Story Transcript
Dirección de Gestión Organizacional Subdirección de Gestión de Análisis Operacional Coordinación de Administración y Perfilamiento de Riesgos
Riesgos operacionales de mayor incidencia en la gestión de la DIAN Septiembre de 2010 Versión No. 1
- 1 - Versión No.1. Sep. 2010
RESUMEN A partir del promedio simple de la valoración de los riesgos institucionales, se construyó un mapa de riesgos para la entidad. Esta metodología permitió identificar los riesgos de mayor severidad, que deben ser objeto de atención por parte de la alta dirección de la organización. Estos riesgos son: Deterioro, pérdida o daño de la muestra (Cód. 14) Piratería Informática (Cód. 23) Prescripción de la acción penal (Cód. 24) Indebida divulgación de la información contable (Cód. 25) Suplantación de clientes (Cód. 26) Desactualización del Registro Único Tributario RUT (Cód. 31) Recortes al presupuesto de inversión por parte del sector Hacienda y Departamento Nacional de Planeación. (Cód. 32) � Deficiencia en la capacidad de respuesta a los cambios del entorno económico (Cód. 37) � � � � � � �
- 2 - Versión No.1. Sep. 2010
ÍNDICE GENERAL
Presentación 1. Identificación de los Riesgos Institucionales 2. Metodología para la construcción del Mapa de riesgos institucionales 3. Resultados obtenidos 4. Conclusiones preliminares
Anexos 1. Causas y consecuencias de los riesgos
- 3 - Versión No.1. Sep. 2010
PRESENTACIÓN El presente documento tiene el propósito de identificar los riesgos operacionales de mayor incidencia en la Entidad, labor realizada en el marco de la metodología denominada “Elementos para la Construcción del Sistema de Administración de Riesgos” que se publicó el 5 de diciembre de 2008 y la cual fue desarrollada teniendo en cuenta las normas técnicas de calidad nacionales e internacionales tales como la Guía de Administración del Riesgo, segunda edición. Colombia 2004. La Guía del Departamento Administrativo de la Función Pública, el Estándar Australiano de Administración de Riesgos, AS/NZS 4360:1999 y las normas técnicas de calidad colombiana NTC 5254, NTCGP 1000:2004 y MECI (Modelo Estándar de Control Interno) Posteriormente en noviembre y diciembre del año 2009 esta metodología fue actualizada de acuerdo a la norma ISO 31000 Risk Management Principales and Guidelines 2009 de la Organización Internacional de Estandarización y la norma técnica de calidad en la Gestión Pública NTCGP 1000:2009 de Colombia. En concordancia con esta metodología, se realizó la valoración de los riesgos a partir de tres actividades: identificación, análisis y evaluación, efectuadas en cada uno de los 189 procedimientos institucionales, con ayuda de una herramienta tecnológica desarrollada para el efecto bajo el modelo Muisca y nombrada formato 1387. En el contenido de este documento se explica su utilidad. El documento está estructurado en 3 secciones. En la primera de ellas se encuentra la identificación de los riesgos institucionales, la segunda está dedicada a la metodología empleada para la construcción del mapa de riesgos institucional, la tercera sección muestra los resultados obtenidos en términos de la frecuencia de valoración de riesgos en los procedimientos de la Entidad, el mapa de riesgos inherente y el mapa de riesgos residual y, por último, se presentan algunas conclusiones preliminares.
- 4 - Versión No.1. Sep. 2010
1. IDENTIFICACIÓN DE LOS RIESGOS INSTITUCIONALES La identificación de los riesgos institucionales en la DIAN comenzó en el año 2008, a partir de un proceso participativo con la intervención de todos los funcionarios de la Entidad, quienes diligenciaron un formato de recolección de datos, construido a través de una herramienta informática denominada Prevalidador de Procesos y Talento Humano. En dicho formato se solicitó a cada funcionario determinar los riesgos que se presentaban o podían presentarse en las actividades propias de su labor. La información de esta base de datos se integró y estandarizó de acuerdo a las normas de calidad caracterizando cada uno de los riesgos, obteniendo como primer resultado una lista de 44 riesgos. Es importante señalar que la relación de riesgos institucionales puede ajustarse teniendo como premisa el mejoramiento continuo que debe tener el sistema y a la realidad de cada procedimiento en la DIAN, como efectivamente ha ocurrido en la construcción de los mapas de riesgos de los procedimientos, donde se han identificado nuevos riesgos, de tal forma que a la fecha se cuenta con un total de 48 riesgos institucionales. Cada uno de los riesgos institucionales cuenta con su respectivo Número, que corresponde a un código consecutivo; la Clasificación, con la que se tipifican los riesgos a partir de siete (7) categorías; el Nombre del Riesgo, el cual se expresa en términos generales; y la Descripción del Riesgo, que se refiere en términos específicos al significado del riesgo para la Entidad. De igual manera, se incluyen las Causas y Consecuencias establecidas para cada uno de los riesgos, las cuales se presentan en el Anexo No. 1 de este documento. En cuanto a la tipología de los riesgos, la Entidad adoptó lo propuesto por el Departamento Administrativo de la Función Pública, clasificándolos en las siguientes categorías: Operativo, Financiero, Tecnológico, Estratégico, Cumplimiento, Ocupacional y Ambiental. Las dos últimas categorías no fueron incluidas en la construcción de los Mapas de Riesgos por Procedimientos debido a que su identificación, calificación y tratamiento, se regulan por normatividad técnica y específica y son de competencia de otras dependencias en la Entidad. Los riesgos institucionales se listan a continuación:
- 5 - Versión No.1. Sep. 2010
Nº CLASIFICACIÓN
NOMBRE DEL RIESGO
DESCRIPCIÓN
1
OPERATIVO
Uso indebido de la información
Posibilidad de que se acceda, manipule y/o divulgue sin autorización la información privilegiada o de reserva que se origine, suministre o custodie en la DIAN
2
FINANCIERO
Imposibilidad de atender oportunamente las devoluciones de impuestos
Posibilidad de que las restricciones legales, la disponibilidad de TIDIS o de efectivo retrasen las devoluciones de impuestos
3
OPERATIVO
Dificultad en la suscripción de convenios internacionales
Posibilidad de que se impida la realización de los convenios internacionales o los mismos no generen cooperación efectiva
