sucesos riesgosos son losprocesos de la entidad, pudiendo tener especial incidencia en los subprocesos yprocedimientos que los conforman.3.2.1. AntecedentesDurante el periodo comprendido entre los años 2005 a 2007 las diferentes áreas de laDIAN identificaron una serie de riesgos siguiendo la metodología del Sistema de Gestiónde Calidad y Control Interno dentro del levantamiento de los procesos que hizo a nivel dela organización.En el año 2008 con el trabajo realizado para la caracterización de procesos se retomaronlos riesgos identificados inicialmente. Adicionalmente se consultó la relación de riesgosoperacionales contemplada en el Comité de Basilea del año 2004, efectuándose unproceso de depuración de la base inicial a través de una agrupación por afinidad deacuerdo con el tipo de riesgo. Como resultado de esta labor se construyó la tablapreliminar de riesgos operacionales contenida en el Prevalidador de Información deProcesos y Talento Humano, la cual contenía 11 tipos de riesgos y una opción para quelos usuarios identificaran otros riesgos y los relacionaran.La información recolectada fue incluida en los formatos de caracterización 1146, en losque los riesgos se identifican al nivel más detallado del mapa de procesos, es decir a nivel Sistema de Gestión de Calidad y Control Interno 17 de 37
  • 18. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008de procedimiento. La opción “otros riesgos” contemplada en el instrumento diseñado parala captura de la información fue profusamente diligenciada por los funcionarios, dandolugar nuevamente a un amplio conjunto de riesgos, que estaban clasificados solamente endos categorías, riesgos operacionales y riesgos ocupacionales.La base de datos así construida constituye el punto de partida para la definición yelaboración de la primera versión del Sistema de Administración de Riesgos de la DIAN.3.2.2. Consolidación de la información e identificación final de los riesgosLos resultados alcanzados por la DIAN en los antecedentes se convirtieron en una base dedatos que fue suministrada al equipo de trabajo conformado por el grupo básico de gestiónde riesgos y la consultoría y a partir de tal información se llevaron a cabo las siguientesactividades: a. Análisis, depuración y consolidación de la base de datos inicial, conformando una base de datos con riesgos revisados a nivel de procedimiento. b. Identificación de posibles eventos que no estaban contenidos en la base inicial, especialmente los relacionados con procesos estratégicos de la DIAN. c. Asociación de cada uno de los riesgos identificados a nivel de procedimiento con sus correspondientes subprocesos y procesos. d. Revisión y consolidación de las causas reales y potenciales que pueden originar la materialización de los riesgos. e. Revisión y consolidación de las consecuencias que produce en la entidad la ocurrencia de cada uno de los eventos de riesgo identificados. f. Redefinición de la agrupación de los riesgos, pasando de las dos tipologías iniciales (riesgos operacionales y riesgos ocupacionales) a la siguiente clasificación: Riesgo Estratégico: Está asociado a la administración de la Entidad. Como deficiencia o falta de políticas, diseño de estrategias, cumplimiento de metas. Riesgo Operacional: Relacionado con las deficiencias de infraestructura y organización. Como desarticulación de las dependencias, fallas de los sistemas de información, falta de documentación de los procesos, etc. Riesgo Financiero: Se relaciona con el manejo eficiente y transparente de los recursos financieros. Como Dificultades y retrasos en la ejecución presupuestal, Descontrol de los pagos, demoras en la elaboración de los estados financieros. Sistema de Gestión de Calidad y Control Interno 18 de 37
  • 19. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 Riesgo de Cumplimiento: Capacidad para el cumplimiento de los requisitos legales, contractuales, de ética pública. Riesgo de Tecnología: Asociado a la capacidad y seguridad de la tecnología disponible y su adaptación a las necesidades actuales y futuras. Riesgo Ocupacional: Relacionado con los efectos y consecuencias que producen al personal de la entidad el desarrollo de sus actividades laborales. g. Revisión final para consolidar los riesgos identificados, asociando en un único riesgo aquellos en los que se reconoció gran afinidad. Esta unificación implicó realizar ajustes en la denominación, definición, causas y consecuencias del riesgo unificado, de manera que éste fuera comprensivo de los eventos que le dieron origen.El producto obtenido en esta etapa de la aplicación de la metodología es la identificaciónde 44 riesgos que pueden comprometer el desarrollo de la misión, el logro de la visión y elalcance de los objetivos institucionales. A su vez, se asociaron a cada uno de los 15procesos de la DIAN, los riesgos que inciden directamente en su desarrollo.3.3. Etapa de análisisLa