Documentos de Académico
Documentos de Profesional
Documentos de Cultura
G102PR06G01 Guia Gestion Del Riesgo Colciencias PDF
G102PR06G01 Guia Gestion Del Riesgo Colciencias PDF
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 1 de 42
DEPARTAMENTO ADMINISTRATIVO DE
CIENCIA TECNOLOGIA E INNOVACION-
COLCIENCIAS
CONTROL DE CAMBIOS
TABLA DE CONTENIDO
INTRODUCCIÓN ................................................................................................................................... 4
1. OBJETIVO GENERAL ................................................................................................................ 4
2. ALCANCE ................................................................................................................................. 5
3. BENEFICIOS DE LA GESTIÓN DE RIESGOS .............................................................................. 5
4. DEFINICIONES .................................................................................................................................. 6
5. MARCO LEGAL ....................................................................................................................... 10
6. GESTIÒN DEL RIESGO ........................................................................................................... 12
7. POLITICA DE ADMINISTRACION DEL RIESGO ........................................................................ 13
8. ROLES Y RESPONSABILIDADES ............................................................................................ 14
9. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO EN COLCIENCIAS ......................... 15
9.1 Definición del Contexto estratégico ............................................................................................ 16
9.2 Identificación de riesgos ............................................................................................................ 19
9.3 Valoración del riesgo ................................................................................................................ 24
9.3.1 Análisis de Riesgos .................................................................................................................. 25
9.3.2 Evaluación del Riesgos ............................................................................................................. 28
9.4 Tratamiento del riesgo (medidas de respuesta) ........................................................................... 34
9.4.1 Opciones de Manejo ................................................................................................................. 34
9.4.2 Plan de manejo y/o acciones asociadas ..................................................................................... 35
9.5 Monitoreo y revisión ................................................................................................................. 36
9.6 Actualización del mapa de riesgos ............................................................................................. 37
10. COMUNICACIÓN Y CONSULTA ............................................................................................... 37
11. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA
ADMINISTRATIVA ............................................................................................................................... 38
12. PRODUCTO Y SERVICIO NO CONFORME............................................................................... 38
BIBLIOGRAFÍA .................................................................................................................................... 39
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 4 de 42
INTRODUCCIÓN
Las entidades existen con el fin último de generar valor para sus grupos de interés. En su camino cotidiano se
enfrentan con la falta de certeza en diversos ámbitos, por lo que el reto de toda organización consiste en
determinar cuanta incertidumbre se puede y se desea aceptar mientras se genera valor, que realmente permita
la obtención de los resultados planificados.
Las entidades operan en ambientes donde factores como la globalización, la tecnología, las regulaciones de
los organismos de control, los mercados cambiantes y la competencia, crean incertidumbre. La mencionada
incertidumbre está representada por eventos, que a su vez implican riesgos que pueden representar tanto
amenazas como oportunidades para la entidad.
En este sentido, Colciencias debe aunar esfuerzos en cumplimiento de su misión institucional y en la generación
de acciones coherentes que permitan el logro de los objetivos propuestos; para ello debe ejecutar diferentes
actividades enmarcadas bajo una gestión por procesos que puede verse afectada por la presencia de riesgos,
por tanto se hace necesario contar con una herramienta encaminada a administrar y prevenir la ocurrencia de
riesgos que puedan generar efectos negativos al interior de la entidad y que al mismo tiempo permita
potencializar las posibles oportunidades identificadas. Una adecuada administración de los riesgos permitirá a
la Dirección tratar la incertidumbre de una manera eficaz y por tanto generar más valor a la gestión institucional.
La presente guía es un instrumento de tipo preventivo para analizar, valorar, tratar, comunicar, monitorear,
revisar y realizar seguimiento a los riesgos de la corrupción, los riesgos institucionales y los del Modelo de
Seguridad y Privacidad de la Información de Gobierno en Línea, a fin de optimizar y enfocar los esfuerzos
institucionales en acciones estandarizadas que permitan abordar y tratar los riesgos identificados en forma
eficiente y eficaz en coherencia con los objetivos y metas institucionales.
1. OBJETIVO GENERAL
Fortalecer la implementación y desarrollo de la política de administración del riesgo a través de una guía
metodológica que brinde lineamientos para un adecuado tratamiento de los riesgos institucionales, de
corrupción y de seguridad y privacidad en la información, identificados en cada uno de los procesos que hacen
parte del Sistema de Gestión organizacional, a fin de garantizar el cumplimiento de la misión y objetivos
estratégicos de la Entidad.
Proteger los recursos de la entidad, resguardándolos contra la materialización de los riesgos valorados
como amenazas de corrupción, institucionales, seguridad y privacidad en la información.
Introducir y fortalecer dentro de los procesos y procedimientos puntos de control, que permitan evitar,
reducir o mitigar, las vulnerabilidades o potenciales amenazas que se puedan presentar.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 5 de 42
2. ALCANCE
Esta guía tiene como alcance la definición de las directrices para la gestión y administración de los riesgos
institucionales partiendo desde la política de administración del riesgo, la construcción del mapa de riesgos, la
comunicación, consulta y divulgación de los riesgos existentes, su priorización y el plan de manejo propuesto
para su administración, así como las actividades de seguimiento, monitoreo, revisión y actualización aplicables
para la gestión integral de los riesgos.
Se incluyen los lineamientos para la gestión de los riesgos de corrupción, institucionales y del Modelo de
Seguridad y Privacidad de la Información (MSPI), con el fin de garantizar un manejo sistemático y unificado que
aplique de manera transversal a todos los procesos y funciones de Colciencias.
administrarlos, bajo la premisa de optimizar los recursos disponibles y garantizar la coherencia en las
respuestas institucionales, en el momento de abordar las posibles vulnerabilidades o amenazas, así como
las oportunidades identificadas.
Permite aprovechar las oportunidades: mediante la consideración de una amplia gama de potenciales
eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo, a fin
de potencializar los efectos deseables.
4. DEFINICIONES
Administración de riesgos: Proceso efectuado por la Alta Dirección de la entidad y por todo el personal para
proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque
de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los
riesgos se convierta en una parte natural del proceso de planeación. (INTOSAI, 2000).
Aceptación de riesgo: Decisión generada por la entidad de aceptar las consecuencias y probabilidad de un
riesgo en particular, sin adelantar acciones de reducción y control. La aceptación del riesgo también se deriva
del nivel de riesgo o umbral en el cual Colciencias acepta el riesgo.
