Versión 1.

0 Vigencia 2018
1 Página
 1. Introducción.

La administración de riesgo constituye uno de los pilares fundamentales en la

administración pública orientada al fortalecimiento de los sistemas de control
interno, a partir de la identificación de debilidades y amenazas que pudieran afectar
el cumplimiento de los fines esenciales del Estado.

Asimismo, permite la mitigación de éstos a través de la implementación de acciones

de tratamiento y/o mejora sobre los riesgos, tanto los cumplidos como los
previsibles.
La Alcaldía municipal de Galapa concibe la administración de riesgos como un
aliado estratégico para el cumplimiento de nuestros objetivos institucionales y el
fortalecimiento del Modelo Integrado de Planeación y Gestión “MIPG”, en aras de
contribuir a la obtención de altos estándares de eficiencia, eficacia y calidad en la
prestación de los servicios ofertados por la Alcaldía.

El presente instructivo, busca constituirse como una herramienta de consulta

disponible para todos los funcionarios de la Alcaldía municipal de Galapa, a partir
de instrucciones y orientaciones para la identificación, análisis, valoración, control y
monitoreo de los riesgos de gestión y corrupción, y la formulación del Mapa de
Riesgos institucional de gestión y el de corrupción.

De conformidad con los lineamientos establecidos por el Modelo Integrado de

Planeación y Gestión “MIPG”, la guía para la gestión del riesgo de la función pública
2018 y la Política de Administración del Riesgo 2018 de la Alcaldía municipal de
Galapa, la presente guía está orientada a la gestión integrada de riesgos; es decir,
tanto los riesgos de gestión como de corrupción.

2. Objetivo.

La presente guía tiene como finalidad proporcionarles a los diecisiete (17) procesos
institucionales de la Alcaldía municipal de Galapa una herramienta que permita la
unificación de criterios y parámetros propios sobre identificación, análisis, valoración
y políticas de administración de riesgos, con el fin de evaluar los eventos negativos
2
Página

y/o amenazas que puedan afectar el cumplimiento de la misión y los objetivos

institucionales.
 2.1. Objetivos específicos.

 Crear una conciencia general acerca de la importancia de la administración

y evaluación de los riegos de gestión y corrupción, a partir de una visión
institucional de los mismos.

 Conocer los eventos potenciales, la probabilidad de ocurrencia de los riesgos

y las medidas para su administración, control y/o mitigación.

 Establecer lineamientos estratégicos que orienten las decisiones en la

entidad frente a los riesgos que puedan afectar el cumplimiento de sus
objetivos.

 Proporcionar una guía metodológica para la identificación, análisis y

valoración de los riesgos de gestión y de corrupción; y la formulación del
Mapa de riesgos por procesos e institucional.

3. Alcance.

Los parámetros del instructivo de gestión del Riesgo aplican para todos los procesos
institucionales de la Alcaldía de Galapa, tanto para servidores como para
contratistas.

Con este instructivo es posible la identificación, análisis, valoración, control y

administración de los riesgos, de conformidad con la política de administración del
riesgo de la Alcaldía.

4. Definiciones y Términos

Análisis del Riesgo: Elemento de Control que permite establecer la probabilidad

de ocurrencia de los eventos positivos y/o negativos y el impacto de sus
consecuencias, calificándolas y evaluándolos para determinar la capacidad de la
entidad pública para aceptarlos y manejarlos. Se debe determinar la frecuencia de
esos eventos y la magnitud de sus consecuencias.

Causa: Medios, circunstancias y posibles situaciones o agentes generadores

3
Página

directos del riesgo.

Consecuencia: Efectos generados por la ocurrencia de un riesgo que afecta los
objetivos o un proceso de la entidad. Son definidos también como los posibles
efectos nocivos del riesgo; por ejemplo, pérdida de credibilidad, de autoridad,
condenas judiciales, incumplimiento de metas, de planes, desmejora de calidad de
vida, inconformidad, impunidad, o daños o detrimentos.

Controles: conjunto de acciones establecidas para administrar el riesgo e impedir

que ocurra o para mitigar sus efectos.
Corrupción: Uso del poder para desviar la gestión de lo público hacia un beneficio
propio o de un tercero.

Evaluación del Riesgo: Proceso utilizado para determinar las prioridades de la

Administración del Riesgo comparando su nivel (del riesgo) con un estándar
determinado.

Gestión del Riesgo: Es el procedimiento mediante el cual se identifica, analiza,

controla y administra el riesgo para que evitar su ocurrencia o aminorar sus efectos.

Impacto: Son las consecuencias o efectos que puede generar la materialización del
riesgo en la entidad.

Mapa de Riesgos: Documento que consolida la gestión general frente a los riesgos
de una organización.