etapa de análisis de riesgo tiene el propósito de medir los eventos de riesgos a los quese encuentra expuesta la entidad, en términos de probabilidad de ocurrencia y demagnitud de su impacto.Para realizar esta actividad es preciso definir tablas estandarizadas que faciliten lamedición. El equipo de trabajo discutió las diferentes dimensiones que podrían tener lostres instrumentos de medición requeridos en esta etapa (5×5, 4×4, 3×3), adoptandofinalmente una estructura en 4 dimensiones básicas, tanto para el impacto como para laprobabilidad, a fin de evitar los sesgos de conveniencia que usualmente son adoptados porevaluadores, analistas o encuestados y que tienden a generar calificaciones agrupadas enel punto central.3.3.1. Tabla de medición del impactoPara medir el impacto del riesgo se definieron cuatro niveles que gradúan en formaascendente la incidencia del evento en la entidad: 1) Leve; 2) Moderado; 3) Grave y, 4)Crítico. Sistema de Gestión de Calidad y Control Interno 19 de 37
  • 20. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008El impacto se evalúa en cuatro dimensiones que el equipo de trabajo consideró relevantespara la entidad y que se presentan en la siguiente tabla. DESCRIPCIÓN DE LAS DIMENSIONES UTILIZADAS EN LA TABLA DE IMPACTO PARA LA MEDICIÓN DE RIESGOS Costo asociado a la materialización del riesgo analizado desde la perspectiva del costo fiscal, es decir, la DIMENSIÓN disminución en el recaudo de los tributos y desde la ECONÓMICA perspectiva del costo financiero para la entidad, entendido como el deterioro del presupuesto asignado para su funcionamiento. Detrimento de la imagen de la entidad evaluado desde la DIMENSIÓN percepción del cliente, teniendo en cuenta el volumen de IMAGEN quejas, reclamos, sugerencias y peticiones (QRSP), las INSTITUCIONAL posibles sanciones por parte de entes de control y el nivel que alcance la divulgación de los riesgos materializados. Retraso en la operación de la entidad evaluado con base en DIMENSIÓN la duración del evento y la cantidad de información que OPERACIONAL pueda verse afectada o comprometida por la ocurrencia del evento de riesgo. DIMENSIÓN Daños que pueden presentarse en la integridad física de HUMANA funcionarios o clientes debido a la materialización del riesgoEs posible que el impacto de un riesgo no sea igual en las 4 dimensiones consideradas.De hecho algunos riesgos únicamente afectaran una o dos dimensiones. Sin embargo esnecesario obtener una sola valoración del impacto institucional del riesgo. El equipo detrabajo acordó que el impacto del riesgo corresponde al nivel más alto que se hayaregistrado en cualquiera de las dimensiones. Sistema de Gestión de Calidad y Control Interno 20 de 37
  • 21. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 TABLA DE MEDICIÓN DEL IMPACTO POR OCURRENCIA DEL RIESGO CONSECUENCIA - EFECTOS MATERIALIZACIÓN DEL RIESGO DIMENSIÓN ECONÓMICA DIMENSIÓN DIMENSIÓN DIMENSIÓN CATEGORIA IMAGEN INSTITUCIONAL OPERACIONAL HUMANA RECAUDO PRESUPUESTO Conocimiento de la situación en medios Retraso en las actividades de la Muerte o lesión que implique a largo masivos de comunicación a nivel organización por tres o más días. Que plazo una limitación total y permanente CRITICO (VALOR=4) x > 500.000 UVT x> 50.000 UVT nacional e internacional. Multas o se pierda información confidencial o de las condiciones físicas y/o sanciones por parte de los entes de estratégica y no se pueda recuperar o psicológicas de la persona afectada control. si se recupera, esta es parcialmente. (funcionario o cliente). Retraso en las actividades de la organización entre dos y tres días. Que Conocimiento de la situación en medios Lesión que requiera hospitalización la información confidencial o locales. Multas o sanciones debido a la pero no implique a largo plazo una GRAVE 5.000 UVT > x £ 500 UVT > x £ estratégica se pierda y se pueda (VALOR=3) pérdida de un proceso judicial y al limitación total y permanente de las 500.000 UVT 50.000 UVT recuperar o, que se pierda informaciónCON SEC U ENC IA reconocimiento de los respectivos condiciones físicas y/o psicológicas de no estratégica, ni confidencial y se perjuicios la persona afectada. logre recuperar menos del 90% de la misma. Retraso en las actividades de la Conocimiento de la situación a nivel de organización desde dos horas hasta por MODERADO 500 UVT > x £ 100 UVT > x £ Lesión que requiere de un tratamiento (VALOR=2) la institución. Demandas por parte de un día. Que se pierda información no 5000 UVT 500 UVT médico ambulatorio. los clientes estratégica, ni confidencial y se puede recuperar más del 90% de la misma. Retraso en las actividades de la Conocimiento de la situación al interior organización por dos horas o menos. Lesión que requiere atención de LEVE 45 UVT > x £ 1 UVT > x £ 100 (VALOR=1) de un proceso. Quejas y/o reclamos por Que se pierda información no primeros auxilios que no implica 500 UVT UVT parte de los clientes estratégica, ni confidencial y se pueda tratamiento médico. recuperar oportunamente. x : valor de la pérdida de recaudo o de presupuesto. Es importante señalar que en la etapa previa de identificación, se determinaron los riesgos específicos que afectan a cada proceso institucional. Un riesgo puede incidir sobre uno o mas procesos y su impacto sobre cada uno de ellos se evalúa en forma independiente. 