Graham80 10 10

LINEAMIENTOS PARA LA ADMINISTRACIN DE RIESGOS EN LOS PROCESOS DEL DNP
Departamento Nacional de Planeacin

Bogot, 2016
Este documento es fiel copia del original que reposa en el Grupo de planeacin del DNP. Su impresin se considera copia no controlada.
CDIGO: AR-L02
LINEAMIENTO PARA LA ADMINISTRACIN DE VERSIN: 6
RIESGOS EN LOS PROCESOS DEL DNP PAGINA: 2 de 35
TABLA DE CONTENIDO
Pg.
1 OBJETIVO ..................................................................................................................................... 3
2 ALCANCE...................................................................................................................................... 3
3 REFERENCIAS NORMATIVAS..................................................................................................... 3
4 DEFINICIONES ............................................................................................................................. 3
5 POLTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS
PROCESOS ........................................................................................................................................... 6
5.1 Objetivos de la aplicacin de la Poltica Institucional de Tratamiento de Riesgos Asociados a
los Procesos ...................................................................................................................................... 6
5.2 Los riesgos que se van a controlar. ........................................................................................ 7
5.3 Opciones de tratamiento de riesgos ....................................................................................... 7
5.4 Acciones para administrar los riesgos .................................................................................... 8
5.4.1 Tiempo y recursos .......................................................................................................... 8
5.5 Responsables de aplicar la Poltica Institucional de Tratamiento de Riesgos ........................ 8
5.6 Recursos requeridos .............................................................................................................. 9
5.7 Estrategias para desarrollar la Poltica Institucional de Tratamiento de Riesgos Asociados a
los Procesos ...................................................................................................................................... 9
6 SEGUIMIENTO A LA ADMINISTRACIN DEL RIESGO ............................................................ 10
6.1 Autocontrol ........................................................................................................................... 10
6.2 Evaluacin Realizada por la Oficina de Control Interno ...................................................... 11
6.3 Aspectos a tener en cuenta durante el seguimiento y evaluacin de la administracin de
riesgos11
6.4 Revisin de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos ........ 12
7 DIVULGACIN Y CAPACITACION DE LA ADMINISTRACIN DEL RIESGO ........................... 12
8 METODOLOGA PARA ADMINISTRAR EL RIESGO EN EL DNP .............................................. 12
8.1 IDENTIFICACION DE RIESGOS ......................................................................................... 12
8.1.1 Priorizacin de riesgos ................................................................................................. 12
8.1.2 Estructura del formato para la identificacin de riesgos ............................................... 13
8.2 ANLISIS Y VALORACIN DEL RIESGO ANTES DE CONTROLES (RIESGO
INHERENTE) ................................................................................................................................... 19
8.3 MEDIDAS DE MITIGACION ................................................................................................. 23
8.3.1 Anlisis Y Evaluacin De Controles: ............................................................................ 25
8.3.2 Valoracin De Riesgos Despus De Controles (Riesgo Residual) ............................... 28
8.4 SEGUIMIENTO .................................................................................................................... 31
9 MATRICES DE LOS MAPAS DE RIESGO .................................................................................. 32
Mapa de riesgos institucional ........................................................................................................... 32
Mapa de riesgos de corrupcin ........................................................................................................ 32
10 PRODUCTO O SERVICIO NO CONFORME .............................................................................. 32
10.1 Identificacin de producto no conforme ................................................................................ 32
10.2 Tratamiento del producto no conforme ................................................................................. 33
10.2.1 Estructura la Matriz de Producto No Conforme ............................................................ 34
11 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA
ADMINISTRACIN DE RIESGOS ....................................................................................................... 34
CDIGO: AR-L02
1 OBJETIVO
Establecer los parmetros para la administracin de los riesgos relacionados a los procesos del DNP,
su trazabilidad, registro y monitoreo, a travs de la presentacin de los criterios para la identificacin,
anlisis, valoracin, definicin de acciones de mitigacin y seguimiento a los riesgos en los procesos,
que pueden afectar el cumplimiento de la misin y objetivos institucionales del DNP. As como la
presentacin de las medidas de control y seguimiento de los riesgos enmarcados en las polticas de
administracin de riesgos adoptadas por la Entidad.
2 ALCANCE
Esta gua debe ser aplicada por la autoridad, lderes y ejecutores de las actividades de los procesos
del Departamento Nacional de Planeacin, que son responsables de la documentacin, aplicacin,
actualizacin y seguimiento a los mapas de riesgos para los procesos de la Entidad.
3 REFERENCIAS NORMATIVAS
Ley 87 de 1993
Ley 872 de 2003
Ley 1474 de 2011. Artculo 73
Decreto 1083 de 2015
Resolucin Interna 1788 de 2015
Resolucin interna 1838 de 2006
Gua para la Administracin de Riesgos del DAFP vigente
Norma Tcnica Colombiana NTC-ISO 9001:2008
Norma Tcnica de Calidad en la Gestin Pblica NTCGP-1000:2009
4 DEFINICIONES
Accin de riesgos: es la aplicacin concreta de las opciones de tratamiento de riesgo.
Administracin de Riesgos: es el proceso continuo basado en el conocimiento, evaluacin y

manejo de los riesgos que mejora la toma de decisiones organizacionales.
Anlisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos

y/o negativos y el impacto de sus consecuencias, calificndolos y evalundolos a fin de
determinar la capacidad de la entidad pblica para su aceptacin y manejo.
Autoevaluacin del control: Elemento de control que basado en un conjunto de mecanismos

de verificacin y evaluacin determina la calidad y efectividad de los controles internos a nivel
de los procesos y de cada dependencia, permitiendo emprender las acciones de mejoramiento
del control requeridas. (revisin peridica y sistemtica de los procesos de la entidad para
asegurar que los controles establecidos son eficaces).
CDIGO: AR-L02
Calificacin del riesgo: establece el grado de exposicin de la Entidad bajo criterios de

probabilidad e impacto de los riesgos.
Categora: cada uno de los grupos bsicos en que puede incluirse o calificarse un riesgo.
Causas: son los medios, circunstancias y agentes generadores del riesgo.
Cliente: organizacin, entidad o persona que recibe un producto y/o servicio.
Compartir el Riesgo: Cambiar la responsabilidad o carga por las prdidas que ocurran luego
de la materializacin de un riesgo mediante legislacin, contrato, seguro o cualquier otro medio.
Control: proceso, poltica, dispositivo, prctica u otra accin existente para reducir la
probabilidad de ocurrencia o el impacto que pueda generar la materializacin del riesgo.
Efectos: lo que podra generarse en la Entidad con la materializacin de un riesgo. Es el

resultado de un evento expresado cualitativa o cuantitativamente, sea este una prdida,
perjuicio, desventaja o ganancia, frente a la consecucin de los objetivos de la entidad o el
proceso.
Evento: hecho que una vez materializado genera desviaciones en el punto crtico de control,
afectando el logro del objetivo del proceso o la gestin institucional.
Impacto: magnitud de los efectos que puede ocasionar la materializacin del riesgo.
Indicador: expresin cuantitativa o cualitativa que permite establecer el estado del objeto a
evaluar en un momento determinado, con relacin a rangos establecidos.
Mapa de riesgos: herramienta metodolgica que permite hacer un inventario de los riesgos
ordenada y sistemticamente, definindolos, haciendo la descripcin de cada uno de estos y las
posibles consecuencias.
Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una
actividad con el fin de identificar posibles cambios.
Prdida: Consecuencia negativa que trae consigo un evento.
Poltica de riesgo: identifica las opciones para tratar y manejar los riesgos:
Proceso: conjunto de actividades mutuamente relacionadas o que interactan para generar

valor, las cuales transforman elementos de entrada en resultados.
Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo.
Punto Crtico de Control (PCC): es una actividad fundamental dentro del proceso, en la que
se debe ejercer un control para prevenir la materializacin de un riesgo. Toda actividad no es un
punto crtico de control.
CDIGO: AR-L02
Registro: documento que presenta resultados obtenidos o proporciona evidencia de las

actividades adelantadas.
Responsables: rol o cargo encargado de adelantar las acciones propuestas.
Responsable de liberacin: rol o cargo que autoriza la entrega del producto o servicio al
cliente.
Riesgo: posibilidad de ocurrencia de aquella situacin que puede afectar el logro de los
objetivos institucionales, o la calidad de los productos o servicios ofrecidos por la Entidad.
Riesgos de Corrupcin: Posibilidad de que por accin u omisin, se use el poder para desviar
la gestin de lo pblico hacia un beneficio de lo privado.
Riesgos Estratgicos: Estn relacionados con la planificacin, diseo y conceptualizacin de

la Entidad por parte de la alta gerencia, en relacin con su marco estratgico: misin, visin,
cumplimiento de los objetivos estratgicos y la definicin de polticas.
Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por parte de la

ciudadana hacia la institucin.
Riesgos Operativos: son los riesgos derivados del funcionamiento de los sistemas de gestin
institucional, la definicin y ejecucin de los procesos, la operacin de los sistemas de
informacin y herramientas de apoyo a la gestin, de la estructura de la entidad y de los
mecanismos de comunicacin y articulacin entre dependencias.
Riesgos Financieros1: Se relacionan con el manejo de los recursos de la entidad que incluyen:
la ejecucin presupuestal, la elaboracin de los estados financieros, los pagos, manejos de
excedentes de tesorera y el manejo sobre los bienes.
Riesgos de Cumplimiento2: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de tica pblica y en general con su compromiso ante la
comunidad.
Riesgos de Tecnologa3: Estn relacionados con la capacidad tecnolgica de la Entidad para

satisfacer sus necesidades actuales y futuras y el cumplimiento de la misin.
Herramienta de seguimiento: mecanismo para controlar que la ejecucin de los procesos y los
resultados obtenidos sean acordes con los requisitos, caractersticas o atributos establecidos,
de manera que se pueden identificar o monitorear la materializacin de riesgos.
1
Gua para la administracin del riesgo del Departamento Administrativo de la Funcin Pblica. 2011 cuarta edicin.
2
ibidem
3
ibidem
CDIGO: AR-L02
Subproceso: conjunto de actividades mutuamente relacionadas o que interactan, las cuales

transforman elementos de entrada en resultados. El desarrollo de uno o varios subprocesos
permite avanzar en el cumplimiento de los procesos.
Valoracin pura: grado de exposicin al riesgo en un escenario sin controles.
Valoracin residual: grado de exposicin al riesgo con la calificacin de probabilidad e impacto

aplicando los controles existentes.
Zona de riesgo: es el nivel de exposicin al riesgo, hallado mediante el cruce entre la

probabilidad y el impacto.
5 POLTICAS INSTITUCIONALES DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS

PROCESOS
Las polticas institucionales para la administracin de riesgos del DNP, establecen las opciones para
tratar y manejar los riesgos basadas en la valoracin de los mismos. Estas polticas reflejan la
posicin de la direccin y establecen las guas de accin para el tratamiento de los riesgos
identificados.
El Departamento Nacional de Planeacin se encuentra comprometido con la identificacin y

administracin de los riesgos de los procesos del Sistema de Gestin de Calidad, para lo cual
aquellos riesgos que despus de la evaluacin de los controles (ver numeral 8.3.2. de este
documento) se valoren como importantes inaceptables, sern atendidos de forma inmediata
a travs de acciones concretas, las cuales podrn ser opciones de tratamiento
independientes, interrelacionadas o en conjunto, que permitan definir las actividades
correspondientes a dichas opciones.
Para los riesgos de corrupcin, las acciones que se deben tener en cuenta son: Evitar el
Riesgo y Reducir el Riesgo, las cuales se explican en el captulo 5.3 de este documento.
Los riesgos en el DNP, se identifican en las actividades definidas como crticas en los
procesos y se priorizan contemplando los principios de eficiencia, economa y objetividad para
evitar afectacin de las actividades que agregan valor en el desarrollo de los procesos y por
tanto en los productos o servicios ofrecidos.
5.1 Objetivos de la aplicacin de la Poltica Institucional de Tratamiento de Riesgos

Asociados a los Procesos
Identificar y realizar anlisis y control de los riesgos asociados a los puntos crticos de los procesos
del DNP.
Efectuar el control y seguimiento de los riesgos que despus de la calificacin de los controles se
valoren como importantes o inaceptables, mediante la definicin de acciones orientadas a evitar o
reducir el riesgo.
CDIGO: AR-L02
El cumplimiento de estos objetivos ser consolidado mnimo una vez al ao, por el Grupo de
Planeacin mediante comunicacin escrita dirigida a Secretaria General como lder del proceso de
Administracin del Riesgo en el DNP.
5.2 Los riesgos que se van a controlar.
La administracin de riesgos en el DNP tendr un carcter prioritario y estratgico, en el marco del

modelo de operacin por procesos. Los riesgos a los cuales se aplicarn controles, son los
relacionados con las actividades identificadas como crticas, las cuales estn definidas en todos los
procesos como PCC (Punto Crtico de Control), porque requieren de especial atencin debido a que
su ejecucin tiene un mayor impacto sobre el resultado final esperado del proceso.
Por lo anterior, se establece que la totalidad de riesgos identificados en los mapas de riesgos de los
procesos estarn sujetos al seguimiento, monitoreo, control y ajuste mediante la aplicacin del
proceso de administracin de riesgos del DNP.
5.3 Opciones de tratamiento de riesgos
Teniendo en cuenta la valoracin de riesgos despus de controles (Capitulo 8.3.2.), se determinan las
siguientes opciones de tratamiento para cada uno de los riesgos:
Evitar el riesgo: tomar las medidas encaminadas para impedir su materializacin. Es siempre la
primera alternativa a considerar y se logra cuando al interior de los procesos se generan cambios
sustanciales por mejoramiento, rediseo o sustitucin de actividades y/o de controles y acciones
emprendidas.
Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas
de prevencin), como el impacto (medidas de proteccin), resultado de fortalecer o implementar
controles.
Compartir o transferir el riesgo: reduce su efecto a travs del traspaso de las prdidas a otras
organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir
una porcin del riesgo con otra entidad, como en los contratos a riesgo compartido.
Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que
se mantiene, en este caso el Lder del proceso acepta la prdida residual.
Estas opciones se definen para cada riesgo (ver cuadro 1), teniendo en cuenta la zona de ubicacin
en el Formulario Matriz de valoracin de riesgos despus de controles y las Polticas Institucionales
de Tratamiento de Riesgos Asociados a los Procesos.
CDIGO: AR-L02
OPCIONES DE
TRATAMIENTO DE RIESGOS
o transferir
Compartir
ZONA DE RIESGO COLOR
Reducir
Asumir
Evitar
Inaceptable Rojo X X X
Importante Naranja X X X
Tolerable Amarillo X X X X
Aceptable Verde X
Cuadro 1. Opciones de tratamiento de riesgos de acuerdo con la zona de ubicacin
Nota 1: Cuando no se definen acciones para riesgos ubicados en zona tolerable, la opcin de
tratamiento es asumir.
5.4 Acciones para administrar los riesgos
Teniendo en cuenta la valoracin de riesgos obtenida (en el caso en que los riesgos residuales se
encuentren en nivel importante o inaceptable) y la Poltica Institucional de Tratamiento de Riesgos
Asociados a los Procesos (evitar, reducir o compartir), se realiza la formulacin de las acciones
correspondientes. Estas acciones se diligencian segn lo establecido en el proceso de Acciones
Preventivas, Correctivas y de Mejora, usando el formato Solicitud de acciones preventivas,
correctivas y de mejora, segn lo establecido en el Lineamiento para la administracin de los riesgos
relacionados a los procesos del DNP.
5.4.1 Tiempo y recursos
Para la implementacin de acciones y controles se tendr como referente la viabilidad jurdica,

financiera y la disponibilidad de recurso humano y tecnolgico, as como el anlisis costo/beneficio
para el manejo o la administracin del riesgo.
5.5 Responsables de aplicar la Poltica Institucional de Tratamiento de Riesgos
La responsabilidad de la elaboracin del mapa de riesgos por proceso, as como la aplicacin de la

poltica de riesgos del DNP, est a cargo de la autoridad, lderes y ejecutores de las actividades de
cada uno de los procesos de la Entidad.
La responsabilidad de acompaar en el desarrollo del proceso de administracin de riesgos y la

aplicacin de la poltica de riesgos del DNP est a cargo del equipo de Calidad del Grupo de
Planeacin.
El representante de la alta direccin es el encargado de velar por la elaboracin de los mapas de

riesgos asociados a los procesos del DNP y la aplicacin de la poltica de administracin de riesgo del
DNP.
CDIGO: AR-L02
Los responsables de los procesos (Autoridad, lder y responsables de actividades) sern los
encargados de implementar los controles, verificar su efectividad, proponer cambios, velar por su
adecuada documentacin y por su socializacin y aplicacin al interior de su proceso. As mismo, son
los responsables de la formulacin de las acciones pertinentes que permitan cumplir a cabalidad con
la poltica de riesgos institucional.
La revisin de los avances de las acciones derivadas de la administracin de riesgos, as como la
revisin de su eficacia, y la aplicacin de la poltica institucional para el tratamiento de los riesgos
asociados a procesos, est a cargo de la Oficina de Control interno.
5.6 Recursos requeridos
En cada uno de los pasos de administracin de riesgos se contemplaran los recursos necesarios para
la definicin, implementacin y efectividad de las acciones que permitan un tratamiento adecuado de
los riesgos. Para ello se involucrarn a los procesos que tengan incidencia en el clculo, aplicacin o
solicitud de los recursos.
5.7 Estrategias para desarrollar la Poltica Institucional de Tratamiento de Riesgos

Asociados a los Procesos
La poltica de calidad ser desarrollada mediante los ejercicios de revisin, actualizacin y

seguimiento a los mapas de riesgos de la Entidad, de la siguiente manera, ver cuadro 2:
DESARROLLO DE LA POLTICA A:
Corto plazo Mediano Plazo 2016-2017 Largo Plazo 2018
Revisin anual de los mapas de

Implementacin de
riesgos por procesos.
herramientas tecnolgicas o de
informacin que aumente el
Revisin de los mapas de nivel de confianza de los
riesgos de corrupcin cada controles.
cuatro meses.
Identificacin y documentacin
Documentacin de los mapas de los riesgos transversales del
de riesgo relacionados a activos sector planeacin.
de informacin. Establecer una metodologa de
valoracin de los riesgos para
Identificar y documentar los estimar aquellos que tienen
riesgos asociados a los impacto ambiental
proyectos.
CDIGO: AR-L02
Documentacin de los mapas

de riesgo relacionados con el
programa de salud y seguridad
en el trabajo.
Implementacin de una
herramienta tecnolgica para la
administracin de riesgos
(herramienta informtica)
Cuadro 2. Estrategias para desarrollar la Poltica Institucional de Tratamiento de Riesgos
6 SEGUIMIENTO A LA ADMINISTRACIN DEL RIESGO
El seguimiento a la administracin del riesgo se encuentra conformado por dos componentes: el

primero mediante el autocontrol realizado por los ejecutores del proceso y el segundo mediante las
auditoras internas realizadas por la Oficina de Control Interno.
6.1 Autocontrol
Es la actividad realizada por los implicados en el desarrollo y ejecucin del proceso, donde se analizan
y revisan los mapas de riesgos asociados a los procesos una vez al ao o cuando las circunstancias
lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto estratgico,
modificaciones o cambios relevantes en los procesos y/o subprocesos, o cualquier hecho externo o
interno que afecte la operacin de la entidad.
La revisin se realiza teniendo en cuenta los siguientes aspectos:
Correspondencia con el proceso y los puntos crticos de control definidos.