Probabilidad: Oportunidad de ocurrencia de un riesgo. Se mide según la frecuencia

(número de veces en que se ha presentado el riesgo en un período determinado) o
por la factibilidad (factores internos o externos que pueden determinar que el riesgo
se presente)
Proceso: Conjunto de actividades que interactúan para generar un valor.

Reducción del Riesgo: Aplicación de controles para reducir las probabilidades de

ocurrencia de un evento y/o sus consecuencias.

Riesgos: Posibilidad de que suceda algún evento que afecte negativamente los
objetivos de la entidad o su funcionamiento.

Riesgo de Corrupción: Posibilidad de que, por acción u omisión, se use el poder

para desviar la gestión de lo público hacia un beneficio privado, propio o de un
tercero.

Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones

de la dirección para modificar su probabilidad o impacto.
4

Riesgo Residual: Es el nivel del riesgo que resulta después de la existencia de

Página

herramientas o medidas de control del riesgo.

Zona de Riesgo: Es el nivel de riesgo al cual se enfrenta la entidad de acuerdo con
su análisis. Está determinado por la probabilidad e impacto.

5. Metodología para la administración del riesgo

5
Página
 6. Guía de uso de la herramienta mapa de riesgo
integrado.

Esta guía ilustra, paso a paso, las acciones y actividades que deben desarrollarse
en su diligenciamiento para facilitar la forma como se debe gestionar o diligenciar la
Herramienta de Gestión del Riesgo. El instructivo no implica desarrollar ejercicios y
cálculos toda vez que la herramienta es automática.

6.1. Matriz I Mapa de Riesgos

En esta primera pestaña de la matriz de administración del riesgo se gestionarán 2

campos a saber:

A. PROCESO: Se selecciona de la lista despegable el proceso correspondiente

que gestionará o trabajará sobre el riesgo integrado, de acuerdo con el
Modelo de Operación de Proceso. (Ver Ilustración II- Mapa de Procesos)

B. OBJETIVOS DEL PROCESO: Se refiere a los fines u objetivos establecidos

en la caracterización del proceso. Se debe redactar el objetivo que
corresponda.

Ilustración I- Matriz Mapa de Riesgos

6
Página
Ilustración II- Mapa de Procesos

6.2. Matriz II definición del riesgo.

En esta primera pestaña de la matriz de administración del riesgo se gestiona cuatro

(4) campos a saber:

A. DESCRIPCIÓN DEL RIESGO: Se debe identificar el riesgo y describir con

claridad en qué consiste el riesgo.

B. TIPO DE RIESGO: Se debe seleccionar el tipo de riesgo: DE GESTIÓN O

DE CORRUPCIÓN, siguiendo las siguientes orientaciones.

Un Riesgo de Gestión se da a partir de la posibilidad de ocurrencia de algún

7

evento que podría afectar negativamente los objetivos de la entidad o su

Página

funcionamiento.
 Un Riesgo de Corrupción es el evento que busca desviar la función pública
para generar un indebido beneficio propio o ajeno. Contiene cuatro (4)
componentes: acción u omisión, el uso del poder, la desviación de la gestión
pública y la preminencia del beneficio privado.

C. CAUSAS: Son las posibles situaciones o agentes generadores del riesgo.

D. CONSECUENCIA: Efectos generados por la ocurrencia de un riesgo que

afecta los objetivos o un proceso de la entidad.

Ilustración III – Definición del Riesgo

6.2.1. Clases de Riesgos

El Riesgo está vinculado con todo el quehacer; se podría afirmar que no hay
actividad que deje de incluir el riesgo como una posibilidad. Los riesgos no son sólo
de carácter económico o están únicamente relacionados con entidades financieras
o con lo que se ha denominado riesgos profesionales; éstos hacen parte de
cualquier gestión que se realice.
8
Página
Entre las clases de riesgos que pueden presentarse están:

Algunos ejemplos de riesgos de gestión:

 No hacerle seguimiento al plan de desarrollo

 Contar con un Manual de funciones desactualizado, que no orienta
adecuadamente las obligaciones de los servidores públicos
 No capacitar a los funcionarios
 Incumplimiento del contratista en las obligaciones contractuales adquiridas
 Clima organizacional desfavorable y en conflicto
 Ausencia de comunicación entre los procesos y la alta dirección
 Falta de equipos de cómputo en las dependencias
 Contar con Manual de procedimientos no alineado con el Mapa de Procesos
Institucional vigente
9

 No realizar copia de seguridad a las bases de datos de la entidad

Página
  No cancelar oportunamente los salarios de los servidores públicos y
contratistas
 Ausencia de un Plan de Bienestar
 No actualización de las Tablas de Retención Documental
 Pérdida de los bienes de la entidad
 Pérdida de expedientes contractuales y de defensa judicial
 No publicar información de gestión en la página web de la entidad
 No rendir cuentas a la ciudadanía
 Ausencia de condiciones de conservación propicias para el archivo central
e histórico.
 Posesionar personas no idóneas para el ejercicio del cargo
 No realizar auditorías de control interno
 No evaluar los planes de mejoramiento institucionales
 No realizar acciones preventivas para el mantenimiento de la infraestructura
física y tecnológica
 No responder oportunamente los derechos de petición
 Ausencia de un sistema de información para administración de las
peticiones, quejas, reclamos y sugerencias.

