Construcción SAR DIAN

ELEMENTOS PARA LA CONSTRUCCIÓN
DELSISTEMA DE ADMINISTRACIÓN
DE RIESGOS
Versión: 1
01/12/2008

EQUIPO DE TRABAJO

Esperanza Sánchez Pérez
Directora de Gestión Organizacional

Javier Ávila Mahecha
Subdirector de Gestión de Análisis Operacional

Jhonn Lenin Bautista Guzmán
Coordinación de Planeación y Evaluación

Ángela Cruz Lasso
Adriana Rivera Murcia
Hugo Antonio Álvarez Agudelo
Ivonne Rocío León Hernández
Alfonso Gómez Rojas
Funcionarios de la Subdirección de Gestión de Análisis Operacional

Consultoría: GLOBAL BUSINESS PARTNER GROUP
Paola Benavides Velandia
Clifor Maturana

Sistema de Gestión de Calidad y Control Interno
1 de 37

DE RIESGOS
Versión: 1
01/12/2008

Índice

Introducción 4
1. Marco conceptual 5
2. Metodología para el desarrollo del sistema de administración de riesgos 6
2.1. Alcance y definición metodológica 6

2.2. Elementos de la administración de riesgos 6
2.2.1. Establecimiento del contexto 8
2.2.2. Identificación de riesgos 8
2.2.3. Análisis de riesgos 8
2.2.4. Valoración del riesgo 9
2.2.5. Tratamiento del riesgo 9
2.2.6. Monitoreo y revisión 9
2.2.7. Comunicación y consulta 10

3. Desarrollo de la metodología 10

3.1. El contexto en el que opera la entidad 10
3.1.1. Contexto estratégico 10
3.1.2. Contexto organizacional 12
3.1.3. Contexto de riesgos 13
3.1.4. Principios rectores del sistema 15
3.1.5. Objetivos del sistema 15
3.1.6. Políticas de administración de riesgos 16
3.2. Identificación de los riesgos 17
3.2.1. Antecedentes 17
3.2.2. Consolidación de la información e identificación final de los riesgos 18

2 de 37

DE RIESGOS
Versión: 1
01/12/2008

3.3. Etapa de análisis 19

3.3.1. Tabla de medición del impacto 19
3.3.2. Tabla de medición de la probabilidad 21
3.3.3. Mapa de riesgo 22
3.3.4. Medición del riesgo puro, absoluto o inherente 23
3.3.5. El mapa de riesgos inherentes de la DIAN 24

3.4. Valoración del riesgo 29
3.4.1 Eficiencia de los controles 29
3.4.2. Mapa de riesgos residuales 31
3.5. Tratamiento 34
3.6. Monitoreo 36
3.7. Comunicación 37

3 de 37

DE RIESGOS
Versión: 1
01/12/2008

Introducción

Durante los últimos años la Dirección de Impuestos y Aduanas Nacionales, DIAN, ha
dedicado recursos y especial atención a la identificación de los principales riesgos que
pueden surgir en su operación. Atendiendo las orientaciones consagradas en la
normatividad nacional en materia de calidad y control interno en la gestión Pública, la
entidad ha intensificado sus esfuerzos a fin de contar con un sistema idóneo de
ADMINISTRACIÓN de riesgos para enfrentar de manera solvente las contingencias que
pudieran comprometer el logro de sus objetivos institucionales.
El presente documento contiene los lineamientos generales en los que se apoya la DIAN,
para el diseño, implementación y gestión de su Sistema de Administración de Riesgos.
Este Sistema es resultado de un trabajo multidisciplinario y de amplia participación,
adelantado al interior de la entidad con la colaboración de los funcionarios que intervienen
en los diversos procesos institucionales, liderado por el Grupo Básico de Gestores de
Riesgos de la Subdirección de Gestión de Análisis Operacional y acompañados por un
equipo de consultores externos, con experiencia en el diseño e implementación de
sistemas de gestión de riesgos corporativos.
El documento está estructurado en tres secciones. En la primera de ellas se presenta de
manera sencilla un marco conceptual acerca de lo que puede entenderse por sistema de
administración de riesgos y la pertinencia de su aplicación en la DIAN; en la segunda, se
describen brevemente los principales elementos o etapas que conforman la gestión del
riesgo. Por último, la sección tres presenta la metodología para el desarrollo del sistema de
riesgos en la DIAN, la cual incluye, la definición del contexto, la identificación de los
riesgos, su análisis y valoración.

4 de 37

DE RIESGOS
Versión: 1
01/12/2008

1. Marco conceptual

Se entiende por riesgo “toda posibilidad de ocurrencia de aquella situación que pueda
entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus
objetivos” 1.

La administración de riesgos, por su parte, “es el término aplicado a un método lógico y
sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados con una actividad, función o proceso de una forma que
permita a las organizaciones minimizar pérdidas y maximizar oportunidades.”2
Se trata de una herramienta de gestión, liderada desde la alta dirección de las
organizaciones, incorporada en la definición de sus estrategias básicas e igualmente
aplicable en ámbitos más específicos de las instituciones.
El análisis de riesgos está diseñado para identificar eventos potenciales que puedan
afectar a la organización, para gestionar la ocurrencia de tales eventos y para brindar una
seguridad razonable sobre la consecución de los objetivos de la entidad.
Las entidades de la administración pública no pueden ser ajenas a la inseguridad
vinculada a los riesgos y deben prepararse para gestionarlos adecuadamente, partiendo
de la base de su razón de ser y su compromiso con la sociedad; por esto se debe tener en
cuenta que los riesgos no sólo son de carácter económico y están directamente
relacionados con entidades financieras o con lo que se ha denominado riesgos
profesionales sino que hacen parte de cualquier gestión que se realice3.

Por supuesto, la DIAN, al igual que todas las organizaciones de carácter publico, se
encuentra permanentemente expuesta a estos eventos de riesgo, y por ello es necesario
crear mecanismos efectivos de control que permitan reducir la vulnerabilidad de la
organización ante los mismos, es decir, que la entidad debe realizar las acciones
necesarias, viables y efectivas con el objetivo de prevenir la ocurrencia o minimizar el
impacto de los eventos que puedan afectar el logro de sus objetivos y la adecuada gestión
de los procesos.

1 Departamento Administrativo de la Función Pública. Guía Administración del Riesgo. Segunda edición. Colombia 2004.
2 Standars Australia. Administración de Riesgos, AS/NZS 4360:1999 Estándar Australiano. (El estándar australiano es una metodología con reconocimiento

internacional, sobre la cual se basó el ICONTEC para el desarrollo de la Norma Técnica Colombiana NTC 5254).
3 Op. Cit,. Departamento Administrativo de la Función Pública. 2004.

5 de 37

DE RIESGOS
Versión: 1
01/12/2008

La presencia latente de múltiples riesgos en torno a la gestión de la DIAN podría poner en
peligro la seguridad fiscal del Estado colombiano y el orden público económico nacional, si
no se cuenta con un adecuado manejo de estas contingencias. La DIAN es una entidad
de gran importancia en la sociedad colombiana en tanto que su misión permite recaudar la
mayor parte de los ingresos corrientes de la nación y, por ello, un principio básico de
responsabilidad social exige que la administración tributaria cuente con un sistema que le
permita hacer frente a eventos riesgosos sin afectar de manera sustancial sus objetivos
fundamentales.

Los sistemas de administración de riesgos deben incorporarse en el diseño de la
planeación estratégica institucional, al igual que en la formulación de los instrumentos de
planeación de periodicidad anual. Estos sistemas deben constituirse en un proceso
continuo de periódica actualización.

Esta clase de herramientas se emplea tanto para gestionar los riesgos en el conjunto de la
entidad como también en los distintos niveles que la integran. Consecuentemente, se
requiere que el sistema de administración de riesgos de la entidad sea conocido por los
funcionarios en todos los niveles de la organización.

2. Metodología para el desarrollo del sistema de administración de riesgos

La metodología para el desarrollo del Sistema de Administración del Riesgo en la DIAN,
está soportada en la Norma Técnica Colombiana NTC 5254 editada por el Instituto
Colombiano de Normas Técnicas y Certificación.