3.3.2. Tabla de medición de la probabilidad Para medir la frecuencia con la que se podrían materializar los eventos de riesgo se plantearon cuatro intervalos de probabilidad: 1) Baja; 2) Media; 3) Alta y, 4) Muy alta, tal como se aprecia en el siguiente cuadro. Sistema de Gestión de Calidad y Control Interno 21 de 37
  • 22. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 T AB L A DE ME DIC IÓ N DE L A P R O B AB IL IDAD DE O C UR R E NC IA DE L R IE S G O PROBABILIDAD DE OCURRENCIA MUY ALTA (VALOR=4) El evento ocurre más del 50% de los casos DESCRIPCIÓN ALTA (VALOR=3) El evento ocurre mayor al 30% y menor o igual al 50% de los casos MEDIO (VALOR=2) El evento ocurre mayor al 5% y menor o igual al 30% de los casos BAJA (VALOR=1) El evento que ocurra menos del 5% de los casos.3.3.3. Mapa de riesgoEl mapa de riesgos es un plano en el que se representan simultáneamente lasescalas de impacto y de probabilidad propias de cada uno de los riesgos. En razóna que se definieron 4 niveles de impacto y 4 rangos de probabilidad de ocurrencia,el plano esta integrado por las 16 posibles combinaciones que surgen al reunir lasdos evaluaciones del riesgo. El impacto y la probabilidad determinan en formaconjunta la severidad del riesgo, con una representación particular en el mapa (unpunto).A su turno, este mapa se dividió en cuatro zonas de severidad de los riesgos: a. Zona de riesgo aceptable. b. Zona de riesgo moderado. c. Zona de riesgo importante. d. Zona de riesgo inaceptable.Estas zonas fueron establecidas inicialmente por el equipo de trabajo y validadasposteriormente por el Comité de Coordinación Estratégica de la DIAN.Los mapas de riesgo constituyen una herramienta gerencial que brinda criterios dedecisión a la alta dirección frente a los cambios que deben ser realizados en laentidad para controlar los riesgos existentes y prevenir su materialización. Sistema de Gestión de Calidad y Control Interno 22 de 37
  • 23. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 SISTEMA DE ADMINISTRACIÓN DEL RIESGO - DIAN MAPA DE RIESGO MUY ALTA ALTA PROBABILIDAD MEDIA BAJA LEVE MODERADA GRAVE CRITICA IMPACTO Zona Riesgo Inaceptable Zona Riesgo Importante Zona Riesgo Moderado Zona Riesgo Aceptable3.3.4. Medición del riesgo puro, absoluto o inherenteEl equipo de trabajo calificó cada uno de los riesgos en los 15 procesos de laentidad, empleando los instrumentos de medición previamente diseñados,apoyándose en la información recopilada durante la etapa de identificación, yconsultando vía correo electrónico, personal o telefónicamente a los funcionariosque colaboraron en la caracterización de los procedimientos institucionales.Esta calificación se traduce finalmente en una valoración del impacto y laprobabilidad de ocurrencia de un riesgo específico en un proceso particular. Elanálisis se efectúa asumiendo que la entidad no tiene implementados aúncontroles que permitan mitigar la frecuencia y la incidencia de los riesgos. Sistema de Gestión de Calidad y Control Interno 23 de 37
  • 24. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/20083.3.5. El mapa de riesgos inherentes de la DIANLa metodología aplicada para obtener el mapa institucional de riesgos inherentesconsiste fundamentalmente en sintetizar las evaluaciones, tanto de impacto comode probabilidad, otorgadas a los riesgos en cada uno de los procesos antes de laaplicación de controles.Con esa finalidad se construyen dos matrices de riesgos institucionales, en lasque se relacionan los 44 riesgos identificados con los 15 procesos de laorganización.Los elementos de la Matriz 1 contienen la evaluación del impacto que generan losriesgos en cada proceso y en el total de la organización, mientras que loselementos de la Matriz 2 presentan la probabilidad de ocurrencia de un riesgo,primero en cada proceso y finalmente en la entidad.Las calificaciones que aparecen en cada componente de las dos matrices sonretomadas de las evaluaciones efectuadas previamente. El aspecto relevante eneste punto de la metodología es la manera en que se sintetizan dichascalificaciones en una sola evaluación para toda la entidad.El recurso utilizado consiste en asignar a cada evaluación cualitativa un númeroque representa la intensidad del impacto o la mayor probabilidad de ocurrencia deun evento, tal como se indica en la siguiente tabla. Asignación de una escala cuantitativa para evaluaciones cualitativas Impacto Probabilidad Escala LEVE BAJA 1 MODERADO MEDIA 2 GRAVE ALTA 3 CRÍTICO MUY ALTA 4Mediante esta convención es posible obtener una cuantificación promedio devarias evaluaciones cualitativas5. Sin embargo, el promedio no necesariamente5 En esta versión del sistema de administración de riesgos de la DIAN, se asumirá que los procesos tienen el mismo pesorelativo para la entidad.: En versiones posteriores se contempla la posibilidad de asignar ponderaciones diferentes porgrupos de procesos, otorgando por ejemplo mayor peso relativo a los procesos misionales que a los de apoyo. Sistema de Gestión de Calidad y Control Interno 24 de 37
