ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE

PROCESO CÓDIGO ASPD03

GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

ELABORÓ: REVISÓ: APROBÓ:

Profesional Oficina Asesora de Planeación Jefe Oficina Asesora de Planeación Jefe Oficina Asesora de Planeación
FECHA: FECHA: FECHA:
08/08/2014 14/08/2014 21/08/2014
Administrar los riesgos institucionales mediante la identificación, clasificación, evaluación, valoración y seguimiento de los
OBJETIVO
controles establecidos con el fin de prevenir y mitigar los eventos generados por su materialización.
Inicia con la identificación del contexto estratégico de la Institución, continúa con la clasificación, evaluación y valoración por tipo
ALCANCE de riesgo acorde a la metodología de cada subsistema; y finaliza con el seguimiento de los controles establecidos para la
mitigación del riesgo.
ÁMBITO DE
Este procedimiento aplica para todos los procesos y subsistemas del Sistema Integrado de Gestión.
APLICACIÓN
DEFINICIONES
Acciones: Mecanismos o estrategias a llevar a cabo para evitar, reducir, asumir o compartir el riesgo.
Análisis de Riesgos: Establecimiento de la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y
evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores se
entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.
Consecuencias: Constituyen los efectos de la ocurrencia del riesgo sobre los objetivos de la entidad.
Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan
negativamente el cumplimiento de la misión y objetivos de la institución. Las situaciones del entorno o externas pueden ser de carácter social,
cultural, económico, tecnológico, político y legal, bien sean internacionales, nacionales o regionales según sea el caso de análisis. Las
situaciones internas están relacionadas con la estructura, cultura organizacional, el modelo de operación, el cumplimiento de los planes y
programas, los sistemas de información, los procesos y procedimientos y los recursos humanos y económicos con los que cuenta una entidad.
Se deben establecer los objetivos, las estrategias, el alcance y los parámetros de las actividades de la entidad o de aquellos procesos donde se
aplicará la metodología para poder iniciar el análisis de contexto estratégico.
Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la
continuidad del servicio en caso de llegarse a materializar el riesgo.
Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o
los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de
información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Evaluación: Nivel en que se encuentra el riesgo, resultado de calificar el riesgo con base en la probabilidad y el impacto de éstos.
Pág. 1 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

Impacto: Grado en que las consecuencias pueden generar pérdidas a la entidad si se llega a materializar el riesgo.
Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el
fin de dar continuidad a los objetivos de la entidad.
Plan de Tratamiento: Conjunto de actividades asociadas, tales como las acciones preventivas, dirigidas a la mitigación del riesgo, donde se
definen tiempos y responsables.
Probabilidad: Frecuencia o factibilidad de ocurrencia del Riesgo.
Responsables: Dependencias, áreas o funcionarios encargados de asegurar la ejecución de las acciones para el tratamiento de los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar
el logro de sus objetivos.
Riesgos institucionales: De corrupción, de gestión, ambientales, de seguridad de la información y de seguridad y salud en el trabajo.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y,
en general, con su compromiso ante la comunidad.
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca en asuntos globales
relacionados con la misión, el cumplimiento de los objetivos estratégicos y la clara definición de políticas, diseño y conceptualización de la entidad
por parte de la alta gerencia.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los
estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.
Riesgo Inherentes: Riesgo calificado confrontando el estado de los controles.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la
definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias.
Riesgo Residual: Riesgo identificado sin tener en cuenta los controles.
Riesgos de Seguridad y Privacidad de la información: Relacionados con el tratamiento y preservación de la confidencialidad, integridad y
disponibilidad de la información.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades, actuales y futuras, y el
cumplimiento de la misión.
Valoración: Resultado de confrontar el riesgo con la calidad de los controles existentes.

Pág. 2 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO
PROCEDIMIENTO
REQUISITO LEGAL
Ley 1474 de 2011 “por la cual se dictan normas orientadas a
fortalecer los mecanismos de prevención, investigación y sanción de
actos de corrupción y la efectividad del control de la gestión pública.”
Ley 970 de 2005 “por medio de la cual se aprueba la "Convención de
las Naciones Unidas contra la Corrupción", adoptada por la Asamblea
General de las Naciones Unidas
CÓDIGO ASPD03
GESTIÓN
ADMNISTRACIÓN DE RIESGOS VERSIÓN 4
NORMAS
DIRECTRIZ DE CUMPLIMIENTO
Artículo 73. Las entidades de la rama ejecutiva deben elabora un Plan
Anticorrupción y de Atención al Ciudadano. Reglamentado por el Decreto
Nacional 2641 de 2012. Cada entidad del orden nacional, departamental
y municipal deberá elaborar anualmente una estrategia de lucha contra la
corrupción y de atención al ciudadano. Dicha estrategia contemplará,
entre otras cosas, el mapa de riesgos de corrupción en la respectiva
entidad, las medidas concretas para mitigar esos riesgos, las estrategias
anti trámites y los mecanismos para mejorar la atención al ciudadano.
El Programa Presidencial de Modernización, Eficiencia, Transparencia y
Lucha contra la Corrupción señalará una metodología para diseñar y
hacerle seguimiento a la señalada estrategia.
Parágrafo. En aquellas entidades donde se tenga implementado un
sistema integral de administración de riesgos, se podrá validar la
metodología de este sistema con la definida por el Programa Presidencial
de Modernización, Eficiencia, Transparencia y Lucha contra la
Corrupción.
Que mediante el numeral 2 del artículo 9 se establece que: “Cada Estado
Parte, de conformidad con los principios fundamentales de su
ordenamiento jurídico, adoptará las medidas necesarias para establecer
sistemas apropiados de contratación pública, basados en la
transparencia, la competencia y criterios objetivos de adopción de
decisiones, que sean eficaces, entre otras cosas, para prevenir la
corrupción. Esos sistemas, en cuya aplicación se podrán tener en cuenta
valores mínimos apropiados, deberán abordar, entre otras cosas:
Pág. 3 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO
GESTIÓN
PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS
Ley 872 de 2003 "por la cual se crea el sistema de gestión de la
calidad en la Rama Ejecutiva del Poder Público y en otras entidades
prestadoras de servicios".
Ley 489 de 1998 “por la cual se dictan normas sobre la organización
y funcionamiento de las entidades del orden nacional, se expiden las
disposiciones, principios y reglas generales para el ejercicio de las
atribuciones previstas en los numerales 15 y 16 del artículo 189 de la
Constitución Política.”
Ley 87 de 1993 “por la cual se establecen normas para el ejercicio
del control interno en las entidades y organismos del Estado y se
dictan otras disposiciones”
Decreto 943 de 2014 “por la cual se modifica el Decreto 1599 de
2005, por medio del cual se adoptó el Modelo Estándar de Control
Interno -MECI- para el Estado Colombiano”
Decreto 4485 de 2009 “por medio la de la cual se adopta la
actualización de la norma técnica de Calidad en la Gestión Pública.”
Ley 734 de 2002 “por la cual se expide el Código Disciplinario Único”
CÓDIGO ASPD03
VERSIÓN 4
d) Sistemas eficaces y eficientes de gestión de riesgos y control interno.”
Las entidades de la rama ejecutiva deben, Identificar y diseñar, con la
participación de los servidores públicos que intervienen en cada uno de
los procesos y actividades, los puntos de control sobre los riesgos de
mayor probabilidad de ocurrencia o que generen un impacto considerable
en la satisfacción de las necesidades y expectativas de calidad de los
usuarios o destinatarios, en las materias y funciones que le competen a
cada entidad.
Principios de la función administrativa. La función administrativa se
desarrollará conforme a los principios constitucionales, en particular los
atinentes a la buena fe, igualdad, moralidad, celeridad, economía,
imparcialidad, eficacia, eficiencia, participación, publicidad,
responsabilidad y transparencia. Los principios anteriores se aplicarán,
igualmente, en la prestación de servicios públicos, en cuanto fueren
compatibles con su naturaleza y régimen.
 Proteger los recursos de la organización buscando su adecuada
administración ante posibles riesgos que los afectan.
 Definir y aplicar medidas para prevenir los riesgos, detectar y
corregir las desviaciones que se presenten en la organización y
que puedan afectar el logro de los objetivos
El cual se elaboró teniendo como referente tendencias internacionales
existentes sobre la materia entre las que se pueden destacar el COSO
(Committee of Sponsoring Organizations of the Treadway Commission).
Las entidades de la rama ejecutiva deben, establecer controles sobre los
riesgos identificados y valorados que puedan afectar la satisfacción del
cliente y el logro de los objetivos de la entidad.
Las entidades de la rama ejecutiva deben, identificar los riesgos de
mayor probabilidad e impacto.
Artículo 34. Deberes. Son deberes de todo servidor público:
5.    Custodiar y cuidar la documentación e información que por razón de
Pág. 4 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

su empleo, cargo o función conserve bajo su cuidado o a la cual tenga

acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o
utilización indebidos.

Artículo 48. Faltas gravísimas. Son faltas gravísimas las siguientes:

43. Causar daño a los equipos estatales de informática, alterar, falsificar,
introducir, borrar, ocultar o desaparecer información en cualquiera de los
sistemas de información oficial contenida en ellos o en los que se
almacene o guarde la misma, o permitir el acceso a ella a personas no
autorizadas.

Artículo 2.2.9.1.1.2. Ámbito de Aplicación: Serán sujetos obligados de

Decreto 1078 2015: Titulo 9 Políticas y Lineamientos de Tecnologías las disposiciones contenidas en el presente capítulo las entidades que
de la Información – Capítulo 1 Estrategia de Gobierno en conforman la Administración Pública en los términos del artículo 39 de la
Línea – Sección 1 Objeto, Ámbito de Aplicación, Ley 489 de 1998 y los particulares que cumplen funciones
Definiciones, Principios y Fundamentos administrativas.

Por la cual se dictan disposiciones generales para la protección de datos.

Esta ley busca proteger los datos personales registrados en cualquier
base de datos que permite realizar operaciones, tales como recolección,
Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para
almacenamiento, uso, circulación o supresión por parte de entidades de
la protección de datos personales”
naturaleza pública y privada, sin embargo, a los datos financieros se les
continúa aplicando la Ley 1266 de 2008, excepto los principios.

Regula el derecho de acceso a la información pública, los procedimientos

Ley 1712 de 2014 “Por medio de la cual se crea la Ley de
Transparencia y del Derecho de Acceso a la Información Pública
Nacional y se dictan otras disposiciones”
para el ejercicio y garantías del derecho y las excepciones a la publicidad
de la información. Toda persona puede conocer sobre la existencia y
acceder a la información pública en posesión o bajo control de los sujetos
obligados. El acceso a la información solamente podrá ser restringido
excepcionalmente.

Pág. 5 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

POLÍTICAS DE OPERACIÓN
1. La consolidación del mapa de riesgos institucionales debe ser un trabajo participativo de las diferentes dependencias de la Entidad que
integran los procesos.
2. La Oficina Asesora de Planeación es el líder metodológico en la administración de riesgos, sin embargo, cada jefe de dependencia es el
responsable de la administración de los mismos en su área.
3. Se deben integrar en el mismo instrumento los riesgos institucionales (de corrupción, de gestión, ambientales, de seguridad de la información
y de seguridad y salud en el trabajo) los cuales serán diferenciados en matrices independientes en el mismo documento.
4. La revisión de las Matrices de Riesgos se realizará cuando los cambios institucionales y/o normativos lo exijan o al menos una vez en el año,
así mismo deberá tenerse en cuenta, lo establecido en el acto administrativo que ordena el desarrollo de las reuniones de autoevaluación.
5. Los riesgos institucionales de corrupción y de gestión, seguirán los lineamientos establecidos en las Guías para la administración del riesgo
expedidas por el Departamento Administrativo de la Función Pública en su última versión.
6. Para el establecimiento de los riesgos de corrupción se tomará como referente la Guía de Estrategias para la construcción del Plan
Anticorrupción y de Atención al Ciudadano expedida por Secretaria de Transparencia del Departamento Administrativo de la Presidencia de la
Republica.
7. Este procedimiento se centrará en establecer las actividades para la identificación y administración de los riesgos institucionales por proceso
de acuerdo con el lineamiento establecido en la Norma Técnica de la Calidad para la Gestión Pública.
8. Para el establecimiento de los riesgos de seguridad y privacidad de la información, se tomará como referente la Guía Metodológica para el
Análisis de Riesgos de Seguridad y Privacidad de la información formulada para el Subsistema de Seguridad de la Información.
9. Para la identificación de peligros, evaluación del riesgo y determinación de controles de seguridad y salud en el trabajo, se tomará como
referente la GTC 45 en su última versión.
10. Para la identificación de los riesgos ambientales, se tomará como referente la Guía de identificación y seguimiento de Aspectos e Impactos
Ambientales.
11. En desarrollo del principio de Transparencia de la NTC-GP 1000:2009 y en aplicación de los preceptos establecidos en las obligaciones de
cumplimiento de los estándares y normas que enmarcan el Sistema Integrado de Gestión, los funcionarios y contratistas de la Entidad
deberán seguir los lineamientos del Manual de Ética y Buen Gobierno (ASMN03), creando conciencia del control ético y vivenciando la ética;
diligenciando el formato Acta de Compromiso Ético Código ASFT19.
12. El responsable de administrar y gestionar los riesgos por subsistema corresponde a cada líder operativo:

a) Subsistema de Gestión de la Calidad (SGC) - Oficina Asesora de Planeación;

Pág. 6 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

b) Subsistema de Seguridad en la Información (SSI) - Oficina de Tecnologías de la Información

c) Subsistema de Seguridad y Salud en el Trabajo (S&ST) - Secretaría General / Grupo de Talento Humano

c) Subsistema de Gestión Ambiental (SGA) - Secretaría General - Grupo de Recursos Físicos

DESCRIPCIÓN DEL PROCEDIMIENTO

ACTIVIDAD / ÁREA
DESCRIPCIÓN ÁREA
TAREA CARGO PARTICIPAN REGISTRO
¿CÓMO? RESPONSABLE
¿QUÉ? TE
Cada líder operativo de cada subsistema
acorde a la matriz de roles y
responsabilidades código ASFT14 y a la
Política de operación No. 12, dependiente
de la naturaleza del riesgo y la metodología
definida, debe conformar grupos de trabajo, Oficina Asesora
que pueden ser establecidos por procesos de Planeación
o por dependencias. Es importante tener
en cuenta que en los grupos deben Oficina de Todas las
Conformar grupos
1 participar los líderes de proceso, los jefes Tecnologías de la Profesional dependencias
de trabajo.
de área y los profesionales que tengan Información de la entidad
incidencia directa en la ejecución de los
procesos. Secretaría
General
Para llevar a cabo las reuniones se debe
definir la logística requerida en aspectos Líder de
tales como lugar de la reunión, formatos a subsistema
utilizar, ayudas audiovisuales y plan de
trabajo.
2 Realizar reunión Cada líder de subsistema acorde al plan Oficina Asesora Profesional Todas las Lista de asistencia
Pág. 7 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

gerencial de la política, realizará las

reuniones pertinentes y solicitará de
manera activa la participación del líder de
los procesos y de los funcionarios
asistentes.

Cada líder se guiará para la identificación

del riesgo en las metodologías establecidas
por cada subsistema:

Subsistema de la calidad, Guía práctica

de Planeación
para la consolidación del componente de
Administración del Riesgo, identificada con
Secretaría
para la el código ASGU03 en su última versión.
General áreas de la
identificación de (Código ASFT04)
Entidad
los riesgos. Subsistema de seguridad y salud en el
Oficina de
trabajo, guía técnica colombiana GTC 45
Tecnologías de la
en su última versión.
Información
Subsistema de gestión ambiental, Guía de
identificación y seguimiento de Aspectos e
Impactos Ambientales identificada con el
código ASGU04.

Subsistema de seguridad de la información,

Guía metodológica de análisis de riesgos
de seguridad de la información con el
código ASGU05.

3 Identificar el El líder del subsistema identifica los Líder de Contexto de cada

contexto para factores internos y externos a la Entidad subsistema Profesional subsistema
cada subsistema. que pueden generar riesgos que afecten el
Pág. 8 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

cumplimiento de sus objetivos. El análisis

se realiza a partir del conocimiento de
situaciones del entorno de la Entidad, tanto
de carácter social, económico, cultural, de
orden público, político, legal y/o cambios
tecnológicos, ambientales, seguridad y
salud en el trabajo, entre otros; y las
particularidades internas de la entidad
como la asignación presupuestal, las
competencias del personal, los procesos
internos, seguridad y salud en el trabajo
entre otros. Ver Guías metodológicas
correspondientes a cada subsistema de
gestión.
4 Identificar, Una vez han sido definidos los insumos Líder de Profesional Riesgos
evaluar y valorar necesarios a partir del análisis del contexto subsistema identificados,
los riesgos. estratégico, el líder del subsistema evaluados y
Identifica, evalúa y valora los riesgos valorados de cada
acordes a la metodología definida por cada subsistema
subsistema de gestión, relacionadas a
continuación:

Subsistema de la calidad, Guía práctica

para la consolidación del componente de
Administración del Riesgo, identificada con
el código ASGU03 en su última versión.

Subsistema de seguridad y salud en el

trabajo, guía técnica colombiana GTC 45
en su última versión.

Subsistema de gestión ambiental, Guía de

Pág. 9 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

identificación y seguimiento de Aspectos e

Impactos Ambientales identificada con el
código ASGU04.

Subsistema de seguridad de la información,

Guía metodológica de análisis de riesgos
de seguridad de la información con el
código ASGU05.
El líder del subsistema junto con el líder del
proceso debe confrontar los resultados del
análisis y evaluación del riesgo para definir
los controles.

Es necesario considerar que, al establecer

los puntos de control, estos nos deben
Establecer Todas las
permitir obtener información precisa y Líder del Mapa de riesgos
5 controles a los Profesional áreas de la
oportuna para efectos de tomar decisiones subsistema institucional
riesgos. Entidad
sobre la forma de administrar los riesgos.

Para la identificación del método

establecido para la creación de controles y
la aplicación del tratamiento del riesgo, ver
guía metodológica por subsistema.

6 Estructurar el De acuerdo a las metodologías definidas Líder del Profesional Todas las Mapa de Riesgos
mapa de riesgos para tal fin, se construyen las Matrices de subsistema áreas de la institucional (matriz
institucionales. riesgos exigidas para cada subsistema. Entidad de riesgos de
gestión ASFT12,
Es importante destacar que este
documento integrará los diferentes tipos de matriz de aspectos
riesgos institucionales: de corrupción, de e impactos
gestión y los de cada uno de los ambientales,
Pág. 10 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

ASFT17,

matriz de
subsistemas del Sistema Integrado de identificación de
Gestión: Subsistema de Seguridad de la peligros,
Información, Subsistema Ambiental y evaluación y
Subsistema de Seguridad y Salud en el valoración de
Trabajo. Estos últimos se integrarán en la riesgos, STFT01,
medida en que se formulen y se
homologuen o articulen con los riesgos matriz de
institucionales. valoración de
activos y análisis
Para soportar su estructuración se debe de riesgos de
tomar como referentes la Guía Básica de seguridad de la
Administración del Riesgo expedida por el información
Departamento Administrativo de la Función ASFT22
Público identificado con el código ASDE01,
y el documento denominado “Estrategias Componentes Plan
para la construcción del Plan Anticorrupción y
Anticorrupción y de Atención al Ciudadano” Atención al
identificado con el código PIDE04, según Ciudadano:
sea el caso. Componente Mapa
de Riesgos de
Corrupción
PIFL01)
7 Ajustar política de Cada líder de subsistema, una vez Líder de Profesional Todas las Política de
administración de consolidado el mapa de riesgos subsistema áreas de la Administración del
riesgo. institucionales, procede a la revisión y Entidad Riesgo (código
actualización de la Política de ASPO07)
Administración de Riesgos, si es pertinente,
la cual establece los lineamientos para la
identificación y tratamiento de los riesgos
Pág. 11 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

con el fin de tomar las decisiones más

apropiadas para mitigar el efecto de estos
riesgos sobre el cumplimiento de los
objetivos institucionales. De igual forma, en
esta política se establecen las guías de
acción frente a este asunto a todos los
servidores de la Entidad.

En el ajuste de la política, se debe tener en

cuenta los siguientes aspectos: directrices
que se esperan lograr, los objetivos para el
cumplimiento de las mismas, plan gerencial
para la ejecución de las directrices.

La Oficina Asesora de Planeación deberá Oficina Asesora

liderar la socialización de la Política de de Planeación
Administración de Riesgos, para lo cual se
Listas de
Socializar y soportará en la Oficina Asesora de Oficina Asesora
asistencia
comunicar la Comunicaciones Estratégicas e Imagen de Todas las
Jefes de (Código ASFT04) o
8 Política de Institucional y con el grupo Gestión de Comunicaciones áreas de la
Áreas Correo interno o
administración del Talento Humano, en tal sentido, y de Estratégicas e Entidad
Memorando o
Riesgo. manera conjunta, se definirán las Imagen
Profesional Carteleras
respectivas estrategias. El profesional Institucional
asignado deberá registrar en los medios
destinados para tal fin, dicha socialización. Grupo Gestión de
Talento Humano
9 Evaluar y realizar El monitoreo es esencial para asegurar que Oficina de Delegados, Todas las Informe de
seguimiento. las acciones se están llevando a cabo y Control Interno Jefes de áreas de la Auditoría (código
evaluar la eficiencia en su implementación oficina, Entidad COFL02)
adelantando revisiones sobre la marcha Oficina Asesora Secretario
para evidenciar todas aquellas situaciones de Planeación General.
o factores que pueden estar influyendo en Profesional
Pág. 12 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

la aplicación de las acciones preventivas.