Análisis de riesgo: Uso sistemático de la información disponible para valorar los riesgos en función de las
causas o agentes que los generan, las consecuencias generadas por un incidente y/o evento, su severidad y
la posibilidad de ocurrencia del mismo, con el fin de estimar la zona de riesgo inicial (riesgo inherente).
Causa: Medios, circunstancias, situaciones o agentes generadores del riesgo1. Algunas fuentes de riesgos son:
el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos.
Comunicación y Consulta: Procesos continuos y reiterativos que una organización lleva a cabo para
suministrar, compartir u obtener información e involucrarse en un diálogo con las partes interesadas, con
respecto a la gestión del riesgo2.
Consecuencia o impacto: Efectos generados por la ocurrencia de un riesgo que afecta los objetivos o un
proceso de la entidad. Pueden ser entre otros, una pérdida, un daño, un perjuicio, un detrimento3.
1 FUNCIÓN PÚBLICA. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano -MECI- 2014. Página 64
2 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.12 Bogotá, 2011. Página 4.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 7 de 42
Control: Cualquier medida que adopte la entidad para gestionar los riesgos y proporcionar una seguridad
razonable de alcanzar los objetivos y metas establecidos
Establecimiento del Contexto: Definición de los parámetros internos y externos que se han de tomar en
consideración cuando se identifica y gestiona el riesgo4.
Evaluación del riesgo: Determinación de las prioridades de gestión del riesgo, mediante la comparación del
nivel de riesgo hallado (riesgo inherente) y la evaluación de las medidas de control existentes. Es una etapa
que busca confrontar los resultados del análisis de riesgo inicial frente a los controles establecidos, con el fin
de determinar la zona de riesgo final (riesgo residual).
Evitar el riesgo: Decisión de no involucrarse en una situación o ejecutar una actividad en la cual se ha
identificado un riesgo.
Fecha límite de tratamiento: Fecha acordada para que el plan de tratamiento se haya ejecutado en su
totalidad.
Frecuencia: Número de sucesos o eventos que ocurren en un determinado periodo de tiempo y en una
localización determinada.
Gestión del riesgo: Es el conjunto de “Actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo5. Contempla las etapas de política de administración del riesgo, construcción del mapa de
riesgos, comunicación y consulta, monitoreo y revisión y seguimiento6.
Gestión Integral Nuestra Aliada (GINA): Aplicativo a través del cual Colciencias administra la plataforma
documental del Sistema de Gestión de la Entidad, los programas estratégicos y planes, indicadores, tablero de
mando integral, riesgos y acciones de mejora
Impacto: Son las consecuencias o efectos que puede generar la materialización del riesgo en la entidad
Identificación del riesgo: Proceso para determinar lo que puede suceder, por qué y cómo impactaría en la
entidad.
4 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.9 Bogotá, 2011. Página 4.
5 Ibíd. Numeral 2.2 Bogotá, 2011. Página 4.
6 FUNCIÓN PÚBLICA. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 7
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 8 de 42
Mapas de riesgo: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada
y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles
consecuencia.
Matriz de evaluación de riesgo: Herramienta que es utilizada para realizar la identificación, análisis y
evaluación de los riesgos y su clasificación.
Medidas de mitigación: Planificación y ejecución de actividades dirigidas a reducir o disminuir el nivel riesgo.
Modelo de Seguridad y Privacidad de la Información (MSPI): Ciclo de operación que consta de cinco (5)
fases (diagnóstico, planificación, implementación, evaluación de desempeño y mejora continua), las cuales
permiten que las entidades puedan gestionar adecuadamente la seguridad y privacidad de sus activos de
información.
Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado con el fin de
identificar cambios con respecto al nivel de desempeño exigido o esperado7.
Nivel de riesgo: Indica que tan crítico es el riesgo al tener en cuenta su probabilidad de ocurrencia y su impacto,
convirtiéndose en un criterio que permite priorizar los riesgos que se requieren gestionar.
Plan de tratamiento de riesgos: Se define como las decisiones de tratamiento de los riesgos y las actividades
de control para su mitigación, a través de la aplicación selectiva de técnicas apropiadas y principios de
administración para reducir las probabilidades de ocurrencia de los riesgos, sus consecuencias o ambas.
Política de Administración del Riesgo: Declaración de la Dirección y las intenciones generales de una
organización con respecto a la gestión del riesgo 9. La gestión o Administración del riesgo establece
lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos10.
Probabilidad de ocurrencia: Se mide según la frecuencia (número de veces en que se ha presentado el riesgo
en un período determinado) o por la factibilidad (factores internos o externos que pueden determinar que el
riesgo se presente)11.
Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan para generar un valor, que
utilizan las entradas para proporcionar un resultado previsto12.
7 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.28 Bogotá, 2011. Página 9.
8 Ibíd. Numeral 2.20 Bogotá, 2011. Página 4.
9 Ibíd. Numeral 2.4 Bogotá, 2011. Página 5
10 FUNCIÓN PÚBLICA. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 11
11 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.19. Bogotá, 2011. Página 7.
12 ICONTEC. NTC9000:2015. Sistema de Gestión de Calidad-Fundamentos y Vocabulario. Numeral 3.4.1. Bogotá, 2015. Página 16.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 9 de 42
el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar
la ocurrencia del riesgo.
Desde el contexto de la gestión del riesgo de corrupción se define como “cualquier circunstancia, evento,
amenaza, acto u omisión, que pueda impedir el logro de los objetivos estratégicos, de proceso o de proyecto”14.
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico
se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara
definición de políticas, diseño y conceptualización de la entidad por parte de la alta Dirección.
Riesgo inherente: Nivel de riesgo propio de cada actividad o proceso, sin tener en cuenta el efecto mitigante
de los controles o sin que la administración realice actividades para modificar el impacto o la probabilidad del
riesgo15. Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su
probabilidad o impacto16.
Riesgos Operativos: Comprende los riesgos que provienen del funcionamiento y operatividad de los sistemas
de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación
entre dependencias.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución
presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el
manejo sobre los bienes. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir
con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus
necesidades actuales y futuras y el cumplimiento de la misión.
Riesgos de Corrupción: Posibilidad que por acción u omisión, mediante el uso indebido del poder, de los
recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la
obtención de un beneficio particular.
Riesgo Residual: Es el riesgo resultante después de considerar los controles y las medidas de mitigación
existentes o la probabilidad de que ocurra el riesgo después de aplicar las medidas que se consideren
necesarias17.