2.1. Alcance y definición metodológica
La NTC 5254 – Gestión del Riesgo, presentada por el Instituto Colombiano de Normas
Técnicas y Certificación – ICONTEC -, que tomó como referencia el estándar australiano
AS/NZ 4360:1999, provee una guía genérica para el establecimiento e implementación del
proceso de administración de riesgos involucrando el establecimiento del contexto y la
identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de
los riesgos.

2.2. Elementos de la administración de riesgos
Los principales elementos contenidos en la metodología para la administración de riesgos,
son:
a. Establecimiento del Contexto.

6 de 37

DE RIESGOS
Versión: 1
01/12/2008

b. Identificación de Riesgos.
c. Análisis de Riesgos.
d. Valoración de Riesgos.
e. Tratamiento del Riesgo.
f. Monitoreo y Revisión del Riesgo.
g. Comunicación y Consulta.

Figura 1. Elementos que conforman el proceso de gestión del riesgo4

4 ICONTEC. Norma Técnica Colombiana NTC 5254 – Gestión del Riesgo. Colombia 2004.

7 de 37

DE RIESGOS
Versión: 1
01/12/2008

2.2.1. Establecimiento del contexto

El primer elemento corresponde al establecimiento del contexto, consiste en definir los
parámetros básicos dentro de los cuales se va a gestionar el riesgo; estos parámetros
deben ser determinados desde tres contextos: el estratégico, el organizacional y el de la
gestión del riesgo.

2.2.2. Identificación de riesgos

El segundo elemento del proceso corresponde a la identificación del riesgo, en esta fase
se busca identificar todos los riesgos que estén o no bajo el control de la organización y
que van a ser gestionados.

La identificación de los riesgos posibilita definir las causas y los efectos de situaciones que
pueden afectar el logro de los objetivos institucionales enmarcados en el análisis del
entorno y de la situación actual de la entidad. Este trabajo se realiza utilizando diferentes
fuentes de información pero principalmente con la participación de los empleados públicos
que día a día gestionan los procesos en calidad de expertos.

Para la identificación de riesgos pueden utilizarse varias herramientas y técnicas, como
son: análisis de flujos y procesos, juicios basados en la experiencia, lluvia de ideas, listas
de chequeo, etc., lo importante es que estas herramientas permitan determinar la lista de
eventos que podrían afectar a la organización en la consecución de sus principales
objetivos y en el desarrollo de sus procesos.

2.2.3. Análisis de riesgos

Una vez identificados los riesgos, se avanza en el siguiente elemento que consiste en
analizar la frecuencia o la probabilidad con la que se podrían materializar los eventos
riesgosos y su grado de incidencia en la operación de las organizaciones.

El análisis del riesgo permite establecer la severidad de los eventos de riesgo
identificados, a través de una evaluación en la que se involucran simultáneamente la
estimación de la probabilidad de ocurrencia y el impacto de sus consecuencias. Esta
primera calificación proporciona una aproximación a la capacidad requerida por la entidad
para la administración de sus riesgos.

Las consecuencias y probabilidad de ocurrencia de un riesgo se pueden estimar utilizando
análisis estadísticos, o mediante valoraciones cualitativas en las que prima la ordinalidad
sobre la cardinalidad.

8 de 37

DE RIESGOS
Versión: 1
01/12/2008

En esta etapa el principal producto es un mapa de riesgos inherentes a la operación de la
organización. En el mapa se combinan en las dos dimensiones del plano, la probabilidad y
el impacto, determinando en cada punto específico un nivel de severidad del evento
riesgoso.

2.2.4. Valoración del riesgo

Durante esta etapa se identifican los controles que la entidad a establecido para gestionar
los riesgos inherentes a la operación. Se evalúa la efectividad de los controles y ésta
calificación se emplea para reestimar el nivel de severidad de los riesgos. Cuanto más alta
sea la efectividad del control más baja será la severidad del riesgo y en este caso ya no se
habla de riesgos inherentes sino de riesgos residuales, aludiendo con tal denominación a
la parte del evento que persiste después de haberse aplicado los controles diseñados por
la entidad.

Surge entonces el mapa de riesgos residuales y éstos se clasifican de acuerdo con su
grado de severidad para que la alta dirección de la entidad determine el tratamiento que se
ofrecerá a cada uno de ellos.

2.2.5. Tratamiento del riesgo

En esta etapa se toman decisiones entre una gama de opciones para definir, qué
tratamiento se aplicará a los riesgos residuales, incluyendo ajustes en los controles ya
establecidos.

A partir del grado de exposición al riesgo se priorizan aquellos eventos que generen un
mayor impacto en el logro de los objetivos de la entidad, y de acuerdo a esta clasificación
se definen y ejecutan las acciones tomadas para evitar, gestionar, transferir o asumir las
causas del riesgo.

2.2.6. Monitoreo

En el monitoreo se definen los mecanismos que permitirán llevar a cabo un adecuado
seguimiento del sistema y su respectiva retroalimentación asegurando así su actualización
en el tiempo y la generación de información pertinente para la toma de decisiones.

El monitoreo permite detectar nuevos riesgos ya que estos no permanecen estáticos, hace
posible evaluar la calidad de los controles implantados y verificar la eficacia de las
acciones de tratamiento definidas por la alta dirección.

9 de 37

DE RIESGOS
Versión: 1
01/12/2008

2.2.7. Comunicación y consulta

En razón a que el sistema de administración de riesgos de la DIAN se rige, entre otros
principios, por la autorregulación y el autocontrol, la comunicación es una actividad
prioritaria entre los funcionarios de la entidad que gestionan el sistema en los distintos
niveles de la organización. Así mismo, todos los funcionarios que conforman la entidad y
que intervienen en los diferentes procedimientos, tienen permanentemente acceso a
información relevante para la actualización y apropiada gestión del sistema, razón por la
cual deben preverse idóneos canales de comunicación para la divulgación de los ajustes
introducidos en el sistema.

3. Desarrollo de la metodología

3.1. El contexto en el que opera la entidad
El perfil que adopte un sistema de ADMINISTRACIÓN de riesgo depende de la
organización concreta para la cual se está diseñando dicho sistema. Aunque existen
riesgos de carácter general comunes a muchas instituciones, su incidencia difiere en cada
caso particular y, adicionalmente, existen riesgos propios del ámbito específico en el que
operan las entidades.
El diseño de un sistema de ADMINISTRACIÓN de riesgos se elabora en consecuencia
para una institución concreta, en un marco temporal definido y en el contexto interno y
externo relevante para cada entidad. La definición del contexto también es fundamental
para determinar los principios rectores del sistema y sus objetivos.

3.1.1. Contexto estratégico
La DIAN es una entidad del gobierno central, adscrita al Ministerio de Hacienda y Crédito
público, que tiene entre sus competencias la responsabilidad de administrar los principales
tributos del orden nacional, dirigir la gestión aduanera y garantizar el cumplimiento del
régimen cambiario por importación y exportación de bienes y servicios.
La DIAN, tal como ocurre con otras administraciones tributarias, es una de las
instituciones públicas de mayor interacción directa con los ciudadanos. Sus actuaciones
son un importante referente en la percepción social de la institucionalidad de un país.
Alrededor de 1.000.000 de personas naturales y cerca de 300.000 empresas declaran ante
la DIAN la renta que han obtenido durante una vigencia fiscal. Cerca de 400.000
responsables del IVA informan a la entidad mediante declaraciones bimestrales el

10 de 37

DE RIESGOS
Versión: 1
01/12/2008

comportamiento de sus ventas y de sus obligaciones tributarias. Al mismo tiempo, la DIAN
interactúa con aproximadamente 330.000 entidades que mensualmente reportan las
retenciones en la fuente por ellas practicadas.

En el año 2007 cerca de 42.000 importadores o exportadores emplearon al menos una vez
en el año los servicios de facilitación del comercio exterior que brinda la DIAN.

En general, las administraciones tributarias son instituciones a las cuales se confía un
conjunto de recursos humanos, financieros y tecnológicos, que deben articularse de la
manera más eficiente posible a fin de garantizar el cumplimiento de las obligaciones
tributarias que la normatividad ha impuesto a una sociedad.