Identificacin de nuevos riesgos o eliminacin cuando no sean significativos.
Determinacin de nuevas causas generadoras o efectos con la materializacin de riesgos.
Determinacin de nuevos controles o ajuste en la evaluacin de los mismos.
Determinacin de nuevas acciones de administracin de riesgos o ajuste a las definidas.
Modificacin del indicador de riesgos o herramienta de seguimiento.
Actualizacin de la matriz de producto o servicio no conforme.
La revisin del Mapa de Riesgos no implica obligatoriamente su actualizacin, sin embargo en los
casos en los que se identifique necesidad de ajustes, se debe solicitar su actualizacin, de acuerdo
con lo establecido en el documento Lineamientos para la elaboracin y control de documentos de los
sistemas de gestin del DNP DS-L01 (el cual hace parte del Macroproceso: Gestin de Calidad).
Para los riesgos de la categora de Corrupcin, es necesario que permanentemente se revisen las
causas que generan estos riesgos. En este sentido se debe realizar seguimiento a los mapas de
riesgo de corrupcin por lo menos tres veces al ao con corte a 30 de abril, 31 de agosto y diciembre
31. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la
Republica-Secretaria de Transparencia: Estrategias para la construccin del plan anticorrupcin y
atencin al ciudadano.
CDIGO: AR-L02
6.2 Auditoras Internas Realizadas por la Oficina de Control Interno

Las auditoras internas permiten detectar nuevos eventos de riesgos y oportunidades de mejora
disminuyendo la probabilidad e impacto de los posibles riesgos asociados a los procesos de la
Entidad, contribuyendo de esta manera a la identificacin de riesgos, a travs de la evaluacin sobre
efectividad del manejo de los riesgos, verificando la vigencia de los mapas de riesgos documentados y
la efectividad de las acciones de mejora originadas por la administracin de riesgos.
El seguimiento adelantado por la Oficina de Control Interno a la administracin de riesgos, se puede
realizar a travs de: Auditoras internas (Subprocesos: SG-EV-AI Auditoras internas de calidad y
SG-EV-EI Auditoras Internas), Evaluacin a la Gestin por Dependencias, revisin de la eficacia de
las acciones preventivas, correctivas y de mejora APCM originadas a partir de los mapas de riesgos
(Proceso MC-AP Acciones preventivas, correctivas y de mejora), monitoreo de operaciones
sensibles, entre otras.
6.3 Aspectos a tener en cuenta durante el seguimiento y auditora interna de la

administracin de riesgos
Durante el seguimiento realizado a los mapas de riesgo por parte de la autoridad, lderes y ejecutores
de las actividades de los procesos del DNP, as como en la auditora interna adelantada por la OCI, se
pueden obtener evidencias para determinar si el sistema de administracin del riesgo est
funcionando y el proceso es eficaz, verificar el nivel de cumplimiento de los controles asociados a los
riesgos y el tratamiento de los mismos.
A continuacin se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los

ejercicios mencionados:
Verificar la correspondencia entre el proceso y el mapa de riesgos.

Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos del
proceso auditado.
Validar el desarrollo del proceso GC-AR Administracin de riesgos, el cual hace parte del
Macroproceso: Gestin de Calidad.
Verificar que los controles internos definidos para tratar los riesgos existen, funcionan y son
suficientes.
Revisar la ejecucin y eficacia de las acciones de administracin de riesgos definidas.
Verificar la materializacin de riesgos y cuando aplique la generacin de productos y/o
servicios no conformes
Verificar la aplicacin de la Poltica Institucional de Tratamiento de Riesgos Asociados a los
Procesos.
Verificar las evidencias de la revisin del mapa de riesgos del proceso de acuerdo con la
periodicidad establecida en el captulo 6.1 de este documento.
Identificar los hallazgos relacionados con la administracin del riesgo.
CDIGO: AR-L02
6.4 Revisin de la Eficacia de las Acciones formuladas a partir de los Mapas de

Riesgos
La Oficina de Control Interno realiza la auditora interna de revisin de la eficacia de las acciones de
mejora con origen en la administracin de riesgos, enmarcada en los criterios establecidos en el
documento: Lineamientos para la Formulacin y Seguimiento de Acciones Preventivas, Correctivas y
de Mejora AP-L01 y en el Proceso MC- AP Acciones Preventivas, Correctivas y de Mejora, que
hacen parte del Macroproceso: Mejora Continua.
7 DIVULGACIN Y CAPACITACION DE LA ADMINISTRACIN DEL RIESGO

La administracin de riesgos debe ser un tema conocido por todos los funcionarios, contratistas y
pasantes del DNP, para lo cual se utiliza la intranet de la Entidad para su publicacin, los medios
masivos de comunicacin, reuniones de socializacin y divulgacin al interior de cada uno de los
procesos.
8 METODOLOGA PARA ADMINISTRAR EL RIESGO EN EL DNP

8.1 IDENTIFICACION DE RIESGOS
Permite conocer los riesgos que pueden afectar el logro del objetivo o la gestin de cada proceso
documentado y sus caractersticas. El proceso de identificacin del riesgo es iterativo y debe estar en
permanente revisin y actualizacin, de acuerdo con la dinmica de los procesos de la Entidad.
Este proceso es desarrollado en primera instancia por el equipo de trabajo que involucra el proceso
(Autoridad, lder y responsables de las actividades) y en segunda instancia por el equipo de Calidad
del Grupo de Planeacin.
La identificacin de riesgos consiste en generar una lista de los eventos indeseados que puede tener
impacto en las actividades del proceso al cual se le est documentando el mapa de riesgos, dichos
eventos pueden impedir, degradar o retrasar el logro de los objetivos del proceso. La identificacin de
riesgos se realiza a partir de juicios por parte de los ejecutores de las actividades de los procesos,
basados en su experiencia, los registros, diagramas de flujo, lluvia de ideas, anlisis de sistemas y
anlisis de escenarios.
Nota 2: En los casos en los cuales las actividades crticas de un proceso contemplen la realizacin de
un subproceso o se remitan al mismo, cabe la posibilidad de que el mapa de riesgos se documente al
subproceso relacionado, puesto que los riesgos del proceso pueden ser ms evidentes dentro de las
actividades que constituyen el subproceso.
8.1.1 Priorizacin de riesgos
Aunque en todas las actividades de un proceso se pueden presentar riesgos de diferente ndole, es
necesario priorizar las actividades a las cuales se les realizar el anlisis de riesgos, para marcarlas
como actividades crticas o Puntos Crticos de Control-PCC. Estas actividades han sido identificadas
como PCC porque requieren de especial atencin debido a que su ejecucin tiene un mayor impacto
sobre el resultado final esperado del proceso.
CDIGO: AR-L02
Cuando se identifican los riesgos asociados a las actividades PCC, se realiza nuevamente un anlisis
en donde se priorizan aquellos eventos indeseados que pueden evitar el cumplimiento de la actividad
y por tanto la obtencin de la salida: producto y/o servicio generado en la actividad crtica, sealada en
el descriptor del proceso.
Para la priorizacin de riesgos que se pueden presentar en una actividad PCC, se pueden analizar las
respuestas a las siguientes preguntas:
-La materializacin del riesgo afecta el cumplimiento del objetivo del proceso (producto y/o servicio)?
-La materializacin del riesgo afecta la obtencin de la salida (producto y/o servicio) de la actividad?
-La materializacin del riesgo afecta la realizacin de otras actividades subsiguientes a la sealada
como PCC, es decir, detiene la realizacin del proceso en esa actividad?
-Al materializarse ese riesgo, es necesario repetir la realizacin de actividades anteriores?
-La materializacin del riesgo impide el cumplimiento de alguna normativa?
Una vez analizadas las preguntas, es importante validar cuantas respuestas son afirmativas, de
manera que se seleccionen los riesgos cuyas respuestas, en su mayora, son SI igual o mayor de 3
(=>3). Para los dems riesgos identificados, cuyas respuestas en su mayora sean NO se excluyen
del anlisis del riesgo, es decir no son incluidos dentro de la priorizacin, por tratarse de riesgos, que
aunque son eventos indeseados, no detienen la realizacin del proceso, no afectan la consecucin de
resultados y no representan mayor impacto sobre el objetivo.
Igualmente, para adelantar una adecuada identificacin de riesgos es necesario tener en cuenta, el
anlisis de indicadores, los mapas de riesgos anteriores, los resultados de las auditoras internas y
externas de calidad, los informes de seguimiento y evaluacin a la gestin de las dependencias, los
hallazgos de la auditora gubernamental de la CGR, los informes de quejas y reclamos y la
retroalimentacin de los clientes, entre otros. Estas fuentes de informacin permiten evidenciar la
materializacin de riesgos, por tanto es indispensable su anlisis al momento de identificar posibles
riesgos en los procesos. Lo anterior con el propsito de observar algn riesgo que se haya presentado
con anterioridad, cuya evidencia se hubiese presentado en alguna de las fuentes mencionadas.
No obstante, la declaracin de la materializacin de un riesgo en alguno de los ejercicios

