Copia de AR-L02 Lineamientos Administracion Riesgos - Pu PDF

LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP
Departamento Nacional de Planeación

Bogotá, 2014
ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP
CÓDIGO: AR-L02
LINEAMIENTO PARA LA ADMINISTRACIÓN DE VERSIÓN: 5
RIESGOS EN LOS PROCESOS DEL DNP PAGINA: 2 de 44
TABLA DE CONTENIDO
Pág.
1 OBJETIVO ..................................................................................................................................... 4
2 ALCANCE...................................................................................................................................... 4
3 REFERENCIAS NORMATIVAS..................................................................................................... 4
4 DOCUMENTOS ASOCIADOS ...................................................................................................... 4
5 DEFINICIONES ............................................................................................................................. 5
6 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS
PROCESOS ........................................................................................................................................... 7
6.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a
los Procesos ...................................................................................................................................... 8
6.2 Los riesgos que se van a controlar. ........................................................................................ 8
6.3 Opciones de tratamiento de riesgos ....................................................................................... 8
6.4 Acciones para administrar los riesgos .................................................................................... 9
6.4.1 Tiempo y recursos .................................................................................................. 9
6.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos ........................ 9
6.6 Recursos requeridos ............................................................................................................ 10
6.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a
los Procesos .................................................................................................................................... 10
7 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO ............................................................ 11
7.1 Autocontrol ........................................................................................................................... 11
7.2 Evaluación Realizada por la Oficina de Control Interno ...................................................... 12
7.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de
riesgos12
7.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos ........ 13
8 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO ........................... 13
9 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP .............................................. 13
9.1 Identificación de riesgos ....................................................................................................... 13
9.1.1 Priorización de riesgos.......................................................................................... 14
9.1.2 Estructura del formulario de identificación de riesgos ............................................... 15
9.2 Análisis y Valoración del riesgo antes de controles (riesgo inherente) ................................. 21
9.3 Determinación y análisis de controles .................................................................................. 24
9.3.1 Estructura del formulario de determinación y análisis de controles ............................ 25
9.3.2 Documentación del control ................................................................................... 26
9.4 Evaluación de controles ....................................................................................................... 27
9.4.1 Evaluación respecto a la probabilidad (sobre las causas y eventos generadores) ...... 27
9.4.2 Evaluación respecto al impacto (sobre los efectos) ................................................. 29
9.5 Valoración del riesgo después de controles (riesgo residual) .............................................. 29
9.6 Priorización de riesgos ......................................................................................................... 30
10 MATRICES DE LOS MAPAS DE RIESGO .................................................................................. 33
10.1 Mapa de riesgos del proceso ............................................................................................... 33
CÓDIGO: AR-L02
10.2 Mapa de riesgos institucional asociado a procesos ............................................................. 33

10.3 Mapa de riesgos de corrupción ............................................................................................ 33
11 PRODUCTO O SERVICIO NO CONFORME .............................................................................. 34
11.1 Identificación de producto no conforme ................................................................................ 34
11.2 Tratamiento del producto no conforme ................................................................................. 34
11.2.1 Estructura del formulario “Tratamiento de Producto No Conforme” ........................... 35
12 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA
ADMINISTRACIÓN DE RIESGOS ....................................................................................................... 36
13 ANEXOS...................................................................................................................................... 37
CÓDIGO: AR-L02
1 OBJETIVO
Establecer los parámetros para la administración de los riesgos relacionados a los procesos del DNP,
su trazabilidad, registro y monitoreo, a través de la presentación de los criterios para la identificación,
análisis, valoración, definición de acciones de mitigación y seguimiento a los riesgos en los procesos,
que pueden afectar el cumplimiento de la misión y objetivos institucionales del DNP. Así como la
presentación de las medidas de control y seguimiento de los riesgos enmarcados en la política de
administración de riesgos adoptada por la Entidad.
2 ALCANCE
Esta guía debe ser aplicada por la autoridad, líderes y ejecutores de las actividades de los procesos
del Departamento Nacional de Planeación, que son responsables de la documentación, aplicación,
actualización y seguimiento a los mapas de riesgos para los procesos de la Entidad.
3 REFERENCIAS NORMATIVAS
· Decreto 1599 de 2005

· Ley 87 de 1993
· Ley 872 de 2003
· Ley 1474 de 2011. Artículo 73
· Resolución interna 0758 de 2005
· Guía para la Administración de Riesgos del DAFP vigente
· Norma Técnica Colombiana NTC-ISO 9001:2008
· Norma Técnica de Calidad en la Gestión Pública NTCGP-1000:2009
4 DOCUMENTOS ASOCIADOS
· Proceso GC-AR “Administración de Riesgos”

· Proceso MC-AP “Acciones Preventivas, Correctivas y de Mejora”
· Subproceso SG-EV-AI “Auditorías Internas de Calidad”
· Subproceso SG-EV-EI “Evaluaciones Independientes”
· Guía metodológica para el seguimiento del sistema de gestión de calidad y el desempeño de los
procesos RD-G01
CÓDIGO: AR-L02
· “Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del

DNP” DS-L01
· “Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de
Mejora y/o Planes de Mejoramiento” AP-L01
5 DEFINICIONES
· Acción de riesgos: es la aplicación concreta de las opciones de tratamiento de riesgo.
· Administración de Riesgos: es el proceso continuo basado en el conocimiento, evaluación y

manejo de los riesgos que mejora la toma de decisiones organizacionales.
· Análisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos

y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de
determinar la capacidad de la entidad pública para su aceptación y manejo.
· Autoevaluación del control: Elemento de control que basado en un conjunto de mecanismos

de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel
de los procesos y de cada dependencia, permitiendo emprender las acciones de mejoramiento
del control requeridas. (revisión periódica y sistemática de los procesos de la entidad para
asegurar que los controles establecidos son eficaces).
· Calificación del riesgo: establece el grado de exposición de la Entidad bajo criterios de