  • 25. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008corresponderá a un número entero por lo cual es preciso traducir este resultadocuantitativo en escalas cualitativas de la manera que se indica seguidamente. Traducción de un promedio en escalas cualitativas Promedio (P) Impacto Probabilidad P=1 LEVE BAJA 1 <P <=2 MODERADO MEDIA 2 <P <=3 GRAVE ALTA P >3 CRÍTICO MUY ALTAA continuación se propone un sencillo ejemplo que ilustra la metodologíaobservada. Se supone para tal efecto que en la organización se han identificado 4riesgos y que existen 3 procesos fundamentales. En consecuencia las dosmatrices institucionales tendrán dimensión 4*3. Impacto de los riesgos en la DIAN EJEMPLO PARA ILUSTRAR LA METODOLOGÍA Impacto Contribución relativa de cada riesgo promedio de los En el total de En el impacto Conceptos Proceso 1 Proceso 2 Proceso 3 riesgos en la eventos promedio sobre la DIAN riesgosos DIANRiesgo 1 MODERADO LEVE MODERADO 25,0% 15,0%Riesgo 2 GRAVE MODERADO GRAVE 25,0% 25,0%Riesgo 3 LEVE LEVE 12,5% 5,0%Riesgo 4 CRÍTICO CRÍTICO GRAVE CRÍTICO 37,5% 55,0%Impacto promedio de losriesgos en cada proceso GRAVE GRAVE MODERADO GRAVERiesgos de cada proceso / 37,5% 25,0% 37,5% 100,0%Total de eventos riesgososContribución de cadaproceso en el impacto 40,0% 30,0% 30,0% 100,0%promedio de la DIANEsta matriz muestra que el riesgo 1 no tiene incidencia sobre el primer procesopero que afecta de manera moderada al proceso 2 y en forma leve al proceso 3.Para sintetizar estos dos efectos se acude a la primera equivalencia y se asignanvaloraciones cuantitativas para los dos eventos: 2 en el caso del impactomoderado y 1 para el impacto leve. El promedio simple de estas calificaciones es Sistema de Gestión de Calidad y Control Interno 25 de 37
  • 26. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/20081,5 y entonces se acude a la segunda equivalencia a fin de traducir este resultadoen una evaluación cualitativa. Así puede afirmarse que en promedio el riesgo 1impacta de manera moderada la institución.De igual forma se aprecia en una lectura vertical de la matriz 1 que el proceso 2 esafectado solamente por dos de los riesgos considerados. El riesgo 1 que tiene unimpacto moderado y el riesgo 2 con un impacto crítico. Acudiendo nuevamente ala primera equivalencia, los dos impactos se convierten respectivamente en 2 y 4con un promedio de 3. El promedio a su turno se traduce en una evaluacióncualitativa con el empleo de la segunda escala y se concluye que, en promedio,los riesgos institucionales relevantes para el proceso 2 lo impactan de formagrave.Un resultado general de gran importancia es la incidencia del conjunto de riesgossobre la entidad. Este resultado se encuentra en la intersección de fila y columnade “impacto promedio”. En el ejemplo considerado los riesgos identificadosimpactan de manera grave a la institución, antes de considerar los controlesestablecidos. El impacto general se puede calcular tomando las evaluaciones de latotalidad de los riesgos y empleando las equivalencias cuantitativas y cualitativasya descritas, siguiendo estos pasos: Convertir en cantidades cada una de las calificaciones cualitativas inicialmente asignadas a cada riesgo en cada proceso (8 eventos en el caso del ejemplo). Obtener el promedio simple de las cantidades de que trata el paso precedente. Emplear la segunda equivalencia para traducir el promedio del paso anterior en una evaluación general de tipo cualitativo.La última columna de la Matriz 1 permite establecer el aporte relativo con quecada uno de los riesgos contribuye al impacto total sobre la entidad. Conocido elhecho de que el impacto general de los riesgos es “grave”, la última columnaadvierte que el 55% de tal resultado se explica por la incidencia del riesgo 4,seguido en importancia por las contribuciones relativas de los riesgos 2 y 1respectivamente.El riesgo 3 únicamente contribuye con el 5% en la explicación del impacto sobre laentidad, en primer lugar porque por sí sólo tan sólo tiene un impacto “leve” y, ensegundo término, porque este riesgo es relevante apenas para uno de los tresprocesos o, desde otra perspectiva, tan sólo es generador de 1 de los 8 riesgosrelevantes (ponderación del 12,5% que aparece en la penúltima columna de laMatriz 1). De manera análoga, la última fila de la Matriz 1 indica que el proceso 1es el que mayoritariamente contribuye en el impacto sobre toda la institución. Sistema de Gestión de Calidad y Control Interno 26 de 37