mencionados, no implica necesariamente su inclusin dentro del mapa, puesto que prima la
priorizacin de los riesgos y el anlisis de la autoridad y/o lder del proceso en cuanto a la pertinencia
de incluir dichos riesgos.
Nota 3: En los casos en los cuales se documente el mapa de riesgos de un subproceso, teniendo
como referente la nota 2 de este documento, aplican las mismas condiciones de priorizacin, es decir
se tiene en cuenta el objetivo del proceso y adicionalmente el objetivo del subproceso.
8.1.2 Estructura del formato para la identificacin de riesgos
La identificacin de riesgos es desarrollada mediante el anlisis y diligenciamiento de la siguiente

informacin:
CDIGO: AR-L02
- No. ACTIVIDAD (PCC): Es el punto de partida para la identificacin de riesgos, en este campo
se relacionan el nmero de la actividad que en el descriptor del proceso se encuentra sealada
como Punto Crtico de Control y sobre la cual se identifica el riesgo correspondiente.
- ACTIVIDAD (PCC): En este campo se relacionan textualmente las actividades de los procesos
que durante su documentacin se han sealado como Puntos Crticos de Control (PCC), segn
lo dispuesto en el documento: Lineamientos para la Elaboracin y Control de
Documentos de los Sistemas de Gestin del DNP - DS-L01, captulo 6.2.1 Documentacin
de Procesos.
- CATEGORIA DE RIESGO4: Con base en las clasificaciones establecidas en la lista

desplegable, se selecciona el grupo al que pertenece el riesgo a identificar. Estas categoras
han sido priorizadas para administrar los riesgos ms relevantes a los que estn expuestos los
procesos de la entidad.
A continuacin se relacionan las categoras establecidas en las que puede incluirse o

clasificarse un riesgo, ver cuadro 3. Categoras de riesgos. En las columnas, SE PUEDEN
PRESENTAR POR y PUEDEN OCASIONAR se exponen algunos ejemplos de causas y
efectos respectivamente relacionados con el riesgo identificado segn su categora.
CATEGORA SE PUEDE PRESENTAR POR: PUEDE OCASIONAR:

1. Decisiones Errneas: se
manifiestan en diferentes
mbitos:
- Errores en la informacin que - Prdida de credibilidad de la
a) Estratgico: se materializa
soportan las decisiones. Entidad.
cuando se definen
lineamientos, polticas,
- Errores de juicio. - Prdida de confianza en la
estrategias, directrices que no
Entidad.
son adecuadas o
- Aplicacin errnea de criterios
convenientes para la Entidad.
o instrucciones para la - Prdidas econmicas de la
realizacin de actividades. Entidad.
b) Operativo: corresponde a
la escogencia de alternativas
- Actos accidentales o mal - Quejas y reclamos de los
impropias.
intencionados de los clientes (internos y/o externos)
funcionarios o de terceros.
c) Financiero: est dado por
la inapropiada asignacin de
recursos.
4
Adaptacin de la metodologa AUDIRISK de la firma AUDISIS Ltda. y del Consejo Superior de la Judicatura.
CDIGO: AR-L02

- Sanciones Legales.
2. Incumplimientos legales:
se materializan con el no - Prdidas econmicas por
acatamiento de la normativa - Ejecucin de operaciones multas a la Entidad e
externa o interna. desconociendo el marco legal
incremento de costos en
establecido.
prrrogas y adiciones a
presupuestos.
- Actos accidentales o mal
intencionados de los
- Prdida de credibilidad y
confianza por no cumplir con
responsabilidades y tareas
encomendadas.
3. Incumplimientos de - Errores en la informacin que - Prdidas econmicas por

compromisos: se soportan las decisiones. multas a la Entidad e
materializan al pasar por alto incremento de costos en
las obligaciones o los - Asumir responsabilidades que prrrogas y adiciones a
compromisos de la Entidad. presupuestos.
exceden las capacidades de la
Entidad y no se puedan realizar
- Prdida de credibilidad y
oportuna o adecuadamente.
confianza por no cumplir con
responsabilidades y tareas
- Actos accidentales o mal
encomendadas.
- Quejas y reclamos de los
clientes (internos y/o externos)
4. Dao de activos: se - Prdida de la informacin.

materializa con el abandono,
uso inapropiado o colocar en - Accidentes y desastres - Prdidas econmicas por
inferioridad de condiciones naturales. obsolescencia, reparacin o
los recursos fsicos y reposicin de instalaciones,
tecnolgicos de la Entidad. - Uso mal intencionado e equipos, accesorios y
inapropiado. herramientas de trabajo.
- Falta de idoneidad o - Fallas de hardware y software.

capacitacin en el manejo de
recursos. - Detrimento de seguridad de los
recursos que soportan la
prestacin de los servicios.
CDIGO: AR-L02
5. Hurto: se materializa con - Alteracin y/o desviacin de la - Prdida de la informacin.

la apropiacin indebida, por informacin de las operaciones
parte de un servidor o de y transacciones de la Entidad. - Prdidas Econmicas.
terceros de propiedad fsica,
financiera e intelectual de la - Sustraccin deliberada de - Detrimento del patrimonio de la
Entidad. activos. Entidad.
6. Fraude: se materializa al
inducir a cometer un error
para obtener una resolucin
contraria a la ley; as como - Prdida de la informacin.
evitar el cumplimiento de - Alteracin y/o desviacin de la
obligaciones impuestas. informacin de las operaciones - Prdidas Econmicas.
Tambin al obtener mediante y transacciones de la Entidad.
maniobras engaosas una - Detrimento del patrimonio de la
ventaja en detrimento de - Sustraccin deliberada de Entidad.
alguien sustraccin activos.
maliciosa que alguien hace a
las normas de la ley o a las
de un contrato en perjuicio de
otro.
- Errores en la informacin que - Prdida de credibilidad de la

soportan las decisiones Entidad.
7. Inexactitud: se materializa
- Aplicacin errnea de criterios - Prdida de confianza en la
al presentar datos o
o instrucciones para la Entidad.
estimaciones equivocadas,
realizacin de actividades.
incompletas, o desfiguradas.
- Prdidas econmicas de la
- Actos accidentales o mal Entidad.
funcionarios o de terceros. - Decisiones errneas
CDIGO: AR-L02

- Prdida de credibilidad de la
- Concentracin de autoridad o
Entidad.
excesos de poder
8. Corrupcin: Se entiende
- Archivos contables con vacos
por riesgo de corrupcin la - Prdida de confianza en la
de informacin
posibilidad de que por accin Entidad.
- Toma de decisiones ajustadas
u omisin, se use el poder -
a intereses particulares
para desviar la gestin de lo - Prdida de transparencia y la
- Cobrar por un trmite
pblico hacia un beneficio de probidad en la Entidad.
- Trfico de Influencias
lo privado.
(Amiguismo, persona
- Prdidas econmicas de la
influyente)
Entidad.
Cuadro 3. Categoras de riesgos
Posterior a la seleccin de la categora, es necesario establecer una preposicin que relacione

la categora con el evento, se recomienda utilizar las siguientes preposiciones segn la
categora:
Decisiones errneas: al, durante, en, para, sobre.
Incumplimientos legales: al, ante, con, durante, en.
Incumplimientos de compromisos: al, ante, con, durante, en, hacia.
Dao de activos: al, de, durante, en, para, sobre.
Hurto: de, durante, en, mediante, para.
Fraude: de, durante, en, mediante, para.
Inexactitud: al, con, de, durante, en, para, sobre.
Corrupcin al, durante, por, en
Nota 4: Se recomienda analizar cuidadosamente el uso de la preposicin por ya que se podra

