Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
Igualmente, en respuesta a las recomendaciones y conclusiones emitidas por los entes de control,
producto de su labor de auditorias durante las últimas auditorias, encontró una marcada debilidad en
el ejercicio del control interno efectuado por el area de subsidio. Es decir, se hizo evidente la
importancia de fortalecer la metodología para diseñar y aplicar controles que permitan asegurar el
logro de los objetivos, aprovechando adicionalemnte la actulización de estándares internacionales
como son el Modelo COSO 2013 y COSO ERM 2017.
1. OBJETIVO
Unificar los lineamientos metodológicos en los aspectos comunes de las metodologías para la
administración de todo tipo de riesgos y fortalecer el enfoque preventivo con el fin de facilitar la
identificación y tratamiento de cada uno de ellos.
Suministrar una metodología que permita gestionar de manera efectiva los riesgos que afectan el
logro de los objetivos estratégicos y de proceso.
Ofrecer herramientas para identificar, analizar, evaluar los riesgos y determinar roles y
responsabilidades de cada uno de los colaboradores en los riesgos de gestión y en los riesgos, el
monitoreo y seguimiento.
Suministrar lineamientos basados en una adecuada gestión del riesgo y control a los mismos, que
permitan a la alta dirección tener una seguridad razonable en el logro de sus objetivos.
2. ALCANCE
Los lineamientos presentados en este documento aplican para todos los procesos y actividades
realizadas en afiliaciones, aportes, cuota monetaria, benficios economicos FOSFEC y subsidio
familiar de vivienda.
3. TERMINOS Y DEFINICIONES
Evento: Hecho que se genera durante la gestión de un proceso afectando el logro del objetivo del
mismo, tiene relación directa con las actividades críticas de los planes operativos y las actividades
críticas de control de los procesos.
Gestor del Riesgo: Lider de Subsidios, quien apoya al responsable del riesgo.
Impacto: Magnitud de las consecuencias que pueden ocasionar aen la Caja la materialización del
riesgo.
Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos por
proceso, haciendo la descripción de cada uno de ellos, las posibles consecuencias y su forma de
tratamiento.
Políticas de manejo del Riesgo: Son los criterios que orientan la toma de decisiones para
tratar, y en lo posible minimizar, los riesgos en función de su evaluación.
Riesgo: Posibilidad de ocurrencia del evento que tiene un efecto positivo o negativo sobre el
producto o servicio generado de un proceso o el cumplimiento de los objetivos de la Caja.
Riesgo residual: Es aquel que continúa aún después de aplicar controles para mitigar el riesgo
Riesgo Inherente: Es el riesgo puro, al cual no se han aplicado controles, para controlarlo y
buscar evitar su materialización.
Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder para poder
desviar la gestión hacia un beneficio privado.
Riesgo de seguridad de la información: Posibilidad de que una amenaza concreta que pueda
aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información; estos
daños consisten en la afectación de la confidencialidad, integridad o disponibilidad de la
información. Cuando la amenaza se convierta en una oportunidad se debe tener en cuenta en el
beneficio que se genera
Riesgo Positivo: Posibilidad de ocurrencia de un evento o situación que permita optimizar los
procesos y/o la gestión institucional, a causa de oportunidades y/o fortalezas que se presentan en
beneficio de la Caja.
El concepto de Administración del Riesgo se introduce teniendo en cuenta que todas las
organizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente
expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia o generar un
beneficio.
La administración del riesgo es liderada por los lideres de la organización con la participación
interna de sus partes interesadas y el compromiso de todos los colaboradores.
Subsidios se compromete a controlar todos aquellos riesgos que pueden impedir el cumplimiento de
los objetivos de la organización mediante una efectiva administración de los mismos, como
herramienta de gestión que responda a las necesidades de la Caja, contando con la participación
activa de los colaboradores responsables de los procesos y actividades quienes deberán identificar,
analizar y definir acciones para mitigar la materialización de los riesgos.
d) Asumir un riesgo: Aceptar la existencia del riesgo debido a que se encuentra en una
zona de riesgo “Baja” o “Moderada”; el responsable puede aceptar las posibles
consecuencias, si estas no afectan el logro de los objetivos del proceso y debe elaborar los
planes de contingencia para su manejo. Para riesgos que no tienen una opción de
tratamiento inmediata y no pueden ser evitados, se debe generar un análisis por parte de del
líder del proceso o Responsable de Subsidios para revisar su aceptación; estos riesgos
deben permanecer en constante monitoreo y deben contar con planes de contingencia para
actuar en caso de materializarse.
e) Optimizar: Tomar acciones que permitan obtener beneficios para la organización a través
de la documentación de oportunidades de mejora.
