Anexo No.

4 Metodología de
Gestión de Riesgos
Contenido
Glosario ....................................................................................................................................... 3
Introducción................................................................................................................................. 3
1. Identificación del Riesgo....................................................................................................... 3
2. Analizar y evaluar los riesgos ............................................................................................... 4
2.1. Identificación de controles ................................................................................................ 4
2.2. Calificación del conjunto de controles ............................................................................... 4
2.3. Evaluación del riesgo ........................................................................................................ 4
3. Tratamiento del Riesgo ........................................................................................................ 6
4. Monitorear ............................................................................................................................ 7
4.1 Monitoreo a planes de acción ........................................................................................... 7
4.2 Monitoreo al perfil de riesgo .............................................................................................. 7
4.3 Mecanismos de reporte .................................................................................................... 7
Glosario
Riesgo: Evento que puede ocurrir y afectar el logro de los objetivos.
Causa: Son aquellas acciones, actividades o situaciones que tienen el potencial de hacer
que uno o varios riesgos ocurran o se materialicen, son el origen de un evento de riesgo.
Control: Medida tomada para prevenir o mitigar la materialización de un riesgo.
✓ Prevenir: bajar la probabilidad de que el riesgo se materialice.
✓ Mitigar: disminuir el impacto en caso de que el riesgo se materialice.
Probabilidad: posibilidad de que un riesgo ocurra o se materialice.
Impacto: efecto o consecuencia que se produce cuando ocurre el evento.
Nivel de exposición: nivel de riesgo que resulta de la combinación de la probabilidad y
el impacto.

Introducción
La gestión de riesgos es un proceso iterativo compuesto por una serie de pasos que, si
se ejecutan en secuencia, permiten mejorar continuamente la toma de decisiones y, de
manera importante, asegurar el logro de los objetivos de la organización.

GRÁFICO NO. 1 METODOLOGÍA DE GESTIÓN DE RIESGOS

1. Identificación del Riesgo

Para realizar la identificación de los riesgos se pueden seguir los siguientes pasos:
• Tener claridad sobre el objetivo, el alcance y el contexto del proceso o proyecto que
se está analizando, para esto se puede hacer uso de herramientas como:
✓ Entrevistas con dueños de proceso o proyecto y personal clave.
✓ Análisis de la documentación disponible para el proceso o proyecto.
 ✓ Revisión de entradas y salidas, KPI´s, tecnología que soporta su ejecución y
regulación aplicable.
✓ Revisión de prácticas de industria y benchmarking.
✓ Tendencias globales y de industria.
• Identificar los riesgos, es decir, aquellos eventos relevantes que puedan afectar el
logro de los objetivos.
• Determinar el origen de los riesgos identificados, es decir, sus causas, fallas o
insuficiencias.
• Clasificar las causas o fallas que generan el riesgo de acuerdo con:
✓ Eventos internos: Situaciones que pueden ser manejadas y administradas por la
organización, es decir, son originadas por factores internos como el recurso
humano disponible, los procesos que se ejecutan, la tecnología o la infraestructura
utilizada en la organización.
✓ Evento Externo: Son las causas originadas por factores externos y escapan, en
cuanto a su causa y origen, al control de la organización, por ejemplo, temas
sociales, políticos, normativos, climáticos, entre otros.

2. Analizar y evaluar los riesgos

Esta etapa tiene como objetivo establecer el nivel de exposición al riesgo considerando
que tan probable es que ocurra y que impacto puede generar en caso de materializarse.
Para ello, se deberá determinar el nivel de riego por medio de evaluaciones cualitativas
y en los casos que aplique, evaluaciones cuantitativas.

2.1. Identificación de controles

Identificar, para cada riesgo, los controles o actividades de mitigación que se tienen
implementadas actualmente y especificar:
• Nombre del control.
• Descripción de la actividad de control.
• Frecuencia: cada cuanto se ejecuta el control.
• Responsable de ejecutar el control.

2.2. Calificación del conjunto de controles

Se realiza para cada riesgo y se refiere a como los controles identificados ayudan a
mitigar cada uno de los riesgos y sus causas, se deben tener en cuenta los siguientes
niveles:
• Fuerte: Los controles cubren todas las causas identificadas y su ejecución es óptima
(quién, cuándo y cómo se hacen) teniendo en cuenta la relación costo / beneficio.
• Moderado: Existen controles para todas las causas, sin embargo, tienen
oportunidades de mejora en su ejecución (quién, cuándo y cómo se hacen).
• Débil: Los controles existentes no cubren todas las causas.
• Inexistente: No existen controles.

2.3. Evaluación del riesgo

Esta etapa considera las siguientes actividades:
• Evaluar la probabilidad de ocurrencia del riesgo considerando los criterios de
calificación definidos en el Anexo N° 2 Criterios para medir la probabilidad de
ocurrencia.
✓ Actividades recurrentes / transaccionales: Operaciones que tienen un alto volumen
de transacciones y que se realizan mínimo 1 vez al día.
✓ Actividades eventuales: Operaciones que no se realizan todos los días.
• Evaluar el impacto del riesgo considerando los criterios de calificación definidos en el
Anexo N° 3 Criterios para medir el impacto.
El impacto de un evento de riesgo puede afectar diferentes objetivos de negocio y se
debe calificar según estas dimensiones:
✓ Económico: El impacto es monetario y se materializa para la compañía como
menores ingresos, mayores costos o gastos o pérdida de valor de los activos, entre
otros.
✓ Reputacional: Impacto que afecta la imagen de la organización frente a los grupos
de interés (accionistas, colaboradores, proveedores, medios de comunicación,
comunidad, gobierno y autoridades).
✓ SISO: Impacto que ocasiona lesiones, incapacidades o pérdida de vidas humanas
de colaboradores o terceros.
✓ Información: La materialización del riesgo ocasiona la pérdida de información de
la compañía.
El riesgo se puede evaluar con cualquiera de las dimensiones asociadas a estos
criterios y, en caso de que existan varios posibles impactos, se deberá seleccionar y
registrar el de mayor valor.
El resultado del análisis y evaluación de riesgos se puede observar en el Mapa de
Riesgos, el cual representa gráficamente el nivel de exposición de los riesgos.
Nivel de exposición = probabilidad x impacto

El mapa de riesgos está dividido en cuatro zonas de riesgo: bajo, moderado, alto y crítico.
• Riesgos bajos: Son riesgos aceptables ya que se encuentran dentro del nivel del
riesgo asumido por la organización y deben ser objeto de seguimiento permanente
 por parte del responsable del riesgo. No es necesario establecer medidas adicionales
para su control.
• Riesgos moderados: Son riesgos tolerables y podrían implementarse acciones
adicionales que lleven estos riesgos a la zona verde.
• Riesgos altos y críticos: Se encuentran por fuera de la tolerancia de la organización y
deben implementarse acciones para su control y asegurar su permanente monitoreo.
Nota: Odinsa utiliza la metodología definida para evaluación de riesgos en proyectos de
contratos estatales definida por el ministerio de hacienda en Colombia u otro organismo
aplicable en otros países.

3. Tratamiento del Riesgo

Luego de analizar la exposición al riesgo, es necesario definir planes de acción para dar
tratamiento a los riesgos cuyo nivel de exposición sea crítico, alto o moderado. En estos
casos, se evalúan las opciones de mitigación con base en criterios de costo / beneficio y
mitigación esperada.
A continuación, se presentan las diferentes opciones de tratamiento que pueden ser
seleccionadas de acuerdo al tipo y nivel de exposición del riesgo identificado:
• Evitar el riesgo: no proceder con la actividad que probablemente generaría el riesgo.
• Mitigar el riesgo:
✓ Disminuir la probabilidad: pretende disminuir la probabilidad de ocurrencia del
riesgo, implementando actividades o controles adicionales.
✓ Disminuir el Impacto: pretende reducir las consecuencias en caso de que ocurra
un evento de riesgo, por ejemplo, con la ejecución de planes de continuidad de
negocio.
• Transferir el Riesgo: pretende reducir la exposición al riesgo involucrando a un tercero
que soporte o comparta el riesgo. Los mecanismos incluyen el uso de contratos,
pólizas de seguros, coberturas financieras y estructuras organizacionales tales como
sociedades y “joint ventures”.
• Retener el Riesgo: pueden existir riesgos residuales que deban ser retenidos o
aceptados en el nivel que se encuentran, ya que es más costoso aplicar acciones
adicionales diferentes al monitoreo del riesgo.
La selección de la opción más apropiada involucra balancear el costo de implementar
cada opción en relación con los beneficios derivados de la misma.
Para la definición de planes de acción se debe especificar:
• Nombre y descripción del plan de acción y de las actividades que se deben ejecutar.
• Responsable de ejecutar las tareas descritas en el plan de acción.
• Responsable de revisar: es el encargado de calificar si efectivamente el plan de acción
fue ejecutado a satisfacción y además cumplió con el objetivo para el cual fue creado.
• Fecha de seguimiento para verificar avances y fecha de finalización.
4. Monitorear
Las propiedades de los riesgos cambian en el tiempo y se hace necesario tener
mecanismos de monitoreo y reporte para una gestión de riesgos exitosa. Las actividades
de monitoreo y reporte más relevantes incluyen:

4.1 Monitoreo a planes de acción

Se debe realizar seguimiento a los avances y correcta implementación de los planes de
acción de acuerdo a las fechas definidas. La documentación del seguimiento debe quedar
incluida en la matriz de riesgos de la actividad y, una vez los planes de acción estén
implementados, se deben ejecutar evaluaciones de riesgos con el fin de verificar que las
acciones implementadas han reducido efectivamente la exposición a riesgos.

4.2 Monitoreo al perfil de riesgo

La revisión de los análisis de riesgos se debe realizar de manera permanente para
garantizar su vigencia y debe ser ejecutada especialmente:
✓ Cuando ocurran cambios en los procesos o proyectos, cambios en la exposición
de riesgos o una vez al año cuando sea un proceso crítico.
✓ Cuando se ejecutan los planes de acción definidos para mitigar los riesgos.
✓ Cuando se materialice un evento de riesgo, en dicho caso se deben definir e
implementar planes acción de manera inmediata.

4.3 Mecanismos de reporte

El reporte tiene como objetivo consolidar la información de gestión de riesgos que sea
relevante a los diferentes grupos de interés al interior de la organización. Reportes
periódicos y oportunos de alertas de riesgos resultan fundamentales para cumplir con el
objetivo de SGIR de anticipar la materialización de los riesgos.
Los niveles de responsabilidad para el reporte y monitoreo de los riesgos asociados a la
operación están determinados por la matriz de reporte de riesgos, la cual es aprobada
por el Comité Directivo, ver Anexo 5. Matriz de Reporte de cada compañía.