LINEAMIENTOS PARA LA ADMINISTRACION DEL RIESGO

Introducción

En materia de Control Interno es necesario unificar la metodología existente para la administración

del riesgo de gestión y corrupción, con el fin de hacer más sencilla la utilización de esta herramienta
gerencial y así, evitar duplicidades o reprocesos.

Igualmente, en respuesta a las recomendaciones y conclusiones emitidas por los entes de control,
producto de su labor de auditorias durante las últimas auditorias, encontró una marcada debilidad en
el ejercicio del control interno efectuado por el area de subsidio. Es decir, se hizo evidente la
importancia de fortalecer la metodología para diseñar y aplicar controles que permitan asegurar el
logro de los objetivos, aprovechando adicionalemnte la actulización de estándares internacionales
como son el Modelo COSO 2013 y COSO ERM 2017.

1. OBJETIVO

Establecer disposiciones y criterios organizacionales que orienten en la correcta identificación,

análisis, valoración y administración de los riesgos, que pueden afectar de forma positiva o
negativamente el logro de los objetivos de COMFAMA en el marco de los procesos y actividades
realizadas por el equipo de Subsidios.

Unificar los lineamientos metodológicos en los aspectos comunes de las metodologías para la
administración de todo tipo de riesgos y fortalecer el enfoque preventivo con el fin de facilitar la
identificación y tratamiento de cada uno de ellos.

Suministrar una metodología que permita gestionar de manera efectiva los riesgos que afectan el
logro de los objetivos estratégicos y de proceso.

Ofrecer herramientas para identificar, analizar, evaluar los riesgos y determinar roles y
responsabilidades de cada uno de los colaboradores en los riesgos de gestión y en los riesgos, el
monitoreo y seguimiento.

Suministrar lineamientos basados en una adecuada gestión del riesgo y control a los mismos, que
permitan a la alta dirección tener una seguridad razonable en el logro de sus objetivos.

2. ALCANCE

Los lineamientos presentados en este documento aplican para todos los procesos y actividades
realizadas en afiliaciones, aportes, cuota monetaria, benficios economicos FOSFEC y subsidio
familiar de vivienda.

3. TERMINOS Y DEFINICIONES

Administración del Riesgo: Actividades encaminadas a la intervención de los riesgos de

Subsidios, a través de la identificación, valoración, evaluación, manejo y monitoreo de los mismos
de forma que se apoye el cumplimiento de los objetivos de la Caja.
Análisis de Riesgos: Determinación del impacto en función de la consecuencia o efecto y de la
probabilidad de ocurrencia del riesgo.

Consecuencias: Hechos o acontecimientos que se derivan o resultan de la ocurrencia o la

materialización de un riesgo.

Causas: Medios, circunstancias, situaciones o agentes generadores del evento.

Control: Acciones encaminadas a reducir la probabilidad de ocurrencia o el impacto que pueda

generar la materialización del riesgo.

Evento: Hecho que se genera durante la gestión de un proceso afectando el logro del objetivo del
mismo, tiene relación directa con las actividades críticas de los planes operativos y las actividades
críticas de control de los procesos.

Frecuencia: Periodicidad con que ha ocurrido un evento.

Gestor del Riesgo: Lider de Subsidios, quien apoya al responsable del riesgo.

Identificación del Riesgo: Descripción de la situación no deseada.

Impacto: Magnitud de las consecuencias que pueden ocasionar aen la Caja la materialización del
riesgo.

Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos por
proceso, haciendo la descripción de cada uno de ellos, las posibles consecuencias y su forma de
tratamiento.

Políticas de manejo del Riesgo: Son los criterios que orientan la toma de decisiones para
tratar, y en lo posible minimizar, los riesgos en función de su evaluación.

Probabilidad: Medida para estimar la posibilidad de que ocurra un evento.

Responsable del riesgo: Es el encargado de identificar, valorar y definir el plan de

contingencia, el manejo y monitoreo para cada uno de los riesgos del proceso bajo su
responsabilidad.

Riesgo: Posibilidad de ocurrencia del evento que tiene un efecto positivo o negativo sobre el
producto o servicio generado de un proceso o el cumplimiento de los objetivos de la Caja.

Riesgo residual: Es aquel que continúa aún después de aplicar controles para mitigar el riesgo

Riesgo Inherente: Es el riesgo puro, al cual no se han aplicado controles, para controlarlo y
buscar evitar su materialización.

Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder para poder
desviar la gestión hacia un beneficio privado.
Riesgo de seguridad de la información: Posibilidad de que una amenaza concreta que pueda
aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información; estos
daños consisten en la afectación de la confidencialidad, integridad o disponibilidad de la
información. Cuando la amenaza se convierta en una oportunidad se debe tener en cuenta en el
beneficio que se genera

También se puede generar riesgo positivo en la seguridad de la información por el aprovechamiento

de oportunidades y fortalezas que se presenten.

Riesgo Positivo: Posibilidad de ocurrencia de un evento o situación que permita optimizar los
procesos y/o la gestión institucional, a causa de oportunidades y/o fortalezas que se presentan en
beneficio de la Caja.

Tratamiento: Opciones que determinan el tipo de acciones a implementar para administrar el

riesgo.

Valoración: Grado de exposición al riesgo con la clasificación de probabilidad e impacto

aplicando los controles existentes.

4. ADMINISTRACION DEL RIESGO.

El concepto de Administración del Riesgo se introduce teniendo en cuenta que todas las
organizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente
expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia o generar un
beneficio.