  • 27. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008La interpretación de la Matriz 2 es exactamente igual, con la diferencia de que laprobabilidad de ocurrencia se halla graduada con denominaciones diferentes a lasempleadas en la matriz de impacto. Probabilidad de ocurrencia de los riesgos en la DIAN EJEMPLO PARA ILUSTRAR LA METODOLOGÍA Contribución relativa de cada riesgo Probabilidad promedio En el total de En la probabilidad Conceptos Proceso 1 Proceso 2 Proceso 3 de ocurrencia del riesgo eventos promedio de ocurrencia de en la DIAN riesgosos un riesgo en la DIANRiesgo 1 MEDIA ALTA ALTA 25,0% 31,3%Riesgo 2 BAJA BAJA BAJA 25,0% 12,5%Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%Riesgo 4 ALTA BAJA BAJA MEDIA 37,5% 31,3%Probabilidad promedio deocurrencia de los riesgos en ALTA MEDIA MEDIA MEDIAcada procesoRiesgos de cada proceso / 37,5% 25,0% 37,5% 100,0%Total de eventos riesgososContribución de cadaproceso en la probabilidad 50,0% 18,8% 31,3% 100,0%promedio de ocurrencia deriesgos en la DIANEl riesgo 4 tiene una alta probabilidad de ocurrir en el proceso 1 pero esaprobabilidad es baja en los procesos 2 y 3. En términos cuantitativos las tresprobabilidades corresponden respectivamente a 4, 1 y 1, según se propuso en laprimera equivalencia. El promedio simple de los tres valores es 2 y la segundaequivalencia indica que, en promedio, el riesgo 4 se presenta en la entidad conuna probabilidad media.El resultado general de la Matriz 2, intersección de la fila y columna de“probabilidad promedio” concluye que los riesgos relevantes para la entidadocurren con una probabilidad “media”.Las matrices 1 y 2 aportan para el caso del ejemplo los elementos necesarios paradefinir el grado de severidad de los riesgos institucionales. Teniendo en cuentaesa información así como las zonas de riesgo establecidas en el apartado 3.3.3 deeste documento, es posible construir el “mapa de riesgos inherentes de laorganización”. Sistema de Gestión de Calidad y Control Interno 27 de 37
  • 28. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 Elementos para determinar el grado de severidad de los riesgos en la DIAN EJEMPLO PARA ILUSTRAR LA METODOLOGÍA ProbabilidadCód. Conceptos Impacto promedio Zona de riesgo promedio 01 Riesgo 1 MODERADO ALTA ZONA DE RIESGO IMPORTANTE 02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO 03 Riesgo 3 LEVE MUY ALTA ZONA DE RIESGO MODERADO 04 Riesgo 4 CRÍTICO MEDIA ZONA DE RIESGO INACEPTABLE © Total riesgos GRAVE MEDIA ZONA DE RIESGO IMPORTANTE Mapa de riesgos inherentes de la DIAN para un ejemplo hipotético MAPA DE RIESGO INHERENTE MUY ALTA 03 P 01 R O ALTA B A B I L I D MEDIA A 04 D © 02 BAJA LEVE MODERADO GRAVE CRÍTICO CONSECUENCIA - IMPACTO Zona Riesgo Inaceptable Zona Riesgo Importante Zona Riesgo Moderado Zona Riesgo Aceptable Sistema de Gestión de Calidad y Control Interno 28 de 37
  • 29. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008Los resultados obtenidos en este ejemplo indican que los 4 riesgos considerados(antes de la aplicación de los controles) podrían generar, en promedio, un impacto“grave” sobre la organización si llegaran a materializarse. La probabilidadpromedio de que estos riesgos efectivamente tengan ocurrencia es “media” en elconjunto de la institución. La asociación entre un impacto “grave” y unaprobabilidad “media” se traduce en nivel de exposición o de severidad del riesgo“importante”.La metodología observada también permite jerarquizar los riesgos de acuerdo consu nivel de severidad. En el ejemplo que apoya la explicación y en el que aún nose han aplicado controles, , el riesgo 4 se califica como inaceptable, es decir, elque mayor gestión demanda por parte de la entidad. En segundo lugar deseveridad aparece el riesgo 1, catalogado como “importante”, mientras que losriesgos con menor grado de severidad son el 1 y el 2, severidad “moderada”.3.4. Valoración del riesgoEn la etapa precedente se analizaron los riesgos potenciales o inherentes, en losque no se tiene en cuenta el efecto de los controles establecidos por la entidad, afin de morigerar su impacto y probabilidad de ocurrencia. En la etapa de valoraciónse vuelven a examinar los riesgos pero evaluando esta vez la forma en que loscontroles atenúan el nivel de exposición al riesgo.Los riesgos potenciales o inherentes reducen su severidad como resultado de laaplicación de controles. Sin embargo la magnitud de tal reducción depende de laefectividad de las acciones que haya dispuesto la organización para administrarsus riesgos.La valoración que se realiza incluyendo los efectos de los controles da lugar a losriesgos residuales.Riesgos inherentes - Efecto controles = Riesgos Residuales3.4.1. Eficiencia de los controlesEl equipo de trabajo acudió a información sobre los controles reportada en elformato 1146 (Caracterización de Procedimientos). Igualmente se consultaron losinformes trimestrales de auto evaluación que las dependencias de la entidadreportan a través del Sistema Estadístico de Gestión Global, SEGG. Estainformación se complementó con consultas a los funcionarios que participaron enla caracterización de los procedimientos institucionales. Sistema de Gestión de Calidad y Control Interno 29 de 37