La DIAN desarrolla esa misión brindando a los contribuyentes servicios que facilitan el
cumplimiento de sus obligaciones, efectuando al mismo tiempo, los controles necesarios y
enmarcando su actuación en los principios constitucionales y legales que regulan la
gestión pública.

En el mediano plazo la entidad pretende consolidar la autoridad fiscal del Estado y la
autonomía de la administración tributaria, alcanzar altos niveles de cumplimiento voluntario
de las obligaciones impositivas y lograr que la sociedad colombiana se sensibilice frente a
la importancia de contar con un sistema tributario más simple.

La misión y visión de la DIAN forman parte de una estrategia de modernización
institucional puesta en práctica en el año 2003 y que ha contado con el apoyo y confianza
del gobierno nacional, de tal manera que con la introducción de los ajustes necesarios
puede afirmarse que la organización ha logrado consolidar una planeación estratégica de
mediano plazo.

Sin embargo, las contingencias internas, así como las provenientes de su entorno
económico, político y social, pueden afectar negativa y significativamente la gestión de la
entidad. Es por ello que la DIAN considera de importancia capital la incorporación del
análisis de riesgos en su planeación estratégica.
Actualmente el análisis de riesgos hace parte integral del Mapa Estratégico, del Código de
Buen Gobierno, y de los Planes y Proyectos de la entidad. También es revelador de la
construcción de una cultura de análisis de riesgos en la entidad, el hecho que en Las
Evaluaciones Anuales al Plan Estratégico, los Informes de Gestión (rendición de cuentas),
y el Diagnóstico del Desarrollo Institucional, se establecen las debilidades y amenazas a
los que se enfrenta la DIAN y, a la vez, cada uno de sus procesos, subprocesos y
procedimientos aporta información relevante sobre la cual se va actualizando el mapa de
eventos de riesgos.

11 de 37

DE RIESGOS
Versión: 1
01/12/2008

La DIAN expidió la Resolución 10621el 31 de octubre de 2008, por medio de la cual
adoptó su Código de Buen Gobierno, el Código de Ética y los Valores Institucionales, que
hacen parte de los soportes de la estrategia de la institución.

3.1.2. Contexto organizacional

El proceso de modernización de la administración tributaria nacional que Colombia ha
adelantado durante los últimos seis años, a llevado paulatinamente a que la entidad se
transforme para enfatizar su orientación hacia la prestación de servicios de facilitación y
asistencia a los contribuyentes, al tiempo que se han fortalecido los controles necesarios
para afianzar el cumplimiento de las obligaciones tributarias.

La globalización de la economía a nivel internacional con sus exigencias en materia de
competitividad y el aumento de las responsabilidades fiscales a cargo del gobierno
nacional han sido dos rasgos fundamentales que caracterizan el entorno en el que opera la
administración impositiva colombiana. Esa realidad se ha expresado en importantes
reformas al sistema tributario nacional con la consecuencia para la DIAN de incrementar
notablemente sus metas de recaudo, el número de clientes directos, los procesos bajo su
responsabilidad y la cantidad de información relevante para su gestión. Estos retos
crecientes han debido afrontarse en medio de una legislación tributaria cuya persistente
complejidad es generadora de riesgos para el logro de los objetivos institucionales.

En este entorno la DIAN ha definido y gestionado las acciones necesarias para armonizar
sus recursos humanos y tecnológicos y la estructura organizacional con la estrategia de
modernización. Por otra parte, desde su rol propositivo, la DIAN también ha continuado
llamando la atención sobre la importancia que para el desarrollo del país tiene la
simplificación del sistema tributario y permanentemente realiza aportes técnicos en tal
dirección.

La modernización institucional empezó a concretarse con la creación de un nuevo modelo
de gestión apoyado en el uso intensivo de tecnologías de la información y en el aporte del
conocimiento especializado de su talento humano. En el nuevo modelo de gestión las
funciones y competencias trascienden el espacio que tradicionalmente ocupaban dentro de
cada dependencia de la organización y se articulan ahora mediante procesos,
subprocesos y procedimientos institucionales, claramente identificados, estandarizados y
formalizados.

La DIAN incluyó la identificación de los riesgos operacionales y de salud ocupacional junto
con los respectivos controles para afrontar dichas contingencias como parte de los
atributos que formalmente caracterizan a sus procedimientos. Esta identificación se llevó a
cabo con la participación universal de los funcionarios de la DIAN que contribuyeron a este
propósito mediante el diligenciamiento de una encuesta sistematizada. Esta información,

12 de 37

DE RIESGOS
Versión: 1
01/12/2008

debidamente estandarizada, constituye la materia prima básica para la construcción del
sistema de administración de riesgos de la entidad.

El modelo de gestión se complementa y consolida con la reciente aprobación de las
iniciativas que la DIAN había planteado ante el Ministerio de Hacienda, el Departamento
Nacional de Planeación y el Departamento Administrativo de la Función Pública, que
permiten a la entidad contar con una estructura organizacional y una planta de funcionarios
alineadas con la estrategia de modernización.
Otro de los principales logros en materia organizacional es la integración de los diferentes
sistemas con que venía engranando sus acciones la entidad en los campos de Gestión de
la Calidad (NTCGP 1000:2004) y Control Interno (MECI 1000:2005), de manera que la
DIAN pueda responder adecuadamente a los requerimientos planteados en dicha
normatividad a través de un único sistema de gestión de calidad y control interno, que
además de integrar estas disposiciones, facilita su aplicación y desarrollo.
Específicamente, el Modelo Estándar de Control Interno incluye un componente de análisis
de riesgos, ahora comprendido dentro de la norma integral que regula la gestión de la
DIAN.
El Sistema de Gestión de Calidad y el MECI fueron integrados en la DIAN el 8 de febrero
de 2006 mediante la Resolución No. 01094 y el Mapa de Procesos de la entidad se adoptó
con la Resolución 10621 del 31 de Octubre de 2008, con la finalidad de mejorar el
desempeño de la entidad y su capacidad de proporcionar productos y servicios que
respondan a las necesidades y expectativas de sus clientes, y a la vez fortalecer el control
y la evaluación interna, orientando a la entidad hacia el cumplimiento de sus objetivos
institucionales.

3.1.3. Contexto de riesgos

Para la adecuada administración de los riesgos en la DIAN, se cuenta con documentos
guías que contienen los lineamientos generales de implementación del sistema tales como
objetivos y políticas operacionales, incluyendo las actividades requeridas para su
implementación y mantenimiento y la respectiva estructura organizacional para su
desarrollo.
Este sistema se integra en todas sus fases con los procesos, subprocesos y
procedimientos establecidos en la Resolución 10621 de 2008 a través de metodologías de
reconocido valor técnico en la administración de riesgos, las cuales contienen mecanismos
que permiten su escalamiento del sistema a todos los niveles y su respectiva divulgación a
todos los funcionarios.