Desde la perspectiva de la Norma Técnica NTC-ISO 31000 y NTC-IEC/ISO 31010 se interpreta

que la administración de riesgos es la base para la planificación, como un proceso natural de la
misma, contribuyendo con el logro de los objetivos institucionales propuestos para la
implementación y mejora de los procesos, adicionalmente, permite identificar, analizar y abordar
las oportunidades que se presenten en el desarrollo del riesgo y permite conducir a la adopción de
nuevas prácticas para el cumplimiento de la misión, visión y funciones.

La administración del riesgo es liderada por los lideres de la organización con la participación
interna de sus partes interesadas y el compromiso de todos los colaboradores.

5. POLITICA DE ADMINISTRACIÓN DE RIESGOS

Subsidios se compromete a controlar todos aquellos riesgos que pueden impedir el cumplimiento de
los objetivos de la organización mediante una efectiva administración de los mismos, como
herramienta de gestión que responda a las necesidades de la Caja, contando con la participación
activa de los colaboradores responsables de los procesos y actividades quienes deberán identificar,
analizar y definir acciones para mitigar la materialización de los riesgos.

La política de administración de riesgos está determinada por las siguientes opciones de

tratamiento:
a) Evitar el Riesgo: Tomar las acciones encaminadas a prevenir su materialización,
generando mejoras en los procesos, rediseño o eliminación de las actividades que lo
generan.
b) Reducir el Riesgo: Implementar acciones encaminadas a reducir el nivel de riesgo, bien
sea mejorando controles existentes o implementando nuevos controles.
c) Compartir o transferir el riesgo: Tomar acciones encaminadas a trasladar el impacto o
la probabilidad del riesgo, o una parte, a un tercero a través de pólizas o tercerización de
servicios, entre otros.

d) Asumir un riesgo: Aceptar la existencia del riesgo debido a que se encuentra en una
zona de riesgo “Baja” o “Moderada”; el responsable puede aceptar las posibles
consecuencias, si estas no afectan el logro de los objetivos del proceso y debe elaborar los
planes de contingencia para su manejo. Para riesgos que no tienen una opción de
tratamiento inmediata y no pueden ser evitados, se debe generar un análisis por parte de del
líder del proceso o Responsable de Subsidios para revisar su aceptación; estos riesgos
deben permanecer en constante monitoreo y deben contar con planes de contingencia para
actuar en caso de materializarse.

e) Optimizar: Tomar acciones que permitan obtener beneficios para la organización a través
de la documentación de oportunidades de mejora.

6. GESTIÓN DEL RIESGO

Según la Norma Técnica ISO 31000 la Gestión del Riesgo se define como “Actividades
coordinadas para dirigir y controlar una organización con respecto al riesgo”

La gestión del riesgo en Subsidios se define como el proceso mediante el cual se

identifican, analizan, valoran, se da tratamiento y se efectúa el monitoreo a los riesgos que
puedan afectar o generar un beneficio para el cumplimiento de los objetivos
organizacionales y el desempeño de los procesos.

A continuación, se presenta el Esquema General de Gestión del riesgo en Subsidios

Grafico 1:
6.1 CONTEXTO DEL RIESGO

Antes de iniciar cualquier identificación de riesgos, es necesario estudiar el contexto del riesgo, el
cual sirve para identificar las fuentes que pueden dar origen a los riesgos; este contexto incluye: el
contexto estratégico (Análisis DOFA), el plan estratégico y planes de acción, los proyectos de
inversión, los procesos y los servicios misionales del la organización y su información, definiendo
los límites sobre los cuales la administración va a centrar sus esfuerzos para la gestión de los
riesgos. Así mismo, es necesario tener en cuenta los requisitos legales asociados a los elementos
anteriormente expuestos; así como las quejas, denuncias o sugerencias realizadas por la ciudadanía
para el mejoramiento y optimización de la prestación de los servicios de la organización.

Para la definición del contexto del riesgo se deben contemplar los siguientes aspectos (Ver Gráfico
2: Contexto del riesgo):
Contexto Estratégico: del análisis DOFA (Debilidades, Oportunidades, Fortalezas y
Amenazas), se deben tener en cuenta de acuerdo a las situaciones particulares presentadas en la
dependencia, se deberán considerar las que tengan relación directa con el cumplimiento del Plan de
Acción de la Dependencia, Proyectos de inversión (Si aplica) y procesos.

Plan de Acción: de acuerdo con las ponderaciones establecidas en las actividades de los planes
de acción, identifique las actividades con mayor ponderación (Actividades Críticas – AC para
identificar el riesgo positivo o negativo) y priorícelas teniendo en cuenta:

 Que la actividad esté asociada a una estrategia alineada o priorizada para el Plan
Estratégico.

 Que la actividad afecte o beneficie directamente el cumplimiento de los indicadores de

metas de gobierno (SINERGIA) contenidos en el Plan Estratégico Institucional.
 Que la actividad esté alineada con un proyecto de inversión (Si aplica).

Proyectos de inversión: se deben tener en cuenta las Actividades de Ruta Crítica - ARC
identificadas en los proyectos de inversión y priorizarlas teniendo en cuenta:
 1. Que el cumplimiento de la actividad tenga una relación directa con los indicadores
asociados al proyecto.

 La asignación de recursos (A mayor recursos la actividad se debe priorizar)

 Cuando se generen beneficios por ingreso de recursos adicionales.