Según la Norma Técnica ISO 31000 la Gestión del Riesgo se define como “Actividades
coordinadas para dirigir y controlar una organización con respecto al riesgo”
Antes de iniciar cualquier identificación de riesgos, es necesario estudiar el contexto del riesgo, el
cual sirve para identificar las fuentes que pueden dar origen a los riesgos; este contexto incluye: el
contexto estratégico (Análisis DOFA), el plan estratégico y planes de acción, los proyectos de
inversión, los procesos y los servicios misionales del la organización y su información, definiendo
los límites sobre los cuales la administración va a centrar sus esfuerzos para la gestión de los
riesgos. Así mismo, es necesario tener en cuenta los requisitos legales asociados a los elementos
anteriormente expuestos; así como las quejas, denuncias o sugerencias realizadas por la ciudadanía
para el mejoramiento y optimización de la prestación de los servicios de la organización.
Para la definición del contexto del riesgo se deben contemplar los siguientes aspectos (Ver Gráfico
2: Contexto del riesgo):
Contexto Estratégico: del análisis DOFA (Debilidades, Oportunidades, Fortalezas y
Amenazas), se deben tener en cuenta de acuerdo a las situaciones particulares presentadas en la
dependencia, se deberán considerar las que tengan relación directa con el cumplimiento del Plan de
Acción de la Dependencia, Proyectos de inversión (Si aplica) y procesos.
Plan de Acción: de acuerdo con las ponderaciones establecidas en las actividades de los planes
de acción, identifique las actividades con mayor ponderación (Actividades Críticas – AC para
identificar el riesgo positivo o negativo) y priorícelas teniendo en cuenta:
Que la actividad esté asociada a una estrategia alineada o priorizada para el Plan
Estratégico.
Proyectos de inversión: se deben tener en cuenta las Actividades de Ruta Crítica - ARC
identificadas en los proyectos de inversión y priorizarlas teniendo en cuenta:
1. Que el cumplimiento de la actividad tenga una relación directa con los indicadores
asociados al proyecto.
Para todos los casos deben identificarse las quejas, denuncias o sugerencias efectuadas en el
último año.
Teniendo claro el contexto del riesgo el responsable de la Dependencia, Líder del proceso y su
equipo de trabajo determinan los riesgos teniendo en cuenta las siguientes clases:
2. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de las
partes interesadas hacia la organización.
Cuando las amenazas se convierten en una oportunidad se deben tener en cuenta en el beneficio que
se genera.
a) SITUACIÓN NO DESEADA
b) PREPOSICIÓN
Para relacionar la situación no deseada con el complemento a manera de ejemplo se presentan las
siguientes preposiciones entre otras:
Al, durante, en, para, sobre, ante, con, hacia, de, mediante, por.
c) COMPLEMENTO
Si en este paso se identifican riesgos que pueden tener la connotación de “Riesgo de Corrupción”,
se debe establecer las causas teniendo en cuenta las debilidades (factores internos) y las amenazas
(factores externos) que pueden influir en los procesos y procedimientos que generan una mayor
vulnerabilidad frente a riesgos de corrupción.
b) EFECTOS (CONSECUENCIAS)
Constituyen las consecuencias de la ocurrencia del riesgo sobre el logro de los objetivos, planes, y
procesos de la organizacion; generalmente se dan sobre las personas o los bienes con incidencias
importantes tales como daños físicos, sanciones, pérdidas económicas, de información, de bienes,
de imagen, de credibilidad y de confianza, interrupción del servicio, daño ambiental, otras.
Para cada causa, deben tenerse en cuenta los agentes generadores y la descripción de la
causa. A continuación, se relacionan los agentes generadores:
1. Información primaria
2. Información Secundaria
3. Colaboradores
4. Contratistas
5. Tecnológico interno
6. Tecnológico externo
7. Procesos y/o procedimientos
8. Factores ambientales internos
9. Factores ambientales externos
10. Normatividad interna
11. Normatividad externa
12. Factores económicos
13. Factores políticos
14. Aspectos sociales
15. Infraestructura
16. Posibles actos de corrupción
La descripción debe ser detallada e indicar las situaciones causales del riesgo.
Busca determinar el grado en el cual se puede materializar un riesgo, para esto se tienen en cuenta
la probabilidad e impacto del riesgo “Riesgo Puro” es decir, sin considerar los controles existentes
para evitar que este riesgo se materialice.
6.3.1 PROBABILIDAD
PROBABILIDAD
Descripción
Concepto Criterio
Puede ocurrir solo en
Raro 2 veces en 5 años
circunstancias excepcionales.