Sistema de Administración del Riesgo (SAR): Sistema a través del cual una entidad identifica, mide,
monitorea y controla el Riesgo. Está conformado por un conjunto de elementos entre los que se pueden
mencionar las políticas establecidas por la entidad en cuanto a su estructura organizacional, procesos, manejo
de documentación, plataforma tecnológica y divulgación de la información y genera como documentos básicos
el Mapa de Riesgos y Plan de Manejo de Riesgo.
Transferir riesgos: Cambiar la responsabilidad o cargas por las pérdidas a un tercero mediante legislación,
contrato, seguros u otros medios.
Vulnerabilidad: Muestra la fragilidad o debilidad de un sistema (físico, técnico, organizacional, cultural, etc.)
que puede ser afectado adversamente, causando daños o perjuicios.
5. MARCO LEGAL
18 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Bogotá, 2011. Página 8.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 11 de 42
Por medio del cual se expide el Decreto Único Reglamentario del Sector
de Función Pública. Art. 2.2.22.1 y siguientes. Establece que el Plan
Anticorrupción y de Atención al Ciudadano hace parte del Modelo
Decreto 1083 de 2015
Integrado de Planeación y Gestión. Art. 2.2.21.6.1. Adopta la
actualización del Modelo Estándar de Control
Interno para el Estado Colombiano (MECI)
Consultar Normograma en GINA módulo Documentos/Reportes/Normograma
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 12 de 42
La gestión del riesgo se refiere a la arquitectura (principios, marco y etapas), que se deben ejecutar para
asegurar la gestión eficaz del riesgo.
Comprende el conjunto de “Actividades coordinadas para dirigir y controlar una organización con respecto al
riesgo19, y se compone de los siguientes elementos:
Fuente: OAP (2017) basados en la Guía para la Gestión del riesgo de Función Pública
Con el fin de lograr los objetivos establecidos en su planeación estratégica y misionalidad, el Departamento
Administrativo de Ciencia, Tecnología e Innovación – COLCIENCIAS, se compromete a instaurar y conservar
un sistema que permita y garantice la identificación, registro, análisis, evaluación, monitoreo y control de los
riesgos inherentes al desarrollo de la misión y el cumplimiento de los objetivos institucionales, promoviendo la
eficiencia administrativa y transparencia de la Entidad.
Para facilitar el cumplimiento de los propósitos y requerimientos del Sistema de Administración de Riesgos
(SAR), se mantendrá adecuada la estructura organizacional, el modelo de operación por procesos y los
roles, responsabilidades y autoridades de cada uno de los funcionarios y colaboradores de la entidad.
Con el fin de asegurar la comunicación y consulta, así como el establecimiento de roles, responsabilidades
y autoridades en la gestión del riesgo la Entidad cuenta con un Equipo de Líderes y responsable de
procesos, que esencialmente apoyan al área responsable del SAR en la recolección y evaluación de la
información sobre riesgos en cada una de las dependencias y procesos de la Entidad.
Para el tratamiento de riesgo la Entidad ejecutará acciones para evitar, reducir, transferir o asumir el riesgo
calificado como amenaza; para el caso de las oportunidades se promoverán las acciones para aumentar
los resultados esperados. Dichas opciones establecen las orientaciones para que los líderes,
responsables de procesos y en general las áreas de la Entidad, formulen las acciones que conforman el
plan manejo del riesgo.
Las disposiciones aplicables para la gestión del riesgo institucional, se encuentran en el Procedimiento de
Identificación, Análisis, Valoración, Seguimiento y Evaluación Del Riesgo G102PR06 y en la Guía para la
Gestión del Riesgo” G102PR06G01.
La consolidación de los riesgos identificados y el seguimiento a los mismos se llevará a cabo a través del
módulo “Gestión del Riesgo” del aplicativo GINA (Gestión Integrada Nuestra Aliada)20.
20La configuración que surja en el módulo riesgos de la herramienta GINA, será implementadas conforme a lo establecido
en el Manual de Usuario Riesgos Pro y Manual de Configuración Pro, documentados por la empresa proveedora
Pensemos.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 14 de 42
8. ROLES Y RESPONSABILIDADES
Con el fin de asegurar que las responsabilidades y autoridades para la gestión del riesgo se asignan y
comunican a los roles pertinentes, Colciencias determina las siguientes responsabilidades:
Oficina de Control Interno (OCI) Es el área responsable de verificar que en la entidad se establece,
implementa y mantiene la política de Administración del Riesgo. Así mismo tiene la responsabilidad de
hacer seguimiento a la evolución de los riesgos y al desarrollo de las acciones de mejora propuestas
por los responsables de procesos, de manera tal que se verifique su cumplimiento y se propongan
mejoras pertinentes.
En sus procesos de auditoría interna dicha oficina debe analizar el diseño e idoneidad de los controles,
determinando si son o no adecuados para prevenir o mitigar los riesgos de los procesos, haciendo uso
de las técnicas relacionadas con pruebas de auditoría que permitan determinar la efectividad de los
controles implementados para abordar las amenazas o vulnerabilidades.
Impulsa a nivel institucional una cultura de gestión del riesgo coherente con el Modelo Integrado de
Planeación y Gestión, el Modelo Estándar de Control Interno – MECI, el Modelo de Seguridad y
Privacidad de la Información y las Estrategias para la Construcción del Plan Anticorrupción y de
Atención al Ciudadano.
Así mismo la OAP es la responsable de consolidar los riesgos identificados en cada uno de los
procesos y realizar el respectivo cargue en la herramienta en GINA.
Líderes y responsable de proceso: Son los responsables de ejecutar cada una de las etapas de la
administración del riesgo desde el quehacer de cada uno de los procesos en los cuales participa,
aportando en la elaboración, revisión y actualización de los riesgos asociados a sus procesos y
garantizando la implementación de las acciones para el tratamiento de los mismos21.
21 Función Pública. Guía para la Administración del Riesgos de Corrupción. Bogotá, 2015. Página. 12
22 Función Pública. Guía para la Administración del Riesgo. Bogotá, 2015. Página. 30
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 15 de 42
Durante la aplicación de las acciones de seguimiento cada líder de proceso debe mantener la traza o
documentación respectiva de todas las actividades realizadas, para garantizar de forma razonable que
dichos riesgos no se materializarán y por ende que los objetivos del proceso se cumplirán23.