asimilar el evento con una causa.
- EVENTO: Se describe el hecho asociado al punto crtico de control que se est analizando,
teniendo en cuenta la categora de Riesgo y preposicin escogida anteriormente, conformando
de esta manera la situacin indeseable (Riesgo) que requerimos prevenir en cuanto a su
ocurrencia. Para identificar correctamente el evento, puede ser muy til revisar en el descriptor
del proceso la columna descripcin de la actividad relacionada con la actividad identificada
como critica.
Ejemplo:
CATEGORA DE
PREPOSICIN EVENTO RIESGO
RIESGO
La verificacin y Decisiones errneas
anlisis de las durante la verificacin y
Decisiones errneas Durante
presuntas anlisis de las presuntas
irregularidades irregularidades
El diligenciamiento Inexactitud en el
Inexactitud En del formato diligenciamiento del
formato
CDIGO: AR-L02
CATEGORA DE
PREPOSICIN EVENTO RIESGO
RIESGO
Dar respuesta a una Al dar respuesta de una
Incumplimientos peticin fuera de los peticin fuera de los
Al
legales trminos establecidos trminos establecidos
por ley. por ley.
La revisin oportuna Incumplimientos de
de la iniciativa de compromisos en la
Incumplimientos de
En elaboracin del revisin oportuna de la
compromisos
documento Conpes iniciativa de elaboracin
del documento Conpes
La ejecucin del Dao de activos durante
mantenimiento y la ejecucin del
Dao de activos Durante
luego de este mantenimiento y luego
de este
Bienes durante la Hurto de bienes durante
Hurto De verificacin fsica de la verificacin fsica de
existencias existencias
La preparacin de la Fraude durante la
Fraude Durante baja o la entrega del preparacin de la baja o
bien la entrega del bien
La dilatacin de los Corrupcin por la
procesos con el dilatacin de los
propsito de obtener procesos con el
Corrupcin Por el vencimiento de propsito de obtener el
trminos o la vencimiento de trminos
prescripcin de o la prescripcin de
mismo. mismo.
Cuadro 4. Categoras de riesgos: Ejemplos
Nota 5: Es necesario priorizar los riesgos para el proceso. La priorizacin de cada riesgo
depende de la incidencia del riesgo identificado en la ejecucin de la actividad crtica, as como
el efecto del riesgo dentro de la ejecucin del proceso, la consecucin del objetivo del mismo y
el impacto en la entidad en cuanto al cumplimiento de los componentes del contexto estratgico
del DNP. La priorizacin la realiza la autoridad o lder del proceso bajo criterios de experiencia,
experticia o conocimiento de quien analiza, as como en datos y hechos histricos (cuando
existan o aplique).
Nota 6: A cada Punto Crtico de Control se le puede asociar ms de un riesgo.
- CLASE: De acuerdo con las definiciones de riesgos mencionadas en el captulo 4 de este

documento, se elige a cual clase pertenece el riesgo identificado (Estratgico, Imagen,
Operativo, Financiero, Cumplimiento, Tecnolgico).
- CAUSAS: se enumeran los medios, circunstancias y/o agentes que generan el riesgo
identificado o que propician su materializacin. Estas causas pueden ser intrnsecas (internas)
al ser atribuidas a personas, mtodos, equipos, materiales e instalaciones, directamente
CDIGO: AR-L02
involucradas en el proceso, es decir debilidades de la entidad, o extrnsecas (externas) cuando

provienen del entorno en el que se desarrolla el proceso, es decir amenazas. Las causas
deben quedar discriminadas segn corresponda en internas y externas.
Nota 7: En la identificacin de las causas de los riesgos cuya categora sea corrupcin, se
busca identificar un conjunto sistemtico de situaciones que por sus caractersticas pueden
originar prcticas corruptas as mismo, es conveniente analizar los hechos de corrupcin
presentados en procesos similares de otras entidades.
- EFECTOS: se enumeran las consecuencias asociadas a la materializacin del riesgo que

inciden en el objetivo del proceso, subprocesos asociados, a la dependencia que lidera el
proceso o a la Entidad. Existen dos tipos de efectos, los inmediatos que afectan el desarrollo de
actividades posteriores y los extremos que se relacionan con efectos legales, sanciones o
afectacin en la operacin de la Entidad. Pueden agruparse en:
Prdidas econmicas representadas en sobrecostos por reproceso, duplicidad o

inactividad y detrimento del patrimonio, multas entre otras.
Detrimento de la imagen constituido por la prdida de credibilidad y confianza en el
cumplimiento de la misin y tareas encomendadas.
Sanciones legales constituidas por las sanciones que debe pagar la Entidad
Afectacin en la operacin (misional y/o apoyo) de la entidad
Nota 8: Los efectos no tienen relacin uno a uno con las causas del riesgo, es decir, una o
varias causas desencadenan el riesgo y la materializacin del mismo ocasiona uno o varios
efectos.
8.2 ANLISIS Y VALORACIN DEL RIESGO ANTES DE CONTROLES (RIESGO

INHERENTE)
Posterior a la identificacin, se realiza el anlisis del riesgo puro o inherente en donde se evalan los
riesgos sin considerar los controles que pudieran existir, analizando la naturaleza y la forma como se
llevan a cabo las actividades en el proceso. Para ello, se determina la probabilidad de ocurrencia y el
impacto de la materializacin de cada riesgo identificado, en un escenario hipottico en donde los
controles para prevenir o mitigar el riesgo no existen o no se aplican.
PROBABILIDAD DE MATERIALIZACION: Se establece la frecuencia con la que se ha presentado o

puede presentarse el riesgo cuando no existen controles. Se mide en trminos de la factibilidad con la
que el riesgo se podra llegar a materializar, teniendo en cuenta la presencia y exposicin ante
factores internos y externos. Es importante tener en cuenta el anlisis de aspectos como:
Nmero de veces que se realiza la actividad en un espacio de tiempo
Nmero de personas que intervienen en la realizacin de la actividad
Estadsticas (si se cuenta con ellas) de las materializacin del riesgo
Nmero de correcciones y acciones correctivas formuladas en el Balance de acciones de
mejora (F-GP-24), relacionadas con la materializacin del riesgo, el cual se encuentra
publicado en el disco O para su consulta, ruta: O:\Planeacion Institucional\Documentos SGC.
CDIGO: AR-L02
Los hallazgos de la auditora gubernamental de la CGR

Las acciones adelantadas respecto a la materializacin del riesgo, que fueron registradas en
el Consolidado de productos y/o servicios no conformes formato F-GP-34 (el cual hace parte
del Macroproceso: Gestin de Calidad y que se encuentra publicado en el disco O, ruta:
O:\Planeacion Institucional\Documentos SGC\Seguimiento SGC\PNC)
De acuerdo con el anlisis, se selecciona el grado de probabilidad con base en las siguientes
categoras5, ver cuadro 5. Escalas de probabilidad:
ESCALA
PROBABILIDAD DESCRIPCIN CALIFICACIN
PROBABILSTICA
La eventualidad de ocurrencia es
REMOTA 0 19% 1
muy baja, casi nula.
Podra ocurrir slo bajo

POCO PROBABLE circunstancias muy 20 49% 2
excepcionales.
Podra o no ocurrir en algn

PROBABLE 50% 3
momento.
Puede ocurrir en algn momento

OCASIONAL 51 79% 4
o algunas veces.
La posibilidad de ocurrencia se
FRECUENTE da en la mayora de las 80 100% 5
circunstancias.
Cuadro 5. Escalas de probabilidad
Es importante sealar que para la probabilidad de materializacin de los riesgos de la categora

Corrupcin, se consideran nicamente dos criterios OCASIONAL O FRECUENTE.
IMPACTO DE LA MATERIALIZACION: Se establece la magnitud de los efectos ocasionados con la

materializacin del riesgo cuando no existen controles. De acuerdo con un anlisis cualitativo, se
selecciona el nivel con base en las siguientes categoras 6, Ver cuadro 6. Escalas de impacto.
5
Adaptacin de la Norma Tcnica Colombiana NTC 5254.
6
Ibidem
CDIGO: AR-L02
IMPACTO MUY BAJO BAJO MODERADO ALTO MUY ALTO

Ante el Ante las
Ante el personal personal del entidades con Ante el nivel
Sobre la
imagen
Ante otras reas
que ejecuta la rea que las que nacional e
de la Entidad
actividad critica. lidera el interacta la internacional
proceso. entidad.
Ningn costo o Incremento
econmico
Incremento de Incremento de Incremento de

prdidas de costos
En lo
costos entre el costos entre el costos ms

financieras menos del
5% y 10% 10% y 20% del 20%
insignificantes 5%
Problemas
Incumplimiento
En el cumplimiento de
menores con las

parcial de las
metas. Existe Incumplimiento
Restricciones metas Incumplimient
posibilidad de de algunos
metas
para lograr o total de las

reprogramar la aspectos de las
las metas Incumplimiento metas
actividad o metas
de algunas
ajustar el plan de
metas
trabajo.
o de fechas,
compromiso
cumplimient
s pactados
Ms de 1 Ms de 3 Ms de 6
En el
Ms de 1 mes a
1 da a 1 semana semana a 1 meses a 6 meses
3 meses
mes meses
Daos menores Daos Implica Implica

En el manejo de archivos
Dao severo,
en el activo que menores en reparacin del reparacin del
implica baja
no requieren el activo a un activo a un costo activo costo
del activo
/ activos
reparacin bajo costo moderado elevado

Interrupcin Interrupcin de
Interrupcin de Cese de
Ningn dao o de labores actividades de
actividades de 1 labores por
daos menores menos de un 1 semana a 1
da a 1 semana ms de 1mes
1 da mes
Multas a la
Prdida de Entidad e Sanciones
Incumplimientos
credibilidad y incremento de Legales.