  • 30. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008Los atributos que se tuvieron en cuenta para evaluar la efectividad de los controlesfueron los siguientes. a. Tipo: preventivo, detectivo o correctivo. Los controles preventivos, dependiendo de su grado de efectividad, permiten reducir la probabilidad de ocurrencia del evento. Los controles detectivos pueden mitigar tanto la probabilidad de ocurrencia del suceso como su impacto, mientras que los correctivos fundamentalmente actúan disminuyendo la magnitud del impacto. b. Documentación: El riesgo está documentado, no hay documentación. Los controles deben estar debidamente documentados para facilitar su comprensión y aplicación. En el evento que tal documentación no exista se reduce la efectividad de la acción de control. c. Aplicación: El control está siendo aplicado, no se aplica. La respuesta básica en este atributo es de tipo binario: Sí o No. Cuando no se aplica el control evidentemente no existe ningún nivel de efectividad mientras que la aplicación del mismo aplaza la calificación de la efectividad en función de los resultados observados en los demás atributos. d. Mitigación: Alta, media y baja. La forma específica que asume la mitigación depende del grado de cumplimiento del objetivo para el que fue diseñado el control y de las debilidades que pueda presentar. Una mitigación alta ocurre cuando el control cumple su objetivo y las debilidades detectadas se pueden subsanar fácilmente. La mitigación media se presenta cuando el control cumple parcialmente su objetivo y las deficiencias son más significativas. Finalmente, la mitigación baja corresponde a una situación en la que el control no cumple el objetivo y las deficiencias implican costos importantes. e. Frecuencia del control: Permanente, diaria, semanal, mensual, etc. La frecuencia del control debe guardar relación con la periodicidad con la que se presenta el evento riesgoso. Potencialmente podría plantearse que los controles se aplicaran siempre que ocurriera el riesgo. Sin embargo esto puede resultar muy costoso para la organización y es por ello que se debe Sistema de Gestión de Calidad y Control Interno 30 de 37
  • 31. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 definir la frecuencia de los controles tomando en cuenta el costo de aplicación y la efectividad deseada.Tomando en consideración los anteriores criterios se pueden establecer niveles deefectividad de los controles, los cuales se pueden denominar como A, B y C,siendo el primero el más efectivo. Específicamente, A denota aquel control quereduce máximo 2 escalas el nivel de probabilidad y/o de impacto, B el control quedisminuye en una escala el nivel de probabilidad y/o impacto y C el control que notiene efecto sobre la probabilidad y/o el impacto del evento.La valoración automatizada de la efectividad es compleja porque requiereconsiderar, por una parte, la totalidad de las causas que dan origen al riesgo quese intenta controlar y, de otra parte, el grado de mitigación que el control alcanceen cada una de esas causas. En esta evaluación resulta crucial la participación delfuncionario experto en el proceso o procedimiento, a fin de precisar los vínculosentre el control, las causas del riesgo y el grado de mitigación.3.4.2. Mapa de riesgos residualesUna vez establecido el nivel de efectividad e identificados los tipos de control,estos son aplicados a la matriz de riesgos inherentes para cada uno de losprocesos identificados, obteniendo una nueva valoración del impacto y laprobabilidad de ocurrencia. De la asociación de estas nuevas valoraciones surgela “matriz de riesgos residuales” del proceso, la cual representa el grado deseveridad de los riesgos analizados después de considerar la incidencia de losrespectivos controles.A manera de ilustración, se establece un control para cada uno de los 4 riesgosdel ejemplo desarrollado anteriormente, y se identifica en cada caso el grado demitigación y el tipo al cual pertenece. Bajo el supuesto de que los controles sonimplementados y se encuentran documentados, se determina el grado deefectividad, el cual está correlacionado de manera directa con el grado demitigación. Controles aplicados sobre los riesgos inherentes de la DIAN EJEMPLO PARA ILUSTRAR LA METODOLOGÍA Nombre Aplicado a Tipo Mitigación Efectividad Control 1 Riesgo 1 Detectivo Alto A Control 2 Riesgo 2 Correctivo Bajo C Control 3 Riesgo 3 Preventivo Medio B Control 4 Riesgo 4 Correctivo Alto A Sistema de Gestión de Calidad y Control Interno 31 de 37
  • 32. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008En el literal a. del subapartado 3.4.1 se indicó que la tipología de los controlesdefine si su efectividad permite reducir el impacto y/o la probabilidad del riesgo.Así mismo, el grado de efectividad determina la magnitud de esta disminución.Teniendo en cuenta estas consideraciones se construyen nuevamente lasmatrices 1 y 2, expuestas en el subapartado 3.3.5. Siguiendo este procedimiento,por una parte, se obtiene el impacto promedio de los riesgos residuales y de otra,la probabilidad promedio de ocurrencia de riesgo residual, a partir de lainformación obtenida para cada proceso.Las matrices resultantes del ejemplo se presentan a continuación. Impacto de los riesgos en la DIAN una vez aplicados los controles EJEMPLO PARA ILUSTRAR LA METODOLOGÍA Contribución relativa de cada Impacto riesgo promedio de los Conceptos Proceso 1 Proceso 2 Proceso 3 En el total de En el impacto riesgos en la DIAN eventos promedio riesgosos sobre la DIANRiesgo 1 LEVE LEVE LEVE 25,0% 15,4%Riesgo 2 GRAVE MODERADO GRAVE 25,0% 38,5%Riesgo 3 LEVE LEVE 12,5% 7,7%Riesgo 4 MODERADO MODERADO LEVE MODERADO 37,5% 38,5%Impacto promedio delos riesgos en cada MODERADO MODERADO MODERADO MODERADORiesgos de cadaproceso / Total de 37,5% 25,0% 37,5% 100,0%eventos riesgososContribución de cadaproceso en el impacto 46,2% 23,1% 30,8% 100,0%promedio de la DIAN Sistema de Gestión de Calidad y Control Interno 32 de 37
  • 33. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 Probabilidad de ocurrencia de los riesgos en la DIAN una vez aplicados los controles EJEMPLO PARA ILUSTRAR LA METODOLOGÍA Contribución relativa de cada riesgo Probabilidad promedio En la Conceptos Proceso 1 Proceso 2 Proceso 3 de ocurrencia del riesgo En el total de probabilidad en la DIAN eventos promedio de riesgosos ocurrencia de un riesgoRiesgo 1 MEDIA ALTA ALTA 25,0% 31,3%Riesgo 2 BAJA BAJA BAJA 25,0% 12,5%Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%Riesgo 4 ALTA BAJA BAJA MEDIA 37,5% 31,3%Probabilidad promedio deocurrencia de los riesgos en ALTA MEDIA MEDIA MEDIAcada procesoRiesgos de cada proceso / 37,5% 25,0% 37,5% 100,0%Total de eventos riesgososContribución de cadaproceso en la probabilidad 50,0% 18,8% 31,3% 100,0%promedio de ocurrencia deriesgos en la DIANLa relación entre el impacto y la probabilidad promedio de los riesgos indica elgrado de severidad de los riesgos residuales, a partir de la cual se construye el“mapa de riesgos residuales de la organización”. Elementos para determinar el grado de severidad de los riesgos residuales en la DIAN EJEMPLO PARA ILUSTRAR LA METODOLOGÍA ProbabilidadCód. Conceptos Impacto promedio Zona de riesgo promedio 01 Riesgo 1 LEVE BAJA ZONA DE RIESGO ACEPTABLE 02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO 03 Riesgo 3 LEVE ALTA ZONA DE RIESGO MODERADO 04 Riesgo 4 MODERADO MEDIA ZONA DE RIESGO MODERADO © Total riesgos MODERADO MEDIA ZONA DE RIESGO MODERADO Sistema de Gestión de Calidad y Control Interno 33 de 37
  • 34. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 Mapa de riesgo residual MAPA DE RIESGO RESIDUAL MUY ALTA P R O ALTA 03 B A B I L I D MEDIA A 04 D © 01 02 BAJA LEVE MODERADO GRAVE CRÍTICO CONSECUENCIA - IMPACTO Zona Riesgo Inaceptable Zona Riesgo Importante Zona Riesgo Moderado Zona Riesgo AceptableEsta metodología se realizó con información del año 2008 para cada uno de losprocesos de la DIAN. Los controles y los mapas respectivos se encuentran enarchivo magnético administrados por la Subdirección de Análisis Operacional.3.5. TratamientoEn general la administración de los riesgos residuales exige revisar la efectividadde los controles existentes, verificando fundamentalmente si éstos cubren todas ola mayoría de las causas que los originan, así como el grado de mitigaciónalcanzado. Además se debe contemplar la posibilidad de introducir nuevoscontroles que complementen los existentes.Los tratamientos específicos que suelen aplicarse a los riesgos residuales son lossiguientes: Sistema de Gestión de Calidad y Control Interno 34 de 37
  • 35. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008 a. Eliminar: Este tratamiento está asociado con las etapas de exploración de los proyectos. Si se detecta la existencia de un riesgo de alto impacto y difícil de gestionar, la decisión recomendable suele ser la eliminación del riesgo a través de la cancelación del proyecto. b. Asumir: Cuando los riesgos tienen un bajo nivel de severidad (aceptable) los costos generados por su materialización son relativamente bajos respecto de los costos en los que habría que incurrir para crear controles. Se recomienda en estos casos mantener un monitoreo con el fin de que el nivel de severidad no se incremente. En todo caso el costo del monitoreo no debe sobrepasar el costo de la realización del