Las etapas definidas para la administración del riesgo en Colciencias, son las que se ilustra a continuación:
Fuente: OAP (2017) basados en la Guía administración del riesgo de Función Pública
Con el propósito de concentrar cada uno de las fases de administración del riesgo definidas en la presente guía,
se utilizará como herramienta el módulo de “Gestión del Riesgo” del sistema de información “GINA”.
23 Ibíd. p. 30
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 16 de 42
Ilustración 3 Relación de la gestión del riesgo en GINA y las fases de administración del riesgo en Colciencias
Con el fin de identificar los factores externos e internos que inciden en el desempeño de los procesos y en el
logro de las metas y objetivos establecidos en la planeación estratégica, se debe identificar el contexto externo,
interno y del proceso.
Ilustración 4 Características por tipo contexto
Algunos de los principales elementos que se deben tener en cuenta es el conocimiento de la entidad, es decir
la claridad de la misión, visión y objetivos institucionales, así como de los objetivos de los procesos estratégicos,
misionales, de apoyo y evaluación de Colciencias. De esta manera, es posible identificar los factores internos
y externos) que puedan generar riesgos en la Entidad y en consecuencia afectan el desempeño de la Entidad.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 17 de 42
Cuando se realiza el análisis del contexto externo es necesario identificar aquellas condiciones del entorno
políticas, económicas, sociales, tecnológicas, ambientales, legales, entre otras, que puedan llegar afectar tanto
los objetivos de los procesos como influenciar la dinámica de los aspectos asociados a la estructura
organizacional, asignación presupuestal, la gestión del talento humano, la imagen institucional, los trámites
internos de la Entidad y la gestión de los procesos.
En el establecimiento del contexto interno es necesario tener en cuenta la planeación institucional, el modelo
de operación por procesos, los recursos y conocimientos con que se cuenta (personas, procesos, sistemas,
tecnología), las relaciones con las partes interesadas y la cultura organizacional
En el análisis del contexto del proceso Se determinan las características o aspectos esenciales del proceso y
sus interrelaciones:
Ilustración 7 Factores contexto interno
Vale resaltar que la definición del contexto estratégico podrá ser modificada teniendo en cuenta las
actualizaciones del ejercicio de planeación institucional y los cambios del entorno.
Así pues, para surtir la etapa de contexto estratégico es perentorio como primera medida, incorporar al mapa
de riesgos aquellas causas (internas y externas) o agentes generadores de riesgo provenientes del entorno o
de la misma entidad que tienen la capacidad de originar un riesgo.
Definir el contexto estratégico contribuye al control de la entidad frente a la exposición al riesgo, ya que permite
conocer las situaciones generadoras de riesgos, a fin de abordarlas de forma adecuada y asegurar que se
logren los resultados previstos.
A continuación, se ilustran algunos factores que pueden ser generadores del riesgo, a fin de facilitar
identificación. Es importante asegurar que la descripción de la causa o agente generador, sea clara y ajustada
a la dinámica de la Entidad, a fin de permitir a los usuarios de consulta conocer detalladamente las
características relacionadas a los mismos:
En esta etapa se determinan las debilidades, amenazas, vulnerabilidades y oportunidades que inciden en la
gestión de la Entidad y en el desempeño de los procesos basados en el contexto estratégico definido.
Es importante centrarse en los riesgos más significativos para la entidad relacionados con los objetivos de los
procesos y los objetivos institucionales (Función Pública, 2014), centrándose en preguntas como ¿Qué puede
suceder?, ¿Cómo puede suceder?, ¿Cuándo puede suceder?, ¿Qué consecuencias tendría su materialización?
Para facilitar el proceso de identificación de los riesgos se recomienda tener en cuenta el conocimiento previo
de aquellas situaciones que puedan obstaculizar el cumplimiento de los objetivos, la obtención de un resultado,
la generación de procesos transparentes, el cumplimiento de requisitos legales o la satisfacción de un usuario,
para lo cual se debe tener en cuenta los siguientes aspectos:
Con el fin de facilitar la identificación de estos riesgos, se describen una serie de amenazas comunes para el
sistema de seguridad y privacidad de la información, con el fin de orientar la identificación de los riesgos
relacionados:
TIPO AMENAZA
Eventos Naturales Fenómenos volcánicos
Fenómenos meteorológicos
Perdida de los Fallas en el sistema de suministro de agua o aire acondicionado
Perdida de suministro de energía
servicios esenciales
Falla en equipo de telecomunicaciones
Perturbación debida a Radiación electromagnética
Radiación térmica
la radiación
Impulsos electromagnéticos
Interceptación de señales
Espionaje remoto
Hurto de medios o documentos
Hurto de equipos
Compromiso de la Recuperación de medios reciclados o desechados
información
Divulgación no autorizada
Datos provenientes de fuentes no confiables
Manipulación con software
Manipulación con hardware
Detección de información
Fallas del equipo
Mal funcionamiento del equipo
Fallas Técnicas Saturación del sistema de información
Mal funcionamiento del software
Incumplimiento del sistema de información
Uso no autorizado dele equipo
Copia fraudulenta del software
Acciones no
Uso de software falso o copiado
autorizadas
Corrupción de los datos
Procesamiento ilegal de datos
Error en el uso
Compromiso de las Abuso de derechos
Falsificación de derechos
funciones
Negación de acciones
Incumplimiento en la disponibilidad del personal
Fuente: Oficina TIC- Colciencias
Las vulnerabilidades del sistema de seguridad y privacidad de la información, son fallas o debilidades que
afectan la confidencialidad, integridad y disponibilidad de los sistemas. La identificación podrá obtenerse de
pruebas de vulnerabilidad, visitas, entrevistas y/o basados en los criterios que la Entidad vea necesarios.
Las posibles amenazas y vulnerabilidades que ocasionan la aparición de un riesgo sobre un activo de
información, se relacionan a continuación, teniendo en cuenta el tipo de activo:
24
La clasificación del riesgo y la descripción de los mismos han sido tomadas de la Guía de Administración del Riesgo
del DAFP de 2014.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 22 de 42
comunidad.
Riesgo de tecnología: se asocian con la capacidad de la Entidad para que la tecnología disponible
satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.
Riesgo de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía
hacia la institución.
Riesgo financiero: Se relacionan con el manejo de los recursos de la entidad que incluye, la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y
transparencia en el manejo de los recursos, así como su interacción con las demás áreas
dependerá en gran parte el éxito o fracaso de toda entidad.
Riesgo operativo: Comprende los riesgos relacionados tanto con la parte operativa como técnica
de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la
definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo
cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos
institucionales.