No Aplica No Aplica confianza por no costos en
cumplir con prrrogas y Proceso
legales
responsabilidad. adiciones a disciplinario

presupuestos.
Interrupcin de
Afectacin en
Interrupcin Interrupcin de
la operacin
actividades de Cese de
Interrupcin de de actividades de
ms de 1 labores
labores <1 da actividades ms de un1 da
semana a 1 >1mes
de 1 da a 1 semana
mes
Cuadro 6. Escalas de impacto.
CDIGO: AR-L02
Para el anlisis del impacto de la materializacin de los riesgos de la categora Corrupcin, siempre
ser calificado como MUY ALTO por la gravedad en los efectos que se generan.
VALORACION ANTES DE CONTROLES: Se establece de acuerdo al nivel de probabilidad e impacto

calificado para el riesgo, teniendo en cuenta la matriz de valoracin del Grfico 1 y las escalas
definidas en el Cuadro 7.
ZONA DE
COLOR DESCRIPCIN
RIESGO
INACEPTABLE Rojo Se requiere una accin inmediata
IMPORTANTE Naranja Se requiere una pronta atencin
TOLERABLE Amarillo Se administra con procedimientos normales de control
Genera menores efectos que pueden ser fcilmente
ACEPTABLE Verde
remediados
Cuadro 7. Escalas de valoracin
Grfico 1. Matriz de valoracin de riesgos
CDIGO: AR-L02
8.3 MEDIDAS DE MITIGACION
CONTROLES QUE SE REALIZAN ACTUALMENTE: En esta seccin, se busca determinar y evaluar

las acciones que permiten reducir la probabilidad e impacto de la materializacin de los riesgos.
Consiste en documentar los controles que en la actualidad se realizan con el fin de prevenir o mitigar
los efectos de posibles desviaciones en la actividad calificada como punto crtico de control.
Es necesario que los funcionarios que participan en el anlisis de riesgos, tengan conocimiento de la
ejecucin del proceso, as como de las herramientas informticas utilizadas para el desarrollo de
actividades, la normativa que reglamenta la actividad, los documentos asociados, registros etc., que
se emplean para efectuar algn tipo de control.
Es importante revisar si los controles identificados estn documentados (proceso, normativa, etc), si
se estn aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. As mismo, es
necesario conservar los registros que evidencian la aplicacin del control para el correspondiente
seguimiento. Algunos de estos controles pueden ser actividades incluidas en el mismo descriptor del
proceso en la descripcin de actividades o ser actividades propias del mismo.
As mismo, se debe tener en cuenta que los controles permiten prevenir la ocurrencia de eventos que
ponen en riesgo la adecuada ejecucin de los procesos, y cuando esto no es posible, desarrollar un
plan de respaldo, o de contingencia.
Nota 9: Los controles deben tener relacin directa con las causas generadoras del riesgo identificado.
Para ello es importante revisar que las actividades de control subsanen y/o prevengan los agentes
generadores del riesgo identificado. As mismo, es importante considerar las acciones de manera
correctiva que se pueden adelantar para mitigar los efectos de un riesgo cuando se ha materializado.
El control es una ACTIVIDAD, por tanto debe iniciar con un verbo, seguido del sustantivo que tenga
que ver con el verbo utilizado, acompaado de la herramienta (si existe) que permite efectuar el
control.
X INCORRECTO CORRECTO
Informes mensuales que incluyen Elaboracin, seguimiento, revisin, o
vencimientos. anlisis de informes mensuales que
incluyen vencimientos.
Metodologa de medicin y anlisis de Aplicacin de la Metodologa de medicin
desempeo municipal. y anlisis de desempeo municipal en el
anlisis de informacin.
Ejemplo 1: al escribir como control los Informes, estos por s solos no efectan el control en la
actividad crtica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se
debera documentar all seria: elaboracin o seguimiento de informes mensuales que incluyen
vencimientos. Por tanto el control efectuado es la actividad sobre una herramienta, en este caso los
informes.
Ejemplo 2: Al documentar que la Metodologa de medicin y anlisis de desempeo municipal es el

control, no se especfica como se realiza el control o en que consiste, por ello, la metodologa por s
CDIGO: AR-L02
sola no efecta el control en la actividad crtica, esta es la HERRAMIENTA que se utiliza para efectuar
el control, por tanto lo que se debera documentar all sera: aplicacin de la metodologa de medicin
y anlisis de desempeo municipal en el anlisis de informacin.
Es importante revisar que los controles documentados son actividades RECURRENTES o

PERIODICAS. Para el caso de un control relacionado con la realizacin de una capacitacin, debe
evaluarse si dicha capacitacin tiene una periodicidad, es recurrente o si est programada, de lo
contrario esta no podra considerarse como un control.
TIPO DE CONTROL: Existen dos tipos de controles, en cuanto al efecto sobre el riesgo:
Preventivos: Son aquellas acciones encaminadas a eliminar las causas generadoras de un riesgo,
de tal manera que eviten o disminuyan su ocurrencia o materializacin.
Correctivos: Son aquellas acciones que permiten el restablecimiento de la actividad, despus de ser
detectado un evento no deseable. A travs de estos controles se puede cambiar o modificar las
acciones que propiciaron su ocurrencia y corregir los productos o servicios generados de la actividad
critica antes de ser suministrados al cliente.
Clases de control: Cada control identificado se selecciona de acuerdo a la siguiente clasificacin:
CLASES DE CONTROL
Evaluacin de desempeo
Generacin de alarmas (Sistemas, Aplicativos)
Generacin de informes de gestin o reportes
Indicadores de gestin: Procesos, Proyectos
Controles de Gestin
Monitoreo de riesgos
Seguimiento al cronograma, herramienta de gestin, bases de datos,
sistemas o aplicativos
Seguimiento al plan de accin de la dependencia
Validacin de informacin por parte de un sistema o aplicativo
Aplicacin de listas de chequeo, formatos
Aplicacin de: lineamientos, Manuales, guas, procesos, instructivos,
(Internos y/o Externos)
Capacitacin del personal
Controles Operativos Validacin de informacin por parte de una persona o comit (Conciliacin,
revisin, comparacin, inspeccin)
Verificacin de firmas
Copias de seguridad, contingencias y respaldo
Custodia Apropiada
CDIGO: AR-L02
Envo de comunicaciones escritas informando o solicitando informacin

Generacin de registros controlados
Niveles de autorizacin: Revisin jefes inmediatos, superiores
Plizas
Realizacin de llamadas o visitas
Segregacin de funciones
Solicitud o recepcin de concepto, asesora o acompaamiento de otras
dependencias
Uso de consecutivos
Control de trminos
Controles Legales
Normas Claras y Aplicadas
8.3.1 Anlisis Y Evaluacin De Controles:
Cada uno de los controles es evaluado frente a criterios de probabilidad e impacto, generando una
valoracin, tal como se explica a continuacin;
UBICACIN: Se debe indicar el lugar en medio fsico o magntico, donde se encuentran los soportes
de cumplimiento del control.
PONDERACION: Los controles definidos para un mismo riesgo son ponderados de acuerdo con su
grado de incidencia frente al riesgo identificado.
CRITERIOS PARA EVALUAR EL CONTROL FRENTE A LA PROBABILIDAD:
Se obtiene diligenciando el siguiente cuestionario, teniendo en cuenta las herramientas para ejercer
cada control y el seguimiento realizado, ver Cuadro 8.
PARMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES

La
Algunas
mayora
No. PREGUNTA SI NO Parcialmente Siempre veces No Aplica
de las
(muestra)
veces
Posee una
HERRAMIENTAS herramienta
PARA EJERCER 1 20 0
para ejercer el
EL CONTROL
control?
Esta
sistematizada o
2 20 0
es una
aplicacin?
CDIGO: AR-L02

Existen
manuales,
instructivos,
3 guas, etc. para 5 0
el manejo del
sistema o
aplicacin?
Se ha Redistribuy
documentado e puntaje de
el mapa de 10 en las
4 riesgos del 10 0 preguntas 1
sistema o a 3 cuando
aplicacin la respuesta
segn el SGSI? sea SI
Estn
definidos los
5 responsables 10 0 5
de la ejecucin
del control?
Se ha
COMPETENCIA DE
QUIEN EJERCE EL
capacitado a
CONTROL los
responsables
6 de ejercer el 10 0
control,
respecto a
cmo se debe
realizar?
Existen
manuales,
instructivos,
DOCUMENTACIN guas, etc. que
7 5 0
DEL CONTROL detalle cmo se
realiza las
actividades del
control?
El control se
aplica todas las
FRECUENCIA DE
veces que se
APLICACIN DEL 8 20 10 5
CONTROL
realiza la
actividad crtica
(PCC)?
Cuadro 8. Criterios para evaluar el control frente a la probabilidad
Cuando no existe una herramienta para ejercer el control, es decir la respuesta a la pregunta nmero
1 es NO, no se realizan las preguntas de la 2 a la 4 y se resta 55 puntos de la calificacin total (100
puntos). Estos 55 puntos corresponden a 35 puntos que se obtendran si la respuesta a las preguntas
2 a la 4 fuera afirmativa (SI), en caso de que hubiera herramienta, al no existir la herramienta no se
CDIGO: AR-L02
punta estos aspectos. Los otros 20 puntos que se restan, son aquellos que se otorgan cuando existe
una herramienta que permita efectuar el control. La puntuacin de la probabilidad para cada control se
obtiene multiplicando el puntaje obtenido por la ponderacin asignada.
Para realizar la valoracin de los riesgos de la categora de Corrupcin, se adiciona la pregunta: En

el tiempo que lleva implementada la herramienta ha demostrado ser efectiva?, la cual asigna una
puntuacin adicional as, ver cuadro 9:

SI NO
FRECUENCIA El riesgo aun ocurre

La implementacin del
DE Nunca ha ocurrido el con frecuencia,
PREGUNTA control ha evitado la
APLICACIN riesgo desde que se aunque en menor
ocurrencia del riesgo
DEL CONTROL implementa el control medida a que si no
en el ltimo ao
existiera el control
10 5 0
Cuadro 9. Criterio adicional para evaluar el control frente a la probabilidad para los riesgos de la
categora de Corrupcin.
Esta puntuacin redistribuye los pesos de las calificaciones otorgadas en las 8 preguntas relacionadas
en el cuadro 8, disminuyendo 1 punto para cada pregunta de la 1 a la 8, a excepcin de la pregunta 4,
en la cual se hace reduccin de 3 puntos.
Nota 10: La pregunta nmero 9, se habilita nicamente para los riesgos de la categora de Corrupcin
y redistribuye los pesos porcentuales solo para estos riesgos.
CRITERIOS PARA EVALUAR EL CONTROL FRENTE AL IMPACTO:
Se obtiene diligenciando el siguiente cuestionario para el conjunto de controles, teniendo en cuenta la

mitigacin de la materializacin del riesgo bajo criterios de cubrimiento y administracin, ver cuadro
10. Criterios para evaluar el conjunto de controles frente al impacto:
PARAMETROS RESPUESTA PUNTAJE CRITERIOS PUNTAJE

Cuenta con Cubre todos SI NO Parcialmente
copias de los efectos del
seguridad, plizas riesgo? 40 0 20
S 20
de seguro, planes Se revisan y
de respaldo o mantienen 40 0 20
planes de actualizadas?
contingencia? No 0
Cuadro 10. Criterios para evaluar el conjunto de controles frente al impacto
CDIGO: AR-L02
Nota 11: En caso que la respuesta sea SI es necesario especificar cul mecanismo se cumple para
tal fin. Es importante resaltar que un plan de contingencia es todo tipo de actividad que se puede llevar
a cabo para minimizar el impacto del riesgo materializado.
La puntuacin del impacto para el conjunto de controles se obtiene mediante la sumatoria de los
puntajes obtenidos. De no contar con copias de seguridad, plizas de seguro, planes de respaldo o
planes de contingencia, se deshabilitan las preguntas relacionadas con los criterios y la calificacin
asignada es cero.
8.3.2 Valoracin De Riesgos Despus De Controles (Riesgo Residual)
Utiliza la evaluacin de los controles para reducir la probabilidad e impacto que se determin en la
valoracin del riesgo antes de controles. Determina el riesgo no cubierto por los controles
establecidos.
Reduccin de la probabilidad
Al obtener el promedio de la evaluacin de los controles respecto a la probabilidad, se determina el

nmero de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente informacin: ver
cuadro 11. Disminucin de la probabilidad con la calificacin del riesgo:
CALIFICACIN DE CUADRANTES A DISMINUIR EN

CONTROLES LA PROBABILIDAD
91-100 3 cuadrantes
76- 90 2 cuadrantes
51-75 1 cuadrantes
0-50 0 cuadrantes
Cuadro 11. Disminucin de la probabilidad con la calificacin del riesgo
Reduccin del impacto
Al obtener la evaluacin de los controles respecto al impacto, se determina el nmero de

cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente informacin, ver cuadro 12.
Disminucin de la probabilidad con la calificacin del riesgo:
CALIFICACIN DE CUADRANTES A DISMINUIR EN

CONTROLES EL IMPACTO
91-100 2 cuadrantes
76- 90 1 cuadrante
0-75 0 cuadrantes
Cuadro 12. Disminucin del impacto con la calificacin del riesgo
CDIGO: AR-L02
Zona de riesgo: Se obtiene a partir del cruce entre la probabilidad e impacto, determinada por el
nmero de cuadrantes a disminuir, luego de la valoracin de los controles.
Priorizacin de riesgos
Al obtener la valoracin de los riesgos despus de controles, se define cules requieren acciones
inmediatas.
Con el fin de determinar cuantitativamente la priorizacin de riesgos, se asociaron valores numricos a

cada una de las escalas de probabilidad y ocurrencia definidas, de la siguiente manera:
VALOR PROBABILIDAD VALOR IMPACTO

5 Frecuente 5 Muy alto
4 Ocasional 4 Alto
3 Probable 3 Moderado
2 Poco probable 2 Bajo
1 Remota 1 Muy bajo
La multiplicacin entre estos valores genera la siguiente calificacin:
CDIGO: AR-L02
Asignando las prioridades en orden decreciente con la calificacin se obtiene:
Prioridades de cuadrantes con la calificacin en la valoracin de riesgos despus de

controles.
Priorizando el impacto en calificaciones iguales, se organizan as:
Prioridades de cuadrantes para calificaciones iguales en la valoracin de riesgos despus

de controles.
Al aplicar el semforo de zonas de riesgo se obtiene el orden de las prioridades para el tratamiento,
pasando de la zona inaceptable a aceptable rojo a naranja respectivamente -.
CDIGO: AR-L02
Prioridades de cuadrantes para zonas de riesgo en la matriz de valoracin de riesgos

despus de controles
ADMINISTRACION DEL RIESGO

Una vez realizado la priorizacin de riesgos y la evaluacin de controles obteniendo el riesgo residual
se debe identificar la opcin para el tratamiento de estos riesgos de acuerdo a lo descrito en el
numeral 5.3 de este lineamiento.
8.4 SEGUIMIENTO
En cumplimiento a la poltica de administracin del riesgo todos los riesgos cuya valoracin despus
de controles se encuentre en nivel: inaceptable o importante o para los riesgos de corrupcin, se debe
formular una accin orientada a la mitigacin de dichos riesgos; dando cumplimiento al Lineamiento
para la Formulacin y Seguimiento de Acciones Preventivas, Correctivas y de Mejora AP-L01 (el
cual hace parte del Macroproceso: Mejora Continua). Una vez formulada la accin y registrada en el
Balance de acciones, el cdigo correspondiente debe ser registrado en el campo ACCIONES.
De igual forma se debe registrar:
Responsable (indicando el cargo correspondiente) de la administracin de cada una de los
riesgos identificados para el proceso (es el encargado de implementar los controles, verificar
su seguimiento, efectividad y proponer cambios).
Mecanismo de seguimiento, necesario para identificar y/o monitorear la materializacin de

riesgos, tales como: auditoras internas, herramienta de seguimiento del proceso (siempre y
cuando aplique para esta verificacin), implementacin de las acciones para la administracin
de riesgos, indicador de gestin del proceso (siempre y cuando aplique para esta verificacin),
revisin del mapa de riesgos (autocontrol por parte de la autoridad o lder del proceso).
CDIGO: AR-L02
9 MATRICES DE LOS MAPAS DE RIESGO
Las matrices de los mapas de riesgo documentados sern publicadas por el Grupo de Planeacin una
vez recibida la aprobacin correspondiente.
Mapa de riesgos institucional

Contiene el consolidado de los riesgos a los cuales estn expuestos los procesos de la Entidad,
permitiendo conocer la aplicacin de las Polticas Institucionales de Tratamiento de Riesgos
Asociados a los Procesos a travs de las opciones de tratamiento definidas. Este documento se
elabora con la informacin de todos los mapas de riesgos documentados para los procesos y se
ajusta con la actualizacin de los mismos a medida que se requiera a travs del formato F-GP-11
Mapa de riesgos institucional, el cual se publica en la Intranet de la Entidad como parte del campo:
MECI, en el elemento: Administracin de Riesgos, del mdulo: Control de Planeacin y Gestin.
Mapa de riesgos de corrupcin

Contiene la consolidacin de los riesgos de la categora Corrupcin a los cuales estn expuestos los
procesos de la Entidad, permitiendo conocer la aplicacin de las Polticas Institucionales de
Tratamiento de Riesgos Asociados a los Procesos a travs de las opciones de tratamiento definidas.
Este documento se ajusta con la actualizacin que se derive luego de las revisiones realizadas a estos
riesgos en el marco del seguimiento descrito en el captulo 6 de este documento, los cuales atienden
los dispuesto por la Presidencia de la Republica en el documento Estrategias para la construccin del
plan anticorrupcin y atencin al ciudadano.
Este consolidado se publica en la Intranet como parte del MECI y en la pgina Web de la Entidad
(DNP/Gestin/Planeacin Estratgica Institucional) a travs del formato F-GP-35 Consolidacin
riesgos de corrupcin.
10 PRODUCTO O SERVICIO NO CONFORME
La no conformidad que se presenta en un producto o servicio prestado por el DNP, est directamente
asociada con la materializacin de los riesgos identificados para el proceso misional que genera el
producto o servicio. Por esta razn se ha identificado, para todos los productos y/o servicios del DNP
una matriz de productos y/o servicio, en la cual estn definidos las variables y atributos que deben
cumplir los productos y servicios generados por el DNP en cada uno de los procesos. Esta matriz
establece adems, el responsable del producto y/o servicio (segn actividad descrita en el proceso) y
a quien va dirigido, es decir, los clientes (segn actividad descrita en el proceso).
10.1 Identificacin de producto no conforme