13 de 37

DE RIESGOS
Versión: 1
01/12/2008

Para consolidar y apoyar la administración de riesgos dentro de la entidad, se conformó de
manera no formal en la Subdirección de Gestión de Análisis Operacional el Grupo 1 o
grupo básico de Gestión de Riesgos, integrado inicialmente por 5 funcionarios incluidos el
Subdirector del área y el jefe de la Coordinación de Planeación y Evaluación. La principal
labor del grupo básico será la de coordinar las acciones necesarias para garantizar la
eficiente operación del sistema de administración de riesgos de la entidad y su capacidad
para identificar, valorar y gestionar los nuevos riesgos detectados en los distintos niveles
de la entidad.
En la segunda fase de cobertura se conformará en el nivel central de la entidad el grupo 2
de gestión de riesgos, del que formarán parte el grupo 1 y funcionarios de enlace de la
Dirección General y de cada una de las Direcciones de Gestión del nivel central.
En esta etapa el grupo básico brindará capacitación a los funcionarios de enlace del nivel
central en los aspectos conceptuales de la administración de riesgos, su metodología y la
interpretación de resultados.
En la tercera etapa los Directores Seccionales deberán identificar un funcionario de sus
respectivos despachos que permitirá enlazar en materia de administración de riesgos a
esas dependencias con el grupo básico de la Subdirección de Gestión de Análisis
Operacional.
Sistema de análisis de riesgos en la DIAN
Estructura sugerida para su operación

Dependencia Gestores de riesgos Funciones

Evaluar periódicamente los resultados del sistema, definir los
Comité de Coordinación Director General, Directores de Gestión niveles de tolerancia al riesgo, dirigir el establecimiento de
estratégica(CCE) del nivel central controles y el tipo de tratamiento asignado a los riesgos
prioritarios

Administrar la operación del sistema, actualizarlo con los
Subidrector, Coordinador de Planeación
Subdirección de Gestión de Análisis reportes de los gestores, presentar al CCE periódicas
y Evaluación, funcionarios de esta
Operacional (SAO) evaluaciones y coordinar la ejecución de las decisiones
Coordinación
adoptadas por el CCE

Coordinar con los Directores la aplicación de los controles y
Direcciones de Gestión en el nivel tratamientos definidos por el CCE, identificar nuevos riesgos o
Funcionarios gestores en cada Dirección
central y Direcciones Seccionales cambios relevantes en los riesgos existentes y reportarlos a la
SAO
En toda la entidad Responsables de los procesos Administrar los riesgos de sus respectivos procesos
Conocer el sistema y reportar a través de los gestores los
En toda la entidad Todos los funcionarios hechos relevantes relacionados con los riesgos de los
procedimientos en los que participan

14 de 37

DE RIESGOS
Versión: 1
01/12/2008

3.1.4. Principios rectores del sistema
Las etapas definidas y la evolución del Sistema de Administración del Riesgo en la entidad
están soportadas en los siguientes principios:

a. Prevención

Adoptar las acciones necesarias, viables y efectivas para prevenir la ocurrencia o
minimizar el impacto de los riesgos que puedan afectar o entorpecer el logro de los
objetivos y la gestión de los procesos.

b. Autorregulación

La administración de los riesgos se fundamenta en la utilización de métodos y
procedimientos idóneos, aplicados de manera participativa en los distintos niveles
de la organización, bajo un entorno de integridad, eficiencia y transparencia.

c. Autocontrol

La administración de riesgos proporciona controles adecuados que permiten a la
organización detectar oportunamente la ocurrencia de un evento riesgoso, a fin de
efectuar las acciones preventivas y correctivas que sean necesarias.

d. Razonabilidad

Se otorga prioridad al tratamiento de los riesgos de mayor severidad de
conformidad con las decisiones que en tal materia tome la alta dirección de la
organización. Los recursos asignados al tratamiento de los riesgos y a la
implantación de controles guardan proporcionalidad con su incidencia y probabilidad
de materialización.

e. Atenuabilidad

La administración del riesgo se enfoca en la necesidad de mitigación efectiva de un
riesgo considerando su real impacto en el logro de los objetivos estratégicos y en el
desarrollo de los procesos institucionales.

3.1.5. Objetivos del sistema
Tres son los objetivos generales que pretende alcanzar el sistema de ADMINISTRACIÓN
de riesgos:
a. Consolidar la capacidad organizacional para cumplir la misión y lograr la visión.

15 de 37

DE RIESGOS
Versión: 1
01/12/2008

b. Asegurar la confiabilidad de los procesos, subprocesos y procedimientos
c. Modificar, alinear y blindar los procesos contra la subjetividad, la corrupción y la
contravención de los valores.
Otros objetivos específicos que deben tenerse en perspectiva para el diseño, construcción
y operación del sistema son:

Articular, evaluar y controlar los riesgos que pueden afectar o impedir el desarrollo
de los procesos institucionales.

Interiorizar en la cultura institucional el concepto de riesgo y la concientización sobre
los aportes que todos los funcionarios de la entidad pueden realizar para fortalecer
la capacidad de administrar los eventos riesgosos.

Lograr que los responsables de los procesos administren el sistema de riesgos de
manera participativa, técnica y preventiva.

3.1.6. Políticas de administración de riesgos

En su Código de Buen Gobierno la DIAN establece un conjunto de directrices que
determinan el marco de actuación de la gestión institucional de manera que se garantice la
coherencia entre sus propósitos y sus prácticas. Estas directrices constituyen las políticas
de buen gobierno y en materia de análisis de riesgos la entidad adoptó las siguientes
políticas:

a. Sobre metodología
Los responsables de los procesos en la DIAN tienen a su cargo la administración de
los riesgos a partir de los principios rectores definidos y utilizando la metodología
aprobada en la DIAN para determinar prioritariamente aquellos eventos de riesgo
que le impidan alcanzar los objetivos institucionales.

b. Sobre identificación
La identificación y gestión de los riesgos no incluirá las fallas que pueden
presentarse en los procesos, pues estas se consideran pueden ser corregidas
oportunamente ya que están bajo total gobernabilidad del proceso.

c. Sobre control
Sin excepción, la DIAN identificará, adecuará e implementará los controles
razonables en términos de suficiencia, comprensión, eficacia, economía y

16 de 37

DE RIESGOS
Versión: 1
01/12/2008

oportunidad sobre los riesgos identificados, analizados que sea necesario gestionar
para el logro pleno de los objetivos de los procesos.

d. Sobre tratamiento
Los responsables de los procesos en la DIAN con el propósito de alcanzar los
objetivos institucionales administrarán las acciones preventivas y/o correctivas
tendientes a evitar, gestionar o transferir el riesgo bajo criterios de autorregulación,
autogestión y autocontrol.

3.2. Identificación de los riesgos

La identificación de los riesgos pretende además de la designación nominal y descripción
de los eventos de riesgo, clasificar estos sucesos, establecer las fuentes de generación y
las causas que los originan, así como las áreas de impacto en la organización y las
consecuencias que puede generar la materialización de los riesgos.
Las fuentes de riesgo son usualmente clasificadas en grupos que integran elementos
homogéneos tales como el recurso humano, la tecnología, la infraestructura, los procesos,
eventos externos, etc. Las principales áreas de impacto de los sucesos riesgosos son los
procesos de la entidad, pudiendo tener especial incidencia en los subprocesos y
procedimientos que los conforman.

3.2.1. Antecedentes

Durante el periodo comprendido entre los años 2005 a 2007 las diferentes áreas de la
DIAN identificaron una serie de riesgos siguiendo la metodología del Sistema de Gestión
de Calidad y Control Interno dentro del levantamiento de los procesos que hizo a nivel de
la organización.

En el año 2008 con el trabajo realizado para la caracterización de procesos se retomaron
los riesgos identificados inicialmente. Adicionalmente se consultó la relación de riesgos
operacionales contemplada en el Comité de Basilea del año 2004, efectuándose un
proceso de depuración de la base inicial a través de una agrupación por afinidad de
acuerdo con el tipo de riesgo. Como resultado de esta labor se construyó la tabla
preliminar de riesgos operacionales contenida en el Prevalidador de Información de
Procesos y Talento Humano, la cual contenía 11 tipos de riesgos y una opción para que
los usuarios identificaran otros riesgos y los relacionaran.

La información recolectada fue incluida en los formatos de caracterización 1146, en los
que los riesgos se identifican al nivel más detallado del mapa de procesos, es decir a nivel

17 de 37

DE RIESGOS
Versión: 1
01/12/2008

de procedimiento. La opción “otros riesgos” contemplada en el instrumento diseñado para
la captura de la información fue profusamente diligenciada por los funcionarios, dando
lugar nuevamente a un amplio conjunto de riesgos, que estaban clasificados solamente en
dos categorías, riesgos operacionales y riesgos ocupacionales.

La base de datos así construida constituye el punto de partida para la definición y
elaboración de la primera versión del Sistema de Administración de Riesgos de la DIAN.

3.2.2. Consolidación de la información e identificación final de los riesgos
Los resultados alcanzados por la DIAN en los antecedentes se convirtieron en una base de
datos que fue suministrada al equipo de trabajo conformado por el grupo básico de gestión
de riesgos y la consultoría y a partir de tal información se llevaron a cabo las siguientes
actividades:
a. Análisis, depuración y consolidación de la base de datos inicial, conformando una
base de datos con riesgos revisados a nivel de procedimiento.
b. Identificación de posibles eventos que no estaban contenidos en la base inicial,
especialmente los relacionados con procesos estratégicos de la DIAN.
c. Asociación de cada uno de los riesgos identificados a nivel de procedimiento con
sus correspondientes subprocesos y procesos.

d. Revisión y consolidación de las causas reales y potenciales que pueden originar la
materialización de los riesgos.

e. Revisión y consolidación de las consecuencias que produce en la entidad la
ocurrencia de cada uno de los eventos de riesgo identificados.

f. Redefinición de la agrupación de los riesgos, pasando de las dos tipologías iniciales
(riesgos operacionales y riesgos ocupacionales) a la siguiente clasificación:

Riesgo Estratégico: Está asociado a la administración de la Entidad. Como
deficiencia o falta de políticas, diseño de estrategias, cumplimiento de metas.
Riesgo Operacional: Relacionado con las deficiencias de infraestructura y
organización. Como desarticulación de las dependencias, fallas de los sistemas
de información, falta de documentación de los procesos, etc.
Riesgo Financiero: Se relaciona con el manejo eficiente y transparente de los
recursos financieros. Como Dificultades y retrasos en la ejecución presupuestal,
Descontrol de los pagos, demoras en la elaboración de los estados financieros.

18 de 37

DE RIESGOS
Versión: 1
01/12/2008

Riesgo de Cumplimiento: Capacidad para el cumplimiento de los requisitos
legales, contractuales, de ética pública.
Riesgo de Tecnología: Asociado a la capacidad y seguridad de la tecnología
disponible y su adaptación a las necesidades actuales y futuras.

Riesgo Ocupacional: Relacionado con los efectos y consecuencias que
producen al personal de la entidad el desarrollo de sus actividades laborales.

g. Revisión final para consolidar los riesgos identificados, asociando en un único
riesgo aquellos en los que se reconoció gran afinidad. Esta unificación implicó
realizar ajustes en la denominación, definición, causas y consecuencias del riesgo
unificado, de manera que éste fuera comprensivo de los eventos que le dieron
origen.

El producto obtenido en esta etapa de la aplicación de la metodología es la identificación
de 44 riesgos que pueden comprometer el desarrollo de la misión, el logro de la visión y el
alcance de los objetivos institucionales. A su vez, se asociaron a cada uno de los 15
procesos de la DIAN, los riesgos que inciden directamente en su desarrollo.

3.3. Etapa de análisis

La etapa de análisis de riesgo tiene el propósito de medir los eventos de riesgos a los que
se encuentra expuesta la entidad, en términos de probabilidad de ocurrencia y de
magnitud de su impacto.
Para realizar esta actividad es preciso definir tablas estandarizadas que faciliten la
medición. El equipo de trabajo discutió las diferentes dimensiones que podrían tener los
tres instrumentos de medición requeridos en esta etapa (5×5, 4×4, 3×3), adoptando
finalmente una estructura en 4 dimensiones básicas, tanto para el impacto como para la
probabilidad, a fin de evitar los sesgos de conveniencia que usualmente son adoptados por
evaluadores, analistas o encuestados y que tienden a generar calificaciones agrupadas en
el punto central.

3.3.1. Tabla de medición del impacto

Para medir el impacto del riesgo se definieron cuatro niveles que gradúan en forma
ascendente la incidencia del evento en la entidad: 1) Leve; 2) Moderado; 3) Grave y, 4)
Crítico.

19 de 37

DE RIESGOS
Versión: 1
01/12/2008

El impacto se evalúa en cuatro dimensiones que el equipo de trabajo consideró relevantes
para la entidad y que se presentan en la siguiente tabla.

DESCRIPCIÓN DE LAS DIMENSIONES UTILIZADAS EN LA TABLA DE
IMPACTO PARA LA MEDICIÓN DE RIESGOS
Costo asociado a la materialización del riesgo analizado
desde la perspectiva del costo fiscal, es decir, la
DIMENSIÓN disminución en el recaudo de los tributos y desde la
ECONÓMICA perspectiva del costo financiero para la entidad, entendido
como el deterioro del presupuesto asignado para su
funcionamiento.
Detrimento de la imagen de la entidad evaluado desde la
DIMENSIÓN percepción del cliente, teniendo en cuenta el volumen de
IMAGEN quejas, reclamos, sugerencias y peticiones (QRSP), las
INSTITUCIONAL posibles sanciones por parte de entes de control y el nivel
que alcance la divulgación de los riesgos materializados.
Retraso en la operación de la entidad evaluado con base en
DIMENSIÓN la duración del evento y la cantidad de información que
OPERACIONAL pueda verse afectada o comprometida por la ocurrencia del
evento de riesgo.
DIMENSIÓN Daños que pueden presentarse en la integridad física de
HUMANA funcionarios o clientes debido a la materialización del riesgo

Es posible que el impacto de un riesgo no sea igual en las 4 dimensiones consideradas.
De hecho algunos riesgos únicamente afectaran una o dos dimensiones. Sin embargo es
necesario obtener una sola valoración del impacto institucional del riesgo. El equipo de
trabajo acordó que el impacto del riesgo corresponde al nivel más alto que se haya
registrado en cualquiera de las dimensiones.

20 de 37

DE RIESGOS
Versión: 1
01/12/2008

TABLA DE MEDICIÓN DEL IMPACTO POR OCURRENCIA DEL RIESGO

CONSECUENCIA - EFECTOS MATERIALIZACIÓN DEL RIESGO

DIMENSIÓN ECONÓMICA
DIMENSIÓN DIMENSIÓN DIMENSIÓN
CATEGORIA
IMAGEN INSTITUCIONAL OPERACIONAL HUMANA
RECAUDO PRESUPUESTO

Conocimiento de la situación en medios Retraso en las actividades de la Muerte o lesión que implique a largo
masivos de comunicación a nivel organización por tres o más días. Que plazo una limitación total y permanente
CRITICO
(VALOR=4)
x > 500.000 UVT x> 50.000 UVT nacional e internacional. Multas o se pierda información confidencial o de las condiciones físicas y/o
sanciones por parte de los entes de estratégica y no se pueda recuperar o psicológicas de la persona afectada
control. si se recupera, esta es parcialmente. (funcionario o cliente).

Retraso en las actividades de la
organización entre dos y tres días. Que
Conocimiento de la situación en medios Lesión que requiera hospitalización
la información confidencial o
locales. Multas o sanciones debido a la pero no implique a largo plazo una
GRAVE 5.000 UVT > x £ 500 UVT > x £ estratégica se pierda y se pueda
(VALOR=3)
pérdida de un proceso judicial y al limitación total y permanente de las
500.000 UVT 50.000 UVT recuperar o, que se pierda información
CON SEC U ENC IA

reconocimiento de los respectivos condiciones físicas y/o psicológicas de
no estratégica, ni confidencial y se
perjuicios la persona afectada.
logre recuperar menos del 90% de la
misma.

Conocimiento de la situación a nivel de organización desde dos horas hasta por
MODERADO 500 UVT > x £ 100 UVT > x £ Lesión que requiere de un tratamiento
(VALOR=2)
la institución. Demandas por parte de un día. Que se pierda información no
5000 UVT 500 UVT médico ambulatorio.
los clientes estratégica, ni confidencial y se puede
recuperar más del 90% de la misma.

Conocimiento de la situación al interior organización por dos horas o menos. Lesión que requiere atención de
LEVE 45 UVT > x £ 1 UVT > x £ 100
(VALOR=1)
de un proceso. Quejas y/o reclamos por Que se pierda información no primeros auxilios que no implica
500 UVT UVT
parte de los clientes estratégica, ni confidencial y se pueda tratamiento médico.
recuperar oportunamente.

x : valor de la pérdida de recaudo o de presupuesto.

Es importante señalar que en la etapa previa de identificación, se determinaron los
riesgos específicos que afectan a cada proceso institucional. Un riesgo puede
incidir sobre uno o mas procesos y su impacto sobre cada uno de ellos se evalúa
en forma independiente.

3.3.2. Tabla de medición de la probabilidad

Para medir la frecuencia con la que se podrían materializar los eventos de riesgo
se plantearon cuatro intervalos de probabilidad: 1) Baja; 2) Media; 3) Alta y, 4) Muy
alta, tal como se aprecia en el siguiente cuadro.

21 de 37

DE RIESGOS
Versión: 1
01/12/2008

T AB L A DE ME DIC IÓ N DE L A P R O B AB IL IDAD DE O C UR R E NC IA DE L R IE S G O

PROBABILIDAD DE OCURRENCIA

MUY ALTA
(VALOR=4)
El evento ocurre más del 50% de los casos
DESCRIPCIÓN

ALTA
(VALOR=3)
El evento ocurre mayor al 30% y menor o igual al 50% de los casos

MEDIO
(VALOR=2)
El evento ocurre mayor al 5% y menor o igual al 30% de los casos

BAJA
(VALOR=1)
El evento que ocurra menos del 5% de los casos.

3.3.3. Mapa de riesgo

El mapa de riesgos es un plano en el que se representan simultáneamente las
escalas de impacto y de probabilidad propias de cada uno de los riesgos. En razón
a que se definieron 4 niveles de impacto y 4 rangos de probabilidad de ocurrencia,
el plano esta integrado por las 16 posibles combinaciones que surgen al reunir las
dos evaluaciones del riesgo. El impacto y la probabilidad determinan en forma
conjunta la severidad del riesgo, con una representación particular en el mapa (un
punto).

A su turno, este mapa se dividió en cuatro zonas de severidad de los riesgos:

a. Zona de riesgo aceptable.
b. Zona de riesgo moderado.
c. Zona de riesgo importante.
d. Zona de riesgo inaceptable.
Estas zonas fueron establecidas inicialmente por el equipo de trabajo y validadas
posteriormente por el Comité de Coordinación Estratégica de la DIAN.

Los mapas de riesgo constituyen una herramienta gerencial que brinda criterios de
decisión a la alta dirección frente a los cambios que deben ser realizados en la
entidad para controlar los riesgos existentes y prevenir su materialización.

22 de 37

DE RIESGOS
Versión: 1
01/12/2008

SISTEMA DE ADMINISTRACIÓN DEL RIESGO - DIAN
MAPA DE RIESGO

MUY ALTA

ALTA
PROBABILIDAD

MEDIA

BAJA

LEVE MODERADA GRAVE CRITICA

IMPACTO

Zona Riesgo Inaceptable
Zona Riesgo Importante
Zona Riesgo Moderado
Zona Riesgo Aceptable

3.3.4. Medición del riesgo puro, absoluto o inherente

El equipo de trabajo calificó cada uno de los riesgos en los 15 procesos de la
entidad, empleando los instrumentos de medición previamente diseñados,
apoyándose en la información recopilada durante la etapa de identificación, y
consultando vía correo electrónico, personal o telefónicamente a los funcionarios
que colaboraron en la caracterización de los procedimientos institucionales.

Esta calificación se traduce finalmente en una valoración del impacto y la
probabilidad de ocurrencia de un riesgo específico en un proceso particular. El
análisis se efectúa asumiendo que la entidad no tiene implementados aún
controles que permitan mitigar la frecuencia y la incidencia de los riesgos.

23 de 37

DE RIESGOS
Versión: 1
01/12/2008

3.3.5. El mapa de riesgos inherentes de la DIAN

La metodología aplicada para obtener el mapa institucional de riesgos inherentes
consiste fundamentalmente en sintetizar las evaluaciones, tanto de impacto como
de probabilidad, otorgadas a los riesgos en cada uno de los procesos antes de la
aplicación de controles.

Con esa finalidad se construyen dos matrices de riesgos institucionales, en las
que se relacionan los 44 riesgos identificados con los 15 procesos de la
organización.

Los elementos de la Matriz 1 contienen la evaluación del impacto que generan los
riesgos en cada proceso y en el total de la organización, mientras que los
elementos de la Matriz 2 presentan la probabilidad de ocurrencia de un riesgo,
primero en cada proceso y finalmente en la entidad.

Las calificaciones que aparecen en cada componente de las dos matrices son
retomadas de las evaluaciones efectuadas previamente. El aspecto relevante en
este punto de la metodología es la manera en que se sintetizan dichas
calificaciones en una sola evaluación para toda la entidad.

El recurso utilizado consiste en asignar a cada evaluación cualitativa un número
que representa la intensidad del impacto o la mayor probabilidad de ocurrencia de
un evento, tal como se indica en la siguiente tabla.

Asignación de una escala cuantitativa para evaluaciones cualitativas

Impacto Probabilidad Escala
LEVE BAJA 1
MODERADO MEDIA 2
GRAVE ALTA 3
CRÍTICO MUY ALTA 4

Mediante esta convención es posible obtener una cuantificación promedio de
varias evaluaciones cualitativas5. Sin embargo, el promedio no necesariamente

5
En esta versión del sistema de administración de riesgos de la DIAN, se asumirá que los procesos tienen el mismo peso
relativo para la entidad.: En versiones posteriores se contempla la posibilidad de asignar ponderaciones diferentes por
grupos de procesos, otorgando por ejemplo mayor peso relativo a los procesos misionales que a los de apoyo.

24 de 37

DE RIESGOS
Versión: 1
01/12/2008

corresponderá a un número entero por lo cual es preciso traducir este resultado
cuantitativo en escalas cualitativas de la manera que se indica seguidamente.

Traducción de un promedio en escalas cualitativas

Promedio (P) Impacto Probabilidad
P=1 LEVE BAJA
1 <P <=2 MODERADO MEDIA
2 <P <=3 GRAVE ALTA
P >3 CRÍTICO MUY ALTA

A continuación se propone un sencillo ejemplo que ilustra la metodología
observada. Se supone para tal efecto que en la organización se han identificado 4
riesgos y que existen 3 procesos fundamentales. En consecuencia las dos
matrices institucionales tendrán dimensión 4*3.

Impacto de los riesgos en la DIAN
EJEMPLO PARA ILUSTRAR LA METODOLOGÍA

Impacto Contribución relativa de cada riesgo
promedio de los En el total de En el impacto
Conceptos Proceso 1 Proceso 2 Proceso 3
riesgos en la eventos promedio sobre la
DIAN riesgosos DIAN
Riesgo 1 MODERADO LEVE MODERADO 25,0% 15,0%
Riesgo 2 GRAVE MODERADO GRAVE 25,0% 25,0%
Riesgo 3 LEVE LEVE 12,5% 5,0%
Riesgo 4 CRÍTICO CRÍTICO GRAVE CRÍTICO 37,5% 55,0%
Impacto promedio de los
riesgos en cada proceso GRAVE GRAVE MODERADO GRAVE

Riesgos de cada proceso / 37,5% 25,0% 37,5% 100,0%
Total de eventos riesgosos
Contribución de cada
proceso en el impacto 40,0% 30,0% 30,0% 100,0%
promedio de la DIAN

Esta matriz muestra que el riesgo 1 no tiene incidencia sobre el primer proceso
pero que afecta de manera moderada al proceso 2 y en forma leve al proceso 3.
Para sintetizar estos dos efectos se acude a la primera equivalencia y se asignan
valoraciones cuantitativas para los dos eventos: 2 en el caso del impacto
moderado y 1 para el impacto leve. El promedio simple de estas calificaciones es

25 de 37

DE RIESGOS
Versión: 1
01/12/2008

1,5 y entonces se acude a la segunda equivalencia a fin de traducir este resultado
en una evaluación cualitativa. Así puede afirmarse que en promedio el riesgo 1
impacta de manera moderada la institución.

De igual forma se aprecia en una lectura vertical de la matriz 1 que el proceso 2 es
afectado solamente por dos de los riesgos considerados. El riesgo 1 que tiene un
impacto moderado y el riesgo 2 con un impacto crítico. Acudiendo nuevamente a
la primera equivalencia, los dos impactos se convierten respectivamente en 2 y 4
con un promedio de 3. El promedio a su turno se traduce en una evaluación
cualitativa con el empleo de la segunda escala y se concluye que, en promedio,
los riesgos institucionales relevantes para el proceso 2 lo impactan de forma
grave.