probabilidad e impacto de los riesgos.
· Categoría: cada uno de los grupos básicos en que puede incluirse o calificarse un riesgo.
· Causas: son los medios, circunstancias y agentes generadores del riesgo.
· Cliente: organización, entidad o persona que recibe un producto y/o servicio.
· Compartir el Riesgo: Cambiar la responsabilidad o carga por las pérdidas que ocurran luego
de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.
· Control: proceso, política, dispositivo, práctica u otra acción existente para reducir la
probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo.
· Efectos: lo que podría generarse en la Entidad con la materialización de un riesgo. Es el

resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida,
perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el
proceso.
· Evento: hecho que una vez materializado genera desviaciones en el punto crítico de control,
afectando el logro del objetivo del proceso o la gestión institucional.
CÓDIGO: AR-L02
· Impacto: magnitud de los efectos que puede ocasionar la materialización del riesgo.
· Indicador: expresión cuantitativa o cualitativa que permite establecer el estado del objeto a
evaluar en un momento determinado, con relación a rangos establecidos.
· Mapa de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos
ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las
posibles consecuencias.
· Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una
actividad con el fin de identificar posibles cambios.
· Pérdida: Consecuencia negativa que trae consigo un evento.
· Política de riesgo: identifica las opciones para tratar y manejar los riesgos:
· Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar

valor, las cuales transforman elementos de entrada en resultados.
· Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo.
· Punto Crítico de Control (PCC): es una actividad fundamental dentro del proceso, en la que
se debe ejercer un control para prevenir la materialización de un riesgo. Toda actividad no es un
punto crítico de control.
· Registro: documento que presenta resultados obtenidos o proporciona evidencia de las

actividades adelantadas.
· Responsables: rol o cargo encargado de adelantar las acciones propuestas.
· Responsable de liberación: rol o cargo que autoriza la entrega del producto o servicio al
cliente.
· Riesgo: posibilidad de ocurrencia de aquella situación que puede afectar el logro de los
objetivos institucionales, o la calidad de los productos o servicios ofrecidos por la Entidad.
· Riesgos Estratégicos: Están relacionados con la planificación, diseño y conceptualización de

la Entidad por parte de la alta gerencia, en relación con su marco estratégico: misión, visión,
cumplimiento de los objetivos estratégicos y la definición de políticas.
· Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

ciudadanía hacia la institución.
· Riesgos Operativos: son los riesgos derivados del funcionamiento de los sistemas de gestión
institucional, la definición y ejecución de los procesos, la operación de los sistemas de
información y herramientas de apoyo a la gestión, de la estructura de la entidad y de los
mecanismos de comunicación y articulación entre dependencias.
CÓDIGO: AR-L02
· Riesgos Financieros1: Se relacionan con el manejo de los recursos de la entidad que incluyen:
la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes.
· Riesgos de Cumplimiento2: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.
· Riesgos de Tecnología3: Están relacionados con la capacidad tecnológica de la Entidad para

satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
· Herramienta de seguimiento: mecanismo para controlar que la ejecución de los procesos y los
resultados obtenidos sean acordes con los requisitos, características o atributos establecidos,
de manera que se pueden identificar o monitorear la materialización de riesgos.
· Subproceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales

transforman elementos de entrada en resultados. El desarrollo de uno o varios subprocesos
permite avanzar en el cumplimiento de los procesos.
· Valoración pura: grado de exposición al riesgo en un escenario sin controles.
· Valoración residual: grado de exposición al riesgo con la calificación de probabilidad e impacto

aplicando los controles existentes.
· Zona de riesgo: es el nivel de exposición al riesgo, hallado mediante el cruce entre la

probabilidad y el impacto.
6 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS

PROCESOS
La política institucional para la administración de riesgos del DNP, establece las opciones para tratar y
manejar los riesgos basadas en la valoración de los mismos. Esta política refleja la posición de la
dirección y establece las guías de acción para el tratamiento de los riesgos identificados.
Para los riesgos de los procesos del Sistema de Gestión de Calidad, que después de la calificación de
los controles (ver numeral 9.4 de este documento) se valoren como importantes ó inaceptables, serán
atendidos de forma inmediata a través de acciones concretas, las cuales podrán ser opciones de
tratamiento independientes, interrelacionadas o en conjunto, que permitan definir las actividades
correspondientes a dichas opciones.
1
Guía para la administración del riesgo del Departamento Administrativo de la Función Pública. 2011 cuarta edición
páginas: 14-15.
2
ibidem
3
ibidem
CÓDIGO: AR-L02
Para los riesgos de corrupción, las acciones que se deben tener en cuenta son: Evitar el Riesgo y
Reducir el Riesgo, las cuales se explican en el capítulo 6.3 de este documento. Lo anterior, en
cumplimiento con lo establecido en el documento de la Presidencia de la República-Secretaría de
Transparencia: “Estrategias para la construcción del plan anticorrupción y atención al ciudadano”
Bogotá.
6.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos

Asociados a los Procesos
 Efectuar el control y seguimiento de los riesgos que después de la calificación de los controles se
valoren como importantes o inaceptables.
 Definir las acciones orientadas a evitar o reducir el riesgo mediante la adopción de medidas para
impedir su materialización, o disminuir el impacto de su materialización.
 Fortalecer o implementar controles que eviten la materialización del riesgo o la afectación en el
cumplimiento de los objetivos institucionales.
El cumplimiento de estos objetivos será informado semestralmente, para verificar el avance y

efectividad de las acciones propuestas y su impacto frente al riesgo asociado, así como el
cumplimiento de las acciones. Esta labor será realizada por el Grupo de Planeación mediante
comunicación escrita.
6.2 Los riesgos que se van a controlar.