4
CUMPLIMIENTO
Inestabilidad jurídica
Posibilidad de que el cambio recurrente en la normatividad aplicable afecte negativamente la eficiencia, eficacia y efectividad de los procedimientos
5
OPERATIVO
Capacitación deficiente e insuficiente
Posibilidad de que la capacitación dada al personal de la DIAN no cumpla parcial o totalmente con las expectativas y necesidades de cada una de las áreas para la gestión de sus procedimientos
6
OPERATIVO
Daños, deterioro o pérdida de equipos y herramientas de trabajo excepto hardware y software
Posibilidad de que se presenten daños o fallas en el funcionamiento de vehículos, muebles y enseres, elementos de laboratorio, elementos de almacenaje y cualquier herramienta que utilicen los funcionarios en desarrollo de sus actividades y que no esté clasificada como hardware o software
7
OPERATIVO
Afectación de la DIAN por la ocurrencia de fenómenos naturales
Posibilidad de que se presenten fenómenos naturales tales como terremotos, sismos, avalanchas, inundaciones, granizadas, etc., que puedan afectar el normal desarrollo de los procedimientos de la DIAN en cualquiera de sus dependencias
8
OPERATIVO
Deficiencia en los insumos de información del proceso
Dificultad para obtener o acceder a la información necesaria, suficiente y apropiada requerida para desarrollar las actividades de los procedimientos
9
OPERATIVO
Deficiencia o ausencia de los recursos logísticos físicos (excepto hardware y software)
Dificultades para desarrollar los procesos de la DIAN ante la posibilidad de no contar con los recursos logísticos físicos necesarios y/o de baja calidad, tales como: escáneres, mobiliario, equipos de transporte, elementos de seguridad industrial, herramientas, entre otros
10
OPERATIVO
Deficiencia en los insumos diferentes a información
Dificultad de acceder u obtener insumos de calidad diferentes a información que sean necesarios y suficientes para desarrollar las tareas de los procedimientos. Ej: equipaje a viajeros
11
OPERATIVO
Desactualización normativa de las bases de datos del sistema jurídico
Posibilidad de que el sistema informático que compila las normas aplicables por la DIAN se encuentre desactualizado
12
OPERATIVO
Falta de compromiso por parte del personal de otros procesos para participar en las actividades programadas
Ausentismo y desinterés durante la realización de actividades que se programen con otros procesos
13
OPERATIVO
Deterioro, pérdida y/o daño de mercancía y bienes a cargo de la DIAN
Posibilidad de que los bienes y/o mercancía aprehendida, decomisada, abandonada o recibida en dación de pago y que este en poder de la DIAN, se deteriore, pierda o dañe
14
OPERATIVO
Deterioro, pérdida y/o daño de la muestra
Posibilidad de que la muestra tomada de las mercancías se deteriore, pierda y/o dañe
15
OPERATIVO
Falla en la infraestructura física
Posibilidad de ocurrencia de daños o colapsos en la infraestructura física de la DIAN
- 6 - Versión No.1. Sep. 2010
Nº CLASIFICACIÓN
NOMBRE DEL RIESGO
DESCRIPCIÓN
TECNOLÓGICO
Deficiencias y/o ausencias en el hardware y/o en el software
Posibilidad de que se presenten ausencias y/o fallas en el hardware y/o en el software que destina la DIAN para el desarrollo de sus operaciones
17
TECNOLÓGICO
Fallas en las telecomunicaciones y/o en el fluido eléctrico
Posibilidad de que se presenten fallas en las telecomunicaciones (internet, redes, intranet, servicio telefónico) o en el fluido eléctrico de la DIAN utilizadas para el desarrollo de sus operaciones
18
OPERATIVO
Falta a la ética y valores
Posibilidad de que actos mal intencionados de los funcionarios afecten el normal desarrollo de los procedimientos
19
OPERATIVO
Deficiencias en la información de salida del procedimiento
Posibilidad de que la información suministrada a los demás procesos y/o a los clientes internos y externos no cuente con los atributos de confidencialidad, integridad, disponibilidad, efectividad, eficiencia y confiabilidad establecidos por la DIAN
20
CUMPLIMIENTO
Incumplimiento en la ejecución de contratos
Posibilidad de que las obras de ingeniería civil, consultoría y actividades que se contraten no se ejecuten de acuerdo con lo planeado y/o estipulado
21
OPERATIVO
Deficiencia en la asignación de personal para gestionar los procedimientos
Posibilidad de que el personal requerido para gestionar los procedimientos no sea suficiente o no reúna las competencias necesarias para las funciones a desempeñar
22
OPERATIVO
Pérdida de documentos, bienes y/o información
Posibilidad de que los documentos, bienes y/o información a cargo de la DIAN se extravíen o sean destruidos total o parcialmente
16
23
TECNOLÓGICO
Piratería informática
Posibilidad de que terceros accedan fraudulentamente a los sistemas de la DIAN con el fin de obtener información privilegiada y confidencial o causar daños a los mismos sistemas. Incluye también la descarga o instalación de software no autorizado o que no cumpla con los requisitos de derechos de autor
24
CUMPLIMIENTO
Prescripción acción penal
Situación que conlleva que la DIAN se vea obligada a archivar los procesos penales en contra de personas que presumiblemente han violado las normas de resorte de la Entidad
25
FINANCIERO
Inadecuada divulgación de la información contable
Posibilidad de que la información contable presente deficiencias en sus características de confiabilidad, relevancia y comprensibilidad
26
OPERATIVO
Suplantación de clientes
Terceros que utilizan la información e identificación de otros para adelantar gestiones en la DIAN
27
OPERATIVO
Clientes de difícil manejo
Posibilidad de que en la atención o interacción con clientes alterados, estos puedan afectar la integridad física y/o psicológica de los funcionarios
28
CUMPLIMIENTO
Vacíos normativos
Posibilidad de que se presenten diferentes interpretaciones, carencias o ausencia de la normatividad Tributaria, Aduanera y/o Cambiaria
29
ESTRATÉGICO
Deficiencias en la planeación estratégica y operativa de la Entidad
Deficiencias en la planeación estratégica y operativa de la DIAN tales como definición de políticas, establecimiento de instrucciones de carácter general, planes operativos, estrategias, entre otros
30
ESTRATÉGICO
Disminución de la credibilidad en las instituciones del Estado
Posibilidad de que los ciudadanos perciban la gestión del Estado negativamente.
31
ESTRATÉGICO
Desactualización del Registro Único Tributario (RUT)
Posibilidad de que la información contenida en el RUT esté desactualizada
- 7 - Versión No.1. Sep. 2010
Nº CLASIFICACIÓN
NOMBRE DEL RIESGO
DESCRIPCIÓN
Recortes al presupuesto de inversión por parte del sector Hacienda y Departamento Nacional de Planeación Cobertura parcial o insuficiente de los programas de control
Posibilidad de que por política nacional los organismos encargados asignen menor presupuesto a la DIAN afectando su funcionamiento Posibilidad de que la DIAN no pueda hacerle control mínimo al universo de contribuyentes
32
ESTRATÉGICO
33
ESTRATÉGICO
34
ESTRATÉGICO
Continuidad en la concesión de tratamientos tributarios preferenciales
Posibilidad de que otorgamientos de beneficios tributarios y aduaneros coexistan y perduren con el régimen tributario y aduanero ordinario, lo cual hace al sistema más complejo y más difícil de administrar
35
FINANCIERO
Sobrevaluación de las aprehensiones
Posibilidad de que las aprehensiones sean valoradas inadecuadamente
36
ESTRATÉGICO
Deterioro en el clima organizacional
Situaciones que afecten el comportamiento, expectativas y dinámicas del entorno laboral
37
ESTRATÉGICO
Deficiencia en la capacidad de respuesta a los cambios del entorno económico
Imposibilidad de actuar de la DIAN por desconocimiento de operaciones de difícil control que se crean con los cambios del entorno económico
38
OCUPACIONAL
Afectación por exposición a agentes biológicos
Posibilidad de que se afecte la salud humana por exposición a agentes biológicos (microorganismos, bacterias, hongos, virus, ácaros, entre otros) en los lugares y condiciones de trabajo o donde se realicen los procedimientos
39
OCUPACIONAL
Afectación psicolaboral
Posibilidad de daños en la salud de los trabajadores por el desarrollo de actividades con alta exposición a la crítica interna y pública, agresión de compañeros y superiores, trabajo bajo presión y otros
40
OCUPACIONAL
Condiciones de seguridad insuficientes e inadecuadas
Situaciones que ocurren en el desarrollo de las actividades propias del trabajo, con la posibilidad de ocasionar daños en la integridad física de los funcionarios
41
OCUPACIONAL
Condiciones climáticas adversas
Exposición de los funcionarios a condiciones climáticas que afecten su salud
42
OCUPACIONAL
Exposición a elementos contaminantes y químicos.
Posibilidad de que los funcionarios entren en contacto con sustancias contaminantes y químicas, gases y/o malos olores que afecten su salud
43
OCUPACIONAL
Exposición a condiciones físicas desfavorables
Posibilidad de que los funcionarios estén expuestos a condiciones de trabajo donde los factores como la luz, ruido, calor y frío los afecten negativamente.
44
OCUPACIONAL
Afectación a la integridad física
Posibilidad de que la realización de actividades monótonos, repetitivas, de fuerza extrema y/o inseguras afecten la salud física del funcionario.
45
OPERATIVO
Vencimiento de términos
Posibilidad de incumplimiento de los términos legales (prescripción, caducidad) en las actuaciones que debe realizar la DIAN en cumplimiento de sus funciones
46
OPERATIVO
Selectividad de casos y/o programas sin la aplicación de criterios técnicos
Posibilidad de que no se apliquen, se apliquen de manera deficiente o se desconozcan los criterios de riesgos y los análisis o estudios técnicos para seleccionar los casos o programas.
47
ESTRATÉGICO
Deficiencias en la función gerencial
Limitaciones y/o fallas en la administración de la DIAN por parte de la Alta Gerencia, en cuanto a la coordinación, dirección, control, seguimiento y evaluación de los procesos.
48
OPERATIVO
Pérdida de la unidad de criterio jurídico
Posibilidad de que el cambio de criterio jurídico, sin atender los procedimientos internos, afecte el ejercicio de la función
- 8 - Versión No.1. Sep. 2010
2. METODOLOGÍA PARA LA CONSTRUCCIÓN DE RIESGOS INSTITUCIONALES Tal y como se explicó en el numeral 1 del presente documento, la Valoración de los riesgos se realizó con base en la metodología denominada “Elementos para la Construcción del Sistema de Administración de Riesgos”, la cual establece que esta etapa se lleva a cabo con tres actividades: Identificación, Análisis y Evaluación. En la Identificación se parte de los Riesgos Institucionales descritos. El Análisis, consiste en la medición inherente (estado de los riesgos antes de la implementación de controles) en términos de probabilidad de ocurrencia y magnitud de impacto, y se determinaron para ello dos tablas, las cuales se detallan más adelante. Y por último la Evaluación, permite examinar la reducción de severidad de los riesgos inherentes a través de los controles y así obtener la calificación residual. La tabla de medición de probabilidad de ocurrencia es sencilla y de fácil manejo para los funcionarios teniendo en cuenta su experiencia en la realización de las actividades ejecutadas en cada procedimiento, y de gran ayuda cuando se tiene deficiencias de estadísticas o mediciones de todas las actividades de la operación, generando un análisis más objetivo de la calificación a asignar. Las calificaciones determinadas en esta tabla son: Muy Alta (Valor=4), Alta (Valor=3), Media (Valor=2) y Baja (Valor=1). La tabla de medición de impacto por ocurrencia determina las consecuencias internas que se derivan de la ocurrencia del riesgo en la DIAN, definiendo cuatro dimensiones especificas (Económica, Imagen Institucional, Operacional y Humana), y que al ser aplicada aporta mayor agilidad a la determinación de dichas calificaciones puesto que en ella los funcionarios expertos ven reflejados los efectos que pueden evidenciarse al presentarse algún riesgo operacional. Las tablas de medición de la probabilidad de ocurrencia e Impacto por ocurrencia, son de gran utilidad puesto que se utiliza una medición 4 x 4 a fin de evitar los sesgos de conveniencia que usualmente son adoptados por los evaluadores, y que tienden a generar calificaciones agrupadas en el punto central que pueden dar las mediciones 5 x 5 o 3 x 3. Una vez culminada la Valoración para cada uno de los 189 procedimientos institucionales realizada en el formato 1387, herramienta informática desarrollada para tal fin, se realiza una labor de formulación de cada uno de los campos contenidos en dicho formato, con el objetivo de consolidar la información y en términos de promedio, lograr determinar cuáles son los riesgos de mayor incidencia en la Entidad. Las calificaciones promedio de la probabilidad y el impacto se ven afectadas por el número de procedimientos que consideraron en su valoración a los diferentes riesgos. Sin embargo se decidió prescindir de tomar el promedio de cada riesgo con base en los 189 procedimientos, en razón a que cada riesgo es representativo de la entidad en conjunto.
- 9 - Versión No.1. Sep. 2010
3. RESULTADOS OBTENIDOS A partir de la consolidación de la información de los 189 Mapas de Riesgos por Procedimientos, que puede denominarse el universo de información, se logra determinar cuáles son los riesgos de mayor incidencia en la Entidad, cuáles son los que se valoraron con mayor frecuencia, cuáles no fueron considerados en ninguno de los procedimientos y gráficamente se determina el mapa de riesgos inherente, que muestra el estado de los riesgos antes de la implementación de controles, y el Mapa de Riesgos Residual que muestra la reducción de severidad de los riesgos inherentes gracias a la aplicación de los controles establecidos. En este universo de información pueden proliferar los controles para un mismo riesgo, en razón a que cada procedimiento de manera independiente generó los controles del caso. Esta característica demanda un importante esfuerzo institucional para identificar los controles más efectivos y promover su aplicación homogénea en toda la entidad. En la medida en que se generen controles concretos de gran efectividad, su aplicación producirá un significativo impacto en toda la organización. En el ejercicio de valoración, los funcionarios expertos deciden cuáles de los 189 riesgos están presentes en el procedimiento a su cargo. En el contexto del presente documento se denomina “frecuencia de los riesgos” a la cantidad de procedimientos que incluyeron un riesgo en su ejercicio de valoración. La frecuencia del riesgo se sitúa en el intervalo [ 0 – 189 ]. En la tabla que se muestra más adelante se definieron cuatro categorías para la frecuencia de los riesgos. Se atribuye la categoría Frecuencia Generalizada a aquellos riesgos que se encuentran presentes en el 60% o más de los procedimientos institucionales. La Frecuencia Intermedia se asigna a aquellos riesgos que se presentan en más del 30% y menos del 60% de los procedimientos. La Frecuencia Baja es corresponde a los riesgos que fueron valorados por más del 10% y menos del 30% de los procedimientos, y la Frecuencia Localizada se asocia a los riesgos que se presentan en menos del 10% de los procedimientos. Un riesgo de frecuencia baja o localizada potencialmente puede tener un gran impacto sobre la organización y no debe perderse de vista para efectos de determinar el tratamiento a seguir. Sin embargo, en primera línea deben ubicarse aquellos riesgos que están diseminados en toda la organización, es decir los riesgos de frecuencia generalizada.
- 10 - Versión No.1. Sep. 2010
ESTADÍSTICA DE FRECUENCIA DE VALORACIÓN DE RIESGOS DE LA ENTIDAD Código Riesgo
Riesgo
Frecuencia
Frecuencia Relativa
Zona de Frecuencia Generalizada Generalizada Generalizada Intermedia Intermedia Intermedia Intermedia Intermedia
8 19 5 16 22
Deficiencia en los insumos de información del proceso Deficiencias en la información de salida del procedimiento Capacitación deficiente e insuficiente Deficiencias en el hardware y/o en el software Pérdida de documentos, bienes y/o información
127 122 119 88 82
67,2% 64,6% 63,0% 46,6% 43,4%
21 1 17 18
Deficiencia en la asignación de personal para gestionar los procedimientos Uso indebido de la información Fallas en las telecomunicaciones y/o en el fluido eléctrico Falta a la ética y valores
81 74 68 64
42,9% 39,2% 36,0% 33,9%
Intermedia
12
Falta de compromiso por parte del personal de otros procesos para participar en las actividades programadas
55
29,1%
Baja
45 9 36 27 47
Vencimiento de términos Deficiencia o ausencia de los recursos logísticos físicos (excepto hardware y software) Deterioro en el clima organizacional Clientes de difícil manejo Deficiencias en la función gerencial
48 36 35 33 32
25,4% 19,0% 18,5% 17,5% 16,9%
Baja Baja Baja Baja Baja
28 11
Vacíos normativos Desactualización normativa de las bases de datos del sistema jurídico
30 27
15,9% 14,3%
Baja Baja
6
Daños, deterioro o pérdida de equipos y herramientas de trabajo excepto hardware y software
24
12,7%
Baja
29
Deficiencias en la planeación estratégica y operativa de la Entidad
24
12,7%
7 13 15 20 10 46 26 14
Afectación de la DIAN por la ocurrencia de fenómenos naturales Deterioro, pérdida y/o daño de mercancía y bienes a cargo de la DIAN Falla en la Infraestructura física Incumplimiento en la ejecución de contratos Deficiencia en los insumos diferentes a información Selectividad de casos y/o programas sin la aplicación de criterios técnicos Suplantación de clientes Deterioro, pérdida y/o daño de la muestra
22 19 18 14 12 11 11 10
11,6% 10,1% 9,5% 7,4% 6,3% 5,8% 5,8% 5,3%
Baja Baja Baja Localizada Localizada
4 30 23
Inestabilidad jurídica Disminución de la credibilidad en las instituciones del Estado Piratería informática
9 8 7
4,8% 4,2% 3,7%
Localizada Localizada Localizada Localizada Localizada Localizada Localizada
32
Recortes al presupuesto de inversión por parte del sector Hacienda y Departamento Nacional de Planeación
6
3,2%
Localizada
35 25 31 3 2 48 37 24
Sobrevaluación de las aprehensiones Inadecuada divulgación de la información contable Desactualización del Registro Único Tributario (RUT) Dificultad en la suscripción de convenios internacionales Imposibilidad de atender oportunamente las devoluciones de impuestos Pérdida de la unidad de criterio jurídico Deficiencia en la capacidad de respuesta a los cambios del entorno económico Prescripción acción penal
6 4 3 2 2 2 1 1
3,2% 2,1% 1,6% 1,1% 1,1% 1,1% 0,5% 0,5%
Localizada Localizada Localizada
- 11 - Versión No.1. Sep. 2010
Localizada Localizada Localizada Localizada Localizada
De otra parte, se evidencia que de los 48 Riesgos Institucionales no fueron valorados dos de ellos en ninguno de los procedimientos, lo que nos llevaría a pensar acerca de la necesidad de evaluar la pertinencia de dichos riesgos y su conformidad con el sistema de riesgos, estos son: Riesgos que no fueron valorados por ningún procedimiento Cód. 33 Cobertura parcial o insuficiente de los programas de control Cód. 34 Continuidad en la concesión de tratamientos tributarios preferenciales
Clasificación Estratégico Estratégico
Tal como se anunció, también se ha construido a partir de la información recolectada de los 189 Mapas de Riesgos por Procedimientos, un Mapa Inherente que permite visualizar la ubicación de aquellos riesgos valorados en términos de Probabilidad e Impacto cuyo cruce ubica los riesgos en cuatro zonas de severidad promedio permitiendo identificar los riesgos que requieren mayor prioridad de gestión. Este Mapa se constituye en la fotografía de la situación de los riesgos de la Entidad antes de la implementación de los controles y sirve como señal de alerta para su efectiva gestión.
- 12 - Versión No.1. Sep. 2010
Mapa de Riesgos Institucional Inherente M U Y A L T A
23 P A R L O T B A A B I L I M D E A D D I A
48
25 35
1
8
22
45
9 16
2
46
3
24 31 11
32
4
5 12 19 13
27 21 28 37 15
14
29 30
B A J A
10
17
47
18 26 6
20
36
7 LEVE
MODERADO
GRAVE IMPACTO
Zona Riesgo Inaceptable Zona Riesgo Importante Zona Riesgo Moderado Zona Riesgo Aceptable
- 13 - Versión No.1. Sep. 2010
CRÍTICO
De igual forma, se ha construido un Mapa Residual que permite visualizar la ubicación de los riesgos, en las mismas cuatro zonas de severidad después del establecimiento de los controles, que a su vez han sido calificados en términos de efectividad. Es importante destacar que la función de los controles en la construcción de los mapas de riesgo es mitigar la probabilidad de que los riesgos se materialicen y, en ocasiones, cuando se reúnen ciertas calidades los controles también pueden morigerar el impacto del evento de riesgo. En la construcción de los mapas de riesgos a nivel de los procedimientos institucionales, la efectividad de los controles fue determinada nominalmente por parte de los funcionarios expertos en cada procedimiento. Aún la DIAN no ha efectuado el monitoreo de los controles establecidos a fin de evaluar su efectividad. Es por ello que en el estadio en que se encuentra el sistema no debe perderse de vista el mapa de riesgos inherente, especialmente para priorizar los riesgos que merecen atención particular y la definición de los correspondientes planes de mejora.
- 14 - Versión No.1. Sep. 2010
Mapa de Riesgos Institucional Residual M U Y A L T A
P A R L O T B A A B I L I M D E A D D I A
23 31 32
37 15
29
1
9 B A J A
10 18 6
48 36
8
22
45
2
16
30 46
3
17
47
24
4 11
25
5 12 19 35 13 20 27
26
7 LEVE
21 28
14
MODERADO
GRAVE IMPACTO
Zona Riesgo Inaceptable Zona Riesgo Importante Zona Riesgo Moderado Zona Riesgo Aceptable
- 15 - Versión No.1. Sep. 2010
CRÍTICO
4. CONCLUSIONES PRELIMINARES A fin de determinar cuáles son los riesgos institucionales que mayor impacto tienen sobre la organización se debe acudir al mapa de riesgos residual. Sin embargo, antes de llevar a cabo el análisis es preciso realizar dos advertencias. En primer lugar el mapa residual agregado que se presenta en este documento no fue construido con la metodología estándar sino que es un promedio simple de la valoración efectuada en cada uno de los 189 mapas de los procedimientos de la entidad. En otras palabras, este mapa de toda la organización no representa estrictamente el todo sino que es resultado de la suma de las partes. En segundo término, como ya se advirtió previamente, los controles aún no han sido objeto de monitoreo. Al margen de estas dos circunstancias, de manera preliminar, se puede concluir lo siguiente: Aunque en el mapa de riesgos inherente uno de los riesgos estaba situado en la zona de severidad inaceptable (Roja) y 10 riesgos más se ubicaban en la zona de severidad importante (Naranja), en virtud de la efectividad de los controles, se observa que en el mapa de riesgos residual no quedó ningún riesgo ubicado en estas zonas de severidad. De los 39 riesgos institucionales valorados, el 21% de ellos se localizaron en la zona de severidad moderada (Amarilla) en el mapa de riesgos residual y el restante 79% en la zona aceptable (Verde). Entre los 8 riesgos ubicados en la zona de severidad moderada del mapa de riesgos residual, se pueden diferenciar dos grupos. Uno de ellos corresponde a cinco riesgos que estaban ubicados en el mapa de riesgos inherente en la zona inaceptable o importante; el otro, corresponde a tres riesgos que se mantuvieron en dicha zona. Los riesgos del primer grupo son: � � � � �
Deterioro, pérdida o daño de la muestra (Cód. 14) Piratería Informática (Cód. 23) Prescripción de la acción penal (Cód. 24) Indebida divulgación de la información contable (Cód. 25) Desactualización del Registro Único Tributario RUT (Cód. 31)
A pesar de que los controles establecidos para este primer grupo lograron reducir su probabilidad de ocurrencia, ellos continúan siendo los que relativamente tienen mayor severidad para la organización. - 16 - Versión No.1. Sep. 2010
Los riesgos del segundo grupo son: � Suplantación de clientes (Cód. 26) � Recortes al presupuesto de inversión por parte del sector Hacienda y Dirección Nacional de Planeación. (Cód. 32) � Deficiencia en la capacidad de respuesta a los cambios del entorno económico (Cód. 37) Este segundo grupo contiene riesgos cuya probabilidad de materialización e impacto no han logrado mitigarse y, por lo tanto, es fundamental revisar los controles establecidos para ajustarlos o reemplazarlos a fin de lograr mayor efectividad.
- 17 - Versión No.1. Sep. 2010
ANEXO 1 CAUSAS Y CONSECUENCIAS DE LOS RIESGOS
Nº
NOMBRE DEL RIESGO
CAUSAS
CONSECUENCIAS Impacto negativo en la toma de decisiones a nivel interno y/o externo
Bajo nivel de seguridad para el acceso a la información Desconocimiento información 1
Uso indebido de la información
de las políticas de manejo de
Inestabilidad de los procesos
Acceso no autorizado a información
Disminución del impacto de las medidas que se pretendan adoptar Violación de la reserva estadística y/o sumarial
Fraude interno
No se obtiene resultado esperado de los procedimientos
Actos mal intencionados de terceros
Deterioro de la imagen de la Entidad y/o Área Cambio forzado en las decisiones Agotamiento del cupo de devolución 2
Imposibilidad de atender oportunamente las devoluciones de impuestos
Pérdida de autoridad fiscal
Falta de cobertura dada la estacionalidad en la recepción Sobrecostos financieros para la DIAN y para el Contribuyente de las solicitudes de devolución Detrimento de la imagen de la DIAN Vacío legislativo
No concretar tratados internacionales
Ausencia de procedimientos y políticas para la gestión de Pérdida de oportunidades convenios internacionales 3
Dificultad en la suscripción de convenios internacionales
Deficiencias en las políticas de la DIAN
Efectos negativos en la competitividad del país
Deficiencias en el apoyo de otras instituciones relacionadas Mayores niveles de incumplimiento con la gestión internacional Países que no desean colaborar con Colombia
Desestímulos a la inversión extranjera Pérdida de competitividad de la economía
4
Inestabilidad jurídica
Presiones de grupos políticos y/o económicos
Inadecuada aplicación de las normas
Cambio de políticas macroeconómicas Necesidad de dar respuesta a condiciones especiales en sectores económicos y grupos de población (regiones)
Afectación negativa en la competitividad del país
Dinámica del Comercio Exterior
Bajo cumplimiento del propósito de las medidas
Inconvenientes en la planeación para la DIAN y clientes
Ineficiencia en los procedimientos 5
Capacitación deficiente e insuficiente
Inadecuada identificación de capacitación Restricciones presupuestales
las
necesidades
de
Limitación de ofertas de capacitación especializada Capacitación de baja calidad Dificultades logísticas
- 18 - Versión No.1. Sep. 2010
Productos de baja calidad Cumplimiento deficiente del propósito del procedimiento Desconocimiento y mala aplicación de los procedimientos Retraso en el desarrollo de las actividades propias del procedimiento
Deficiencia en la inducción y reinducción del procedimiento Nº
NOMBRE DEL RIESGO
CAUSAS
CONSECUENCIAS
Falta y/o inadecuado mantenimiento de los equipos y Accidentes laborales herramientas de trabajo 6
7
Daños, deterioro o pérdida de equipos y herramientas de trabajo excepto hardware y software
Afectación de la DIAN por la ocurrencia de fenómenos naturales
Pérdida
Deficiencias o no realización del procedimiento
Baja calidad de los equipos y herramientas de trabajo
Sobrecostos
Mal uso de los equipos y herramientas de trabajo Sobrepasar la vida útil de los equipos y herramientas de trabajo Alta magnitud e intensidad del fenómeno Pérdida de recursos físicos y/o de información Inadecuado mantenimiento a las estructuras
Lesiones a la integridad física de funcionarios y/o clientes
Inapropiados planes de contingencia
Interrupción total o parcial de la operación
Ubicación de infraestructura y oficinas en zonas vulnerables a los fenómenos naturales o de alto riesgo No tener identificada la información requerida
Producto de baja calidad
Desconocimiento del procedimiento por parte de quien Reproceso entrega o recibe el insumo Inoportunidad o errores en la información remitida 8
Deficiencia en los insumos de información del proceso
Capacitación deficiente y/o insuficiente
Desacierto en la toma de decisiones Retrasos en el desarrollo de las actividades propias del procedimiento
Deficiencias en las actividades de planeación para la ejecución del procedimiento Limitación en el acceso a los Sistemas de Información Electrónicos de la DIAN o de entidades del Estado Falta identificación de los recursos físicos y/o tecnológicos Producto de baja calidad requeridos Desconocimiento del procedimiento por parte del proveedor Reproceso del insumo No controlar la calidad de los recursos físicos y/o Desacierto en la toma de decisiones tecnológicos recibidos 9
Deficiencia o ausencia de los Retrasos en el desarrollo de las actividades propias del Falta identificación de los recursos logísticos físicos recursos logísticos físicos procedimiento (excepto hardware y software) Desconocimiento del procedimiento por parte de quien entrega o recibe el insumo Control deficiente de la calidad de los recursos logísticos físicos Inexistencia de solicitud o ausencia de la debida justificación para acceder a la asignación de los recursos logísticos físicos Falta de claridad en la identificación de los insumos
10
11
Deficiencia en los insumos diferentes a información
Producto de baja calidad
Desconocimiento del procedimiento por parte del proveedor Reproceso del insumo No controlar la calidad del insumo
Desactualización normativa de las bases de datos del sistema Inestabilidad jurídica jurídico Diversidad de fuentes de información jurídica
- 19 - Versión No.1. Sep. 2010
Desacierto en la toma de decisiones Retrasos en el desarrollo de las actividades propias del procedimiento Desacierto en la toma de decisiones Errores en los procedimientos
Sanciones para la Entidad Nº
NOMBRE DEL RIESGO
CAUSAS
CONSECUENCIAS
Desmotivación del personal
12
Reasignación de personas
Falta de compromiso por parte del personal de otros procesos Asignación de delegados con perfil inadecuado para participar en las Falta de conocimiento del procedimiento actividades programadas Fallas en los canales de comunicación
Reproceso Pérdida de recursos de capacitación Baja efectividad del procedimiento
Los extensos términos que permite el proceso para definir Pérdidas económicas la situación jurídica de la mercancía o bienes Falta o deficiencia en el mantenimiento de los bienes Pérdidas de imagen frente al público inmuebles en dación de pago
13
Falta de disponibilidad de lugares adecuados de Sanciones para la DIAN Deterioro, pérdida y/o daño de almacenamiento Investigación disciplinaria mercancía y bienes a cargo de Almacenamiento indebido la DIAN Fraude interno Demoras en el procedimiento Almacenamiento indebido por parte de los depósitos autorizados Demora o error en la entrega de las mercancías al depósito Entrega de la mercancía a un depósito con el que no se tiene convenio
14
Toma indebida de la muestra
Imposibilidad de realizar el procedimiento
Desconocimiento del tratamiento de la mercancía
Alteración en los resultados
Deterioro, pérdida y/o daño de No contar con los elementos adecuados para la toma de la Lesiones para los funcionarios de laboratorios muestra la muestra Mal almacenamiento y/o conservación de la muestra
Reproceso
Falta o desconocimiento del manual de toma de muestras
Pérdida económica (mala clasificación de la mercancía)
Falta de mantenimiento
Pérdida de recursos físicos y/o de información
La edificación no cuenta con los requisitos de construcción Lesiones a la integridad física de funcionarios y/o clientes mínimos exigidos
15
Falla en la infraestructura física
Uso inadecuado de la infraestructura (sobrepasar los Alteración de la operación limites para los cuales fue construido o cambiar destino) Actos terroristas Actos mal intencionados de terceros Accidentes y casos fortuitos Fenómenos naturales
16
Deficiencias y/o ausencias en el hardware y/o en el software
Deterioro en los equipos
Demora en los procesos
Falta de mantenimiento de los equipos
Resultados inoportunos
Manejo inadecuado y/o operación incorrecta por parte de No terminar satisfactoriamente el proceso los usuarios y técnicos Virus computacional
Pérdida de imagen de la DIAN ante el público
Congestión en servidores Desactualizaciones de versiones informáticos No renovar a tiempo las licencias
Pérdida de recursos económicos de
programas
Deficiencia en la conexión de los software internos
- 20 - Versión No.1. Sep. 2010
Pérdida de información Alteración de la operación
Inexistencia de solicitud o ausencia de la debida justificación para acceder a la asignación de los recursos logísticos de hardware y/o software Nº
17
NOMBRE DEL RIESGO
Fallas en las telecomunicaciones y/o en el fluido eléctrico
CAUSAS
CONSECUENCIAS
El proveedor del servicio no tenga disponibilidad
Pérdida de información
Falta de mantenimiento de los equipos y redes
Demora en los procesos
Deterioro de las redes
Pérdida de imagen de la DIAN ante el público
Manejo inadecuado y operación de los usuarios y técnicos
Información inoportuna
Daños en la infraestructura interna
Resultados inoportunos
El proveedor del servicio no tenga disponibilidad (caídas o servicio intermitente en la conexión de internet, Incumplimiento del proceso interferencia en la comunicación) Falta o deficiencias en el soporte técnico y/o tecnológico
Alteración de la operación
Daños o fallas en la infraestructura interna Conflictos en el perfilamiento de usuarios Errores en la configuración de los equipos Cableado y/o redes eléctricas en mal estado Falta de claridad en los procedimientos
18
Falta a la ética y valores
Deterioro de la imagen de la DIAN
Falta de valores
No logro del propósito del procedimiento
Falta de formación ética
Violación de principios legales
Falta de compromiso
Incumplimiento de términos
Fallas en el proceso de selección de personal
Silencio Administrativo Positivo Silencio Administrativo Negativo Prescripción de procesos Baja calidad en los productos Favorecimiento en la contratación Reprocesos
Errores de digitación
Baja calidad en los productos
No presentar los requerimientos oportunamente por parte de los clientes
de
información
Desacierto en la toma de decisiones
Falla en las fuentes (otras entidades públicas, privadas e Resultados incompletos internacionales, clientes y/o funcionarios) Inexistencia de fuentes de información 19
Deficiencias en la información de salida del procedimiento
Reprocesos
Fallas en hardware y software, equipos y/o herramientas de Demora en los tiempos de entrega del producto final trabajo Inoportunidad o errores en la información de entrada del procedimiento Aplicación errónea del procedimiento Desconocimiento procedimiento
20
de
las normas
que
regulan
el
Falta de personal con el perfil requerido Incumplimiento en la ejecución Incumplimiento por parte del contratista de contratos
- 21 - Versión No.1. Sep. 2010
Baja calidad de la obra
Nº
Fallas en los términos de referencia del contrato
Demora en la ejecución
Deficiencias en la interventoría
Sobrecostos para la entidad
NOMBRE DEL RIESGO
CAUSAS
CONSECUENCIAS
Desconocimiento de las necesidades de personal en cada Demora e incumplimiento del propósito del procedimiento uno de los procesos Falta de personal con el perfil requerido
21
Planta de personal reducida Deficiencia en la asignación de personal para gestionar los Cambios en la estructura organizacional de la DIAN procedimientos Estacionalidad no prevista
Deterioro del clima laboral Prescripción de términos Desconocimiento y mala aplicación de los procedimientos
Asignación de funciones nuevas por cambios coyunturales Asignación de funcionarios que no cumplen con el perfil del rol del empleo requerido Pérdida intencional de la información
Pérdidas económicas
Inadecuadas medidas de seguridad para el acceso a Reproceso archivos de información física y/o en medios magnéticos Inadecuadas medidas de seguridad para el ingreso y salida Investigaciones disciplinarias de personal de las instalaciones de la DIAN 22
Pérdida de documentos, bienes y/o información
Espacios físicos inadecuados e insuficientes para la Retrasos en el desarrollo de las actividades propias del custodia de la información procedimiento Eventos de fuerza mayor (robo de terceros, incendios, Sanciones para la entidad fenómenos de la naturaleza, anegación) Inadecuada aplicación de las normas de archivo Desconocimiento de las Tablas de Retención Documental Desactualización de las Tablas de Retención Documental
23
Piratería informática
Baja seguridad del sistema
Pérdida o alteración de información
Fraude interno
Multas y/o sanciones por el uso de software ilegal
Falta de políticas de seguridad informática
Detrimento de imagen de la DIAN
Notificación fuera de término por parte de los organismos Detrimento de imagen de la DIAN judiciales 24
Prescripción acción penal
Falta de continuidad por parte de otros procedimientos Costo fiscal asociado vinculados Recursos insuficientes para el desarrollo de las actividades
Procesos disciplinarios
Omisión o errores en el registro de los hechos económicos, financieros, sociales y ambientales incluidos en el proceso Sanciones para la DIAN contable 25
Inadecuada divulgación de la información contable
Falta de definición de políticas que adopten el Régimen de Sanciones disciplinarias para los funcionarios Contabilidad Pública La información contable originada en otros procesos no sea entregada oportuna y adecuadamente al área Deterioro de la imagen de la DIAN correspondiente
26
Suplantación de clientes
Deficientes mecanismos que permitan una correcta Apariencia legal de las operaciones fraudulentas identificación del cliente
- 22 - Versión No.1. Sep. 2010
Incumplimiento del procedimiento de identificación
- 23 - Versión No.1. Sep. 2010
Perjuicios a terceros
Nº
NOMBRE DEL RIESGO
CAUSAS Falta de cultura por parte de los clientes
27
Clientes de difícil manejo
CONSECUENCIAS Daños en la integridad física y psicológica del personal de la DIAN
Excesivos tiempos de espera para la atención del cliente
Deterioro de la imagen de la DIAN
Baja calidad en la atención del usuario
Retrasos en la ejecución de los procedimientos
Falta de disponibilidad de información que oriente la atención al cliente Alta sensibilidad frente a las acciones de control Desconocimiento de las normas tributarias, aduaneras y cambiarias por parte del cliente Presiones por parte de los grupos de interés
Elusión tributaria
Diseño inapropiado de la normatividad
Dificultades en la aplicación de la norma
No considerar todas las consecuencias en el momento de Pérdida de eficiencia en la administración tributaria la redacción de la normatividad 28
Vacíos normativos
Falta de participación de los organismos competentes en el Actuaciones contradictorias frente a hechos similares trámite de la norma Inestabilidad Jurídica
Falta de homogeneidad en la ejecución de los procedimientos
Desconocimiento del funcionamiento interno por parte de Indebida motivación jurídica de los actos administrativos los juristas Insuficientes recursos asignados a la planeación
Incumplimiento de metas
Empleo de los recursos para otros fines
Hallazgos y/o sanciones de entes de control
Falta de conciencia institucional de la importancia de la Desconocimiento interno de los nuevos recursos y estrategias planeación de la DIAN
29
Deficiencias en la planeación estratégica y operativa de la Entidad
Inestabilidad y complejidad en los modelos de planeación
Pérdidas de eficiencia
Deficiencias en la comunicación interna Detrimento de la imagen de la DIAN Falta de integración entre el nivel central y el Ineficiencia de las políticas formuladas descentralizado Falta de autonomía presupuestal Desmotivación de los servidores públicos de la entidad Designación de personal no idóneo en cargos directivos Deficiencias en la información requerida para el procedimiento Corrupción Deterioro del cumplimiento voluntario
30
Disminución de la credibilidad Percepción de ineficiencia en las instituciones del Estado Favorecimientos a grupos de interés
Disminución del recaudo Detrimento de la imagen de la entidad Desmotivación de los servidores públicos de la DIAN
31
Desactualización del Registro Único Tributario (RUT)
Dinámica de la economía Reproceso Deficiencias en los mecanismos de seguimiento y Perdidas de eficiencia actualización Alto costo de actualización Gastos de funcionamiento (permanentes) se incluyen en el Afectación parcial de las operaciones presupuesto de inversión (temporal)
32
Recortes al presupuesto de inversión por parte del sector Cuestionamiento DNP a la continuidad de los proyectos de Deterioro de la imagen Hacienda y Dirección Nacional inversión de Planeación. Falta de autonomía presupuestal Pérdida de recaudo
Deterioro de los servicios de facilitación
- 24 - Versión No.1. Sep. 2010
Nº
33
NOMBRE DEL RIESGO
Cobertura parcial o insuficiente de los programas de control
CAUSAS
CONSECUENCIAS
Falta de coordinación entre los procesos encargados
Deterioro del cumplimiento voluntario
Deficiencias en el diseño de los programas
Disminución del recaudo
Falta de recursos (logísticos, humanos, financieros)
Pérdida de imagen institucional
Deterioro del orden público
Falta de presencia institucional
No aprovechar totalmente la información
34
Continuidad en la concesión de tratamientos tributarios preferenciales
El Congreso y parte del ejecutivo los promueven validando Disminución de recaudo presiones de grupos de interés No hay suficiente cultura sobre el rol de la tributación
Competencia desigual
Magnificar la gestión de control
Incremento de costos de almacenaje
Inestabilidad jurídica Desactualización de la tabla de precios dispuesta por la Impacto negativo en la toma de decisiones a nivel interno y/o DIAN para el avalúo de las mercancías aprehendidas externo 35
Sobrevaluación de las aprehensiones
Uso inadecuado de la tabla de precios dispuesta por la Revelación de información poco confiable DIAN para el avalúo de las mercancías aprehendidas Desconocimiento u omisión de los criterios establecidos por Detrimento de imagen de la DIAN la DIAN para el avalúo de las mercancías aprehendidas
36
Deterioro en el clima organizacional
Continuidad de disfunciones en la planta
Fuga de capital humano
Ineficiente asignación de cargas de trabajo
Operación de menor calidad, deterioro de la imagen de la DIAN
Deficiencias en liderazgo relacionado con talento humano
Desmotivación de los empleados
Irrespeto al conducto regular en la toma de decisiones
Deficiencia o no realización del procedimiento
Aumento en la complejidad de las operaciones económicas Deterioro del recaudo por su propia dinámica 37
Deficiencia en la capacidad de respuesta a los cambios del entorno económico
Percepción de ineficacia de la DIAN Aumento de la evasión y/o elusión Pérdida de oportunidad de controlar operaciones novedosas y/o complejas No contar con los elementos de protección adecuados
Epidemias
Existencia de agentes biológicos en el ambiente
Afectaciones generales a la salud
Mal manejo de desechos 38
Afectación por exposición a agentes biológicos
Aseo inadecuado Deficiencia en los recursos logísticos físicos (excepto hardware y software) Falta de programas de prevención Uso inadecuado o no uso de los elementos de protección
39
Afectación psicolaboral
Amenazas y/o agresiones de contribuyentes y compañeros
Deterioro del ambiente de trabajo
Deterioro a la integridad y el buen nombre
Efectos psicológicos negativos hacia el funcionario
Excesos de carga de trabajo
Estrés
Atención clientes de difícil manejo Manejo de información confidencial o estratégica Trabajo bajo presión Conflicto de autoridad Riesgo público
- 25 - Versión No.1. Sep. 2010
Nº
NOMBRE DEL RIESGO
CAUSAS Falta de señalización
CONSECUENCIAS Lesiones en la integridad física de funcionarios
Presencia de humedad
Reasignación de cargas de trabajo
Aseo y limpieza deficiente
Demora en los procedimientos
Áreas de trabajo inadecuadas
Incapacidad laboral
Iluminación inadecuada
Pérdida de información
Ventilación inadecuada
Accidentes de trabajo
Espacios reducidos Falta de mantenimiento en las instalaciones físicas 40
Condiciones de seguridad insuficientes e inadecuadas
Inadecuado diseño del sistema modular de los puestos de trabajo y baja calidad de los materiales Incendio y explosión Mal uso de las herramientas de trabajo Sistemas de seguridad industrial insuficientes y/o inadecuados Casos fortuitos Fenómenos naturales Herramientas de trabajo en mal estado Mecanismos de carga en movimiento Calor intenso
41
Condiciones climáticas adversas
Afectaciones generales a la salud
Frío intenso
Incapacidad laboral
Lluvias o inundaciones
Propagación de virus
Cambios intempestivos en el clima Realización de procedimientos al aire libre
Mal manejo de desechos
Lesiones en la integridad física de funcionarios a corto o largo plazo Quemaduras
Manipulación de sustancias químicas peligrosas
Incapacidad laboral
No contar con los elementos de protección adecuados 42
Exposición a elementos contaminantes y químicos.
Falta de mantenimiento en lugares de almacenamiento o Accidentes de trabajo eliminación de residuos
43
Exposición a condiciones físicas desfavorables
Disconfort térmico por calor o frío
Afectaciones generales a la salud a corto o largo plazo
Disconfort por ruido
Enfermedades laborales
Radiación (ionizante y no ionizante) Iluminación inadecuada
44
Afectación a la integridad física
Actividades monótonas y repetitivas
Lesiones a la integridad física a corto y largo plazo
Posturas inadecuadas
Enfermedades laborales
Esfuerzos físicos mayores a la capacidad del funcionario
Incapacidad laboral
Postura bípeda prolongada
Agotamiento físico
Posición sedente prolongada
Estrés
Prolongado esfuerzo visual Uso de muebles y herramientas inadecuados para la labor Jornadas excesivas de trabajo Accidentes de trabajo
- 26 - Versión No.1. Sep. 2010
Nº
NOMBRE DEL RIESGO
CAUSAS
CONSECUENCIAS
Inoportunidad u omisión en las respuestas de los derechos Silencio positivo de petición
45
Vencimiento de términos
Falta de control sobre los plazos establecidos por la Sanciones para la DIAN normatividad vigente Ineficiente asignación de cargas de trabajo
Disminución del recaudo
Notificación tardía
Investigaciones disciplinarias
Inoportunidad u omisión en las respuestas a solicitudes y/o Deterioro de la imagen de la DIAN requerimientos realizados a los demás procesos Desgaste administrativo Falta de estandarización de los criterios de selectividad
Desgaste administrativo
Parámetros de selección desactualizados y/o inadecuados
46
Productos y/o servicios de baja calidad Selectividad de casos y/o programas sin la aplicación de Incumplimiento o desconocimiento de las políticas de Errores en la toma de decisiones selección establecidas institucionalmente criterios técnicos Conflictos de interés
Detrimento de la imagen de la DIAN Deficiencia o no realización del procedimiento
Designación de personal no idóneo en cargos directivos
Incumplimiento de las metas Gubernamentales
Deficiencias en la comunicación interna
Incumplimiento de los planes y programas institucionales
Falta de profesionalismo y baja capacitación
Hallazgos y sanciones de entes de control
Tráfico de influencias o favorecimientos a grupos de interés Detrimento de la imagen de la entidad 47
Deficiencias en la función gerencial
Falta de integración entre el nivel central y descentralizado
Sanciones disciplinarias
Omisión normativa
Detrimento al patrimonio público
Falta de cultura de planeación y autocontrol Falta de autonomía presupuestal Desconocimiento del quehacer misional de la DIAN 48
Pérdida de la unidad de Incumplimiento de la normativa interna en la respuesta a Inseguridad jurídica criterio jurídico las consultas sobre interpretación de las normas
- 27 - Versión No.1. Sep. 2010