evento. c. Evitar: Se refiere a la implementación de controles preventivos con el fin de reducir al máximo la probabilidad de ocurrencia del riesgo. d. Transferir: En este caso se traslada el riesgo para que sea gestionado por un tercero, el cual asume el costo en caso de la materialización del evento. Esta alternativa también incluye la adquisición una póliza de seguro. La transferencia de riesgos suele aplicarse sobre recursos físicos o sobre la seguridad o integridad física de las personas que laboran en una organización. En el caso de entidades públicas con funciones legalmente establecidas nunca se trasfiere la responsabilidad sino el costo por la posible ocurrencia del riesgo. e. Gestionar: Se relaciona con riesgos que presentan un grado de severidad relativamente alto (zonas de riesgo importante o inaceptable según los instrumentos propuestos en la sección 2 de este documento). Al igual que en la alternativa que trata de evitar los riesgos, gestionarlos permite reducir la probabilidad de ocurrencia pero adicionalmente esta clase de tratamiento permite disminuir el impacto del evento, acudiendo generalmente a la aplicación de nuevos controles correctivos o de la revisión de los ya existentes. Igualmente forma parte de este tratamiento la implementación de planes de contingencia que buscan mitigar las consecuencias en caso de la ocurrencia del evento.En el subapartado 3.1.3 se presentó un cuadro en el que se describen lasfunciones tentativas que se asignan en la DIAN para administrar los riesgosinstitucionales. En ese esquema se indica que el Comité de CoordinaciónEstratégica tiene a su cargo establecer los lineamientos para administrar losriesgos de severidad inaceptable o importante. Sistema de Gestión de Calidad y Control Interno 35 de 37
  • 36. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008A su turno el grupo básico de gestores de riesgo debe coordinar las accionesnecesarias para garantizar la ejecución de las directrices sobre el tratamientootorgado a este tipo de riesgos.Los responsables de los procesos institucionales tienen la labor de ejecutar lasacciones establecidas.3.6. MonitoreoEl monitoreo requiere establecer una metodología para su desarrollo. Esametodología se puede sugerir respondiendo algunas preguntas básicas:¿Cuál es el objeto?: El objeto son los riesgos y los controles en sentido amplio, esdecir que se debe examinar periódicamente la aparición de nuevos riesgos, elcambio de percepción que la organización tiene sobre el impacto o la probabilidadde los riesgos ya identificados o de la efectividad de los controles, así como laincidencia real de riesgos que efectivamente se materialicen.¿Quiénes realizan el monitoreo?: Esta es una labor a cargo de todos losfuncionarios de la entidad, contando para ello con la coordinación de los gestoresde riesgos en los diferentes niveles de la organización.Cómo se efectúa?: Necesariamente esta labor se lleva a cabo con el empleo deinstrumentos de captura de la información relevante para la administración deriesgos. El instrumento fundamental que la entidad utiliza para este efecto es laformalización de su operación a través de procesos, subprocesos yprocedimientos.En efecto, los procedimientos en la DIAN están caracterizados formalmente en laficha 1146 y los indicadores de eficacia, eficiencia y efectividad se definendetalladamente en la ficha 1161. Su actualización periódica reporta el surgimientode nuevos procedimientos y dentro de estos la creación de nuevas actividades,con los riesgos y controles que unos y otras conllevan.Este instrumento se complementa con información aportada por los gestores deriesgos a través de mecanismos tales como entrevistas de percepción practicadasperiódicamente.¿Cuándo?: Las actividades de monitoreo son permanentes en la entidad. Sinembargo, la actualización del sistema sólo se llevará a cabo, por razones de costo,una vez al año y extraordinariamente cuando el monitoreo revele la aparición de Sistema de Gestión de Calidad y Control Interno 36 de 37
  • 37. ELEMENTOS PARA LA CONSTRUCCIÓN DELSISTEMA DE ADMINISTRACIÓN DE RIESGOS Versión: 1 01/12/2008un riesgo inaceptable, o el aumento en el grado de severidad de los riesgosexistentes.¿Dónde?: En todos los procesos de la organización, con énfasis en los riesgos demayor grado de severidad, sin desatender, de acuerdo con los recursosdisponibles, a los eventos situados en las zonas de riesgo aceptable o moderado.3.7. ComunicaciónLa dependencia de la organización a cargo de la administración del sistema deriesgos deberá publicar, para el conocimiento de todos los funcionarios de laorganización, los riesgos identificados, incluyendo su descripción, causasgeneradoras y potenciales consecuencias. Para tal efecto empelara los canales decomunicación masiva establecidos en la entidad, especialmente la red interna(Intranet). Sistema de Gestión de Calidad y Control Interno 37 de 37