Improbable Una vez al año Puede ocurrir de manera inusual.
Moderado (Posible) Hasta 2 veces por año Puede ocurrir en algún momento.
Probable Hasta una vez por mes Probablemente ocurrirá.
Se espera que ocurra en la mayoría
Casi certeza (casi seguro) Más de una vez por mes
de las circunstancias.
6.3.2 IMPACTO
El impacto está en función de los efectos generados a la Entidad por la materialización de los
riesgos, teniendo en cuenta los siguientes criterios:
Se afecta la
Incumplimient o en Imagen
Interrupción o Se afecta la confidencialidad ,
las metas y institucional
demora de las ejecución del Se afecta el integridad o disponibilidad
objetivos afectada en el
operacione s de presupuesto o
Sanción por funcionamient de la información,
institucionales orden nacional o
la Entidad entre se generan
parte de ente o de la generando incumplimiento
afectando el regional por
Mayor uno (1) y dos (2) pagos porde control u plataforma de la misión, objetivos de la
cumplimiento en las incumplimiento s
días. sanciones o
otro ente entre uno (1) entidad o requisitos
metas de gobierno. en la prestación
indemnizacione
regulador. y dos (2) normativos o afectando la
del servicio a los
s de montos días. imagen de la entidad
usuarios o
altos. afectando las metas de
ciudadanos.
gobierno.
Se afecta la
Se afecta el confidencialidad ,
Interrupción o Se afecta la
Imagen Intervención funcionamient integridad o disponibilidad
Incumplimient o en demora de las ejecución del
institucional por parte de un o de la de la información,
las metas y operacione s de presupuesto o
afectada en el ente de control plataforma generando incumplimiento
objetivos la Entidad por se generan
orden nacional o más de cinco (5) u otro ente por más de de la misión, objetivos de la
Catastrofico institucionales pagos por
regional por actos días. regulador. cinco (5) entidad o requisitos
afectando de forma sanciones o
o hechos de días. normativos o afectando la
grave la ejecución indemnizacione
corrupción imagen de la entidad
presupuestal. s de montos
comprobados. afectando la ejecución
muy altos.
presupuestal de forma
grave
Incumplimient o Interrupción
Imagen
en las metas y o demora de Se afecta la confidencialidad ,
institucional
objetivos las Se afecta la integridad o disponibilidad de la
afectada en el Se afecta el
institucionales operacione s ejecución del información, generando
orden nacional o Sanción por parte funcionamient
afectando el de la Entidad presupuesto o se incumplimiento de la misión,
regional por de ente de control o de la
Mayor cumplimiento entre uno (1) generan pagos objetivos de la entidad o
incumplimiento s u otro ente plataforma
en las metas de y dos (2) por sanciones o requisitos normativos o
en la prestación regulador. entre uno (1) y
gobierno. días. indemnizacione s afectando la imagen de la
del servicio a los dos (2) días.
de montos altos. entidad afectando las metas de
usuarios o
gobierno.
ciudadanos.
Interrupción
o demora de Se afecta el Se afecta la confidencialidad ,
Incumplimient o Imagen Se afecta la
las Intervención por funcionamient integridad o disponibilidad de la
en las metas y institucional ejecución del
operacione s parte de un ente o de la información, generando
objetivos afectada en el presupuesto o se
de la Entidad de control u otro plataforma por incumplimiento de la misión,
institucionales orden nacional o generan pagos
Catastrofico por más de ente regulador. más de cinco objetivos de la entidad o
afectando de regional por por sanciones o
cinco (5) (5) días. requisitos normativos o
forma grave la actos o hechos indemnizacione s
días. afectando la imagen de la
ejecución de corrupción de montos muy
entidad afectando la ejecución
presupuestal. comprobados. altos.
presupuestal de forma grave.
Una vez realizada la identificación del riesgo, el enlace responsable definido por el líder del proceso
ingresa al aplicativo
La valoración del riesgo es el producto de confrontar los resultados del análisis del riesgo con los
controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para
la fijación de políticas.
6.4.1 CONTROLES
Para realizar la valoración de los controles es necesario recordar que éstos se clasifican en:
Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su
ocurrencia o materialización.
Detectivos: Aquellos que registran un evento después de presentado; sirven para descubrir
resultados no previstos y alertar sobre la presencia de un riesgo
Para adelantar esta etapa se hace necesario tener claridad sobre los controles aplicados al proceso. A
manera de ejemplo se muestran los siguientes controles:
Back ups
Una vez evaluados los controles existentes promedia los criterios de probabilidad e impacto de
acuerdo con la escala de afectación del control, el puntaje máximo es un 100%
Es necesario tener en cuenta que los controles pueden minimizar la probabilidad en alto o menor
grado. A manera de ejemplo, se presentan aspectos a considerar en cuanto a la minimización del
impacto a la hora de realizar la valoración:
Frente al riesgo de incumplimientos legales, una vez materializado el riesgo, el impacto que
se deriva de éste ocasionará sanciones económicas, disciplinarias, legales y/o penales que
no se pueden subsanar; es casi imposible disminuir el impacto.
- Frente a los riesgos daño de activos y hurto, se pueden adquirir pólizas todo riesgo que
disminuyen desde el punto de vista económico el impacto que la materialización de estos
puede generar.
Cuando se trate del riesgo hurto de información confidencial, el impacto que se genera es
irremediable y éste no se puede mitigar.
Frente al riesgo daño de activos, la entidad puede disponer de recursos en el marco de un
plan de continuidad del negocio que permiten disminuir el impacto que ocasione un
fenómeno natural, atentado terrorista, entre otros.
Ejemplo 1:
Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una
vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 60 se
disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y hasta 1 cuadrante en el
impacto quedando éste en Moderado.
Ejemplo 2:
Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una
vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 0 se
disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y 0 cuadrantes en el
impacto quedando este en Mayor.
Una vez definida la probabilidad e impacto del riesgo después de controles, registra la siguiente
información:
El sistema permitirá reducir la probabilidad e impacto a partir de los promedios de calificación de los controles aplicados
Deberá seleccionar las opciones de manejo o tratamiento acorde con lo definido en el numeral 5 de
estos lineamientos y tener en cuenta los siguientes aspectos:
a) Evitar el Riesgo: deberá seleccionar esta opción si es posible generar mejoras en los procesos
o rediseños en los mismos encaminados a evitar la actividad que genera el riesgo.
c) Compartir o transferir el riesgo: deberá seleccionar esta opción si se cuenta con controles
que reduzcan el efecto a través del traspaso del impacto a otras organizaciones. Ejemplo: contratos
de seguros que permiten distribuir una porción
del riesgo con otra entidad (contratos de riesgo compartido), póliza de cumplimiento,
entre otros.
d) Asumir un riesgo: una vez analizadas las opciones a, b y c y si no es aplicable
ninguna, el responsable del riesgo puede seleccionar esta opción siempre y cuando el riesgo haya
quedado en zona de riesgo “Baja” o “Moderada” asumiendo las responsabilidades y posibles
consecuencias que pueda traer su materialización. En caso que un riesgo se encuentre en una zona
de riesgo alta o extrema y no exista la posibilidad de reducirlo, el riesgo debe ser evaluado por el
Líder del proceso o Jefe de la Dependencia con el fin de decidir las acciones a tomar desde un punto
de vista estratégico; estos riesgos deben permanecer en constante monitoreo y deben contar con
planes de contingencia para actuar en caso de materializarse.
Impacto
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
3 4 5
1 2
Zona de riesgo moderada
Zona de riesgo alta Reducir Zona de riesgo alta Reducir
Raro (1) Zona de riesgo baja Asumir Zona de riesgo baja
Asumir el riesgo Reducir el
el riesgo Evitar el riesgo el riesgo Evitar el riesgo
el riesgo Asumir el riesgo
riesgo Compartir o transferir Compartir o transferir
6 8 10
2 4
Improbable Zona de riesgo moderada
Zona de riesgo alta Reducir Zona de riesgo extrema
Zona de riesgo baja Asumir Zona de riesgo baja
(2) Asumir el riesgo Reducir el
el riesgo Evitar el riesgo Evitar el riesgo Reducir el
el riesgo Asumir el riesgo
riesgo Compartir o transferir riesgo Compartir o transferir
12
6 9 15
3 Zona de riesgo extrema
Moderada Zona de riesgo moderada Zona de riesgo alta Reducir Zona de riesgo extrema
Zona de riesgo baja Asumir Evitar el riesgo Reducir el
(3) Asumir el riesgo Reducir el riesgo Evitar el riesgo Evitar el riesgo Reducir el
el riesgo riesgo Compartir o
el riesgo Compartir o transferir riesgo Compartir o transferir
transferir
8 16
4 12 20
Zona de riesgo alta Zona de riesgo extrema
Zona de riesgo moderada Zona de riesgo alta Reducir Zona de riesgo extrema
Probable (4) Reducir el riesgo Evitar el Evitar el riesgo Reducir el
Asumir el riesgo Reducir el el riesgo Evitar el riesgo Evitar el riesgo Reducir el
riesgo Compartir o riesgo Compartir o
riesgo Compartir o transferir riesgo Compartir o transferir
transferir transferir
10 15 20
5 25
Zona de riesgo alta Zona de riesgo extrema Zona de riesgo extrema
Casi certeza Zona de riesgo alta Reducir Zona de riesgo extrema
Reducir el riesgo Evitar el Evitar el riesgo Reducir el Evitar el riesgo Reducir el
(5) el riesgo Evitar el riesgo Evitar el riesgo Reducir el
riesgo Compartir o riesgo Compartir o riesgo Compartir o
Compartir o transferir riesgo Compartir o transferir
transferir transferir transferir
Principalmente los Planes de Contingencia están asociados a los riesgos de los procesos de soporte,
proceso de Atención al Usuario y proceso de Gestión de Seguridad, apoyo logístico presidencial,
comunicación y prensa.
Para la elaboración de un plan de contingencia el líder del proceso, como responsable del riesgo,
con su equipo de trabajo analiza la siguiente información del riesgo:
a) En el momento que el riesgo residual (después de controles), se encuentre en las zonas moderada,
alta o extrema, se puede llegar a determinar que el mismo tiene un mayor número de posibilidades
que se materialice;
b) Dado el caso que el riesgo sea de corrupción, el plan de contingencia debe buscar:
Proteger la escena y que contenga aquellas actividades necesarias para que la instancia
pertinente realice la investigación de la materialización, y
Describir las actividades requeridas para dar continuidad con las funciones y
responsabilidades afectadas.
Para registrar el plan de acción para atender la eventual contingencia, numeral 6 de la plantilla, debe
hacerse a través del Aplicativo SIGEPRE - Modulo de planes – Opción Crear, teniendo en
cuenta las siguientes recomendaciones:
1. Para registrar el nombre del plan indique que es un plan de contingencia, el año y el nombre
de riesgo
2. Para registrar las categorías indique la(s) causa(s) que pueden generar la
3. Registre las actividades que se ejecutarán para disminuir el impacto del riesgo con su
respectivo responsable. Cómo no se sabe cuándo se materializará el riesgo registre fecha de
inicio el 1 enero del año y fecha de finalización 31 de diciembre del año respectivo.
4. Para los demás aspectos del plan tenga en cuenta las orientaciones metodológicas de la
Guía para formulación y seguimiento a la Planeación Institucional G-DE-02.
5. 6.5.3 FORMULACIÓN DE ACCIONES E INDICADORES DE RIESGO
6. En este paso deben asociarse acciones para reducir el riesgo e indicadores de riesgo que
permitan calcular el estado del riesgo:
7. a) Acciones: son planes o mejoras que ataquen la causa o disminuyan el impacto del
riesgo. Si en los planes de acción de la vigencia existen acciones que tengan relación directa
con el fortalecimiento o mejora de los controles existentes o la implementación de nuevos
controles debe asociarse el plan. Si los planes de mejoramiento correctivo, preventivo o de
mejora documentados por diferentes fuentes cuentan con acciones que tengan relación
directa con el fortalecimiento o mejora de los controles existentes o la implementación de
nuevos controles debe asociarse la mejora. En caso de no contar con ninguna de las
anteriores debe formular una mejora siguiendo las orientaciones metodológicas del
procedimiento Formulación, seguimiento y evaluación de planes de
mejoramiento P-EM-06 y la Guía para la formulación, seguimiento y
evaluación de planes de mejoramiento G-EM-01
Nota: Las mejoras derivadas del tratamiento de productos y/o servicios No conformes
deben asociarse en este punto.
El monitoreo o seguimiento de riesgos se realiza en primera instancia por el responsable del proceso
y en instancias posteriores por las auditorías internas de calidad o de gestión programadas por la
Oficina de Control Interno (Ver Procedimiento P-EM-01 Auditorías internas). La finalidad
principal de éstas, es verificar las disposiciones de monitoreo y sugerir los correctivos u
oportunidades de mejora para los ajustes necesarios a los riesgos identificados.
El monitoreo a los riesgos deberá realizarse trimestralmente, con corte a 31 de Marzo, 30 de Junio,
30 de Septiembre y 31 de Diciembre, durante los primeros 15 días después de la fecha de corte, o
con una periodicidad menor de acuerdo con las instrucciones del Líder del Proceso o Jefe de la
Dependencia. El monitoreo debe incluir la actualización de los riesgos si se presentan cambios en el
proceso que afecten la seguridad de la información y una actualización del riesgo en el momento
que se requiera. .