Un resultado general de gran importancia es la incidencia del conjunto de riesgos
sobre la entidad. Este resultado se encuentra en la intersección de fila y columna
de “impacto promedio”. En el ejemplo considerado los riesgos identificados
impactan de manera grave a la institución, antes de considerar los controles
establecidos. El impacto general se puede calcular tomando las evaluaciones de la
totalidad de los riesgos y empleando las equivalencias cuantitativas y cualitativas
ya descritas, siguiendo estos pasos:

Convertir en cantidades cada una de las calificaciones cualitativas inicialmente
asignadas a cada riesgo en cada proceso (8 eventos en el caso del ejemplo).
Obtener el promedio simple de las cantidades de que trata el paso precedente.
Emplear la segunda equivalencia para traducir el promedio del paso anterior en
una evaluación general de tipo cualitativo.

La última columna de la Matriz 1 permite establecer el aporte relativo con que
cada uno de los riesgos contribuye al impacto total sobre la entidad. Conocido el
hecho de que el impacto general de los riesgos es “grave”, la última columna
advierte que el 55% de tal resultado se explica por la incidencia del riesgo 4,
seguido en importancia por las contribuciones relativas de los riesgos 2 y 1
respectivamente.

El riesgo 3 únicamente contribuye con el 5% en la explicación del impacto sobre la
entidad, en primer lugar porque por sí sólo tan sólo tiene un impacto “leve” y, en
segundo término, porque este riesgo es relevante apenas para uno de los tres
procesos o, desde otra perspectiva, tan sólo es generador de 1 de los 8 riesgos
relevantes (ponderación del 12,5% que aparece en la penúltima columna de la
Matriz 1). De manera análoga, la última fila de la Matriz 1 indica que el proceso 1
es el que mayoritariamente contribuye en el impacto sobre toda la institución.

26 de 37

DE RIESGOS
Versión: 1
01/12/2008

La interpretación de la Matriz 2 es exactamente igual, con la diferencia de que la
probabilidad de ocurrencia se halla graduada con denominaciones diferentes a las
empleadas en la matriz de impacto.

Probabilidad de ocurrencia de los riesgos en la DIAN

Contribución relativa de cada riesgo
Probabilidad promedio
En el total de En la probabilidad
Conceptos Proceso 1 Proceso 2 Proceso 3 de ocurrencia del riesgo
eventos promedio de ocurrencia de
en la DIAN
riesgosos un riesgo en la DIAN
Riesgo 1 MEDIA ALTA ALTA 25,0% 31,3%
Riesgo 2 BAJA BAJA BAJA 25,0% 12,5%
Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%
Riesgo 4 ALTA BAJA BAJA MEDIA 37,5% 31,3%
Probabilidad promedio de
ocurrencia de los riesgos en ALTA MEDIA MEDIA MEDIA
cada proceso
Riesgos de cada proceso /
37,5% 25,0% 37,5% 100,0%
proceso en la probabilidad
50,0% 18,8% 31,3% 100,0%
promedio de ocurrencia de
riesgos en la DIAN

El riesgo 4 tiene una alta probabilidad de ocurrir en el proceso 1 pero esa
probabilidad es baja en los procesos 2 y 3. En términos cuantitativos las tres
probabilidades corresponden respectivamente a 4, 1 y 1, según se propuso en la
primera equivalencia. El promedio simple de los tres valores es 2 y la segunda
equivalencia indica que, en promedio, el riesgo 4 se presenta en la entidad con
una probabilidad media.

El resultado general de la Matriz 2, intersección de la fila y columna de
“probabilidad promedio” concluye que los riesgos relevantes para la entidad
ocurren con una probabilidad “media”.

Las matrices 1 y 2 aportan para el caso del ejemplo los elementos necesarios para
definir el grado de severidad de los riesgos institucionales. Teniendo en cuenta
esa información así como las zonas de riesgo establecidas en el apartado 3.3.3 de
este documento, es posible construir el “mapa de riesgos inherentes de la
organización”.

27 de 37

DE RIESGOS
Versión: 1
01/12/2008

Elementos para determinar el grado de severidad de los riesgos en la DIAN

Probabilidad
Cód. Conceptos Impacto promedio Zona de riesgo
promedio
01 Riesgo 1 MODERADO ALTA ZONA DE RIESGO IMPORTANTE
02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO
03 Riesgo 3 LEVE MUY ALTA ZONA DE RIESGO MODERADO
04 Riesgo 4 CRÍTICO MEDIA ZONA DE RIESGO INACEPTABLE
© Total riesgos GRAVE MEDIA ZONA DE RIESGO IMPORTANTE

Mapa de riesgos inherentes de la DIAN para un ejemplo hipotético

MAPA DE RIESGO INHERENTE

MUY ALTA 03

P 01
R
O ALTA
B
A
B
I
L
I
D MEDIA
A 04
D ©

02
BAJA

LEVE MODERADO GRAVE CRÍTICO

CONSECUENCIA - IMPACTO


28 de 37

DE RIESGOS
Versión: 1
01/12/2008

Los resultados obtenidos en este ejemplo indican que los 4 riesgos considerados
(antes de la aplicación de los controles) podrían generar, en promedio, un impacto
“grave” sobre la organización si llegaran a materializarse. La probabilidad
promedio de que estos riesgos efectivamente tengan ocurrencia es “media” en el
conjunto de la institución. La asociación entre un impacto “grave” y una
probabilidad “media” se traduce en nivel de exposición o de severidad del riesgo
“importante”.

La metodología observada también permite jerarquizar los riesgos de acuerdo con
su nivel de severidad. En el ejemplo que apoya la explicación y en el que aún no
se han aplicado controles, , el riesgo 4 se califica como inaceptable, es decir, el
que mayor gestión demanda por parte de la entidad. En segundo lugar de
severidad aparece el riesgo 1, catalogado como “importante”, mientras que los
riesgos con menor grado de severidad son el 1 y el 2, severidad “moderada”.

3.4. Valoración del riesgo

En la etapa precedente se analizaron los riesgos potenciales o inherentes, en los
que no se tiene en cuenta el efecto de los controles establecidos por la entidad, a
fin de morigerar su impacto y probabilidad de ocurrencia. En la etapa de valoración
se vuelven a examinar los riesgos pero evaluando esta vez la forma en que los
controles atenúan el nivel de exposición al riesgo.

Los riesgos potenciales o inherentes reducen su severidad como resultado de la
aplicación de controles. Sin embargo la magnitud de tal reducción depende de la
efectividad de las acciones que haya dispuesto la organización para administrar
sus riesgos.

La valoración que se realiza incluyendo los efectos de los controles da lugar a los
riesgos residuales.

Riesgos inherentes - Efecto controles = Riesgos Residuales

3.4.1. Eficiencia de los controles

El equipo de trabajo acudió a información sobre los controles reportada en el
formato 1146 (Caracterización de Procedimientos). Igualmente se consultaron los
informes trimestrales de auto evaluación que las dependencias de la entidad
reportan a través del Sistema Estadístico de Gestión Global, SEGG. Esta
información se complementó con consultas a los funcionarios que participaron en
la caracterización de los procedimientos institucionales.

29 de 37

DE RIESGOS
Versión: 1
01/12/2008

Los atributos que se tuvieron en cuenta para evaluar la efectividad de los controles
fueron los siguientes.

a. Tipo: preventivo, detectivo o correctivo.

Los controles preventivos, dependiendo de su grado de efectividad,
permiten reducir la probabilidad de ocurrencia del evento. Los controles
detectivos pueden mitigar tanto la probabilidad de ocurrencia del suceso
como su impacto, mientras que los correctivos fundamentalmente actúan
disminuyendo la magnitud del impacto.

b. Documentación: El riesgo está documentado, no hay documentación.

Los controles deben estar debidamente documentados para facilitar su
comprensión y aplicación. En el evento que tal documentación no exista se
reduce la efectividad de la acción de control.

c. Aplicación: El control está siendo aplicado, no se aplica.