Riesgo de corrupción: Relacionados con acciones, omisiones, uso indebido del poder, de los
recursos o de la información para la obtención de un beneficio particular o de un tercero.
Tipología de riesgo: indica si el riesgo identificado es institucional y/o de corrupción, es necesario
generar una justificación del por qué corresponde a esta tipología.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 23 de 42
Nota: El riesgo identificado debe asociar como mínimo el objetivo del proceso. Según se requiera podrán
asociarse objetivos estratégicos o área involucrada (no obligatorios)
Causa o agentes generadores: Son los medios, las circunstancias, los sujetos u objetos que tienen
la capacidad de originar un riesgo (se identifican con base en lo establecido en el numeral de
Contexto).
Efectos: corresponde a las consecuencias relacionadas con la materialización del riesgo sobre los
objetivos institucionales. Dichos efectos pueden darse sobre las personas, bienes materiales e
inmateriales, sanciones legales, perdidas económicas, de información, daño en imagen, pérdida de
credibilidad y de confianza.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 24 de 42
El paso de valoración del riesgo incluye dos etapas que la desarrollan: el análisis y la evaluación de los riesgos,
que se continuación se describen:
Esta etapa busca establecer tanto la probabilidad de ocurrencia del riesgo como la consecuencia o impacto,
con el propósito de estimar la zona de riesgo inicial (riesgo inherente).
El análisis de frecuencia se podrá analizar de acuerdo al proceso, la disponibilidad de datos históricos, los
factores internos y externos o y/o la experiencia de los colaboradores de Colciencias que desarrollan dicho
proceso.
Impacto: Se entiende como las consecuencias que puede acarrear a la Entidad, la materialización del
riesgo. Se identifican el nivel de la consecuencia teniendo en cuenta los siguientes niveles:
Impacto (consecuencias)
Nivel Descriptor Impacto (consecuencias) Cualitativo
Cuantitativo
- No se afecta la imagen institucional de - Pago de sanciones económicas por
forma significativa. incumplimiento en la normatividad
aplicable ante un ente regulador, las
cuales afectan en un valor ≤0,5%del
presupuesto general de la entidad.
Si el hecho llegara a presentarse, Podría presentarse:
tendría bajo impacto o efecto sobre la - Impacto que afecte la ejecución
entidad, basados en aspectos como: presupuestal en un valor ≤1%.
- Pérdida de cobertura en la prestación
- Interrupción de las operaciones de la de los servicios de la entidad ≤5%.
Entidad por algunas horas. - Pago de indemnizaciones a terceros
- Reclamaciones o quejas de los por acciones legales que pueden
2 Menor
usuarios que implican investigaciones afectar el presupuesto total de la
internas disciplinarias. entidad en un valor ≤1%
- Imagen institucional afectada - Pago de sanciones económicas por
localmente por retrasos en la incumplimiento en la normatividad
prestación del servicio a los usuarios o - Aplicable ante un ente regulador, las
ciudadanos. cuales afectan en un valor ≤1%del
presupuesto general de la entidad.
Si el hecho llegara a presentarse, Puede presentar:
tendría medianas consecuencias o
efectos sobre la entidad, implicando: - Impacto que afecte la ejecución
- Interrupción de las operaciones de la presupuestal en un valor ≥5%
Entidad por un (1) día - Pérdida de cobertura en la prestación
- Reclamaciones o quejas de los de los servicios de la entidad ≥10%.
usuarios que podrían implicar una - Pago de indemnizaciones a terceros
denuncia ante los entes reguladores o por acciones legales que pueden
una demanda de largo alcance para la - afectar el presupuesto total de la
entidad. entidad en un valor ≥5%
3 Moderado - Inoportunidad en la información - Pago de sanciones económicas por
ocasionando retrasos en la atención a incumplimiento en la normatividad
los usuarios. aplicable ante un ente regulador, las
- Reproceso de actividades y aumento cuales afectan en un valor ≥5% del
de carga operativa. presupuesto general de la entidad.
- Imagen institucional afectada en el
orden nacional o regional por retrasos
en la prestación del servicio a los
usuarios o ciudadanos.
- Investigaciones penales, fiscales o
disciplinarias.
Si el hecho llegara a presentarse,
tendría altas consecuencias o efectos
4 Mayor sobre la entidad: - Impacto que afecte la ejecución
- Interrupción de las operaciones de la presupuestal en un valor ≥20%.
Entidad por más de dos (2) días.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 27 de 42
Impacto (consecuencias)
Nivel Descriptor Impacto (consecuencias) Cualitativo
Cuantitativo
- Pérdida de información crítica que - Pérdida de cobertura en la prestación
puede ser recuperada de forma parcial de los servicios de la entidad ≥20%.
o incompleta. - Pago de indemnizaciones a terceros
- Sanción por parte del ente de control u por acciones legales que pueden
otro ente regulador. - afectar el presupuesto total de la
- Incumplimiento en las metas y entidad en un valor ≥20%
objetivos institucionales afectando el - Pago de sanciones económicas por
cumplimiento en las metas de incumplimiento en la normatividad
gobierno. aplicable ante un ente regulador, las
- Imagen institucional afectada en el cuales afectan en un valor ≥20% del
orden nacional o regional por presupuesto general de la entidad.
incumplimientos en la prestación del
servicio a los usuarios o ciudadanos.
Si el hecho llegara a presentarse, - Impacto que afecte la ejecución
tendría desastrosas consecuencias o presupuestal en un valor ≥50%
efectos sobre la entidad: - Pérdida de cobertura en la prestación
de los servicios de la entidad ≥50%.
- Interrupción de las operaciones de la - Pago de indemnizaciones a terceros
Entidad por más de cinco (5) días. por acciones legales que pueden
- Intervención por parte de un ente de afectar el presupuesto total de la
control u otro ente regulador. entidad en un valor ≥50%
5 Catastrófico
- Pérdida de Información crítica para la - Pago de sanciones económicas por
entidad que no se puede recuperar. incumplimiento en la normatividad
- Incumplimiento en las metas y aplicable ante un ente regulador, las
objetivos institucionales afectando de cuales afectan en un valor ≥50% del
forma grave la ejecución presupuestal. presupuesto general de la entidad.
- Imagen institucional afectada en el
orden nacional o regional por actos o
hechos de corrupción comprobados.