Algunos ejemplos de riesgos de corrupción:

 Manipulación de estudios y documentos de formación de contratos para

favorecer a un proponente o interesado.

 Expedición de actos administrativos, políticas, lineamientos u orientaciones

contrarias a los intereses públicos o a las normas vigentes con el fin de
compensar favores políticos.

 Celebrar contratos indebidamente sin el lleno de los requisitos legales

esenciales para favorecer a terceros o, asimismo.

 Manipular los sistemas de información con el objeto de extraer o adulterar

indebidamente información institucional, comercializarla o cederla con fines
políticos.

 Ocultar en los informes de control interno irregularidades o deficiencias y/o

conceptuar favorablemente, contrario a las evidencias, con el fin de
conseguir algún beneficio particular para sí o para terceros.
10
Página
  Emitir respuestas y/o conceptos jurídicos para favorecer intereses de
particulares o terceros, en menoscabo de los intereses de la Alcaldía o
colectivos.

 Solicitar dádivas o prebendas a proveedores o contratistas.

 Adulteración de la información a publicar omitiendo datos, estadísticas y/o

resultados para favorecerse así mismo o a terceros.

 Permitir el funcionamiento de manera premeditada, o no sancionar a

establecimientos comerciales o industriales que no están registrados o no
cuentan con las licencias y permisos.

 Auspiciar o permitir sobrecostos en la contratación de cualquier tipo.

 Omitir información en los procesos de vigilancia sobre el sistema de

seguridad social en salud, en aquellos casos donde los prestadores no
cumplan los estándares de funcionamiento, accesibilidad y uso de los
servicios de salud.

 No reportar irregularidades técnicas en el cumplimiento de las exigencias del

Ministerio de Educación Nacional MEN en el programa de Alimentación
Escolar PAE para favorecer a terceros.

 Contratar con fundaciones o firmas no idóneas o que no cumplen el perfil

para la prestación de servicios de los Planes de Alimentación Escolar "PAE".

 Alteración de los valores de los estados financieros (Maquillaje de los estados

financieros) para ocultar manejos indebidos o irregulares.

 Favorecer indebidamente a contribuyentes del municipio mediante

exclusiones, amnistías, descuentos, prescripciones u otras figuras jurídicas

Algunos ejemplos de causas asociadas a los riesgos de gestión:

 Ausencia de mecanismos de verificación

 Falta de recursos económicos
 Planeación inadecuada
 Ausencia de recursos tecnológicos
11

 Ausencia de recurso humano

 Direccionamiento estratégico deficiente
Página

 Falta de voluntad de los funcionarios

  Falta de capacitación
 Procedimientos frágiles
 Supervisión no idónea
 Ausencia de controles
 Ausencia de sistemas de información
 Desconocimiento normativo
 Ausencia de programas de mantenimiento preventivo

Algunos ejemplos de causas asociadas a los riesgos de corrupción:

 Ausencia de valores éticos

 Ambición
 Afán de lucro
 Amiguismo
 Clientelismo
 Ausencia de mecanismos efectivos de control
 Tráfico de influencias
 Exigencia de dadivas
 Desconocimiento normativo
 Pagos de favores políticos
 Autoritarismo

Algunos ejemplos de consecuencias

 Degradación de la ética pública institucional

 Incumplimiento de las metas, planes y estrategias
 Impunidad
 Inequidad
 Detrimento patrimonial
 Investigaciones disciplinarias
 Investigaciones penales
 Sanciones administrativa
 Desmejoramiento de percepción ciudadana
 Malversación de los recursos públicos
 Incumplimiento de los objetivos esenciales del Estado
 Desmejoramiento de la función pública
 Pérdida de imagen pública
 Pérdida de la credibilidad ciudadana
 Baja calidad de bienes y servicios
12

 Pérdida de vidas humanas

Página

 Afectación del clima laboral

  Acreencias insolutas
 Demandas contra la entidad
 Pérdida de información
 Deterioro de los archivos históricos

6.3. Matriz III Calificación de la Probabilidad.

La PROBABILIDAD constituye la oportunidad de ocurrencia de un riesgo. Se mide

según la frecuencia (número de veces en que se ha presentado el riesgo en un
período determinado) o por la factibilidad (factores internos o externos que pueden
determinar que el riesgo se presente).

El ejercicio consiste en calificar cada riesgo en un rango de Probabilidad de 1 al 5,

escogiéndolo de la lista de opciones que se despliega, de acuerdo con los
parámetros de la “Tabla de medición de probabilidad del riesgo”. (Ver Ilustración
IV- Matriz calificación de la probabilidad).
Ilustración IV – Calificación de la Probabilidad

13
Página
6.4. Matriz IV Calificación del impacto.
El impacto son las consecuencias o efectos que puede generar la ocurrencia del
riesgo en la entidad expresado en un valor numérico con la intención de poder
calcular la zona de riesgo inherente.

En este punto, se debe calificar el impacto a partir de la selección de un criterio

cualitativo y/o cuantitativo. Se debe elegir al menos un criterio en alguna de las dos
opciones; es decir, sino cuenta con la suficiente información para valorar el
criterio cuantitativo, debe elegir un criterio cualitativo. Es obligatorio elegir al
menos un criterio para cada riesgo. (Ver Ilustración V- Matriz calificación de la
probabilidad).
Ilustración V – Calificación del Impacto

6.5. Matriz V Valoración de Controles

Se deben establecer los controles; es decir, las medidas o estrategias mediante las
cuales se controlará el riesgo para que este no ocurra o disminuir sus efectos.

Una vez identificados y establecidos los controles para cada riesgo se debe valorar
de acuerdo con el siguiente procedimiento:

A. Identificar la naturaleza del Control estableciendo si es preventivo o

correctivo.

 Los controles preventivos se orientan a eliminar las causas del riesgo, para
prevenir que ocurran. Evitan que el riesgo suceda o se replique, por ejemplo,
el requerimiento de un usuario y clave en un sistema de información es un
14

control preventivo. Éste previene (teóricamente) que personas no

Página

autorizadas puedan ingresar al sistema.

  Los controles correctivos son aquellos que permiten, después de ser
detectado el evento no deseado, el restablecimiento de la actividad. Se
dirigen a corregir lo que suceda para revertir sus efectos, por ejemplo, en
caso de un desastre natural u otra emergencia mediante las pólizas de
seguro y otros mecanismos de recuperación de negocio o respaldo, es
posible volver a recuperar las operaciones.

Algunos ejemplos de controles:

 Políticas claras aplicadas

 Seguimiento al plan de desarrollo
 Seguimiento a los planes de acción
 Auditorías de seguimiento
 Indicadores de gestión
 Monitoreo del proceso
 Capacitaciones
 Revisión por la dirección
 Tableros de control
 Seguimiento a cronograma
 Procedimientos aplicados
 Formatos
 Pólizas
 Contingencias y respaldo
 Informes de seguimiento
 Claves de seguridad
 Copias de seguridad
 Restricciones de acceso
 Control de términos

B. Responder SI o No el siguiente cuestionario de 7 preguntas

 ¿Existen manuales, instructivos o procedimientos para el manejo del control?

 ¿Está(n) definido(s) el(los) responsable(s) de la ejecución del control y del
seguimiento?
 ¿El control es automático? (Sistemas o Software que permiten incluir
contraseñas de acceso, o con controles de seguimiento a aprobaciones o
ejecuciones que se realizan a través de éste, generación de reportes o
15

indicadores, sistemas de seguridad con scanner, sistemas de grabación,

entre otros).
Página
  ¿El control es manual? (Políticas de operación aplicables, autorizaciones a
través de firmas o confirmaciones vía correo electrónico, archivos físicos,
consecutivos, listas de chequeo, controles de seguridad con personal
especializado, entre otros)
 ¿La frecuencia de ejecución del control y seguimiento es adecuada?
 ¿Se cuenta con evidencias de la ejecución y seguimiento del control?
 ¿En el tiempo que lleva la herramienta ha demostrado ser efectiva?

Ilustración VI – Valoración de Controles

6.4. Matriz VI Acciones de Monitoreo

En este ítem se deben gestionar los siguientes campos:

 Acción asociada al Control: se refiere a las actividades o acciones por medio

de las cuales se controla el hecho riesgoso.

 Tiempo de Ejecución: se refiere a la fecha o periodo en el cual se proyecta

ejecutar la acción asociada al control. Puede ser:
16

- Permanente: si su implementación y/o cumplimiento es constante.

Página

- Mes y año, (MM/AA) si su implementación y/o cumplimiento es instantáneo.

  Responsable: se refiere al cargo del funcionario responsable de ejecutar
cada acción asociada al control.

 Registro: se refiere al documento o producto que resulta del cumplimiento

de la acción o en el que se registra su ejecución; por ejemplo: un formato, un
documento, un acto administrativo, una capacitación.

Ilustración VII – Acciones asociadas al Control y Monitoreo

17
Página