La respuesta básica en este atributo es de tipo binario: Sí o No. Cuando no
se aplica el control evidentemente no existe ningún nivel de efectividad
mientras que la aplicación del mismo aplaza la calificación de la efectividad
en función de los resultados observados en los demás atributos.

d. Mitigación: Alta, media y baja.

La forma específica que asume la mitigación depende del grado de
cumplimiento del objetivo para el que fue diseñado el control y de las
debilidades que pueda presentar. Una mitigación alta ocurre cuando el
control cumple su objetivo y las debilidades detectadas se pueden subsanar
fácilmente. La mitigación media se presenta cuando el control cumple
parcialmente su objetivo y las deficiencias son más significativas.

Finalmente, la mitigación baja corresponde a una situación en la que el
control no cumple el objetivo y las deficiencias implican costos importantes.

e. Frecuencia del control: Permanente, diaria, semanal, mensual, etc.

La frecuencia del control debe guardar relación con la periodicidad con la
que se presenta el evento riesgoso. Potencialmente podría plantearse que
los controles se aplicaran siempre que ocurriera el riesgo. Sin embargo esto
puede resultar muy costoso para la organización y es por ello que se debe

30 de 37

DE RIESGOS
Versión: 1
01/12/2008

definir la frecuencia de los controles tomando en cuenta el costo de
aplicación y la efectividad deseada.

Tomando en consideración los anteriores criterios se pueden establecer niveles de
efectividad de los controles, los cuales se pueden denominar como A, B y C,
siendo el primero el más efectivo. Específicamente, A denota aquel control que
reduce máximo 2 escalas el nivel de probabilidad y/o de impacto, B el control que
disminuye en una escala el nivel de probabilidad y/o impacto y C el control que no
tiene efecto sobre la probabilidad y/o el impacto del evento.

La valoración automatizada de la efectividad es compleja porque requiere
considerar, por una parte, la totalidad de las causas que dan origen al riesgo que
se intenta controlar y, de otra parte, el grado de mitigación que el control alcance
en cada una de esas causas. En esta evaluación resulta crucial la participación del
funcionario experto en el proceso o procedimiento, a fin de precisar los vínculos
entre el control, las causas del riesgo y el grado de mitigación.

3.4.2. Mapa de riesgos residuales

Una vez establecido el nivel de efectividad e identificados los tipos de control,
estos son aplicados a la matriz de riesgos inherentes para cada uno de los
procesos identificados, obteniendo una nueva valoración del impacto y la
probabilidad de ocurrencia. De la asociación de estas nuevas valoraciones surge
la “matriz de riesgos residuales” del proceso, la cual representa el grado de
severidad de los riesgos analizados después de considerar la incidencia de los
respectivos controles.

A manera de ilustración, se establece un control para cada uno de los 4 riesgos
del ejemplo desarrollado anteriormente, y se identifica en cada caso el grado de
mitigación y el tipo al cual pertenece. Bajo el supuesto de que los controles son
implementados y se encuentran documentados, se determina el grado de
efectividad, el cual está correlacionado de manera directa con el grado de
mitigación.
Controles aplicados sobre los riesgos inherentes de la DIAN

Nombre Aplicado a Tipo Mitigación Efectividad
Control 1 Riesgo 1 Detectivo Alto A
Control 2 Riesgo 2 Correctivo Bajo C
Control 3 Riesgo 3 Preventivo Medio B
Control 4 Riesgo 4 Correctivo Alto A

31 de 37

DE RIESGOS
Versión: 1
01/12/2008

En el literal a. del subapartado 3.4.1 se indicó que la tipología de los controles
define si su efectividad permite reducir el impacto y/o la probabilidad del riesgo.
Así mismo, el grado de efectividad determina la magnitud de esta disminución.

Teniendo en cuenta estas consideraciones se construyen nuevamente las
matrices 1 y 2, expuestas en el subapartado 3.3.5. Siguiendo este procedimiento,
por una parte, se obtiene el impacto promedio de los riesgos residuales y de otra,
la probabilidad promedio de ocurrencia de riesgo residual, a partir de la
información obtenida para cada proceso.

Las matrices resultantes del ejemplo se presentan a continuación.

Impacto de los riesgos en la DIAN una vez aplicados los controles

Contribución relativa de cada
Impacto riesgo
promedio de los
Conceptos Proceso 1 Proceso 2 Proceso 3 En el total de En el impacto
riesgos en la
DIAN eventos promedio
riesgosos sobre la DIAN
Riesgo 1 LEVE LEVE LEVE 25,0% 15,4%
Riesgo 2 GRAVE MODERADO GRAVE 25,0% 38,5%
Riesgo 3 LEVE LEVE 12,5% 7,7%
Riesgo 4 MODERADO MODERADO LEVE MODERADO 37,5% 38,5%
Impacto promedio de
los riesgos en cada MODERADO MODERADO MODERADO MODERADO
Riesgos de cada
proceso / Total de 37,5% 25,0% 37,5% 100,0%
eventos riesgosos
proceso en el impacto 46,2% 23,1% 30,8% 100,0%
promedio de la DIAN

32 de 37

DE RIESGOS
Versión: 1
01/12/2008
Probabilidad de ocurrencia de los riesgos en la DIAN una vez aplicados los controles

Contribución relativa de cada
riesgo
Probabilidad promedio En la
Conceptos Proceso 1 Proceso 2 Proceso 3 de ocurrencia del riesgo En el total de probabilidad
en la DIAN eventos promedio de
riesgosos ocurrencia
de un riesgo
Riesgo 1 MEDIA ALTA ALTA 25,0% 31,3%
Riesgo 2 BAJA BAJA BAJA 25,0% 12,5%
Riesgo 3 MUY ALTA MUY ALTA 12,5% 25,0%
Riesgo 4 ALTA BAJA BAJA MEDIA 37,5% 31,3%
Probabilidad promedio de
ocurrencia de los riesgos en ALTA MEDIA MEDIA MEDIA
cada proceso
Riesgos de cada proceso /
37,5% 25,0% 37,5% 100,0%
proceso en la probabilidad
50,0% 18,8% 31,3% 100,0%
promedio de ocurrencia de
riesgos en la DIAN

La relación entre el impacto y la probabilidad promedio de los riesgos indica el
grado de severidad de los riesgos residuales, a partir de la cual se construye el
“mapa de riesgos residuales de la organización”.

Elementos para determinar el grado de severidad de los riesgos residuales en la DIAN

Probabilidad
Cód. Conceptos Impacto promedio Zona de riesgo
promedio
01 Riesgo 1 LEVE BAJA ZONA DE RIESGO ACEPTABLE
02 Riesgo 2 GRAVE BAJA ZONA DE RIESGO MODERADO
03 Riesgo 3 LEVE ALTA ZONA DE RIESGO MODERADO
04 Riesgo 4 MODERADO MEDIA ZONA DE RIESGO MODERADO
© Total riesgos MODERADO MEDIA ZONA DE RIESGO MODERADO

33 de 37

DE RIESGOS
Versión: 1
01/12/2008

Mapa de riesgo residual

MAPA DE RIESGO RESIDUAL

MUY ALTA

P
R
O ALTA 03
B
A
B
I
L
I
D MEDIA
A 04
D ©

01
02
BAJA

LEVE MODERADO GRAVE CRÍTICO

CONSECUENCIA - IMPACTO


Esta metodología se realizó con información del año 2008 para cada uno de los
procesos de la DIAN. Los controles y los mapas respectivos se encuentran en
archivo magnético administrados por la Subdirección de Análisis Operacional.

3.5. Tratamiento
En general la administración de los riesgos residuales exige revisar la efectividad
de los controles existentes, verificando fundamentalmente si éstos cubren todas o
la mayoría de las causas que los originan, así como el grado de mitigación
alcanzado. Además se debe contemplar la posibilidad de introducir nuevos
controles que complementen los existentes.

Los tratamientos específicos que suelen aplicarse a los riesgos residuales son los
siguientes:

34 de 37

Construcción SAR DIAN

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Construcción SAR DIAN

Semelhante a Construcción SAR DIAN (20)

Construcción SAR DIAN