Cómo gestionar el riesgo de acuerdo a los lineamientos del DAFP

La gestión del riesgo es un elemento clave de la gobernanza corporativa en las entidades del sector público, en términos de sus estructuras, procesos, valores corporativos, cultura y comportamiento. Es una piedra angular de la arquitectura de una organización para el éxito estratégico y operativo. 

• Identificar sucesos o eventos futuros que pongan en peligro el éxito de la organización.

• Evaluar el nivel de riesgo en términos de probabilidad y alcance del impacto.

• Considerar la posibilidad de tolerar, tratar o suprimir un riesgo.

• Garantizar que las decisiones en materia de gestión de riesgos estén actualizadas y sean sólidas. 

La gestión del riesgo en el sector público presenta algunas diferencias importantes con respecto a su contraparte en el sector privado. Los objetivos estratégicos del sector público son diferentes, las decisiones sobre los riesgos existentes (no tratarlos, abordarlos, trasladarlos o eliminarlos) y sobre la asunción de nuevos riesgos deben tomarse en un contexto complicado y cambiante. 

Estas son razones para establecer un sólido proceso de gestión que respalde las instituciones, es por ello que el Departamento Administrativo de la Función Pública (DAFP) ha establecido una guía para la gestión del riesgo. 

Procedimiento para el control de riesgos para el DAFP

De acuerdo con el DAFP “la administración del riesgo ayuda al conocimiento y mejoramiento de la entidad, contribuye a elevar la productividad y a garantizar la eficiencia y la eficacia en los procesos organizacionales, permitiendo definir estrategias de mejoramiento continuo”. 

El ideal es que la administración del riesgo debe ser incorporada como una política de gestión que se viva en toda la entidad desde la alta dirección hasta la participación de todos los servidores públicos. 

La guía de control de riesgos para el DAFP fue creada en 2009 basada en la Norma Técnica NTC 5254, y en la actualidad está vigente su quinta versión publicada en noviembre de 2020. Aunque se ha mantenido la estructura conceptual, en esta última edición, hay unas precisiones en cuanto a:

• Los ajustes realizados en la definición de riesgo y otros conceptos relacionados con la gestión del riesgo; también se articula la institucionalidad de MIPG (modelo integrado de planeación y gestión) con la gestión del riesgo. La implementación del MIPG tiene como objetivo generar resultados que atiendan los planes de desarrollo y resuelvan las necesidades y problemas de los ciudadanos con integridad y calidad en el servicio. 
• En el paso 2 se estructura la propuesta para la redacción del riesgo, lo que facilita el análisis de la causa raíz. En la descripción ahora debes incluir todos los detalles con mucha claridad para que sea fácil de entender tanto para el líder del proceso como para personas externas.  

Estructura propuesta para la reducción del riesgo.

Fuente: imagen tomada de la Guía para la administración del riesgo y el diseño de controles en entidades públicas. 

El impacto son las consecuencias que la materialización del riesgo puede generar en la organización. La causa inmediata son las circunstancias o situaciones más evidentes sobre las que se presenta el riesgo. Por último, la causa raíz es el origen principal por la cual se presenta el riesgo.  

Además, para la identificación del riesgo, se establecen unas premisas para la adecuada redacción del riesgo, que nos indican que no debemos describir como riesgos las omisiones, desviaciones del control, causas y negación de controles, teniendo en cuenta que no existen riesgos transversales, sino que existen causas transversales.  

• Se amplían las tipologías de riesgo, por lo que se permiten agruparlos dentro de las siguientes categorías: 

Clasificación de riesgos 

Fuente: Guía para la administración del riesgo y el diseño de controles en entidades públicas.

• En el paso 3 sobre valoración del riesgo, se precisa el análisis de probabilidad e impacto y sus tablas de referencia así como el mapa de calor resultante. La probabilidad de ocurrencia del riesgo debe estar asociada a la exposición del riesgo del proceso o actividad y es el número de veces que se pasa por el punto de riesgo en el periodo de un año. 
• Para el diseño y evaluación de los controles se ajusta tabla de calificación. Para la valoración debes tener en cuenta el criterio de los líderes de los procesos y de profesionales expertos. Además, los responsables de implementar y monitorear los controles serán los líderes apoyados por sus equipos. 

Los controles pueden ser preventivos, detectivos y correctivos, además de acuerdo con la forma como se ejecuta pueden ser manuales o automáticos. Para el diseño, debes tener en cuenta los atributos de eficiencia (tipo, implementación) y formalización (documentación, frecuencia y evidencia)

• También se reubica y se precisan las opciones de tratamiento del riesgo.
  
  
• Se incluyen indicadores clave de riesgo, los cuales hacen referencia a los datos históricos relacionados con algún evento que indique una mayor o menor exposición a determinados riesgos.  
  
  
• Se incluye en la caja de herramientas, una matriz para el mapa de riesgos en la cual se especifican el riesgo, el activo, el tipo, las amenazas el tipo, la probabilidad, el impacto, el riesgo residual, la opción de tratamiento, la actividad de control, el soporte, el responsable, el tiempo y el indicador. 
• Por último, se amplía el alcance de la seguridad digital a la seguridad de la información en general.  

Con estos aspectos mencionados, la guía para el control de riesgos del DAFP, ayudará a que tu organización evalúe e intervenga en incidentes internos y externos que ocasionen efectos positivos o negativos en el cumplimiento de los objetivos y te permite controlar las amenazas de la administración pública.   

Beneficios de implementar la matriz de riesgos con KAWAK®

El módulo de gestión de riesgos de KAWAK®, es la herramienta alineada con el  DAFP que necesitas para analizar, controlar y documentar todos los aspectos relacionados a los eventos o situaciones que pueden afectar a tu organización. La plataforma facilita:

• La identificación de los riesgos, su evaluación y la descripción de los controles necesarios para reducir el nivel de riesgo y definir planes de tratamiento para los riesgos que lo requieran.
• La configuración y construcción de múltiples matrices de riesgos.
• La trazabilidad de la gestión porque te permite conservar las versiones de tus matrices.
• El análisis de los riesgos mediante la determinación de causas internas y externas, así como de los efectos.
• La definición y asociación de controles a los riesgos, evaluar su efectividad y obtener automáticamente el nivel de riesgo residual.
• La evaluación de la efectividad de los planes de tratamiento y convertirlos en controles periódicos.
• La asociación de acciones correctivas u oportunidades de mejora a tus riesgos.
• La generación de reportes exportables de riesgos, controles y planes de tratamiento.

Una buena implementación y control de los riesgos de acuerdo al DAFP, le permitirá a tu organización aumentar su productividad, ahorrar dinero, evitar multas y alcanzar sus objetivos. Anímate y empieza a implementar tu gestion de riesgos con KAWAK®.