Gestión Riesgos

1
1
Esta presentación es propiedad intelectual controlada y producida por la Presidencia de la República.

Marzo de 2019
Gestión del Riesgo
(Articulado Riesgos de Corrupción y de
seguridad digital)

Función Pública
Contenido
Alineación con el MIPG y Plan
Anticorrupción y de Atención al
Ciudadano
Metodología Propuesta (Riesgos Gestión,
Corrupción y Seguridad Digital)
01.
02.
03. Rol de las líneas de defensa dentro de la
gestión del riesgo

Alineación con el MIPG y
Plan Anticorrupción y de
Atención al Ciudadano
01.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo, se definen los
siguientes aspectos:
 Factores de Riesgo Principales (Análisis Interno y Externo) atendiendo el diagnóstico de capacidades y entornos.
 Planeación Estratégica de la entidad.
 Tabla de Impactos principales por cada uno de los 5 niveles (Acorde con la estrategia y los procesos críticos)
 Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción, estrategias para trámites, rendición
de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información), que pueden facilitar la construcción de acciones
para el mapa de riesgos de corrupción.
Articulación MIPG – Gestión del Riesgo

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
A partir de la dimensión de “Gestión con Valores para el Resultado” se definen los siguientes aspectos:
 Estructura de Procesos, Procedimientos, Políticas, entre otras herramientas.
 Instrumentos y herramientas relacionadas con las Tecnologías de la Información y las Comunicaciones para la mejora
de los procesos.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Esquema de las Líneas de Defensa
Línea
Estratégica
Primera línea
de defensa
Segunda línea
de defensa
Tercera línea
de defensa
A partir de la dimensión de “Control Interno” se definen los siguientes aspectos:
 Esquema de las líneas de Defensa para la definición de los roles y responsabilidades de la gestión del riesgo y
control.
 A través de los componentes del MECI evaluar la efectividad de la estructura de control (diseño y ejecución de
los controles).
Componentes:
1. Ambiente de control
2. Evaluación del riesgo
3. Actividades de control
4. Información y comunicación
5. Actividades de monitoreo

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Gestión del Riesgo
La gestión de riesgos no es estática. Se integra en el desarrollo de la estrategia, la
formulación de los objetivos de la entidad y la implementación de esos objetivos a través de la
toma de decisiones cotidiana.
Proceso efectuado por la Alta Dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.

Metodología (Riesgos
Gestión, Corrupción y
Seguridad Digital)
02.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
1 Alta dirección Todos aquellos aspectos o elementos que solos o en combinación con otros, pueden producir la materialización de un riesgo
2
Apetito al Riesgo Se entiende como la posibilidad de ocurrencia del riesgo, ésta puede ser medida con criterios de Frecuencia o Factibilidad.
3
Auditoría interna
En el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, Hardware, información física
o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital.
4 Factores de Riesgo Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.
5 Riesgo Seguridad Digital Directrizemitida por la dirección sobre lo que hay que hacer para efectuar el control.
6 Control Propiedad de ser accesible y utilizable a demanda por una entidad
7 Confidencialidad Propiedad de exactitud y completitud.
8 Vulnerabilidad Posibilidad de que por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.
9 Disponibilidad Propiedad de la información que la hace no disponible o sea divulgada a individuos, entidades o procesos no autorizados
10 Gestión del riesgo
Proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable
con respecto al logro de los objetivos.
11 Riesgo de Corrupción
Conjunto de variables cuantitativas y/o cualitativas sujetas a la medición, que permiten observar la situación y las tendencias de cambio
generadas en la entidad, en relación con el logro de los objetivos y metas previstos.
12 Causa Persona o grupo de personas del máximo nivel jerárquico que dirigen y controlan una entidad.
13 Política Representa la debilidad de un activo o de un control que puede ser explotada por una o más amenazas.
14 Consecuencia Medida que modifica al riesgo (Procesos, políticas, dispositivos, prácticas u otras acciones)
15 Probabilidad La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos.
16
Activo
Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes
interesadas.
17 Riesgo Magnitud y tipo de riesgo que una organización está dispuesta a buscar o retener.
18 Riesgo Residual Es un examen sistemático, objetivo e independiente de los procesos, actividades, operaciones y resultados de una Entidad Pública.
19
Integridad
El riesgo que permanece después de que la dirección haya realizado sus acciones para reducir el impacto y la probabilidad de un acontecimiento
adverso.
20
Riesgo Inherente
Concepto según el cual el control interno, por muy bien diseñado y ejecutado que esté, no puede garantizar que los objetivos de una entidad se
consigan, debido a las limitaciones inherentes de todo Sistema de Control Interno.
21
Seguridad Razonable
Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar
la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente
físico, digital y las personas.
Taller 1
Términos y Definiciones
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
20
19
18
21

Análisis de Capacidades y
Entornos.
Caracterización de los grupos de valor
y sus necesidades
Priorización de esas necesidades y su
despliegue en las características de los
productos y servicios
 Planeación Estratégica y su
despliegue hacia los procesos.
 Plan Anticorrupción y de Atención al
ciudadano.
 Política de Administración del Riesgo
Insumos Dimensión
Direccionamiento Estratégico y
Planeación
Insumos Dimensión Gestión con
Valores para el Resultado
Antes de Iniciar con la Metodología
Estructura de Procesos,
Procedimientos, Políticas, entre otras
herramientas.
Instrumentos y herramientas
relacionadas con las Tecnologías de la
Información y las Comunicaciones para
la mejora de los procesos.
Aspectos Esenciales Habilitantes para la incorporación de la Metodología
Insumos Dimensión Control
Interno
 Aprobación Política de
Administración del
Riesgo.
 Esquema Líneas de
Defensa

Definiciones Básicas Relacionadas con la
Gestión del Riesgo
Riesgo de Gestión: Posibilidad
de que suceda algún evento que
tendrá un impacto sobre el
cumplimiento de los objetivos. Se
expresa en términos de
probabilidad y consecuencias.
Riesgo de Corrupción:
Posibilidad de que por acción u
omisión, se use el poder para
desviar la gestión de lo público
hacia un beneficio privado.
Riesgo de Seguridad Digital:
Combinación de amenazas y
vulnerabilidades en el entorno digital.
Puede debilitar el logro de objetivos
económicos y sociales, así como afectar
la soberanía nacional, la integridad
territorial, el orden constitucional y los
intereses nacionales. Incluye aspectos
del ambiente físico, digital y las personas.
Activo: En el contexto de
seguridad digital son elementos
tales como aplicaciones de la
organización, servicios web, redes,
Hardware, información física o
digital, recurso humano, entre
otros, que utiliza la organización
para funcionar en el entorno digital.
Riesgo Inherente: Es aquel al
que se enfrenta una entidad en
ausencia de acciones de la
dirección para modificar su
probabilidad o impacto.
Riesgo Residual: Nivel de
riesgo que permanece luego de
tomar medidas de tratamiento del
riesgo.
Probabilidad: se entiende la
posibilidad de ocurrencia del
riesgo, ésta puede ser medida
con criterios de Frecuencia o
Factibilidad.
Impacto: se entienden las
consecuencias que puede
ocasionar a la organización la
materialización del riesgo.
Causa: Todos aquellos factores
internos y externos que solos o
en combinación con otros,
pueden producir la
materialización de un riesgo
Consecuencia: Los efectos o
situaciones resultantes de la
materialización del riesgo que
impactan en el proceso, la
entidad, sus grupos de valor y
demás partes interesadas.
Plan Anticorrupción y de
Atención al Ciudadano: Plan
que contempla la estrategia de
lucha contra la corrupción que
debe ser implementada por todas
las entidades del orden nacional,
departamental y municipal.
Mapa de Riesgos: Documento
con la información resultante de
la gestión del riesgo de
corrupción.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Definiciones Básicas Relacionadas con la
Gestión del Riesgo
Riesgo
Gestión del Riesgo
Posibilidad de que suceda algún evento que tendrá un impacto sobre el
cumplimiento de los objetivos.
 El riesgo se expresa en términos de probabilidad y consecuencias.
Proceso efectuado por la Alta Dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Paso 1: Política Institucional de
Riesgos
Declaración de la Dirección y las intenciones generales de una organización con respecto a
la gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo
establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.
La debe establecer la Alta Dirección en cabeza
del Representante Legal en el marco del
Comité Institucional de Coordinación de Control
Interno
Objetivo: Alineada con los obj institucionales
Alcance: Aplicable a todos los procesos
Niveles de aceptación del Riesgo: Decisión
informada de tomar un riesgo particular.
Periodicidad para el seguimiento y sus
responsables. Los riesgos aceptados están
sujetos a monitoreo.
Tabla Impacto, Factores de Riesgo, entre otros.
Los riesgos de corrupción no admiten
aceptación del riesgo.
Definir procesos susceptibles de posibles
actos de corrupción.
¿Quién la establece?
¿Qué debe contener?
Frente a los Riesgos de Corrupción
Incorporar Anexo 4 “Lineamientos para la
gestión del riesgo de seguridad digital.
Frente a los Riesgos de Seguridad Digital

Paso 2: Identificación
del Riesgo
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus
causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis
teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas. (NTC
ISO31000, Numeral 2.15).
ESTABLECIMIENTO DEL CONTEXTO
Definición de los parámetros internos y externos
que se han de tomar en consideración para la
administración del riesgo. (NTC ISO31000,
Numeral 2.9).
Contexto Externo Contexto Interno Contexto del Proceso
Se determinan las
características o aspectos
esenciales del entorno en
el cual opera la entidad.
Se pueden considerar
factores como: Legales,
Políticos, Sociales,
Tecnológicos, Financieros,
Sectoriales.
Se determinan las
esenciales del ambiente
en el cual la organización
busca alcanzar sus
objetivos. Se pueden
considerar factores como:
Talento Humano,
Infraestructura,
Planeación, Recursos
financieros.
Se determinan las
esenciales del proceso y
sus interrelaciones. Se
pueden considerar
factores como: Objetivo,
alcance, interrelación con
otros procesos,
procedimientos,
responsables.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
del Riesgo
Tabla ilustrativa 1 - Factores para cada categoría del contexto

del Riesgo
Cómo puede
Suceder?
1
2
3
Qué puede
suceder?
Cuándo puede
suceder?
Identificar la afectación del cumplimiento del
objetivo estratégico o del proceso según sea
el caso.
Establecer las causas a partir de los factores
determinados en el contexto
Determinar de acuerdo al desarrollo del proceso
4
Qué
consecuencias
tendría su
materialización?
Determinar los posibles efectos por la
materialización del riesgo
Identificación Riesgo de Corrupción
Los riesgos de corrupción se establecen sobre procesos. El riesgo debe
estar descrito de manera clara y precisa. Su redacción no debe dar lugar
a ambigüedades o confusiones con la causa generadora de los mismos.
Con el fin de facilitar la identificación de riesgos de corrupción y de evitar
que se presenten confusiones entre un riesgo de gestión y uno de
corrupción, se sugiere la utilización de la Matriz de definición de riesgo de
corrupción, que incorpora cada uno de los componentes de su definición.
Si en la descripción del riesgo, las casillas son contestadas todas
afirmativamente, se trata de un riesgo de corrupción.
Evitar iniciar con palabras negativas como: “No…” “Que
no…”, o con palabras que denoten un factor de riesgo
(causa) tales como: “ausencia de”, “falta de”, “Poco(a)”,“
Escaso(a)”,“Insuficiente”, “Deficiente”, “Debilidades en
Pregúntese si el riesgo identificado esta relacionado
directamente con las características del objetivo. Si la
respuesta es “no” este puede ser la causa o la
consecuencia.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
PROCESOS ENUNCIADO Marque aquí
GESTIÓN HUMANA Planeación Inadecuada
GESTIÓN FINANCIERA Emitir Estados financieros que no reflejen la realidad de la entidad
GESTIÓN CONTRACTUAL Pérdida de recursos de la Entidad
PLANEACIÓN INSTITUCIONAL Generación de lineamientos que no contribuye al logro del objetivo institucional
PLANEACIÓN INSTITUCIONAL
Inadecuado funcionamiento de la plataforma tecnológica donde se realiza el seguimiento a la
planeación
ATENCIÓN AL USUARIO Orientación técnica incompleta (sin fondo)
GESTIÓN FINANCIERA Errores en los soportes de pago a proveedores
GESTIÓN CONTRACTUAL
Contratar los bienes, servicios u obras requeridos sin las especificaciones técnicas y de calidad
necesarias
GESTIÓN HUMANA Errores en la liquidación de nómina, seguridad social y/o parafiscal.
ATENCIÓN AL USUARIO No contar con digiturno
Determine con respecto a los siguientes procesos si el enunciado corresponde a Riesgo, Causa o Consecuencia
Taller 2
Causas y Riesgos
CAUSA
RIESGO
CONSECUENCIA
RIESGO
CAUSA
RIESGO
CAUSA
RIESGO
RIESGO
CAUSA

del Riesgo
Identificación Riesgos de Seguridad Digital
IDENTIFICACIÓN DE ACTIVOS
Elementos tales como: Aplicaciones de la organización, Servicios Web,
Redes, Hardware, Información física o digital, Recurso Humano, entre
otros, que utiliza la organización para funcionar en el entorno digital.
Todo lo que no
esta plenamente
identificado, no
está debidamente
asegurado.
Anexo 4 “Lineamientos para
la gestión del riesgo de
seguridad digital en entidades
públicas” encontrarán:
 Tabla 5. Tabla de
amenazas comunes
amenazas dirigida por el
hombre
Vulnerabilidades
Comunes
Pérdida de la integridad
1
2
3
Pérdida de la confidencialidad
Pérdida de la disponibilidad
Se podrán identificar los siguientes tres (3) riesgos inherentes de
seguridad digital:

de Riesgo de Corrupción
RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS
Direccionamiento
de
contratación
a
favor
de
un
tercero
Adendas que cambian condiciones generales del
proceso de contratación para favorecer a un
proponente
Corrupción Intereses personales 1. Demandas contra el estado
2. Perdida de confianza en lo público
3. Investigaciones disciplinarias
4. Detrimento patrimonial
5. Declaración de nulidad del proceso
- inoportunidad en la entrega de los
bienes
6. Enriquecimiento ilícito de
contratistas y/o servidores públicos
Presiones indebidas
Injerencia de externos sobre la entidad
para favorecer intereses particulares
Carencia de controles en el
procedimiento de contratación
Importante
En la descripción de los riesgos de corrupción deben concurrir TODOS los
componentes de su definición:
Acción u omisión + uso del poder + desviación de la gestión
de lo público + el beneficio privado.
Proceso Contratación: “Adquirir con oportunidad y calidad
técnica los bienes y servicios requeridos por la entidad para su
continua operación”
Ejemplo

del Riesgo
Los objetivos estratégicos y de proceso se desarrollan a
través de actividades, pero no todas tienen la misma
importancia, por tanto se debe establecer cuáles de ellas
contribuyen mayormente al logro de los objetivos y estas
son las actividades críticas o factores claves de éxito; estos
factores se deben tener en cuenta al identificar las causas
que originan la materialización de los riesgos.
Análisis de Causas
Nro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom
1 Insuficiente capacitación del
personal de contratos.
10 8 9 7 10 9 53 8,8
2 Fallas en la radicación de
propuestas
1 6 2 6 5 6 26 4,3
3 Mala atención a los
proveedores
5 3 1 5 4 3 21 3,5
4 Inadecuadas políticas de
operación
7 9 7 8 7 10 48 8,0
5 Desconocimiento de la
normatividad contractual
6 4 3 1 2 1 17 2,8
6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2
7 Desconocimiento de los
cambios en la regulación
contractual
8 7 10 9 8 7 49 8,2
8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8
9 Carencia de controles en el
9 10 8 10 9 8 54 9,0
10 Normograma desactualizado 4 2 6 3 3 5 23 3,8
CRITERIOS DE PRIORIZACIÓN
• En esta matriz se deben incluir todas las debilidades y
amenazas identificadas en el establecimiento del
contexto
• Cada integrante priorizará en orden de importancia de
menor a mayor las causas utilizando una escala donde 1
es la de menor importancia y «N» la de mayor
importancia dependiendo del número de causas.
• Un integrante del grupo debe organizar en la tabla las
calificaciones y calcular el promedio aritmético de cada
causa, siendo las de mayor promedio las causas raíz.
Priorización de Causas

del Riesgo
“Inoportunidad
en
la
adquisición
de
los
bienes
y
servicios
requeridos
por
la
entidad
La combinación de factores como,
insuficientes capacitación del personal de
contratos, cambios en la regulación
contractual, inadecuadas políticas de
operación y Carencia de controles en el
procedimiento de contratación pueden
ocasionar la Inoportunidad en la adquisición
de los bienes y servicios requeridos por la
entidad, repercutiendo en la continuidad de la
operación de la entidad.
Operativo Carencia de controles en el
1. Demoras en los procesos
2. incumplimiento en la entrega de
bienes y servicios a los grupos de
valor
3. Demandas y demás acciones
jurídicas
4. Detrimento de la imagen de la
entidad ante sus grupos de valor
5. Investigaciones disciplinarias
Insuficiente capacitación del personal
de contratos.
Desconocimiento de los cambios en la
regulación contractual
Inadecuadas políticas de operación
Proceso Contratación:
Objetivo “Adquirir con oportunidad y calidad técnica los bienes
y servicios requeridos por la entidad para su continua
operación”
Ejemplo

Análisis de la Probabilidad
Se analiza qué tan posible es que ocurra el riesgo, se expresa en
términos de frecuencia o factibilidad, donde frecuencia implica
analizar el número de eventos en un periodo determinado, se trata de
hechos que se han materializado o se cuenta con un historial de
situaciones o eventos asociados al riesgo, y factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo, se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda.
Nivel Descriptor Descripción Frecuencia
5 Casi seguro Se espera que el evento ocurra en la
mayoría de las circunstancias
Mas de 1 vez al año.
4 Probable Es viable que el evento ocurra en la
mayoría de las circunstancias
Al menos 1 vez en el
último año.
3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
últimos 5 años.
1 Rara vez El evento puede ocurrir solo en
circunstancias excepcionales (poco
comunes o anormales)
No se ha presentado en
los últimos 5 años.
Paso 3: valoración del
riesgo
Criterios parar calificar la probabilidad
Importante
El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la
disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de
no contar con datos históricos, se trabajará de acuerdo con la experiencia de los
funcionarios que desarrollan el proceso y de sus factores internos y externos.
(Revisar matriz de análisis de priorización de probabilidad).
Permite establecer la probabilidad de ocurrencia del riesgo y el nivel de
consecuencias o impacto, con el fin de estimar la zona de riesgo inicial
(RIESGO INHERENTE).

riesgo
Criterios para calificar el Impacto – Riesgos de Gestión
Nivel Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo
CATASTRÓFICO - Impacto que afecte la ejecución presupuestal en un valor ≥50%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥50%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por más de cinco (5) días.
- Intervención por parte de un ente de control u otro ente regulador.
- Pérdida de Información crítica para la entidad que no se puede recuperar.
- Incumplimiento en las metas y objetivos institucionales afectando de forma grave la
ejecución presupuestal.
- Imagen institucional afectada en el orden nacional o regional por actos o hechos de
corrupción comprobados.
MAYOR
- Impacto que afecte la ejecución presupuestal en un valor ≥20%
- Interrupción de las operaciones de la Entidad por más de dos (2) días.
- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
- Sanción por parte del ente de control u otro ente regulador.
- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en
las metas de gobierno.
- Imagen institucional afectada en el orden nacional o regional por incumplimientos en la
prestación del servicio a los usuarios o ciudadanos.
MODERADO
- Interrupción de las operaciones de la Entidad por un (1) día.
- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los
entes reguladores o una demanda de largo alcance para la entidad.
- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.
- Reproceso de actividades y aumento de carga operativa.
- Imagen institucional afectada en el orden nacional o regional por retrasos en la
prestación del servicio a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
MENOR
regulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por algunas horas.
- Reclamaciones o quejas de los usuarios que implican investigaciones internas
disciplinarias.
- Imagen institucional afectada localmente por retrasos en la prestación del servicio a los
usuarios o ciudadanos.
INSIGNIFICANTE
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%
de la entidad en un valor ≥0,5%
regulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
- No hay interrupción de las operaciones de la entidad.
- No se generan sanciones económicas o administrativas.
- No se afecta la imagen institucional de forma significativa.
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.

Criterios para calificar el Impacto – Riesgos de Seguridad Digital
FUENTE: Ministerio de Tecnologías de la Información y las Comunicaciones
NIVEL
VALOR DEL
IMPACTO
CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL
Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo
INSIGNIFICANTE 1
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
No hay Afectación medioambiental
Sin afectación de la integridad
Sin afectación de la disponibilidad
Sin afectación de la confidencialidad
MENOR 2
Afectación leve del Medio Ambiente requiere de ≥X días de
recuperación
Afectación leve de la integridad
Afectación leve de la disponibilidad
Afectación leve de la confidencialidad
MODERADO 3
Afectación leve del Medio Ambiente requiere de ≥X semanas
de recuperación
Afectación moderada de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación moderada de la disponibilidad de la información
Afectación moderada de la confidencialidad de la información
MAYOR 4
Afectación importante del Medio Ambiente que requiere de
≥X meses de recuperación
Afectación grave de la integridad de la información debido al
interés particular de los empleados y terceros
Afectación grave de la disponibilidad de la información
Afectación grave de la confidencialidad de la información
CATASTRÓFICO 5
Afectación muy grave del Medio Ambiente que requiere de
≥X años de recuperación
Afectación muy grave de la integridad de la información
Afectación muy grave de la disponibilidad de la información
Afectación muy grave confidencialidad de la información

riesgo
Análisis del Impacto Mapa de calor (Riesgo inherente)
El impacto se debe analizar y calificar a partir de las consecuencias identificadas
en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el
impacto fue identificado como mayor por cuanto genera interrupción de las
operaciones.
Mapa de Calor
Se toma la calificación de probabilidad (resultante de la tabla Matriz de
priorización de probabilidad), en el ejemplo: probable y la calificación de
impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en
la fila y la de impacto en la columnas correspondientes, establezca el punto de
cruce de las dos y este punto corresponderá al nivel de riesgo, que para el
ejemplo es nivel extremo – color rojo determinando así el riesgo
inherente..
R1

riesgo
Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente)
Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en
cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos
riesgos siempre serán significativos; en este orden de ideas, no aplican los
niveles de impacto insignificante y menor, que si aplican para los demás
riesgos.
De acuerdo a la tabla de criterios para calificar el impacto de la página anterior,
nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los
riesgos de corrupción se califica con los mismos cinco niveles de los demás
riesgos .
Por ultimo ubique en el mapa de calor el punto de cruce resultante de la
probabilidad y el impacto para establecer el nivel del riego inherente, para el
ejemplo corresponde a: EXTREMO
Importante
Aunque se utilice el mismo mapa de calor , para los riesgos de gestión y de
corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,
Mayor y Catastrófico.
R1
Aplica para
los riesgos
de
corrupción

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Nro PREGUNTA:
Si el riesgo de corrupción se materializa podría...
Respuest
a
SI NO
1 ¿Afectar al grupo de funcionarios del proceso? X
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X
3 ¿Afectar el cumplimiento de misión de la Entidad? X
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? X
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X
6 ¿Generar pérdida de recursos económicos? X
7 ¿Afectar la generación de los productos o la prestación de servicios? X
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida
del bien o servicios o los recursos públicos?
X
9 ¿Generar pérdida de información de la Entidad? X
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X
11 ¿Dar lugar a procesos sancionatorios? X
12 ¿Dar lugar a procesos disciplinarios? X
13 ¿Dar lugar a procesos fiscales? X
14 ¿Dar lugar a procesos penales? X
15 ¿Generar pérdida de credibilidad del sector? X
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X
17 ¿Afectar la imagen regional? X
18 ¿Afectar la imagen nacional? X
19 ¿Genera daño ambiental X
Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado.
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.
Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.
10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad.
CATASTROFICO Genera consecuencias desastrosas para la entidad
Criterios
para
calificar
el
Impacto
–
Riesgos
de
Corrupción
Nivel de
Impacto
MAYOR
Importante
Se debe diligenciar una tabla de estas por
cada riesgo de corrupción identificado.
Los niveles de impacto Insignificante y
Menor no aplica para riesgos de
corrupción.
Valoración del riesgo –
Análisis de Riesgo

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Tratamiento del riesgo
Es la respuesta establecida por la Primer Línea de Defensa para la
mitigación de los diferentes riesgos. Ningún riesgo de corrupción podrá ser
aceptado.
No se adopta ninguna
medida que afecte la
probabilidad o el impacto
del riesgo.
OPCIONES DE
TRATAMIENTO
Aceptar el Riesgo
Se adoptan medidas para
reducir la probabilidad o el
impacto del riesgo, o ambos;
por lo general conlleva a la
implementación de controles.
Reducir el Riesgo
Se abandonan las actividades
que dan lugar al riesgo,
decidiendo no iniciar o no
continuar con la actividad que
causa el riesgo.
Evitar el Riesgo
Se reduce la probabilidad o el
impacto del riesgo,
transfiriendo o compartiendo
una parte del riesgo.
Compartir el Riesgo

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto debería
aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.
Aceptar el Riesgo
RIESGO
ANTES DE
MEDIDAS DE
TRATAMIENTO
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que afecte la
probabilidad o el impacto del riesgo.
La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también
pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el
riesgo. En ambos escenarios debe existirun seguimiento continuo del riesgo.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la
cancelación de una actividad o conjunto de actividades.
Evitar el Riesgo
Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos
arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo
tanto hay situaciones donde no es una opción.
RIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
NO HAY RIESGOS
DESPUES DE
MEDIDA DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que dan lugar al
riesgo, decidiendo no iniciar o no continuar con la
actividad que causa el riesgo.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Compartir el Riesgo
RIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el impacto del riesgo,
transfiriendo o compartiendo una parte del riesgo.
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser
compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del
riesgo.
Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y
tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un
acuerdo contractual.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo
aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.
Reducir el Riesgo
Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo
que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.
RIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir la probabilidad o
el impacto del riesgo, o ambos; esto conlleva a la
implementación de controles.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Taller 3
Valoración del Riesgo – Evaluación Controles
Probabilidad de Ocurrencia: 4 - Impacto: 4 - Nivel de Riesgo Inherente: Extremo
Tipo de Control:
Acontinuación califique el diseño del control ysu ejecución yel nivel de Riesgo Residual:
Los postulados que no cumplen con los requisitos son informados, mediante comunicación formal escrita, firmada por el líder del proceso de TH.
TALLER No 3 Evaluación de Controles
Proceso: Talento Humano
Objetivo: Gestionar el ingreso, desarrollo y retiro del talento humano al servicio de la Entidad, a través del desarrollo de actividades, planes y programas, tendientes a garantizar servidores
públicos competentes, para alcanzar los objetivos institucionales y generar continuidad en los procesos.
Riesgo: Contratar personal que no cumple con los requisitos para el cargo.
Control 1:
El profesional de Talento Humano cada vez que se va a realizar un proceso de selección, verifica que la información suministrada por el postulante corresponda con los requisitos establecidos
para el cargo, a través de una lista de chequeo donde están los requisitos del manual de funciones y los revisa con la información suministrada (puede ser física o digital). En caso de encontrar
información faltante, requiere al postulante a través de correo para el suministro de la información y poder continuar con el proceso.
Control 2:
Procedimiento ligado a un sistema de información (software) para el registro de los postulantes que cumplen con los requisitos con sus documentos soporte.
Verificación yanálisis de documentación cuyo soporte queda registrado en el sistema, se utilizan usuarios para el análisis (profesional de TH) yun usuario de administrador (líder del proceso de TH) quien verifica y
da visto bueno para continuar con el proceso de nombramiento.
Para cada proceso de selección se aplica el procedimiento.
Acorde con las evidencias o soportes los responsables de ejecutar el control lo hacen de forma sistemática.
Acorde con la información suministrada determine:

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
¿Qué son las Actividades de
Control?
Son las acciones establecidas a través de políticas y procedimientos que
contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección
para mitigar los riesgos que inciden en el cumplimiento de los objetivos.
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Políticas Procedimientos
Una política por si sola
no es un control.
Los controles se despliegan a
través de los procedimientos
documentados.
La actividad de control debe por si sola mitigar o
tratar la causa del riesgo y ejecutarse como parte
del día a día de las operaciones.
Paso 3: Valoración del riesgo – Tratamiento
del Riesgo

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
CLASIFICACIÓN DE LAS
ACTIVIDADES DE
CONTROL
CONTROLES PREVENTIVOS CONTROLES DETECTIVOS
Este tipo de controles intentan evitar la ocurrencia de los riesgos
que puedan afectar el cumplimiento de los objetivos.
Controles que están diseñados para identificar un evento o
resultado no previsto después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se
tomen las acciones correspondientes.
Revisión al cumplimiento de los requisitos
contractuales, en el proceso de selección
del contratista o proveedor.
Realizar una conciliación bancaria, para
verificar que los saldos en libros corresponden
con los saldos en Bancos.
Tratamiento del riesgo – Rol 1ª Línea de
Defensa

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Diseño de Controles
VARIABLES A
EVALUAR PARA EL
ADECUADO DISEÑO DE
CONTROLES
PASO
1
Debe tener definido el responsable de realizar la actividad de
control.
PASO
2
Debe tener una periodicidad definida para su ejecución.
PASO
3
Debe indicar cuál es el propósito del control.
PASO
4
Debe establecer el cómo se realiza la actividad de control.
PASO
5
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
PASO
6
Debe dejar evidencia de la ejecución del control.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
PASO
1
Debe tener definido el responsable de realizar la actividad de
control.
 El Profesional de Contratación
 El Auxiliar de Cartera.
 El Coordinador de Operaciones.
 La Coordinadora de Nomina.
 El aplicativo de nomina.
 El aplicativo de contratación.
 El aplicativo de activos fijos
Cuando un control se hace de manera manual (ejecutado por
personas) es importante establecer el cargo responsable de su
realización.
Cuando el control lo hace un sistema o una aplicación de manera
automática a través de un sistema programado, es importante
establecer como responsable de ejecutar el control, el sistema o
aplicación.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
PASO
2
Debe tener una periodicidad definida para su ejecución.
El control debe tener una periodicidad especifica para su ejecución (diario, mensual,
trimestral, anual) .
Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si
con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo
 El Profesional de Contratación cada vez que se va a
realizar un contrato con un proveedor de servicios.
 El Auxiliar de Cartera mensualmente.
 El Coordinador de Operaciones diariamente
 La Coordinadora de Nomina quincenalmente

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
PASO
3
Debe indicar cuál es el propósito del control.
Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,
detectar)
 El profesional de Contratación cada vez que se va a
realizar un contrato verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación.
PASO
4
Debe establecer el cómo se realiza la actividad de control.
Cómo se realiza el control? permite evaluar si la fuente u origen de la información que
sirve para ejecutar el control, es confiable para la mitigación del riesgo.
 El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
PASO
5
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
Si como resultado de un control preventivo se observan diferencias o aspectos que no se
cumplen, la actividad no debería continuarse hasta que se subsane la situación.
 El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación.
Si es un control que detecta una posible materialización de un riesgo, debería gestionarse
de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u
observaciones.
Si el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o
desviaciones, o la actividad continúa a pesar de indicar
esas observaciones o desviaciones, el control tendría
problemas de diseño.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
PASO
6
Debe dejar evidencia de la ejecución del control.
Esta evidencia ayuda a que se pueda revisar la misma información por parte de un
tercero y llegue a la misma conclusión de quien ejecutó el control.
Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros
establecidos en el diseño.
 El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo
diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en
los casos que aplique.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Evaluación de los controles
para la mitigación de los
riesgos.
DISEÑO EJECUCIÓN
Que cumpla con los 6 aspectos
explicados
El control se ejecuta como fue
diseñado y de manera consistente.
Para la adecuada mitigación de los riesgos, no basta con
que un control este bien diseñado, el control debe
ejecutarse por parte de los responsables tal como se
diseño. Por que un control que no se ejecute, o un control
que se ejecute y este mal diseñado, no va a contribuir a la
mitigación del riesgo
Paso 3: Valoración del riesgo – Diseño de
Controles

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Análisis y Evaluación de los Controles para
la Mitigación de los Riesgos
Criterio de Evaluación Aspecto a Evaluar en el Diseño del Control Opción de Respuesta
1. Responsable
¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado
¿El responsable tiene la autoridad y adecuada segregación de
funciones en la ejecución del control?
Adecuado Inadecuado
2. Periodicidad
¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación
del riesgo o a detectar la materialización del riesgo de manera oportuna?
Oportuna Inoportuna
3. Propósito
¿Las actividades que se desarrollan en el control realmente buscan por si
sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo
Verificar, Validar Cotejar, Comparar, Revisar (…)?
Prevenir
Detectar
No es un control
4. Cómo se realiza la actividad de
control
¿La fuente de información que se utiliza en el desarrollo del control es
información confiable que permita mitigar el riesgo.
Confiable No confiable
5. Qué pasa con las observaciones o
desviaciones
¿Las observaciones , desviaciones o diferencias identificadas como
resultados de la ejecución del control son investigadas y resueltas de manera
oportuna?
Se investigan y
resuelven
oportunamente
No se investigan ni
se resuelven
oportunamente
6. Evidencia de Ejecución del Control
¿Se deja evidencia o rastro de la ejecución del control, que permita a
cualquier tercero con la evidencia, llegar a la misma conclusión?
Completa Incompleta

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Criterio de Evaluación Opción de Respuesta al Criterio de Evaluación
Peso en la Evaluación del
Diseño del control
1. Asignación del
Responsable
Asignado 15
No asignado 0
2. Segregación y
autoridad del responsable
Adecuado 15
Inadecuado 0
2. Periodicidad
Oportuna 15
Inoportuna 0
3. Propósito
Prevenir 15
Detectar 10
No es un control 0
4. Cómo se realiza la
actividad de control
Confiable 15
No Confiable 0
5. Qué pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan ni resuelven oportunamente 0
6. Evidencia de Ejecución
del Control
Completa 10
Incompleta 5
No Existe 0
Tabla de Valoración Controles (Diseño y Ejecución)
Rango
Calificación del
Diseño
Opción de Respuesta al Criterio
de Evaluación
Fuerte Calificación entre 96 y 100
Moderado Calificación entre 86 y 95
Débil
Calificación entre 0 y 85
Rango
Calificación de la
Ejecución
Opción de Respuesta al Criterio
de Evaluación
Fuerte
El control se ejecuta de manera
consistente por parte del
responsable
Moderado
El control se ejecuta algunas veces
por parte del responsable
Débil
El control no se ejecuta por parte del
responsable
Ejecución
Diseño

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
El profesional de Contratación cada vez que se va a
realizar un contrato, verifica que la información
requisitos establecidos de contratación, a través de
una lista de chequeo donde están los requisitos de
información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con
la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos
que aplique.
Criterio de Evaluación
Opción de Respuesta al Criterio de
Evaluación
Peso en la Evaluación
del Diseño del control
1. Asignación del Responsable
Asignado (Califica 15)
No asignado (Califica 0)
2. Segregación y autoridad del
responsable
Adecuado (Califica 15)
Inadecuado (Califica 0)
2. Periodicidad
Oportuna (Califica 15)
Inoportuna (Califica 0)
3. Propósito
Prevenir (Califica 15)
Detectar (Califica 10)
No es un control (Califica 0)
4. Cómo se realiza la actividad de
control
Confiable (Califica 15)
No Confiable (Califica 0)
5. Qué pasa con las observaciones o
desviaciones
Se investigan y resuelven oportunamente
(Califica 15)
No se investigan ni resuelven
oportunamente (Califica 0)
6. Evidencia de Ejecución del Control
Completa (Califica 10)
Incompleta (Califica 5)
No Existe (Califica 0)
TOTAL
Evaluación Final del Control
Diseño
15
15
Tipo Control: Preventivo
Directamente ataca probabilidad de
ocurrencia del riesgo e
indirectamente ataca el impacto
15
15
15
15
10
100
Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación
Fuerte Calificación entre 96 y 100
Moderado Calificación entre 86 y 95
Débil Calificación entre 0 y 85

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
que aplique.
Rango Calificación de la
Ejecución
Opción de Respuesta al Criterio de Evaluación
Fuerte
El control se ejecuta de manera consistente por
parte del responsable
Moderado
El control se ejecuta algunas veces por parte del
responsable
Débil El control no se ejecuta por parte del responsable
Ejecución

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Peso del diseño
individual o promedio de
los Controles. (DISEÑO)
El Control se ejecuta de manera
consistente por los responsables.
(EJECUCION)
Solidez individual de cada control
Fuerte:100 Moderado:50
Debil:0
Aplica acciones para
fortalecer el Control
Si / NO
Fuerte
Calificación Entre 96 y 100
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte NO
Moderado ( Algunas veces) Fuerte + Moderado = Moderado SI
Débil (No se ejecuta) Fuerte + Débil = Débil SI
Moderado
Calificación Entre 86 y 95
Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado SI
Moderado (Algunas veces) Moderado + Moderado = Moderado SI
Débil (No se ejecuta) Moderado + Débil = Débil SI
Débil
Entre 0 y 85
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil SI
Moderado (Algunas veces) Débil + Moderado = Débil SI
Débil (No se ejecuta) Débil + Débil = Débil SI
Solidez del Control Integralmente (Diseño y Ejecución)

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
que aplique.
Peso del diseño
individual o
promedio de los
Controles.
(DISEÑO)
El Control se ejecuta de manera
consistente por los responsables.
(EJECUCION)
Solidez individual de cada
control Fuerte:100
Moderado:50
Debil:0
Fuerte
Calificación Entre
96 y 100
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte
Moderado ( Algunas veces) Fuerte + Moderado =
Moderado
Débil (No se ejecuta) Fuerte + Débil = Débil
Moderado
Calificación Entre
86 y 95
Fuerte (Siempre se ejecuta) Moderado + Fuerte =
Moderado
Moderado (Algunas veces) Moderado + Moderado =
Moderado
Débil (No se ejecuta) Moderado + Débil = Débil
Débil
Entre 0 y 85
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil
Moderado (Algunas veces) Débil + Moderado = Débil
Débil (No se ejecuta) Débil + Débil = Débil

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Riesgo 1
Riesgos Causas o Fallas Controles
Diseño del
Control
Ejecución
del Control
Solidez
Individual del
Control
Solidez del
Conjunto de
Controles
Causa 1
Causa 2
Control 1
Control 2
Control 3
Fuerte
Fuerte
Débil
Fuerte
Moderado
Fuerte
Fuerte (100)
Moderado (50)
Débil (0)
¿Como
evaluamos la
solidez del
conjunto de los
controles?
Calificación de la Solidez del Conjunto de Controles
Fuerte
El promedio de la solidez individual de cada control al
sumarlos y ponderarlos es igual a 100.
Moderado
sumarlos y ponderarlos la calificación está entre 50 y 99
Débil
sumarlos y ponderarlos la calificación es menor a 50.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
Solidez del
conjunto de los
controles.
Controles ayudan
a disminuir la
probabilidad
Controles ayudan a
disminuir Impacto
# Columnas en la
matriz de riesgo que
se desplaza en el eje
de la Probabilidad
# Columnas en la matriz
de riesgo que se
desplaza en el eje de
Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
Si la solidez del conjunto de los controles es Débil, este no
disminuirá ningún cuadrante de impacto o probabilidad
asociado al riesgo.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
Solidez del
conjunto de los
controles.
Controles ayudan
a disminuir la
probabilidad
Controles ayudan a
disminuir Impacto
# Columnas en la
matriz de riesgo que
se desplaza en el eje
de la Probabilidad
# Columnas en la matriz
de riesgo que se
desplaza en el eje de
Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
Tipo Control: Preventivo
Directamente ataca probabilidad de
ocurrencia del riesgo e
indirectamente ataca el impacto

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Resultados del Mapa de Riesgo Residual.
Una vez realizado el análisis y evaluación de los controles para la mitigación de los
riesgos, procedemos a la elaboración del mapa de riesgo residual (después de los
controles ).
Riesgo 1 – Inoportunidad en la adquisición de los
bienes y servicios requeridos por la entidad.
Con una calificación de riesgo inherente de
probabilidad e impacto como se muestra en la siguiente
gráfica:
Control - Fuerte (bien diseñados y que siempre se
ejecutan), disminuyen de manera directa la probabilidad
e indirectamente el Impacto.
En nuestro ejemplo disminuiría dos cuadrantes de
probabilidad, pasa de probable a improbable y un
cuadrante de impacto, pasa de mayor a moderado.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)
Nro Riesgo Clasific
ación
Causas Probabilidad Impacto Riesgo
Residual
Opción
Manejo
Actividad de Control Soporte Responsable Tiempo
1
Inoportunidad
en
la
adquisición
de
los
bienes
y
servicios
requeridos
por
la
entidad
Operativo Carencia de controles en
el procedimiento de
contratación
Improbable
Moderado
Moderado
Reducir Procedimiento e instrumentos de
contratación (lista de chequeo)
Para cada contrato, verifica que la
información suministrada por el
proveedor corresponda con los
requisitos establecidos de contratación,
a través de una lista de chequeo donde
están los requisitos de información y la
revisión con la información física
suministrada por el proveedor
Lista de
Chequeo
diligenciada
con la
información
de la carpeta
del cliente, y
correos
solicitando la
información
faltante en
los casos que
aplique
Profesional de
Contratación
Siempre
que se
realice un
contrato
Inadecuadas políticas de
operación
Formato Mapa y Plan de Tratamiento de Riesgos.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Mapa de Riesgos (Gestión y Corrupción)
Posibilidad
de
recibir
o
solicitar
cualquier
dadiva
o
beneficio
a
nombre
propio
o
de
terceros
con
el
fin
celebrar
un
contrato.
Situaciones como: debilidades en la
etapa de la planeación del contrato, la
excesiva discrecionalidad, las presiones
indebidas, la carencia de controles, la
falta de conocimiento y/o experiencia,
sumados a la falta de integridad pueden
generar un riesgo de corrupción en la
contratación, como por ejemplo
“Exigencias de condiciones en los
procesos de selección que solo cumple
un determinado proponente”.
Corrupción
Debilidades en la etapa de planeación,
que faciliten la inclusión en los estudios
previos, y/o en los pliegos de
condiciones de requisitos orientados a
favorecer a un proponente.
1. Pérdida de la imagen
institucional
2. Demandas contra el estado
3. Pérdida de confianza en lo
público
4. Investigaciones penales,
disciplinarias y fiscales
5. Detrimento patrimonial
6. Obras inconclusas
7. Mala calidad de las obras
8. Enriquecimiento ilícito de
contratistas
y/o servidores públicos
Presiones indebidas
Carencia de controles en el
Falta de conocimiento y/o experiencia
del personal que maneja la
contratación
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del proceso de
contratación para favorecer a un
proponente

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Nr.
Riesgo Activo Tipo Amenazas Vulnerabilidades
Probabilidad
Impacto
Riesgo
residual
Opción
tratamiento
Actividad de Control Soporte
Responsable
Tiempo
Pérdida
de
la
integridad
Base
de
Datos
de
Nómina
Seguridad
Digital
Ausencia de
políticas de control
de acceso.
Probable
Menor
Moderado
Reducir
A.9.1.1 Política de
control de acceso
Política creada y
comunicada Oficina TI
Tercer trimestr
e de 2018
1 Modificació
n no
autorizada
Contraseñas
sin
protección
Reducir
A.9.4.3 Sistema de
gestión de contraseñas
Procedimientos
para la gestión y
protección de
contraseñas
Oficina TI Tercer trimestre
de 2018
Ausencia de
mecanismos de
identificación y
autenticación de
usuarios
Reducir
A 9.4.2 Procedimiento
de ingreso seguro
Procedimiento
para ingreso
seguro
Oficina TI Cuarto
trimestre de
2018
Ausencia de
bloqueo
de sesión
Reducir A.11.2.8 Equipos de
usuario desatendidos
Configuraciones
para bloqueo
automático de
sesión
Oficina TI Cuarto
Trimestre de
2018
Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)

Rol de las líneas de
defensa dentro de la
gestión del riesgo
03.

-
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Monitoreo y Revisión – Rol de las Líneas de
Defensa.
El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través
de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:
• Media y Alta Gerencia (Líderes de Proceso,
Coordinadores, responsables de proyectos,
entre otros).
• Asegura que los controles y procesos de
gestión del riesgo de la 1ª Línea de Defensa
sean apropiados y funcionen correctamente.
Define el marco general para la gestión del riesgo y el control
A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno
1ª. Línea de Defensa
• Controles de Gerencia Operativa (Líderes de
proceso y sus equipos).
• La gestión operacional se encarga del
mantenimiento efectivo de controles internos,
ejecutar procedimientos de riesgo y el control
sobre una base del día a día. La gestión
operacional identifica, evalúa, controla y
mitiga los riesgos.
2ª. Línea de Defensa 3ª. Línea de Defensa
• A cargo de la Oficina de Control Interno,
Auditoría Interna o quién haga sus veces
• Proporciona Información sobre la
efectividad del SCI., la operación de la
• 1ª y 2ª Línea de defensa con un enfoque
basado en riesgos
LÍNEA ESTRATÉGICA
Autoevaluación
Evaluación
Independiente
Autocontrol

Línea Estratégica
Formular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar los niveles de la aceptación o tolerancia al riesgo.
1a Línea de defensa 2a Línea de defensa 3a Línea de defensa
Oficinas de Planeación o quienes hacen sus veces: Oficinas de CI o quienes hagan sus veces
Generar lineamientos y dar a conocer cambios en el entorno (interno y externo) que puedan afectar el logro de los objetivos.
Oficinas de Planeación o quienes hacen sus
veces:
Asesorar a los líderes de los procesos y sus
equipos en la identificación de riesgos a los
procesos, acorde con la política de riesgos
establecida.
Trabajar de forma coordinada con la OCI de la
entidad para la incorporación de mejoras a la
gestión del riesgo en la entidad.
Definir mecanismos que permitan dar a conocer y
profundizar en los servidores la política de
riesgos, su metodología y correcta aplicación.
Conforme a lo establecido en la política de
administración del riesgo Identificar y dar
tratamiento a los riesgos que afectan los objetivos
operacionales de su proceso; definir y diseñar los
controles a los riesgos; elaborar, hacer seguimiento
y actualizar el mapa de riesgos de su proceso.
Monitorear el seguimiento a los riesgos institucionales y generar
reportes que permitan incorporar mejoras, tanto a los riesgos
identificados como a los controles aplicados.
Elaborar informes consolidados acorde con los estándares de
reporte definidos por la Alta Dirección en los temas clave
establecidos, con especial énfasis la gestión del riesgo y su
impacto frente al logro de los objetivos.
Monitorear los riesgos definidos como aceptables en la Política
de Riesgos Institucional y generar las alertas al Comité
Institucional de Coordinación de Control Interno sobre posibles
cambios en los factores de riesgo analizados.
Líderes de Proceso
Generar reportes a la Oficina Asesora de Planeación, así como
a la OCI en relación con materializaciones de riesgo, a fin de
tomar las acciones correspondientes.
Informar oportunamente a la Oficina Asesora de Planeación
sobre cambios en los factores internos o externos que afecten la
identificación de riesgos del proceso.
Realizar evaluación independiente al
cumplimiento y efectividad de la Política de
Administración del Riesgo, los mecanismos de
evaluación del riesgo y la efectividad de los
controles, en cumplimiento de su rol “Evaluación
de la Gestión del Riesgo”.
Alertar sobre la probabilidad de riesgo de fraude
o corrupción en las áreas auditadas
Evaluar la efectividad y la aplicación de
controles, planes de contingencia y actividades
de monitoreo vinculadas a los cambios que
pueden afectar el Sistema de Control Interno
para el cumplimiento de los objetivos.
Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base para llevar a cabo la identificación de los
riesgos.

¡Gracias!
Carrera 6 No 12-62, Bogotá D.C., Colombia
 7395656 Fax: 7395657
 Línea gratuita de atención al usuario: 018000 917770
 www.funcionpublica.gov.co
 eva@funcionpublica.gov.co

Gestión Riesgos

Recomendados

Recomendados

Más contenido relacionado

Similar a Gestión Riesgos

Similar a Gestión Riesgos (20)

Último

Último (17)

Gestión Riesgos