 Que la actividad afecte o beneficie directamente el cumplimiento de los indicadores de

metas de gobierno (SINERGIA) contenidos en el Plan Estratégico Institucional.
 Que la actividad esté alineada con un proyecto de inversión (Si aplica).

Procesos: toda Actividad Crítica de Control – ACC identificada en la caracterización del

proceso deberá tener un riesgo asociado (positivo o negativo),

Para todos los casos deben identificarse las quejas, denuncias o sugerencias efectuadas en el
último año.

6.2 IDENTIFICACIÓN DEL RIESGO

Teniendo claro el contexto del riesgo el responsable de la Dependencia, Líder del proceso y su
equipo de trabajo determinan los riesgos teniendo en cuenta las siguientes clases:

1. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo

del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el
cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia.

2. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de las
partes interesadas hacia la organización.

3. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y

operatividad de los sistemas de información institucional, de la definición de los procesos,
de la estructura de la entidad y de la articulación entre dependencias.

4. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que

incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos,
manejos de excedentes de tesorería y el manejo sobre los bienes.
5. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con
los requisitos legales, contractuales, de ética pública y en general con su compromiso ante
la comunidad, de acuerdo con su misión.
6. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad
para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
 7. Riesgos de corrupción: Se entiende por riesgo de corrupción la posibilidad de que, por
acción u omisión, se use el poder para poder desviar la gestión hacia un beneficio privado

8. Riesgo de seguridad de la información: el cual se define como: “Posibilidad de que una

amenaza concreta que pueda aprovechar una vulnerabilidad para causar una pérdida o daño
en un activo de información; estos daños consisten en la afectación de la
confidencialidad, integridad o disponibilidad de la información.

Cuando las amenazas se convierten en una oportunidad se deben tener en cuenta en el beneficio que
se genera.

Enmarcado en lo anterior se define la siguiente estructura para identificar los riesgos:

a) SITUACIÓN NO DESEADA

La situación no deseada es aquella condición que en términos de gestión no queremos que se

presente por ningún motivo o que conlleve impedir el logro de los objetivos en desarrollo de las
funciones, planes, y procesos. A continuación, se presentan los siguientes ejemplos entre otros:

Demoras, Incrementos no previstos , Incumplimiento (Legales,compromisos, técnicos,

presupuestales, otros), Hurto, Fraude,Incendio,Alteración, Trafico de influencias, Pérdida, Falta
de oportunidad , Baja Cobertura, Daño, Atrasos, Adulteración, Falsificación, Favorecimientos, uso
Indebido.

Las situaciones no deseadas de Seguridad de la Información, son las siguientes:

Pérdida de Confidencialidad: Divulgación de información de carácter privada y semi-privada

(Información clasificada) , Acceso de personas no autorizadas a información, Publicación de
información clasificada, Desaparición de información, ataqueinformático,
Fugadeinformación,Eliminación de Información de forma voluntaria e involuntaria.

b) PREPOSICIÓN

Para relacionar la situación no deseada con el complemento a manera de ejemplo se presentan las
siguientes preposiciones entre otras:

Al, durante, en, para, sobre, ante, con, hacia, de, mediante, por.

c) COMPLEMENTO

Se contextualiza y puntualiza la situación no deseada de manera detallada.

6.2.1 CAUSAS Y EFECTOS ASOCIADAS A LOS RIESGOS

Una vez identificados los riesgos se debe determinar:

a) CAUSAS (FACTORES INTERNOS O EXTERNOS)

Son los medios, las circunstancias y agentes generadores de riesgo, se entienden como todos los
sujetos u objetos que tienen la capacidad de originar un riesgo.

Si en este paso se identifican riesgos que pueden tener la connotación de “Riesgo de Corrupción”,
se debe establecer las causas teniendo en cuenta las debilidades (factores internos) y las amenazas
(factores externos) que pueden influir en los procesos y procedimientos que generan una mayor
vulnerabilidad frente a riesgos de corrupción.

b) EFECTOS (CONSECUENCIAS)

Constituyen las consecuencias de la ocurrencia del riesgo sobre el logro de los objetivos, planes, y
procesos de la organizacion; generalmente se dan sobre las personas o los bienes con incidencias
importantes tales como daños físicos, sanciones, pérdidas económicas, de información, de bienes,
de imagen, de credibilidad y de confianza, interrupción del servicio, daño ambiental, otras.

6.2.2 CREACIÓN E IDENTIFICACIÓN DE RIESGOS EN LA PLANTILLA

El Líder del Proceso registra en la palntilla:

1. Identificacion del riesgo

1.1 Objetivos o areas afectadas por el riesgo

1.2 Causas y efectos del riesgo

Para cada causa, deben tenerse en cuenta los agentes generadores y la descripción de la
causa. A continuación, se relacionan los agentes generadores:

1. Información primaria
2. Información Secundaria
3. Colaboradores
4. Contratistas
5. Tecnológico interno
6. Tecnológico externo
7. Procesos y/o procedimientos
8. Factores ambientales internos
9. Factores ambientales externos
10. Normatividad interna
11. Normatividad externa
12. Factores económicos
13. Factores políticos
14. Aspectos sociales
15. Infraestructura
16. Posibles actos de corrupción

La descripción debe ser detallada e indicar las situaciones causales del riesgo.