El monitoreo debe estar a cargo del líder

del proceso y la Oficina de Control Interno.
Su finalidad principal es la de aplicar y
sugerir los correctivos y ajustes necesarios
Todas las áreas
para asegurar un efectivo manejo del
de la Entidad
riesgo.
Líder del
La Oficina de Control Interno dentro de sus
subsistema
funciones realizará el seguimiento y
evaluación de la administración de los
riesgos. El resultado de este seguimiento
se verá en el Informe de Auditoría
correspondiente.

PUNTOS DE CONTROL
ID NOMBRE DE LA ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO
/ TAREA
El líder del subsistema establece los
Una vez al año
puntos de control, los cuales deben Líder de
Establecer controles a los o por cambios Mapa de riesgos
5 permitir obtener información precisa y subsistema
riesgos. institucionales institucional
oportuna para efectos de tomar decisiones
y/o normativos
sobre la forma de administrar los riesgos.
Revisión y actualización de la Política de
Administración de Riesgos, si es Una vez al año Política de
Líder de
Ajustar política de pertinente, la cual establece los o por cambios Administración del
7 subsistema
administración de riesgo. lineamientos para la identificación y institucionales Riesgo (código
tratamiento de los riesgos con el fin tomar y/o normativos ASPO07)
las decisiones más apropiadas
Pág. 13 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

El líder de subsistema evalúa la eficiencia

en su implementación adelantando
revisiones sobre la marcha para evidenciar Aplicativo de
Una vez al año
todas aquellas situaciones o factores que Líder de planeación y gestión
Evaluar y realizar o por cambios
9 pueden estar influyendo en la aplicación de subsistema
seguimiento. institucionales
las acciones preventivas. Informe de Auditoría
y/o normativos
(código COFL02)
Emisión de informes de auditorías por
parte de la oficina de control interno.

ANÁLISIS DE TIEMPO
Los tiempos determinados para este procedimiento son: para la elaboración del mapa de riesgos un (1) mes; y para la revisión anual un (1) mes.

Pág. 14 de 15
 ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

DOCUMENTOS DE REFERENCIA
 Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP), septiembre de 2011, código
ASDE01.
 Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014.
 Informe COSO 2009 (Committee of Sponsoring Organizations of the Treadway Commission).
 NTC ISO-31000:2011 Gestión del Riesgo Principios y Directrices

CONTROL DE CAMBIOS
ASPECTOS QUE RESPONSABLE DE LA
DETALLES DE LOS CAMBIOS FECHA DEL CAMBIO
CAMBIARON EN EL SOLICITUD DEL VERSIÓN
EFECTUADOS DD/MM/AAAA
DOCUMENTO CAMBIO
Mediante el artículo 5 de la Resolución 1622 de
2014 se adoptan los procedimientos del
Jefe Oficina Asesora de
Adopción del documento Proceso Administración del Sistema Integrado 21/08/2014 1
Planeación
de Gestión, que fueron aprobados mediante
Acta No. 001 de 2014.
Mediante Resolución 4086 de 2014 se derogó
Jefe Oficina Asesora de
Adopción del documento la resolución 1622 de 2014 y se adoptó el 1
Planeación 19/12/2014
Manual de Procesos y Procedimientos.
Ajustes en la descripción de procedimiento,
Modificación de documento aprobados mediante Acta No. 1093 de 2015. Jefe Oficina Asesora de
2
Planeación 24/08/2015
Modificación de documento Ajustes en actividades y políticas de operación,
mediante requerimiento NURC 3-2015-023092. Jefe Oficina Asesora de
20/11/2015 3
Planeación
Ajustes en definiciones, normas, actividades y
Modificación de documento políticas de operación, mediante NURC 3- Jefe Oficina Asesora de
13/07/2016 4
2016-013301 Planeación

Pág. 15 de 15