Fuente: Guía para la Administración del Riesgo. Función Pública.2014
Para la calificación del impacto de los riesgos de corrupción se debe tener en cuenta que la esquela únicamente
puede contemplar los niveles de riesgo moderado, mayor, catastrófico, pues tratándose de riesgos de
corrupción el impacto siempre será negativo; en este orden de ideas, no aplica la descripción de riesgos
insignificante o menores25.
Una vez se tienen claros los factores de probabilidad e impacto es importante identificar los criterios aplicables
al riesgo que está siendo evaluado, de esta manera se determina el grado de exposición de la Entidad y se
distinguen las zonas de riesgo bajas, moderadas, altas y extremas. Este primer análisis, es llamado “Riesgo
Inherente” y se define como aquél al que se enfrenta una entidad en ausencia de acciones por parte de la
Dirección para modificar su probabilidad o impacto (Price Water House Cooper, 2005).
25 FUNCIÓN PÚBLICA. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 20.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 28 de 42
La valoración del riesgo se realiza a través de la comparación del resultado del análisis de los riesgos y los
controles implementados en la Entidad para gestionarlos, de esta manera es posible generar alertas para
el establecimiento de prioridad y políticas de manejo. Importante, para surtir esta etapa identificar los puntos
de control de los procesos institucionales.
Se consideran controles aquellas políticas, lineamientos, mecanismos o acciones que son aplicadas en la
institución para minimizar o mitigar las amenazas y vulnerabilidades o para potenciar aquellas oportunidades
sobre las cueles se quiere aumentar los efectos deseables, de manera que se garantice el desarrollo de las
actividades acorde con los requisitos institucionales.
Para llevar a cabo el proceso de evaluación es importante surtir las siguientes actividades:
Controles Operativos: Son aquellos enfocados a garantizar la correcta ejecución de las actividades,
mediante acciones de verificación, seguimiento o revisión, antes o durante el desarrollo de la
operación. Se encuentran documentados en los manuales, procedimientos, guías o instructivos
definidos para desarrollar dicha actividad; también hacen parte las funciones y responsabilidades
asignadas al personal, la infraestructura y todos los recursos dispuestos para la realización de dichas
actividades.
Controles Legales: Son aquellos en los cuales hacen parte la normatividad interna y externa
aplicable a la Institución. Por ejemplo, Acuerdos, Resoluciones, Políticas, etc.
Los controles definidos pueden ser identificados a través de los siguientes factores:
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 30 de 42
Estos controles deben estar registrados en el mapa de riesgos para identificarlos claramente y
unificar acciones frente a su conocimiento y aplicación en la gestión del riesgo analizado.
Determinar si los controles están documentados: Esta actividad permite conocer cómo se lleva a
cabo el control, quién es el responsable de su ejecución y cuál es la periodicidad para su ejecución,
lo cual la evidencia de manera objetiva la forma a través de la cual se ejecuta el mismo.
Los controles manuales son políticas de operación aplicables, autorizaciones a través de firmas o
confirmaciones vía correo electrónico, archivos físicos, consecutivos, listas de chequeo, controles de
seguridad con personal especializado, entre otros.
Determinar si los controles se están aplicando en la actualidad: Se analiza la medida en que los
controles no se quedan en el papel y son conocidos y ejecutados, por los responsables.
Determinar si los controles han sido efectivos para el tratamiento del riesgo: Un control se
considera efectivo, cuando garantiza que el riesgo inherente puede disminuir en probabilidad de
ocurrencia y/o severidad, minimizando el riesgo calificado como amenaza o vulnerabilidad.
Para los riesgos calificados como oportunidades, el control se considera efectivo en la medida que su
aplicación evidencia que se obtienen los efectos deseables esperados.
Para realizar la valoración de los controles se deben utilizar los siguientes criterios con el fin de orientar el
análisis objetivo de los controles y de este modo poder determinar el desplazamiento de la probabilidad de
ocurrencia y/o severidad en la Matriz de Evaluación de Riesgos.
Las calificaciones planteadas para cada aspecto deben ser usadas tal como están expresadas, aplicar el valor
asignado a cada aspecto si responde SI; cero (0) si responde NO. Es importante que no se asignen valores
intermedios para evitar subjetividad en el análisis, motivo por el cual Colciencias cuenta con la escala
parametrizada en el aplicativo GINA- Módulo de Gestión del Riesgo.
Esta etapa busca establecer tanto la probabilidad de ocurrencia del riesgo como la consecuencia o impacto,
final, teniendo en cuenta la calificación realizada a los controles existentes para gestionarlos.
El propósito de estimar la zona de riesgo después de la identificación de los controles, los cual nos permite
conocer el riesgo residual.
Dependiendo si el control identificado y calificado afecta probabilidad o el impacto se desplaza la zona del riesgo
inicial, en la matriz de evaluación del riesgo así:
Ilustración 13. Criterios para disminuir cuadrantes de acuerdo a calificación de los controles
El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos residuales priorizados. Con
el fin de optimizar los recursos disponibles y enfocar los esfuerzos institucionales, Colciencias establece como
prioridad el tratamiento de los riesgos ubicados en las zonas de riesgo altas y extremas.
La selección de los controles implica equilibrar los costos y los esfuerzos para su implementación, así como los
beneficios finales, por lo tanto, se deberá considerar aspectos como:
Viabilidad jurídica: Velar por que los controles que se van a implantar no vayan en contra de la
normatividad vigente.
Análisis de costo-beneficio: Prácticamente todas las respuestas a los riesgos implican algún tipo de
costo directo o indirecto que se debe sopesar en relación con el beneficio que genera. Se ha de
considerar el costo inicial del diseño e implementación de una respuesta (procesos, personal,
tecnología), así como el costo de mantener la respuesta de forma continua.
Este caso se puede dar específicamente para aquellos controles nuevos que requieren contrataciones
adicionales a los funcionarios que desarrollan los proceso o bien cuando se requiere diseñar e
implementar sistemas de información o tecnologías específicas para ejecutar el control.
El resultado obtenido a través de la valoración del riesgo es denominado también “Opciones de manejo” y este
involucra la selección de una o más acciones para modificar los riesgos y la implementación de las mismas, en
el marco del desplazamiento dentro de la matriz de calificación y permite determinar la selección de las
opciones de manejo del riesgo correspondiente, a continuación, se describe cada una de ellas:
Evitar el riesgo: refiere a las medidas orientadas a prevenir la materialización del riesgo; dicha opción
se toma cuando es posible generar al interior de los procesos cambios importantes asociados a
mejoramiento de actividades, controles adecuados, rediseño de procedimientos, entre otros. Ejemplo
de ello: mantenimiento preventivo de máquinas, identificación y documentación de acciones de
mejora, control de calidad, revisión continua de procesos.
Reducir el riesgo: asocia medidas para disminución la probabilidad (medidas preventivas) y el
impacto (medidas de protección), que implican menores esfuerzos en términos operativos y de costos.
A manera de ejemplo se tiene: optimización de procedimientos, implementación de nuevos
indicadores, etc.
Compartir o transferir el riesgo: Reduce el efecto del riesgo su efecto a través el traspaso de las
pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros
medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo
compartido DAFP (2011).
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 35 de 42
Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo
residual que se mantiene, en este caso, el gerente del proceso simplemente acepta la perdida
residual probable y elabora planes de contingencia para su manejo.
Incrementar el riesgo: Esta acción solo aplica para las oportunidades. Se refiere a la aplicación de
actividades que permitan aumentar las oportunidades identificadas con el fin de perseguir un efecto
deseado.
En el momento de explorar las opciones de manejo del riesgo, es necesario realizar un análisis detallado de
las acciones que se deben desarrollar con miras a establecer que estas sean factibles y efectivas. Algunos
posibles controles que se pueden considerar son: ejecución de las actividades planificadas en iniciativas
estratégicas que dan respuesta a la necesidad de tratamiento del riesgo, implementación de políticas de
operación en los procesos, optimización de procesos y procedimientos, estandarización de actividades,
generación sistemática de acciones preventivas
Para el caso de los riesgos de corrupción, las acciones de tratamiento que serán tenidas en cuenta son:
“Reducir” y “Evitar”.
Los planes de manejo son el conjunto de actividades (acciones) encaminadas a realizar el tratamiento del
riesgo, en ellos se identifica los responsables, las fechas de cumplimiento y los indicadores para medir la
eficacia de las acciones implementadas.
Adicionalmente, si al valorar los riesgos estos resultan en zona de riesgo “Alta” o “Extrema”, se puede
formular opcionalmente un Plan de Contingencia cuyo contenido proyecta aquellas acciones inmediatas a
ejecutar en caso de la materialización del riesgo. Esto evita que se presente inconvenientes en el
cumplimiento de los objetivos de la Entidad.
En GINA el Plan de Manejo de Riesgo podrá formularse a través del módulo de Planes o a través del módulo
de mejoras.
Para el caso las acciones de mejora formuladas para el tratamiento del riesgo deberán contener: nombre
del riesgo asociado, la tarea y descripción, la fecha de inicio y fecha finalización, responsable de su
ejecución. Para algunos casos se registran entregables que dan cuenta de la evidencia necesaria para
considerar como cumplido el compromiso.
Los responsables de las tareas deberán realizar sus reportes periódicos respecto al avance de las mismas,
de manera tal que la Oficina de Control Interno pueda realizar seguimiento a la efectividad de las medidas
para mitigar el riesgo.
Para los riesgos institucionales y del Modelo de Seguridad y Privacidad de la Información, Las frecuencias
de seguimiento y reporte de avances en el plan de tratamiento, por parte de los líderes y responsables de
proceso no deben superar los tres meses, de forma que permitan que el autocontrol realizado sea la base
para la toma de decisiones, y que se logren introducir correctivos en el momento adecuado.
Para el caso de los riesgos de corrupción, la periodicidad de su establecimiento, revisión, actualización y
seguimiento, se ejecutará de conformidad con las fechas establecidas por la guía denominada “Estrategias
para la construcción del plan anticorrupción y de atención al ciudadano”.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 36 de 42
Una vez se han implementado el plan de manejo del riesgo, se debe realizar un monitoreo a través de
seguimientos programados, evaluaciones o auditorías. Con esto, se evalúa la efectividad de las medidas y si
estás han impactado en términos de la disminución de la valoración del riesgo o si las circunstancias han podido
alterar las prioridades del mismo
Para el caso de la Entidad, el monitoreo y revisión de los riesgos está en cabeza de la Oficina de Control Interno,
quien partir de los avances reportados por los responsables de la gestión de los riesgos, generará un informe
que identificará las necesidades de revisión, actualización o mejora en el mapa de riesgos, teniendo en cuenta
los siguientes aspectos:
Los responsables de proceso podrán revisar el informe realizado y generar las observaciones pertinentes.
Vale resaltar que el cumplimiento de las acciones deberá estar sustentada a través de evidencia objetiva
(cumplimiento de actividades planificadas en las iniciativas estratégicas, actas, listados, correos,
documentos, imágenes, etc.) y esta deberá ser cargada como sustento para dar cuenta de los avances
efectivos en la mitigación del riesgo en el plan manejo del riesgo cargado en GINA.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 37 de 42
El mapa de riesgos debe ser actualizado cuando el proceso evaluado presente cambios organizacionales, como
objetivo, alcance y/o actividades, o cuando el contexto estratégico presente un cambio significativo que requiere
la revisión completa de los riesgos gestionados, teniendo como mínimo una revisión y/o actualización anual a
partir de última fecha de revisión.
Los riesgos identificados podrán ser actualizados de forma individual, cuando así se requiere, tomando como
insumos las necesidades de ajuste identificadas en auditorías internas, revisión por la dirección, auditorías
externas o resultado de las acciones de seguimiento y autocontrol ejecutadas por los líderes y responsables de
proceso.
La actualización o ajuste estará a cargo de los líderes y responsables de procesos, quienes con el
acompañamiento de la Oficina Asesora de Planeación y basados en las recomendaciones de seguimiento
generadas por la Oficina de Control Interno, auditorías internas, revisión por la dirección o auditorías externas
procederán a realizar los ajustes de los riesgos a su cargo.
Teniendo en cuenta que la comunicación y consulta con las partes involucradas tanto internas como externas
debe tener lugar durante todas las etapas del proceso para la gestión del riesgo, Colciencias determina las
siguientes actividades:
El mapa de Riesgos de Colciencias, deberá ser divulgado y estará cargado en la plataforma GINA para
consulta de la Comunidad Colciencias. A partir de esto, los funcionarios y colaboradores podrán revisar
y retroalimentar en términos de aportar su conocimiento en la identificación, análisis y valoración del
riesgo, así como en la ejecución de las acciones definidas para el tratamiento de los riesgos priorizados.
Los líderes y responsables de cada proceso deben divulgar y sensibilizar al interior de sus dependencias
el mapa de riesgos junto con el plan de manejo y políticas de operación que se derivan.
La Oficina Asesora de Planeación y la Oficina de Control Interno, impulsarán a nivel institucional una
cultura de gestión del riesgo, a través de capacitaciones, mesas de trabajo y asesorías, con el fin de
mejorar el conocimiento y apropiación del enfoque basado en riesgos.
Las acciones de tratamiento de los riesgos priorizados que involucren partes interesadas o terceros,
serán dadas a conocer, por parte de los líderes y responsables de cada proceso.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 38 de 42
Teniendo en cuenta que el Gobierno Nacional viene impulsando y desarrollando diferentes políticas públicas
con miras a disminuir los niveles de corrupción en todos los ámbitos. La Secretaría de Transparencia de la
Presidencia de la República en cumplimiento del artículo 73 de la Ley 1474 de 2011 diseñó una metodología
para que todas las entidades determinen su Plan Anticorrupción y de Atención al ciudadano, la cual contempla
como uno de sus componentes el levantamiento de los mapas de riesgos asociados a posibles hechos de
corrupción.
Entendiendo que los riesgos de corrupción se convierten en una tipología de riesgos que debe ser controlada
por la entidad, éstos deben incorporarse en primera instancia en el mapa de riesgos del proceso, sobre el cual
se han identificado, de modo tal que el responsable o líder del mismo pueda realizar el seguimiento
correspondiente, en conjunto con los riesgos de gestión propios del proceso, evitando que se generen mapas
separados de gestión y de corrupción, lo que promueve que el responsable tenga una mirada integral de todos
los riesgos que pueden llegar a afectar el desarrollo de su proceso.
En este sentido, es importante precisar que el seguimiento a los riesgos de corrupción en primer lugar es
responsabilidad de los líderes de los procesos en los cuales fueron identificados, así mismo de la oficina de
planeación quien realiza seguimiento y finalmente de la Oficina de Control Interno quien es la encargada de
evaluar las efectividad de los controles y determinar si se han materializado o no este tipo de riesgos.
El Colciencias, la no conformidad que se presenta en un producto o servicio prestado aplicable para todos los
procesos se relaciona directamente con la materialización de los riesgos identificados para los mismos. De esta
manera, es importante revisar la matriz “Matriz de identificación del producto servicio no conforme”, la cual
establece que una se detecta la materialización es necesario analizar el efecto del riesgo materializado y en
seguida generar acción correctiva de ser requerido.
El tratamiento respectivo del Producto y Servicio No Conforme, se realiza de acuerdo con lo establecido “Control
de Producto y Servicio No Conforme G102PR07” y sigue los lineamientos que allí se registran.
CODIGO:
G102PR06G01
GUIA PARA LA GESTIÓN DEL Versión 01
RIESGO Fecha Rige a partir de
su liberación en GINA
Página 39 de 42
BIBLIOGRAFÍA
COSO, FLAI, PRICE WATERHOUSE COOPERS (2005). Administración de Riesgos Corporativos –Marco
Integrado (Técnicas de aplicación).
DEPARTAMENTO NACIONAL DE PLANEACION -DNP (2015). Estrategias para la construcción del Plan
Anticorrupción y de Atención al Ciudadano, Pág. 6.
ANEXO NRO 1
Explicación de la fortaleza de los riesgos en GINA
La configuración de la valoración de controles en GINA permite configurar los valores y colores que aplicarán
para la escala de valoración, así como las preguntas y opciones de respuesta que determinarán la fortaleza de
cada control. Para ello, se cuenta con dos pestañas:
• Escala de valoración
• Preguntas de valoración
a. Valoración
Para la escala de valoración es posible determinar los rangos y colores que aplicarán para la escala de
valoración de controles. De manera predeterminada, la pestaña traerá la siguiente configuración:
Sin embargo, es posible configurar: cambiar el color que aplica para cada rango, cambiar el porcentaje del límite
máximo de cada rango y definir el número de casillas que se permitirá mover el riesgo en la matriz si el cálculo
de la fortaleza del conjunto de controles queda en ese rango.
Los porcentajes elegidos aplican de manera exacta. Por ejemplo, si el rango Débil va de 0 – 60%, entonces si
la valoración de un control llega a 60%, el sistema lo asigna en el rango Débil. No obstante, si llega a cualquier
valor superior a 60, así sea un 60.001, ya hará parte del siguiente rango, es decir el rango Moderado.
Lo cual quiere decir que si la calificación del conjunto de controles es débil, el riesgo no podrá moverse de su
ubicación actual en la matriz. Si la calificación del conjunto de controles es moderada, entonces el riesgo podrá
desplazarse sólo una casilla en dirección a la escala que aplique: probabilidad y/o impacto. Y si es la calificación
del conjunto de controles es fuerte, entonces podrá moverse libremente en dirección hacia la escala que aplique:
probabilidad y/o impacto.
El plan de manejo de riesgo para la vigencia correspondiente contiene categorías que dan tipificadas de la
siguiente forma:
Luego a las categorías se les asocia las tareas que en específico constituyen aquellas actividades orientadas
a manejar el riesgo. Estas suelen estar planeadas de manera periódica e incluyen unos campos mínimos a
seguir: Nombre Tarea, Descripción, Responsable, Fecha Inicio, Fecha Final y peso asociado26.
El responsable de la tarea deberá realizar el reporte correspondiente del período junto con la evidencia de la
gestión realizada. Una vez culminada dicha tarea esta deberá ser enviada para revisión y aprobación teniendo
en cuenta lo siguiente:
Revisión de tarea: Se revisa que los responsables hayan reportado en GINA el avance sobre las actividades
planeadas. Esta revisión la hace la OAP y simplemente radica en verificar que los planes realmente se hagan
y se evidencien a través del reporte en GINA.
Aprobación de tarea: Se revisa que haya reporte y soporte o evidencia que dé cuenta de la ejecución de la
tarea en GINA. Esta aprobación es realizada por la OAP y solo es de forma, por cuanto la eficacia de la acción,
como se indica en el pantallazo, es verificada por la Oficina de Control Interno en sus seguimientos periódicos.
El compromiso de la OCI en cuanto a seguimiento a riesgos está incorporado en el programa Cero
Improvisación de la planeación estratégica institucional.
26El peso para el caso del plan manejo de riesgo es el mismo para cada una de las tareas (1). Más adelante
las áreas podrán definir el peso de sus tareas de acuerdo a su importancia.