6.3 ANÁLISIS DEL RIESGO

Busca determinar el grado en el cual se puede materializar un riesgo, para esto se tienen en cuenta
la probabilidad e impacto del riesgo “Riesgo Puro” es decir, sin considerar los controles existentes
para evitar que este riesgo se materialice.

6.3.1 PROBABILIDAD

El Enlace (Responsable) y el Jefe de la dependencia (Gestor) definidos en la etapa de identificación,

en coordinación con el equipo de trabajo quienes tienen pleno conocimiento de la situación
presentada, determinan la probabilidad en función del número de veces que podría presentarse el
riesgo independientemente del impacto en un escenario sin controles.

Para valorar la probabilidad de ocurrencia se utilizan los siguientes criterios:

PROBABILIDAD
Descripción
Concepto Criterio
Puede ocurrir solo en
Raro 2 veces en 5 años
circunstancias excepcionales.
Improbable Una vez al año Puede ocurrir de manera inusual.
 Moderado (Posible) Hasta 2 veces por año Puede ocurrir en algún momento.
Probable Hasta una vez por mes Probablemente ocurrirá.
Se espera que ocurra en la mayoría
Casi certeza (casi seguro) Más de una vez por mes
de las circunstancias.

Para determinar la probabilidad de materialización de los riesgos de corrupción se considerarán

únicamente los conceptos de probabilidad moderado (Posible), probable y casi certeza (casi seguro)

6.3.2 IMPACTO

El impacto está en función de los efectos generados a la Entidad por la materialización de los
riesgos, teniendo en cuenta los siguientes criterios:

a) Niveles para calificar el Impacto Cuantitativo:

Concepto Impacto (consecuencias) Cuantitativo

Impacto que afecte la ejecución presupuestal en un valor ≤0,5%. Pérdida de cobertura en la
prestación de los servicios de la entidad ≤1%. Pago de indemnizaciones a terceros por
Insignificante acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≤0,5%.
Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≤0,5% del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≤1%. Pérdida de cobertura en la
prestación de los servicios de la entidad ≤5%. Pago de indemnizaciones a terceros por
Menor acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≤1%. Pago
de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≤1%del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≥5%. Pérdida de cobertura en la
prestación de los servicios de la entidad ≥10%. Pago de indemnizaciones a terceros por
Moderado acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥5% Pago
de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≥20% Pérdida de cobertura en la
prestación de los servicios de la entidad ≥20%. Pago de indemnizaciones a terceros por
Mayor acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20%.
Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≥50%. Pérdida de cobertura en la
prestación de los servicios de la entidad ≥50%. Pago de indemnizaciones a terceros por
Catastrófico acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50%.
Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

b) Niveles para calificar el Impacto Cualitativo:

Impacto (consecuencias) Cualitativo

Concepto Seguridad de la
Estratégico Imagen Operativo Financiero Cumplimiento Tecnología
información
 No se afecta
La confidencialidad ,
el
No se afecta el No se generan integridad o disponibilidad
Interrupción funcionamient
cumplimiento de la No se afecta la No se generan incumplimiento de la información no se ven
mínima en la o de la
Insignificant misión ni de los imagen sanciones s de los afectadas de manera
prestación de plataforma en
e objetivos institucional de económicas o requisitos significativa.
servicios de la los horarios
estratégicos de la forma significativa. administrativas. normativos
entidad. requeridos
entidad. aplicables.
por la
entidad.
Se afecta el Se afecta la
Imagen Se afecta la
funcionamient confidencialidad ,
Se genera una baja institucional ejecución del Reclamaciones
o de la integridad o disponibilidad
afectación en el afectada presupuesto o o quejas de los
Interrupción de plataforma de la información,
cumplimiento de la localmente por se generan usuarios que
las operacione s por algunas generando incumplimiento
Menor misión o los retrasos en la pagos por implican
de la Entidad por horas en los de la misión, objetivos de la
objetivos prestación del sanciones o investigaciones
algunas horas. horarios entidad o requisitos
estratégicos de la servicio a los indemnizacione internas
requeridos normativos o afectando la
entidad. usuarios o s de montos disciplinarias.
por la imagen de la entidad en
ciudadanos. muy bajos.
entidad. baja medida.
Reclamaciones
o quejas de los
usuarios que
podrían
implicar una
Imagen
Se afecta la denuncia ante Se afecta el Se afecta la
institucional
Interrupción o ejecución del los entes funcionamient confidencialidad ,
afectada en el
presupuesto o reguladores o o de la integridad o disponibilidad
orden nacional o demora de las
operacione s de se generan una demanda plataforma de la información,
regional por
Moderado la Entidad por pagos por de largo hasta por un generando incumplimiento
retrasos en la
hasta por un (1) sanciones o alcance para la (1) día. de la misión, objetivos de la
prestación del
día. indemnizacione entidad. entidad o requisitos
servicio a los
s de montos Investigacione normativos o afectando la
usuarios o
bajos. s penales, imagen de la entidad.
ciudadanos.
fiscales o
disciplinarias.

Se afecta la
Incumplimient o en Imagen
Interrupción o Se afecta la confidencialidad ,
las metas y institucional
demora de las ejecución del Se afecta el integridad o disponibilidad
objetivos afectada en el
operacione s de presupuesto o
Sanción por funcionamient de la información,
institucionales orden nacional o
la Entidad entre se generan
parte de ente o de la generando incumplimiento
afectando el regional por
Mayor uno (1) y dos (2) pagos porde control u plataforma de la misión, objetivos de la
cumplimiento en las incumplimiento s
días. sanciones o
otro ente entre uno (1) entidad o requisitos
metas de gobierno. en la prestación
indemnizacione
regulador. y dos (2) normativos o afectando la
del servicio a los
s de montos días. imagen de la entidad
usuarios o
altos. afectando las metas de
ciudadanos.
gobierno.
Se afecta la
Se afecta el confidencialidad ,
Interrupción o Se afecta la
Imagen Intervención funcionamient integridad o disponibilidad
Incumplimient o en demora de las ejecución del
institucional por parte de un o de la de la información,
las metas y operacione s de presupuesto o
afectada en el ente de control plataforma generando incumplimiento
objetivos la Entidad por se generan
orden nacional o más de cinco (5) u otro ente por más de de la misión, objetivos de la
Catastrofico institucionales pagos por
regional por actos días. regulador. cinco (5) entidad o requisitos
afectando de forma sanciones o
o hechos de días. normativos o afectando la
grave la ejecución indemnizacione
corrupción imagen de la entidad
presupuestal. s de montos
comprobados. afectando la ejecución
muy altos.
presupuestal de forma
grave

b) Niveles para calificar el Impacto Cualitativo:

Impacto (consecuencias) Cualitativo

Estratégico Imagen Operativo Financiero Cumplimiento Tecnología Seguridad de la información
Insignidicante No se afecta el No se afecta la Interrupción No se generan No se generan No se afecta el La confidencialidad , integridad
 funcionamient o disponibilidad de la
cumplimiento mínima en la
imagen incumplimiento s o de la información no se ven afectadas
de la misión ni prestación sanciones
institucional de de los requisitos plataforma en de manera significativa.
de los objetivos de servicios económicas o
forma normativos los horarios
estratégicos de de la administrativas.
significativa. aplicables. requeridos por
la entidad. entidad.
la entidad.
Imagen
Se genera una Se afecta la Se afecta el Se afecta la confidencialidad ,
institucional Reclamaciones o
baja afectación Interrupción ejecución del funcionamient integridad o disponibilidad de la
afectada quejas de los
en el de las presupuesto o se o de la información, generando
localmente por usuarios que
cumplimiento operacione s generan pagos plataforma por incumplimiento de la misión,
Menor retrasos en la implican
de la misión o de la Entidad por sanciones o algunas horas objetivos de la entidad o
prestación del investigaciones
los objetivos por algunas indemnizacione s en los horarios requisitos normativos o
servicio a los internas
estratégicos de horas. de montos muy requeridos por afectando la imagen de la
usuarios o disciplinarias.
la entidad. bajos. la entidad. entidad en baja medida.
ciudadanos.
Reclamaciones o
quejas de los
usuarios que
Imagen podrían implicar
Se afecta el
institucional Interrupción Se afecta la una denuncia ante Se afecta la confidencialidad ,
funcionamient
afectada en el o demora de ejecución del los entes integridad o disponibilidad de la
o de la
orden nacional o las reguladores o una información, generando
presupuesto o se plataforma
regional por operacione s generan pagos demanda de largo incumplimiento de la misión,
Moderado hasta por un
retrasos en la de la Entidad por sanciones o alcance para la objetivos de la entidad o
(1) día.
prestación del por hasta por indemnizacione s entidad. requisitos normativos o
servicio a los un (1) día. Investigaciones afectando la imagen de la
de montos bajos.
usuarios o penales, fiscales o entidad.
ciudadanos. disciplinarias.

Incumplimient o Interrupción
Imagen
en las metas y o demora de Se afecta la confidencialidad ,
institucional
objetivos las Se afecta la integridad o disponibilidad de la
afectada en el Se afecta el
institucionales operacione s ejecución del información, generando
orden nacional o Sanción por parte funcionamient
afectando el de la Entidad presupuesto o se incumplimiento de la misión,
regional por de ente de control o de la
Mayor cumplimiento entre uno (1) generan pagos objetivos de la entidad o
incumplimiento s u otro ente plataforma
en las metas de y dos (2) por sanciones o requisitos normativos o
en la prestación regulador. entre uno (1) y
gobierno. días. indemnizacione s afectando la imagen de la
del servicio a los dos (2) días.
de montos altos. entidad afectando las metas de
usuarios o
gobierno.
ciudadanos.

Interrupción
o demora de Se afecta el Se afecta la confidencialidad ,
Incumplimient o Imagen Se afecta la
las Intervención por funcionamient integridad o disponibilidad de la
en las metas y institucional ejecución del
operacione s parte de un ente o de la información, generando
objetivos afectada en el presupuesto o se
de la Entidad de control u otro plataforma por incumplimiento de la misión,
institucionales orden nacional o generan pagos
Catastrofico por más de ente regulador. más de cinco objetivos de la entidad o
afectando de regional por por sanciones o
cinco (5) (5) días. requisitos normativos o
forma grave la actos o hechos indemnizacione s
días. afectando la imagen de la
ejecución de corrupción de montos muy
entidad afectando la ejecución
presupuestal. comprobados. altos.
presupuestal de forma grave.

6.3.3 CALIFICACIÓN DEL RIESGO IHNERENTE, ANTES DE CONTROLES

Esta se logra a través de la estimación de la probabilidad y el impacto que pueda causar la

materialización del riesgo, de acuerdo con la siguiente tabla:
6.3.4 ANÁLISIS DE RIESGOS EN EL APLICATIVO SIGEPRE

Una vez realizada la identificación del riesgo, el enlace responsable definido por el líder del proceso
ingresa al aplicativo

6.4 VALORACIÓN DE RIESGOS

La valoración del riesgo es el producto de confrontar los resultados del análisis del riesgo con los
controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para
la fijación de políticas.

6.4.1 CONTROLES

Para realizar la valoración de los controles es necesario recordar que éstos se clasifican en:

Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su
ocurrencia o materialización.

Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser

detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron
su ocurrencia.

Detectivos: Aquellos que registran un evento después de presentado; sirven para descubrir
resultados no previstos y alertar sobre la presencia de un riesgo
Para adelantar esta etapa se hace necesario tener claridad sobre los controles aplicados al proceso. A
manera de ejemplo se muestran los siguientes controles:

TIPO DE CONTROL EJEMPLOS

Políticas claras aplicadas
Seguimiento al plan estratégico y operativo Indicadores de gestión
Tableros de control
Controles de
Seguimiento a cronograma
Gestión
Evaluación del desempeño
Informes de gestión
Monitoreo de riesgos
Conciliaciones
Consecutivos
Verificación de firmas
Listas de chequeo
Registro controlado
Controles Segregación de funciones
Operativos Niveles de autorización
Custodia apropiada
Procedimientos formales aplicados Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Normas claras y aplicadas
Controles Legales
Control de términos

6.4.2 EVALUACIÓN DE CONTROLES

Los controles se evaluarán independientemente

Esta evaluación se realiza directamente en el aplicativo SIGEPRE. Para su diligenciamiento se debe

tener en cuenta:

 Seleccionar la opción de acuerdo con las opciones de respuesta.

  Para la pregunta, ¿El control es automático o manual?, entiéndase automático, cuando la
ejecución del control la realice un sistema (software) en su totalidad, y no requiera la
manipulación manual. Para la opción “manual”, una persona ejecuta el control de forma
directa y en su totalidad;
  Para la pregunta “Seleccione en qué nivel el control cubre todos los efectos del riesgo
definidos en la etapa de identificación”, de acuerdo con la experiencia y conocimientos
técnicos, se determina el porcentaje que el control logra mitigar la materialización del
riesgo y sus respectivas causas identificadas;
  El puntaje total máximo a obtener es de 100, lo anterior lo calcula el aplicativo de acuerdo
con las opciones seleccionadas de las preguntas.
 La información consolidada es producto de los controles identificados, registrados y de
acuerdo con los resultados obtenidos de las preguntas.
 Es importante recordar que los controles principalmente afectan la probabilidad; sin
embargo, solo algunos controles disminuyen el impacto, por ejemplo:

Las pólizas de cumplimiento

Plan de continuidad del negocio

Póliza todo riesgo

Back ups

6.4.3 CALIFICACIÓN DEL RIESGO RESIDUAL, DESPUES DE APLICAR CONTROLES

Una vez evaluados los controles existentes promedia los criterios de probabilidad e impacto de
acuerdo con la escala de afectación del control, el puntaje máximo es un 100%

Es necesario tener en cuenta que los controles pueden minimizar la probabilidad en alto o menor
grado. A manera de ejemplo, se presentan aspectos a considerar en cuanto a la minimización del
impacto a la hora de realizar la valoración:

 Frente al riesgo de incumplimientos legales, una vez materializado el riesgo, el impacto que
se deriva de éste ocasionará sanciones económicas, disciplinarias, legales y/o penales que
no se pueden subsanar; es casi imposible disminuir el impacto.
 -  Frente a los riesgos daño de activos y hurto, se pueden adquirir pólizas todo riesgo que
disminuyen desde el punto de vista económico el impacto que la materialización de estos
puede generar.
 Cuando se trate del riesgo hurto de información confidencial, el impacto que se genera es
irremediable y éste no se puede mitigar.
 Frente al riesgo daño de activos, la entidad puede disponer de recursos en el marco de un
plan de continuidad del negocio que permiten disminuir el impacto que ocasione un
fenómeno natural, atentado terrorista, entre otros.

Ejemplo 1:
Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una
vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 60 se
disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y hasta 1 cuadrante en el
impacto quedando éste en Moderado.

Ejemplo 2:
Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una
vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 0 se
disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y 0 cuadrantes en el
impacto quedando este en Mayor.

6.4.4 VALORACIÓN DE RIESGOS EN EL APLICATIVO SIGEPRE

Una vez realizado el análisis del riesgo por el enlace responsable definido por el líder del proceso,
el sistema muestra la etapa en la cual se encuentra el riesgo y la resalta.

Esta evaluación de los controles le permitirá al responsable de realizar la valoración determinar en

qué posición de probabilidad e impacto quedará ubicado el riesgo “Residual” a partir de la
ubicación inicial del riesgo “Puro”, como se muestra a continuación:

Una vez definida la probabilidad e impacto del riesgo después de controles, registra la siguiente
información:

A partir de la calificación de controles el sistema muestra su fortaleza

El sistema permitirá reducir la probabilidad e impacto a partir de los promedios de calificación de los controles aplicados

6.5 MANEJO DE LOS RIESGOS

Permite guardar la información (Como si se estuviera trabajando en documento de Word)

Continúa con la etapa de Manejo

En el Departamento Administrativo de la Presidencia de la Republica el manejo o tratamiento de los

riesgos implica:

6.5.1 SELECCIÓN DE OPCIONES DE MANEJO O TRATAMIENTO

Deberá seleccionar las opciones de manejo o tratamiento acorde con lo definido en el numeral 5 de
estos lineamientos y tener en cuenta los siguientes aspectos:

a) Evitar el Riesgo: deberá seleccionar esta opción si es posible generar mejoras en los procesos
o rediseños en los mismos encaminados a evitar la actividad que genera el riesgo.

b) ReducirelRiesgo:deberáseleccionarestaopciónsielriesgosematerializóenla vigencia anterior, o

si su valor está en alguna de las siguientes zonas: moderada, alta o extrema y es posible
implementar acciones encaminadas a reducir su probabilidad de ocurrencia o el impacto en caso de
materializarse. También se puede seleccionar si, aunque la zona de riesgo en la que se encuentra es
baja, se pueden generar acciones de mejora para reducirlo aún más.

c) Compartir o transferir el riesgo: deberá seleccionar esta opción si se cuenta con controles
que reduzcan el efecto a través del traspaso del impacto a otras organizaciones. Ejemplo: contratos
de seguros que permiten distribuir una porción
del riesgo con otra entidad (contratos de riesgo compartido), póliza de cumplimiento,

entre otros.
d) Asumir un riesgo: una vez analizadas las opciones a, b y c y si no es aplicable

ninguna, el responsable del riesgo puede seleccionar esta opción siempre y cuando el riesgo haya
quedado en zona de riesgo “Baja” o “Moderada” asumiendo las responsabilidades y posibles
consecuencias que pueda traer su materialización. En caso que un riesgo se encuentre en una zona
de riesgo alta o extrema y no exista la posibilidad de reducirlo, el riesgo debe ser evaluado por el
Líder del proceso o Jefe de la Dependencia con el fin de decidir las acciones a tomar desde un punto
de vista estratégico; estos riesgos deben permanecer en constante monitoreo y deben contar con
planes de contingencia para actuar en caso de materializarse.

Las opciones de manejo o tratamiento se reflejan en el siguiente cuadro teniendo en cuenta la

probabilidad y el impacto:

Impacto
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
3 4 5
1 2
Zona de riesgo moderada
Zona de riesgo alta Reducir Zona de riesgo alta Reducir
Raro (1) Zona de riesgo baja Asumir Zona de riesgo baja
Asumir el riesgo Reducir el
el riesgo Evitar el riesgo el riesgo Evitar el riesgo
el riesgo Asumir el riesgo
riesgo Compartir o transferir Compartir o transferir
6 8 10
2 4
Improbable Zona de riesgo moderada
Zona de riesgo alta Reducir Zona de riesgo extrema
Zona de riesgo baja Asumir Zona de riesgo baja
(2) Asumir el riesgo Reducir el
el riesgo Evitar el riesgo Evitar el riesgo Reducir el
el riesgo Asumir el riesgo
riesgo Compartir o transferir riesgo Compartir o transferir
12
6 9 15
3 Zona de riesgo extrema
Moderada Zona de riesgo moderada Zona de riesgo alta Reducir Zona de riesgo extrema
Zona de riesgo baja Asumir Evitar el riesgo Reducir el
(3) Asumir el riesgo Reducir el riesgo Evitar el riesgo Evitar el riesgo Reducir el
el riesgo riesgo Compartir o
el riesgo Compartir o transferir riesgo Compartir o transferir
transferir
8 16
4 12 20
Zona de riesgo alta Zona de riesgo extrema
Zona de riesgo moderada Zona de riesgo alta Reducir Zona de riesgo extrema
Probable (4) Reducir el riesgo Evitar el Evitar el riesgo Reducir el
Asumir el riesgo Reducir el el riesgo Evitar el riesgo Evitar el riesgo Reducir el
riesgo Compartir o riesgo Compartir o
riesgo Compartir o transferir riesgo Compartir o transferir
transferir transferir
10 15 20
5 25
Zona de riesgo alta Zona de riesgo extrema Zona de riesgo extrema
Casi certeza Zona de riesgo alta Reducir Zona de riesgo extrema
Reducir el riesgo Evitar el Evitar el riesgo Reducir el Evitar el riesgo Reducir el
(5) el riesgo Evitar el riesgo Evitar el riesgo Reducir el
riesgo Compartir o riesgo Compartir o riesgo Compartir o
Compartir o transferir riesgo Compartir o transferir
transferir transferir transferir

Las opciones de manejo o tratamiento se seleccionan teniendo en cuenta criterios como:

 Zona de Valoración del riesgo

 Costos que genera la implementación de las acciones frente a los beneficios que se
obtendrían después de su implementación.
 Si es un riesgo relacionado con corrupción

Para este último, las opciones de manejo o tratamiento podrán ser:

Evitar el riesgo, Compartir o transferir el riesgo, Reducir el riesgo

6.5.2 FORMULACIÓN DE PLAN DE CONTINGENCIA

Código: L-DE-01 Versión 13

El plan de contingencia es un plan correctivo el cual ayudará a controlar una situación de

materialización del riesgo y a minimizar los impactos o efectos negativos que este pueda ocasionar.
Los planes de contingencia son dinámicos y cuando se definan deben ser revisados anualmente para
verificar su pertinencia frente al riesgo.

Principalmente los Planes de Contingencia están asociados a los riesgos de los procesos de soporte,
proceso de Atención al Usuario y proceso de Gestión de Seguridad, apoyo logístico presidencial,
comunicación y prensa.

Para la elaboración de un plan de contingencia el líder del proceso, como responsable del riesgo,
con su equipo de trabajo analiza la siguiente información del riesgo:

a) En el momento que el riesgo residual (después de controles), se encuentre en las zonas moderada,
alta o extrema, se puede llegar a determinar que el mismo tiene un mayor número de posibilidades
que se materialice;

b) Dado el caso que el riesgo sea de corrupción, el plan de contingencia debe buscar:

 Proteger la escena y que contenga aquellas actividades necesarias para que la instancia
pertinente realice la investigación de la materialización, y

 Describir las actividades requeridas para dar continuidad con las funciones y
responsabilidades afectadas.

c) Si el riesgo ya se ha materializado en algún momento.

Para la documentación de los planes de contingencia se utilizará plantilla la cual contiene

como mínimo los siguientes aspectos:

Para registrar el plan de acción para atender la eventual contingencia, numeral 6 de la plantilla, debe
hacerse a través del Aplicativo SIGEPRE - Modulo de planes – Opción Crear, teniendo en
cuenta las siguientes recomendaciones:

1. Para registrar el nombre del plan indique que es un plan de contingencia, el año y el nombre
de riesgo

Ejemplo: Plan de Contingencia 2016 riesgo Hurto de dinero en efectivo o cheques

Nota: No marcar el plan de contingencia como iniciativa.

2. Para registrar las categorías indique la(s) causa(s) que pueden generar la

materialización del riesgo definidas en la etapa de identificación del riesgo.

3. Registre las actividades que se ejecutarán para disminuir el impacto del riesgo con su
respectivo responsable. Cómo no se sabe cuándo se materializará el riesgo registre fecha de
inicio el 1 enero del año y fecha de finalización 31 de diciembre del año respectivo.
 4. Para los demás aspectos del plan tenga en cuenta las orientaciones metodológicas de la
Guía para formulación y seguimiento a la Planeación Institucional G-DE-02.
5. 6.5.3 FORMULACIÓN DE ACCIONES E INDICADORES DE RIESGO
6. En este paso deben asociarse acciones para reducir el riesgo e indicadores de riesgo que
permitan calcular el estado del riesgo:

7. a)  Acciones: son planes o mejoras que ataquen la causa o disminuyan el impacto del
riesgo. Si en los planes de acción de la vigencia existen acciones que tengan relación directa
con el fortalecimiento o mejora de los controles existentes o la implementación de nuevos
controles debe asociarse el plan. Si los planes de mejoramiento correctivo, preventivo o de
mejora documentados por diferentes fuentes cuentan con acciones que tengan relación
directa con el fortalecimiento o mejora de los controles existentes o la implementación de
nuevos controles debe asociarse la mejora. En caso de no contar con ninguna de las
anteriores debe formular una mejora siguiendo las orientaciones metodológicas del
procedimiento Formulación, seguimiento y evaluación de planes de
mejoramiento P-EM-06 y la Guía para la formulación, seguimiento y
evaluación de planes de mejoramiento G-EM-01

Nota: Las mejoras derivadas del tratamiento de productos y/o servicios No conformes
deben asociarse en este punto.

8. b)  Indicadores: pueden asociar indicadores creados en el aplicativo SIGEPRE siempre y

cuando éstos tengan relación directa con el riesgo. Para crear nuevos indicadores asociados
a los riesgos se deben seguir las orientaciones metodológicas del

6.5.4 MANEJO DE RIESGOS EN EL APLICATIVO SIGEPRE

9. Una vez realizada la valoración del riesgo por el enlace responsable definido por el líder del
proceso, el sistema muestra la etapa en la cual se encuentra el riesgo y la resalta.

6.5.5 FORMULACIÓN DE UNA MEJORA DESDE LA ETAPA DE MANEJO

Al tener en cuenta que la identificación, análisis e implementación de controles se establece como

producto de las causas del riesgo, es posible definir nuevos controles como oportunidades de
mejora, que logren fortalecer la mitigación del riesgo. Para dar claridad sobre el tema, a
continuación se da un ejemplo:

   Nombre del Riesgo: Pago errado de la nómina a los funcionarios de la Entidad

   Causa: Elaboración de la nómina de forma manual

 Oportunidad de Mejora: Desarrollar o adquirir un software especializado para la

administración de la nómina de la Entidad.

 Una vez selecciona la opción agregar en el campo de acciones asociadas el sistema muestra
la siguiente información:

6.6 MONITOREO Y SEGUIMIENTO DE RIESGOS

El monitoreo o seguimiento de riesgos se realiza en primera instancia por el responsable del proceso
y en instancias posteriores por las auditorías internas de calidad o de gestión programadas por la
Oficina de Control Interno (Ver Procedimiento P-EM-01 Auditorías internas). La finalidad
principal de éstas, es verificar las disposiciones de monitoreo y sugerir los correctivos u
oportunidades de mejora para los ajustes necesarios a los riesgos identificados.

El monitoreo a los riesgos deberá realizarse trimestralmente, con corte a 31 de Marzo, 30 de Junio,
30 de Septiembre y 31 de Diciembre, durante los primeros 15 días después de la fecha de corte, o
con una periodicidad menor de acuerdo con las instrucciones del Líder del Proceso o Jefe de la
Dependencia. El monitoreo debe incluir la actualización de los riesgos si se presentan cambios en el
proceso que afecten la seguridad de la información y una actualización del riesgo en el momento
que se requiera. .