La identificacin de productos no conformes se realiza de acuerdo con el esquema presentado a
continuacin. El Grfico 2 representa las etapas ms relevantes del tratamiento del producto no
conforme, el cual esta descrito al detalle en el documento Lineamiento para el control y tratamiento
de productos y/o servicios no conformes del DNP (AR-L01), el cual hace parte del Macroproceso:
Gestin de Calidad.
CDIGO: AR-L02
10.2 Tratamiento del producto no conforme
Antes de la materializacin de un riesgo que pueda incidir en la conformidad de un producto y/o

servicio, se deben identificar las actividades de correccin que se van a ejecutar en caso tal que al
materializarse un riesgo se obtenga un producto y/o servicio no conforme. Esta identificacin de
actividades o acciones de correccin se realiza nicamente para los productos y/o servicios (finales e
intermedios, de acuerdo con el PCC) de los procesos misionales contenidos en los macroproceso de:
Planeacin de Mediano y Largo Plazo, Finanzas Pblicas, Gestin y Coordinacin, Monitoreo al SGR
y Seguimiento control y evaluacin de PPPP.
Una vez se haya identificado la materializacin de un riesgo que como consecuencia genere un
producto y/o servicio no conforme, se identifican las acciones posteriores a la materializacin del
riesgo en la Matriz de producto o servicio no conforme con su respectivo registro de acciones
tomadas posteriormente.
Nota 12: Para asegurar el tratamiento completo, se debe diligenciar la Matriz de Producto o Servicio
No Conforme, relacionando todos los riesgos del proceso misional, identificados en los diferentes PCC
del mismo, teniendo en cuenta que el tratamiento del producto y/o servicio no conforme se debe
realizar tanto sobre el producto y/o servicio final como parcial.
Grfico 2. Etapas relevantes del tratamiento del producto no conforme
CDIGO: AR-L02
10.2.1 Estructura la Matriz de Producto No Conforme
El tratamiento de producto o servicio no conforme se encuentra en la Matriz de Producto o

servicio No Conforme cuyos campos se describen a continuacin:
Punto Crtico de Control: Se incluye la actividad del proceso definida como punto crtico de
control asociado al riesgo que puede generar el producto o servicio no conforme.
Producto y/o Servicio Actividad PCC: Se identifica el resultado de la actividad sealada en el

proceso como crtica, en la cual la materializacin de alguno de los riesgos, provoque la no
conformidad.
Responsable de la Liberacin del Producto: persona que autoriza la entrega del producto al
cliente (Segn actividad descrita en el proceso).
Cliente Actividad: se indica la organizacin, entidad o persona que recibe el producto y/o
servicio (Segn actividad descrita en el proceso).
Riesgo Asociado: relaciona el riesgo identificado en el proceso.
Incidencia del producto y/o servicio no conforme: Seala la relacin directa del riesgo
identificado en el proceso en cuanto a su incidencia en el producto o servicio generado por el
proceso o su objetivo.
Accin: se enumeran las acciones que se van a ejecutar, cuando se identifique la

materializacin del riesgo, para garantizar que el productos o servicio generado por la actividad
sea conforme respecto a las variables y atributos que debe cumplir.
Responsable de la ejecucin: Se indica el cargo del funcionario que debe ejecutar la accin
planteada como tratamiento de producto o servicio no conforme, cuando este se materialice.
Registro: documenta la posible forma de evidenciar accin tomada posteriormente, ejemplo:

comunicacin escrita dirigida a la entidad que genera la informacin, solicitando la aclaracin de
datos que presenten inconsistencias.
11 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA

ADMINISTRACIN DE RIESGOS
El cambio de versin en un mapa de riesgos por proceso, se realiza de acuerdo con el documento:
Lineamientos para la elaboracin y control de documentos de los sistemas de gestin del DNP (DS-
L01), el cual hace parte del Macroproceso: Gestin de Calidad. La actualizacin que se realice a los
Mapas de Riesgos de los procesos, debe contemplar la actualizacin inmediata del Mapa de Riesgos
Institucional y el Mapa de Riesgos de corrupcin en caso que aplique.
CDIGO: AR-L02
En el caso especfico del mapa de riesgos de corrupcin, se llevar un control de los cambios y las
versiones de este documento, teniendo en cuenta los cambios que surjan de las revisiones que se
deben realizar con plazo: 30 de abril, 30 de agosto y 31 de diciembre.,
Fecha aprobacin: 21 de Enero de 2016
Revis: ______________________________
Karol Mayerly Rodriguez Cabrera
Coordinadora Grupo de Planeacin
Aprob: ______________________________
Edgar Antonio Gomez lvarez
Secretario General
Representante de la Alta Direccin

Graham80 10 10

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Graham80 10 10

Cargado por

Copyright:

Formatos disponibles

LINEAMIENTOS PARA LA ADMINISTRACIN DE RIESGOS EN LOS PROCESOS DEL DNP

Departamento Nacional de Planeacin

Accin de riesgos: es la aplicacin concreta de las opciones de tratamiento de riesgo.

Administracin de Riesgos: es el proceso continuo basado en el conocimiento, evaluacin y

Anlisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos

Autoevaluacin del control: Elemento de control que basado en un conjunto de mecanismos

Calificacin del riesgo: establece el grado de exposicin de la Entidad bajo criterios de

Causas: son los medios, circunstancias y agentes generadores del riesgo.

Cliente: organizacin, entidad o persona que recibe un producto y/o servicio.

Efectos: lo que podra generarse en la Entidad con la materializacin de un riesgo. Es el

Prdida: Consecuencia negativa que trae consigo un evento.

Proceso: conjunto de actividades mutuamente relacionadas o que interactan para generar

Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo.

Registro: documento que presenta resultados obtenidos o proporciona evidencia de las

Responsables: rol o cargo encargado de adelantar las acciones propuestas.

Riesgos Estratgicos: Estn relacionados con la planificacin, diseo y conceptualizacin de

Riesgos de Imagen: Estn relacionados con la percepcin y la confianza por parte de la

Riesgos de Tecnologa3: Estn relacionados con la capacidad tecnolgica de la Entidad para

Subproceso: conjunto de actividades mutuamente relacionadas o que interactan, las cuales

Valoracin pura: grado de exposicin al riesgo en un escenario sin controles.

Valoracin residual: grado de exposicin al riesgo con la calificacin de probabilidad e impacto

Zona de riesgo: es el nivel de exposicin al riesgo, hallado mediante el cruce entre la

5 POLTICAS INSTITUCIONALES DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS

El Departamento Nacional de Planeacin se encuentra comprometido con la identificacin y

5.1 Objetivos de la aplicacin de la Poltica Institucional de Tratamiento de Riesgos

5.2 Los riesgos que se van a controlar.

La administracin de riesgos en el DNP tendr un carcter prioritario y estratgico, en el marco del

5.3 Opciones de tratamiento de riesgos

5.4 Acciones para administrar los riesgos

5.4.1 Tiempo y recursos

Para la implementacin de acciones y controles se tendr como referente la viabilidad jurdica,

5.5 Responsables de aplicar la Poltica Institucional de Tratamiento de Riesgos

La responsabilidad de la elaboracin del mapa de riesgos por proceso, as como la aplicacin de la

La responsabilidad de acompaar en el desarrollo del proceso de administracin de riesgos y la

El representante de la alta direccin es el encargado de velar por la elaboracin de los mapas de

5.6 Recursos requeridos

5.7 Estrategias para desarrollar la Poltica Institucional de Tratamiento de Riesgos

La poltica de calidad ser desarrollada mediante los ejercicios de revisin, actualizacin y

Revisin anual de los mapas de

Documentacin de los mapas

6 SEGUIMIENTO A LA ADMINISTRACIN DEL RIESGO

El seguimiento a la administracin del riesgo se encuentra conformado por dos componentes: el

La revisin se realiza teniendo en cuenta los siguientes aspectos:

Correspondencia con el proceso y los puntos crticos de control definidos.

6.2 Auditoras Internas Realizadas por la Oficina de Control Interno

6.3 Aspectos a tener en cuenta durante el seguimiento y auditora interna de la

A continuacin se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los

Verificar la correspondencia entre el proceso y el mapa de riesgos.

6.4 Revisin de la Eficacia de las Acciones formuladas a partir de los Mapas de

7 DIVULGACIN Y CAPACITACION DE LA ADMINISTRACIN DEL RIESGO

8 METODOLOGA PARA ADMINISTRAR EL RIESGO EN EL DNP

8.1.1 Priorizacin de riesgos

No obstante, la declaracin de la materializacin de un riesgo en alguno de los ejercicios

8.1.2 Estructura del formato para la identificacin de riesgos

La identificacin de riesgos es desarrollada mediante el anlisis y diligenciamiento de la siguiente

- CATEGORIA DE RIESGO4: Con base en las clasificaciones establecidas en la lista

A continuacin se relacionan las categoras establecidas en las que puede incluirse o

CATEGORA SE PUEDE PRESENTAR POR: PUEDE OCASIONAR:

CATEGORA SE PUEDE PRESENTAR POR: PUEDE OCASIONAR:

3. Incumplimientos de - Errores en la informacin que - Prdidas econmicas por

4. Dao de activos: se - Prdida de la informacin.

- Falta de idoneidad o - Fallas de hardware y software.

CATEGORA SE PUEDE PRESENTAR POR: PUEDE OCASIONAR: