Las entidades de la administración pública deben darle cumplimiento a su misión constitucional y legal, a través de sus objetivos institucionales, los cuales se desarrollan a partir del diseño y ejecución de los diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos puede verse afectado por factores tanto internos como externos que crean riesgos frente a todas sus actividades, razón por la cual se hace necesario contar con acciones tendientes a administrarlos.

El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos.

• Contexto estratégico Organizacional

Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución. 5

Las situaciones del entorno o externas pueden ser de carácter social, cultural, económico, tecnológico, político y legal, bien sean internacionales, nacionales o regionales según sea el caso de análisis. 5

Las situaciones internas están relacionadas con la estructura, cultura organizacional, el modelo de operación, el cumplimiento de los planes y programas, los sistemas de información, los procesos y procedimientos y los recursos humanos y económicos con los que cuenta una entidad.

• Identificación del Riesgo

La identificación del riesgo se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos.

Una manera para que todos los servidores de la entidad conozcan y visualicen los riesgos es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia las causas con base en los factores de riesgo internos y externos (contexto estratégico), presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos (consecuencias).

Es importante centrarse en los riesgos más significativos para la entidad relacionados con los objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual que todos los servidores, la gerencia pública adopta un papel proactivo en el sentido de visualizar en sus contextos estratégicos y misionales los factores o causas que pueden afectar el curso institucional, dada la especialidad temática que manejan en cada sector o contexto socioeconómico.

• Análisis del Riesgo

El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, este último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

El análisis del riesgo depende de la información obtenida en la fase de identificación de riesgos.

Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados:

• Probabilidad: Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado.

• Impacto: Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.

Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:

• Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo.

Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes especificaciones:

• Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.

Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).

Las categorías relacionadas con el impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías relacionadas con la probabilidad son: raro, improbable, posible, probable y casi seguro.

• Política de administración de Riesgos

Para la consolidación de las Políticas de Administración de Riesgos se deben tener en cuenta todas las etapas anteriormente desarrolladas. 5

Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la entidad.

• Formulación de las políticas

Está a cargo del Representante Legal de la entidad y el Comité de Coordinación de Control Interno y se basa en el mapa de riesgos construido durante el proceso; la política señala qué debe hacerse para efectuar el control y su seguimiento, basándose en los planes estratégicos y los objetivos institucionales o por procesos. 5

Debe contener los siguientes aspectos:

• Los objetivos que se esperan lograr

• Las estrategias para establecer cómo se van a desarrollar las políticas, a largo, mediano y corto plazo

• Los riesgos que se van a controlar

• Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables

y el talento humano requerido.

• El seguimiento y evaluación a la implementación y efectividad de las políticas.