La administración de riesgos en el DNP tendrá un carácter prioritario y estratégico, en el marco del
modelo de operación por procesos. Los riesgos a los cuales se aplicaran controles, son los
relacionados con las actividades identificadas como críticas, las cuales están definidas en todos los
procesos como PCC (Punto Crítico de Control), porque requieren de especial atención debido a que
su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso.
Por lo anterior, se establece que la totalidad de riesgos identificados en el mapa de riesgos

institucional y por procesos estarán sujetos al seguimiento, monitoreo, control y ajuste mediante la
aplicación del procedimiento de administración de riesgos del DNP.
6.3 Opciones de tratamiento de riesgos

Teniendo en cuenta la valoración de riesgos después de controles, se determinan las siguientes
opciones de tratamiento para cada uno de los riesgos:
 Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la
primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios
sustanciales por mejoramiento, rediseño o sustitución de actividades y/o de controles y acciones
emprendidas.
 Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas
de prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar
controles.
CÓDIGO: AR-L02
 Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras
organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir
una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.
 Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que
se mantiene, en este caso el Líder del proceso acepta la pérdida residual.
Estas opciones se definen para cada riesgo (ver cuadro 1), teniendo en cuenta la zona de ubicación
en el Formulario “Matriz de valoración de riesgos después de controles” ver anexo 3 y la Política
Institucional de Tratamiento de Riesgos Asociados a los Procesos.
OPCIONES DE
TRATAMIENTO DE RIESGOS
o transferir
Compartir
ZONA DE RIESGO COLOR
Reducir
Asumir
Inaceptable Rojo XEvitar X X
Importante Naranja X X X
Tolerable Amarillo X X X X
Aceptable Verde X
Cuadro 1. Opciones de tratamiento de riesgos de acuerdo con la zona de ubicación
Nota 13: Cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de
tratamiento es asumir.
6.4 Acciones para administrar los riesgos

Teniendo en cuenta la valoración de riesgos obtenida y la Política Institucional de Tratamiento de
Riesgos Asociados a los Procesos, se formulan las acciones asociadas a la(s) opción(es) de
tratamiento de riesgos adoptada. Estas acciones se diligencian según lo establecido en el proceso de
Acciones Preventivas, Correctivas y de Mejora, usando el formato “Solicitud de acciones preventivas,
correctivas y de mejora”, según lo establecido en el Lineamiento para la administración de los riesgos
relacionados a los procesos del DNP.
6.4.1 Tiempo y recursos

Para la implementación de acciones y controles se tendrá como referente la viabilidad jurídica,
financiera y la disponibilidad de recurso humano y tecnológico, así como el análisis costo/beneficio
para el manejo o la administración del riesgo.
6.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos

La responsabilidad de la elaboración del mapa de riesgos por proceso, así como la aplicación de la
política de riesgos del DNP, está a cargo de la autoridad, líderes y ejecutores de las actividades de
cada uno de los procesos de la Entidad.
CÓDIGO: AR-L02
La responsabilidad de acompañar en el desarrollo del proceso de administración de riesgos y la

aplicación de la política de riesgos del DNP está a cargo del equipo de administración de riesgos del
Grupo de Planeación.
El representante de la alta dirección es el encargado de velar por la elaboración de los mapas de

riesgos asociados a los procesos del DNP y la aplicación de la política de administración de riesgo del
DNP.
Los responsables de los procesos (Autoridad, líder y responsables de actividades) serán los
encargados de implementar los controles, verificar su efectividad, proponer cambios, velar por su
adecuada documentación y por su socialización y aplicación al interior de su proceso. Así mismo, son
los responsables de la formulación de las acciones pertinentes que permitan cumplir a cabalidad con
la política de riesgos institucional.
La revisión de los avances de las acciones derivadas de la administración de riesgos, así como la
revisión de su eficacia, y la aplicación de la política institucional para el tratamiento de los riesgos
asociados a procesos, está a cargo de la Oficina de Control interno.
6.6 Recursos requeridos

En cada uno de los pasos de administración de riesgos se contemplaran los recursos necesarios para
la definición, implementación y efectividad de las acciones que permitan un tratamiento adecuado de
los riesgos. Para ello se involucraran a los procesos que tengan incidencia en el cálculo, aplicación o
solicitud de los recursos.
6.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos

Asociados a los Procesos
La política de calidad será desarrollada mediante los ejercicios de revisión, actualización y
seguimiento a los mapas de riesgos de la Entidad, de la siguiente manera, ver cuadro 2:
DESARROLLO DE LA POLÍTICA A:
Corto plazo 2015 Mediano Plazo 2016-2017 Largo Plazo 2018
Revisión anual de los mapas de Documentación de los mapas
riesgos por procesos. de riesgo relacionados a
(actividades de control: proyectos.
Aplicación y efectividad)
Actualización bienal de los Documentación de los mapas
mapas de riesgos por procesos de riesgo relacionados a otras
actividades desarrolladas por el Documentación de los mapas
DNP. de riesgo relacionados con
Revisión y actualización Implementación de actividades desarrolladas por el
trimestral de los mapas de herramientas tecnológicas o de DNP y el sector planeación.
riesgos de corrupción. información que aumente el
nivel de confianza de los
controles.
Documentación de los mapas Establecer una metodología de
de riesgo relacionados a activos valoración de los riesgos para
de información. estimar aquellos que tienen
CÓDIGO: AR-L02
Documentación de los mapas impacto ambiental

de riesgo relacionados con el
programa de salud ocupacional.
Documentación de los mapas
de riesgo relacionados a
proyectos.
Implementación de una
herramienta tecnológica para la
administración de riesgos
(herramienta informática)
Cuadro 2. Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos
7 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO

El seguimiento a la administración del riesgo se encuentra conformado por dos componentes: el
primero mediante el autocontrol realizado por los ejecutores del proceso y el segundo mediante la
evaluación realizada por la Oficina de Control Interno.
7.1 Autocontrol
Es la actividad realizada por los implicados en el desarrollo y ejecución del proceso, donde se analizan
y revisan los mapas de riesgos asociados a los procesos por lo menos una vez al año o cuando las
circunstancias lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto
estratégico, modificaciones o cambios relevantes en los procesos y/o procedimientos, o cualquier
hecho externo o interno que afecte la operación de la entidad.
La revisión se realiza teniendo en cuenta los siguientes aspectos:
 Correspondencia con el proceso y los puntos críticos de control definidos.
 Identificación de nuevos riesgos o eliminación cuando no sean significativos.
 Determinación de nuevas causas generadoras o efectos con la materialización de riesgos.
 Determinación de nuevos controles o ajuste en la evaluación de los mismos.
 Determinación de nuevas acciones de administración de riesgos o ajuste a las definidas.
 Implementación de las acciones definidas en el mapa de riesgos.
 Modificación del indicador de riesgos o herramienta de seguimiento.
 Actualización de la matriz de producto o servicio no conforme.
 Inclusión del Mapa de riesgos del proceso en el Mapa de riesgos institucional asociado a
procesos.
Los ajustes a los mapas de riesgos de acuerdo con las actualizaciones a que haya lugar, se realizan
mínimo una vez cada dos años y deben solicitarse de acuerdo con lo establecido en los “Lineamientos
para la elaboración y control de documentos de los sistemas de gestión del DNP” DS-L01.
CÓDIGO: AR-L02
Para los riesgos de la categoría de Corrupción, es necesario que permanentemente se revisen las
causas que generan estos riesgos. En este sentido se debe realizar seguimiento a los mapas de
riesgo de corrupción por lo menos tres veces al año con corte a 30 de abril, 31 de agosto y diciembre
31. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la
Republica-Secretaria de Transparencia: “Estrategias para la construcción del plan anticorrupción y
atención al ciudadano” Bogotá. Pág. 13.
7.2 Evaluación Realizada por la Oficina de Control Interno

Esta evaluación permite detectar nuevos eventos de riesgos y oportunidades de mejora que permiten
disminuir la probabilidad e impacto de los posibles riesgos asociados a los procesos de la Entidad,
contribuyendo de esta manera a la identificación de riesgos, a través de la evaluación sobre
efectividad del manejo de los riesgos, verificando la vigencia de los mapas de riesgos documentados y
la efectividad de las acciones de mejora originadas por la administración de riesgos.
La evaluación adelantada por la Oficina de Control Interno a la administración de riesgos, se puede
realizar a través de las evaluaciones independientes que adelante la Oficina tales como: Auditorías
internas de calidad (Subproceso SG-EV-AI “Auditorías internas de calidad”), Evaluaciones
Independientes (subproceso SG-EV-EI “Evaluaciones independientes”), Evaluación a la Gestion por
Dependencias (subproceso SG-EV-EG ), revisión de la eficacia de las acciones preventivas,
correctivas y de mejora – APCM originadas a partir de los mapas de riesgos (Proceso MC-AP
“Acciones preventivas, correctivas y de mejora”), monitoreo de operaciones sensibles, entre otras.
7.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de

riesgos
Durante el seguimiento realizado a los mapas de riesgo por parte de la autoridad, líderes y ejecutores
de las actividades de los procesos del DNP, así como en la evaluación adelantada por la OCI, se
pueden obtener evidencias para determinar si el sistema de administración del riesgo está
funcionando, validar los reportes generados para los riesgos, revisar y evaluar la eficacia del proceso
de administración del riesgo, evaluar los mecanismos y medios de comunicación, el nivel de
conocimiento en riesgos, etc.
A continuación se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los

ejercicios mencionados:
 Verificar la correspondencia entre el proceso y el mapa de riesgos.

 Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos del
proceso auditado.
 Vinculación del Mapa de riesgos del proceso al Mapa de riesgos institucional asociado a
procesos.
 Validar el desarrollo del proceso GC-AR “Administración de riesgos”.
 Verificar que los controles internos definidos para tratar los riesgos existen, funcionan y son
suficientes.
 Verificar la operatividad –ejecución- de los controles identificados en el mapa de riesgos,
según la periodicidad establecida en el mapa de riesgos en el formulario Controles, pestaña
Evaluación de Controles. Ver anexo 4
 Revisar la ejecución y eficacia de las acciones de administración de riesgos definidas.
CÓDIGO: AR-L02
 Verificar que el tratamiento de los riesgos es adecuado y efectivo.

 Verificar la materialización de riesgos que pueden generar productos y/o servicios no
conformes
 Verificar la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los
Procesos.
 Verificar las evidencias de la revisión del mapa de riesgos del proceso de acuerdo con la
periodicidad establecida en el capítulo 7.1 de este documento.
 Identificar los hallazgos relacionados con la administración del riesgo.
7.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos
La Oficina de Control Interno realiza la revisión de la eficacia de las acciones de mejora con origen en
la administración de riesgos, enmarcada en los criterios establecidos en los “Lineamientos para la
Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora” AP-L01 y en el Proceso
MC- AP “Acciones Preventivas, Correctivas y de Mejora”.
8 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO
La administración de riesgos debe ser un tema conocido por todos los funcionarios, contratistas y
pasantes del DNP, para lo cual se utiliza la intranet de la Entidad para su publicación, los medios
masivos de comunicación y la divulgación al interior de cada uno de los procesos. En cuanto a la
capacitación, esta se realizará anualmente en la entidad y durante el desarrollo del proceso de
administración de riesgos en cada área de la Entidad.
9 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP
9.1 Identificación de riesgos
Permite conocer los riesgos que pueden afectar el logro del objetivo o la gestión de cada proceso
documentado y sus características. El proceso de identificación del riesgo es iterativo y debe estar en
permanente revisión y actualización, de acuerdo con la dinámica de los procesos de la Entidad.
Este proceso es desarrollado en primera instancia por el equipo de trabajo que involucra el proceso
(Autoridad, líder y responsables de las actividades) y en segunda instancia por el equipo de
administración de riesgos del GP.
La identificación de riesgos consiste en generar una lista de los eventos indeseados que puede tener
impacto en las actividades del proceso al cual se le está documentando el mapa de riesgos, dichos
eventos pueden impedir, degradar o retrasar el logro de los objetivos del proceso. La identificación de
riesgos se realiza a partir de juicios por parte de los ejecutores de las actividades de los procesos,
basados en su experiencia, los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas y
análisis de escenarios.
Nota 1: En los casos en los cuales las actividades críticas de un proceso contemplen la realización de
un subproceso o se remitan al mismo, cabe la posibilidad de que el mapa de riesgos se documente al
subproceso relacionado, puesto que los riesgos del proceso pueden ser más evidentes dentro de las
actividades que constituyen el subproceso.
CÓDIGO: AR-L02
9.1.1 Priorización de riesgos
Aunque en todas las actividades de un proceso se pueden presentar riesgos de diferente índole, es
necesario priorizar las actividades a las cuales se les realizará el análisis de riesgos, para marcarlas
como actividades críticas o Puntos Críticos de Control-PCC. Estas actividades han sido identificadas
como PCC porque requieren de especial atención debido a que su ejecución tiene un mayor impacto
sobre el resultado final esperado del proceso.
Cuando se identifican los riesgos asociados a las actividades PCC, se realiza nuevamente un análisis
en donde se priorizan aquellos eventos indeseados que pueden evitar el cumplimiento de la actividad
y por tanto la obtención de la salida: producto y/o servicio generado en la actividad crítica, señalada en
el descriptor del proceso.
Para la priorización de riesgos que se pueden presentar en una actividad PCC, se pueden analizar las
respuestas a las siguientes preguntas:
-¿La materialización del riesgo afecta el cumplimiento del objetivo del proceso (producto y/o servicio)?
-¿La materialización del riesgo afecta la obtención de la salida (producto y/o servicio) de la actividad?
-¿La materialización del riesgo afecta la realización de otras actividades subsiguientes a la señalada
como PCC, es decir, detiene la realización del proceso en esa actividad?
-¿Al materializarse ese riesgo, es necesario repetir la realización de actividades anteriores?
-¿La materialización del riesgo impide el cumplimiento de alguna normativa?
Una vez analizadas las preguntas, es importante validar cuantas respuestas son afirmativas, de
manera que se seleccionen los riesgos cuyas respuestas, en su mayoría, son “SI” igual o mayor de 3
(=>3). Para los demás riesgos identificados, cuyas respuestas en su mayoría sean “NO” se excluyen
del análisis del riesgo, es decir no son incluidos dentro de la priorización, por tratarse de riesgos, que
aunque son eventos indeseados, no detienen la realización del proceso, no afectan la consecución de
resultados y no representan mayor impacto sobre el objetivo.
Igualmente, para adelantar una adecuada identificación de riesgos es necesario tener en cuenta, el
análisis de indicadores, los mapas de riesgos anteriores, los resultados de las auditorías internas y
externas de calidad, las evaluaciones independientes, los informes de seguimiento y evaluación a la
gestión de las dependencias, los hallazgos de la auditoría gubernamental de la CGR, los procesos
disciplinarios abiertos, los informes de quejas y reclamos y la retroalimentación de los clientes, entre
otros. Estas fuentes de información permiten evidenciar la materialización de riesgos, por tanto es
indispensable su análisis al momento de identificar posibles riesgos en los procesos. Lo anterior con el
propósito de observar algún riesgo que se haya presentado con anterioridad, cuya evidencia se
hubiese presentado en alguna de las fuentes mencionadas.
No obstante, la declaración de la materialización de un riesgo en alguno de los ejercicios

mencionados, no implica necesariamente su inclusión dentro del mapa, puesto que prima la
priorización de los riesgos y el análisis de la autoridad y/o líder del proceso en cuanto a la pertinencia
de incluir dichos riesgos.
CÓDIGO: AR-L02
Nota 2: En los casos en los cuales se documente el mapa de riesgos de un subproceso, teniendo
como referente la nota 1 de este documento, aplican las mismas condiciones de priorización, es decir
se tiene en cuanta el objetivo del proceso y adicionalmente el objetivo del subproceso.
9.1.2 Estructura del formulario de identificación de riesgos
La etapa de identificación de riesgos es desarrollada en el aplicativo Identificador de Riesgos en el

formulario titulado “Identificación de riesgos”, ver anexo 1, que consta de las siguientes pestañas:
Información General: En esta pestaña se relaciona toda la información del mapa de riesgos, la cual
permite realizar trazabilidad en cuanto a la documentación. Actualización y revisión del mapa de
riesgos. Esta pestaña consta de los siguientes campos:
- Macroproceso: En este espacio se relaciona el macroproceso al cual pertenece el proceso

relacionado con el mapa de riesgos que se va a documentar.
- Proceso: Se selecciona el proceso al cual se identificaran los riesgos
- Código del proceso: Se relaciona el código del proceso al cual se identificaran los riesgos
- Código del mapa: Se relaciona el código del mapa de riesgos
- Estado: Se selecciona el estado en el cual se encuentra la versión del mapa de riesgos, la
cual puede ser en actualización, aprobado o eliminado.
- Versión: Se diligencia la versión del mapa de riesgos de acuerdo con el estado del mismo.
- Dependencias: Se selecciona la(s) dependencia(s) que participa(n) en la ejecución de las
actividades críticas y que tienen directa relación con los riesgos identificados y/o con los
controles aplicados.
- Responsable aprueba: Se diligencia el nombre y cargo de la persona que aprueba el mapa de
riesgos.
- Fecha aprueba: Responde a la fecha de aprobación del mapa
- Estado de la revisión: se relaciona el estado en el cual queda el mapa una vez ha sido
aprobado
- Causa actualiza: se establecen las causas generales que motivan cambio de versión y
actualización. Así mismo se pueden anotar aspectos generales de la revisión y notas de
trabajo.
Riesgos: En esta pestaña se relaciona información general del mapa de riesgos y se realiza la
identificación de los riesgos y la valoración de los mismos antes de controles.
· Punto Crítico de Control (PCC): Es el punto de partida para la identificación de riesgos, en

este campo se relacionan las actividades de los procesos que durante su documentación se
han señalado como Puntos Críticos de Control (PCC), según lo dispuesto en los Lineamientos
para la Elaboración y Control de Documentos de los Sistemas de Gestión del DNP,
capitulo 6.2.1 Documentación de Procesos. En esta misma casilla se relaciona además el
número de la actividad.
CÓDIGO: AR-L02
· Categoría4: Con base en las clasificaciones establecidas en formulario, se selecciona el grupo

al que pertenece el riesgo a identificar. Estas categorías han sido priorizadas para administrar
los riesgos más relevantes a los que están expuestos los procesos de la entidad
A continuación se relacionan las categorías establecidas en las que puede incluirse o

clasificarse un riesgo, ver cuadro 1. Categorías de riesgos. En las columnas, “SE PUEDEN
PRESENTAR POR” y “PUEDEN OCASIONAR” se relacionan algunos ejemplos de causas y
efectos respectivamente relacionados con el riesgo identificado según su categoría.
CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR:

1. Decisiones Erróneas: se
manifiestan en diferentes - Errores en la información que - Pérdida de credibilidad de
ámbitos: soportan las decisiones. la Entidad.
a) Estratégico: se materializa - Errores de juicio. - Pérdida de confianza en la

cuando se definen Entidad.
lineamientos, políticas, - Aplicación errónea de criterios o
estrategias, directrices que instrucciones para la realización - Pérdidas económicas de la
no son adecuadas o de actividades. Entidad.
convenientes para la
Entidad. - Actos accidentales o mal - Quejas y reclamos de los
intencionados de los clientes (internos y/o
b) Operativo: corresponde a funcionarios o de terceros. externos)
la escogencia de alternativas
impropias.
c) Financiero: esta dado por

la inapropiada asignación de
recursos.
- Ejecución de operaciones - Sanciones Legales.
2. Incumplimientos desconociendo el marco legal
legales: se materializan con establecido. - Pérdidas económicas por
el no acatamiento de la multas a la Entidad e
normativa externa o interna. - Actos accidentales o mal incremento de costos en
intencionados de los prórrogas y adiciones a
funcionarios o de terceros. presupuestos.
- Pérdida de credibilidad y
confianza por no cumplir
con responsabilidades y
tareas encomendadas.
4
Adaptación de la metodología AUDIRISK de la firma AUDISIS Ltda. y del Consejo Superior de la Judicatura.
CÓDIGO: AR-L02

- Errores en la información que - Pérdidas económicas por
3. Incumplimientos de soportan las decisiones. multas a la Entidad e
compromisos: se incremento de costos en
materializan al pasar por alto - Asumir responsabilidades que prórrogas y adiciones a
las obligaciones o los exceden las capacidades de la presupuestos.
compromisos de la Entidad. Entidad y no se puedan realizar
oportuna o adecuadamente. - Pérdida de credibilidad y
confianza por no cumplir
- Actos accidentales o mal con responsabilidades y
intencionados de los tareas encomendadas.
funcionarios o de terceros.
- Quejas y reclamos de los
clientes (internos y/o
externos)
4. Daño de activos: se - Accidentes y desastres - Pérdida de la información.
materializa con el abandono, naturales.
uso inapropiado o colocar en - Pérdidas económicas por
inferioridad de condiciones - Uso mal intencionado e obsolescencia, reparación
los recursos físicos y inapropiado. o reposición de
tecnológicos de la Entidad. instalaciones, equipos,
- Falta de idoneidad o accesorios y herramientas
capacitación en el manejo de de trabajo.
recursos.
- Fallas de hardware y
software.
- Detrimento de seguridad
de los recursos que
soportan la prestación de
los servicios.
5. Hurto: se materializa con - Alteración y/o desviación de la - Pérdida de la información.
la apropiación indebida, por información de las operaciones
parte de un servidor o de y transacciones de la Entidad. - Pérdidas Económicas.
terceros de propiedad física,
financiera e intelectual de la - Sustracción deliberada de - Detrimento del patrimonio
Entidad. activos. de la Entidad.
CÓDIGO: AR-L02

6. Fraude: se materializa al - Alteración y/o desviación de la - Pérdida de la información.
inducir a cometer un error información de las operaciones
para obtener una resolución y transacciones de la Entidad. - Pérdidas Económicas.
contraria a la ley; así como
evitar el cumplimiento de - Sustracción deliberada de - Detrimento del patrimonio
obligaciones impuestas. activos. de la Entidad.
También al obtener
mediante maniobras
engañosas una ventaja en
detrimento de alguien –
sustracción maliciosa que
alguien hace a las normas
de la ley o a las de un
contrato en perjuicio de otro.
7. Inexactitud: se - Errores en la información que - Pérdida de credibilidad de
materializa al presentar soportan las decisiones la Entidad.
datos o estimaciones
equivocadas, incompletas, o - Aplicación errónea de criterios o - Pérdida de confianza en la
desfiguradas. instrucciones para la realización Entidad.
de actividades.
- Pérdidas económicas de la
- Actos accidentales o mal Entidad.
intencionados de los
funcionarios o de terceros. - Decisiones erróneas
8. Corrupción: Se entiende - Concentración de autoridad o - Pérdida de credibilidad de
por riesgo de corrupción la excesos de poder la Entidad.
posibilidad de que por - Archivos contables con vacíos
acción u omisión, mediante de información - Pérdida de confianza en la
el uso indebido del poder, de - Toma de decisiones ajustadas a Entidad.
los recursos o de la intereses particulares -
información, se lesionen los - Cobrar por un trámite - Pérdida de transparencia y
intereses de la entidad y en - Tráfico de Influencias la probidad en la Entidad.
consecuencia del Estado, (Amiguismo, persona influyente)
para la obtención de un - Pérdidas económicas de la
beneficio en particular.5 Entidad.
Cuadro 1. Categorías de riesgos
Posterior a la selección de la categoría, es necesario establecer una preposición que relacione

la categoría con el evento, se recomienda utilizar las siguientes preposiciones según la
categoría:
 Decisiones erróneas: al, durante, en, para, sobre.
5
Presidencia de la Republica. Secretaria de Transparencia. Estrategias para la construcción del plan anticorrupción y
atención al ciudadano. Bogotá. Pág. 9
CÓDIGO: AR-L02
 Incumplimientos legales: al, ante, con, durante, en.

 Incumplimientos de compromisos: al, ante, con, durante, en, hacia.
 Daño de activos: al, de, durante, en, para, sobre.
 Hurto: de, durante, en, mediante, para.
 Fraude: de, durante, en, mediante, para.
 Inexactitud: al, con, de, durante, en, para, sobre.
 Corrupción al, durante, por, en
Nota 3: Se recomienda analizar cuidadosamente el uso de la preposición “por” ya que se podría

asimilar el evento con una causa.
· Evento: se describe el hecho asociado al punto crítico de control que se está analizando,
teniendo en cuenta la categoría y preposición escogida, por lo general coincide con la ejecución
de la actividad. Para identificar correctamente el evento, puede ser muy útil revisar en el
descriptor del proceso la columna “descripción de la actividad” relacionada con la actividad
identificada como critica.
· Riesgo: se define mediante la unión entre la categoría y el evento que lo materializa

(categoría + preposición + evento). Ver cuadro 3. Categorías de riesgos Ejemplos:
CATEGORÍA PREPOSICIÓN EVENTO RIESGO

La verificación y Decisiones erróneas
análisis de las durante la verificación y
Decisiones erróneas Durante
presuntas análisis de las presuntas
irregularidades irregularidades
El diligenciamiento Inexactitud en el
Inexactitud En del formato diligenciamiento del
formato
Dar respuesta a una Al dar respuesta de una
Incumplimientos petición fuera de los petición fuera de los
Al
legales términos establecidos términos establecidos
por ley. por ley.
La revisión oportuna Incumplimientos de
de la iniciativa de compromisos en la
Incumplimientos de
En elaboración del revisión oportuna de la
compromisos
documento Conpes iniciativa de elaboración
del documento Conpes
La ejecución del Daño de activos durante
mantenimiento y la ejecución del
Daño de activos Durante
luego de este mantenimiento y luego
de este
Bienes durante la Hurto de bienes durante
Hurto De verificación física de la verificación física de
existencias existencias
La preparación de la Fraude durante la
Fraude Durante baja o la entrega del preparación de la baja o
bien la entrega del bien
CÓDIGO: AR-L02
CATEGORÍA PREPOSICIÓN EVENTO RIESGO

La dilatación de los Corrupción por la
procesos con el dilatación de los
propósito de obtener procesos con el
Corrupción Por el vencimiento de propósito de obtener el
términos o la vencimiento de términos
prescripción de o la prescripción de
mismo. mismo.
Cuadro 3. Categorías de riesgos: Ejemplos
Nota 4: Es necesario priorizar los riesgos para el proceso, colocar máximo 10. La priorización
de cada riesgo depende de la incidencia del riesgo identificado en la ejecución de la actividad
crítica, así como el efecto del riesgo dentro de la ejecución del proceso, la consecución del
objetivo del mismo y el impacto en la entidad en cuanto al cumplimiento de los componentes del
contexto estratégico del DNP. La priorización la realiza la autoridad o líder del proceso bajo
criterios de experiencia, experticia o conocimiento de quien analiza, así como en datos y hechos
históricos (cuando existan o aplique).
Nota 5: A cada Punto Crítico de Control se le puede asociar más de un riesgo.
Clase: De acuerdo con las definiciones de riesgos mencionadas en el capítulo 5 de este

documento, se elige a cual clase pertenece el riesgo identificado.
· Causas: se enumeran los medios, circunstancias y/o agentes que generan el riesgo
identificado o que propician su materialización. Estas causas pueden ser intrínsecas (internas)
al ser atribuidas a personas, métodos, equipos, materiales e instalaciones, directamente
involucradas en el proceso, es decir debilidades de la entidad, o extrínsecas (externas) cuando
provienen del entorno en el que se desarrolla el proceso, es decir amenazas. En el formulario
se discriminan las causas según corresponda en internas y externas.
Nota 66: En la identificación de las causas de los riesgos cuya categoría sea corrupción, se
busca “identificar un conjunto sistemático de situaciones que por sus características pueden
originar prácticas corruptas” así mismo, es conveniente analizar los hechos de corrupción
presentados en procesos similares de otras entidades.
· Efectos: se enumeran las consecuencias asociadas a la materialización del riesgo que

inciden en el objetivo del proceso, subprocesos asociados, a la dependencia que lidera el
proceso o a la Entidad. Existen dos tipos de efectos, los inmediatos que afectan el desarrollo de
actividades posteriores y los Extremos que se relacionan con efectos legales, sanciones o
afectación en la operación de la Entidad. Pueden agruparse en:
 Pérdidas económicas representadas en sobrecostos por reproceso, duplicidad o

inactividad y detrimento del patrimonio, multas entre otras.
 Detrimento de la imagen constituido por la pérdida de credibilidad y confianza en el
cumplimiento de la misión y tareas encomendadas.
6
Ibídem
CÓDIGO: AR-L02
 Sanciones legales constituidas por las sanciones que debe pagar la Entidad
 Afectación en la operación (misional y/o apoyo) de la entidad
Nota 7: Los efectos no tienen relación uno a uno con las causas del riesgo, es decir, una o
varias causas desencadenan el riesgo y la materialización del mismo ocasiona uno o varios
efectos.
9.2 Análisis y Valoración del riesgo antes de controles (riesgo inherente)
Posterior a la identificación, se realiza la valoración del riesgo puro o inherente, el formulario de

identificación en la pestaña: “Valoración del riesgo antes de controles”, ver anexo 2, en donde se
evalúan los riesgos sin considerar los controles que pudieran existir, analizando la naturaleza y la
forma como se llevan a cabo las actividades en el proceso. Para ello, se determina la probabilidad de
ocurrencia y el impacto de la materialización de cada riesgo identificado, en un escenario hipotético en
donde los controles para prevenir o mitigar el riesgo no existen o no se aplican.
Probabilidad: Se establece la frecuencia con la que se ha presentado o puede presentarse el riesgo

cuando no existen controles. Se mide en términos de la factibilidad con la que el riesgo se podría
llegar a materializar, teniendo en cuenta la presencia y exposición ante factores internos y externos.
Es importante tener en cuenta el análisis de aspectos como:
 Número de veces que se realiza la actividad en un espacio de tiempo

 Número de personas que intervienen en la realización de la actividad
 Estadísticas (si se cuenta con ellas) de las materialización del riesgo
 Número de correcciones y acciones correctivas formuladas en el balance de acciones de
mejora F-GP-24, relacionadas con la materialización de riesgos.
 Los hallazgos de la auditoría gubernamental de la CGR,
 Las acciones adelantadas respecto a la materialización del riesgo, que fueron registradas en
el Consolidado de productos y/o servicios no conformes formato F-GP-34
De acuerdo con el análisis, se selecciona el grado de probabilidad

con base en las siguientes categorías7, ver cuadro 4. Escalas de probabilidad:
ESCALA
PROBABILIDAD DESCRIPCIÓN CALIFICACIÓN
PROBABILÍSTICA
La eventualidad de ocurrencia es
REMOTA 0 – 19% 1
muy baja, casi nula.
Podría ocurrir sólo bajo
POCO PROBABLE circunstancias muy 20 – 49% 2
excepcionales.
Podría o no ocurrir en algún
PROBABLE 50% 3
momento.
MUY PROBABLE- Puede ocurrir en algún momento
51 – 79% 4
POSIBLE o algunas veces.
7
Adaptación de la Norma Técnica Colombiana NTC 5254.
CÓDIGO: AR-L02
ESCALA
PROBABILIDAD DESCRIPCIÓN CALIFICACIÓN
PROBABILÍSTICA
La posibilidad de ocurrencia se
CASI CIERTO-
da en la mayoría de las 80 – 100% 5
SEGURO
circunstancias.
Cuadro 4. Escalas de probabilidad
Es importante señalar que para la probabilidad de materialización de los riesgos de la categoría

Corrupción, se consideran únicamente dos criterios CASI CIERTO-SEGURO y MUY PROBABLE-
POSIBLE
Nota 8: Para la probabilidad de los riesgos de la categoría de Corrupción, el formulario presenta de

manera condicional en la lista desplegable únicamente las dos opciones permitidas para este tipo de
riesgos. Lo anterior en cumplimiento con lo establecido en el documento de la Presidencia de la
República-Secretaría de Transparencia: “Estrategias para la construcción del plan anticorrupción y
atención al ciudadano” Bogotá. Pág. 11.
Impacto antes de controles: Se establece la magnitud de los efectos ocasionados con la

materialización del riesgo cuando no existen controles. De acuerdo con un análisis cualitativo, se
selecciona el nivel con base en las siguientes categorías 8, Ver cuadro 5. Escalas de impacto.
INSIGNIFICAN
IMPACTO BAJO MODERADO ALTO MUY ALTO
TE
Ante el
Ante las
Sobre la imagen
Ante el personal del Ante otras áreas

entidades con
personal que área que de la Entidad Ante el nivel
las que
ejecuta la lidera el nacional e
interactúa la
actividad proceso. internacional
entidad.
critica.
Ningún costo o Incremento

económico
Incremento de Incremento de Incremento de

pérdidas de costos
En lo
costos entre el costos entre el costos más del

financieras menos del
5% y 10% 10% y 20% 20%
insignificantes 5%
Problemas
menores con Incumplimiento
En el cumplimiento de
las metas. parcial de las

Restriccione Incumplimiento
Existe metas Incumplimiento
s para de algunos
metas
posibilidad de total de las

lograr las aspectos de las
reprogramar la Incumplimiento metas
metas metas
actividad o de algunas
ajustar el plan metas
de trabajo.
8
Ibidem
CÓDIGO: AR-L02
INSIGNIFICAN
IMPACTO BAJO MODERADO ALTO MUY ALTO
TE
compromisos
cumplimiento
de fechas,
pactados
Más de 1 Más de 6
En el
1 día a 1 Más de 1 mes a Más de 3 meses

semana a 1 meses
semana 3 meses a 6 meses
mes
Daños
menores en el Daños
En el manejo de archivos /
Implica Implica
activo que no menores en Daño severo,
reparación del reparación del
requieren el activo a implica baja del
activo a un costo activo costo
reparación un bajo activo
activos
moderado elevado
costo
Interrupción
Ningún daño o Interrupción de Interrupción de Cese de
de labores
daños actividades de 1 actividades de 1 labores por
menos de
menores día a 1 semana semana a 1 mes más de 1mes
un 1 día
Multas a la
Entidad e Sanciones
Incumplimientos
Pérdida de
incremento de Legales.
credibilidad y
No Aplica No Aplica costos en
confianza por no
prórrogas y Proceso
legales
cumplir con
adiciones a disciplinario
responsabilidad.
presupuestos.
Afectación en
Interrupción Interrupción de Interrupción de

la operación
Interrupción de de actividades de actividades de Cese de

labores <1 día actividades más de un1 día más de 1 labores >1mes
de 1 día a 1 semana semana a 1 mes
Cuadro 5. Escalas de impacto.
Para el análisis del impacto de la materialización de los riesgos de la categoría Corrupción, este es
considerado como único, siendo este INACEPTABLE por la gravedad en los efectos que se generan.
Nota 9: Para la determinación del impacto de la materialización de los riesgos de la categoría de

Corrupción, el formulario presenta de manera condicional en la lista desplegable únicamente la opción
MUY ALTO, derivando una valoración del riesgo como INACEPTABLE. Lo anterior, en cumplimiento
con lo establecido en el documento de la Presidencia de la República-Secretaría de Transparencia:
“Estrategias para la construcción del plan anticorrupción y atención al ciudadano” Bogotá. Pág. 12.
Zona de riesgo: se relaciona en el link “Ver Grafica” en donde el riesgo identificado es ubicado según
la valoración. Ver Cuadro 6. Escalas de valoración.
CÓDIGO: AR-L02
ZONA DE
COLOR DESCRIPCIÓN
RIESGO
INACEPTABLE Rojo Se requiere una acción inmediata
IMPORTANTE Naranja Se requiere una pronta atención
TOLERABLE Amarillo Se administra con procedimientos normales de control
Genera menores efectos que pueden ser fácilmente
ACEPTABLE Verde
remediados
Cuadro 6. Escalas de valoración
En el link “Ver Grafica” se visualiza la matriz de valoración de riesgos de la siguiente manera:
Grafico 1. Matriz de valoración de riesgos
9.3 Determinación y análisis de controles
Esta etapa busca determinar y evaluar las acciones que permiten reducir la probabilidad e impacto de
la materialización de los riesgos. Consiste en documentar las acciones que en la actualidad se
realizan con el fin de prevenir o mitigar los efectos de posibles desviaciones en la actividad
relacionada como punto crítico de control.
CÓDIGO: AR-L02
Es necesario que los funcionarios que participan en el análisis de riesgos, tengan conocimiento de la
ejecución del proceso, así como de las herramientas informáticas utilizadas para el desarrollo de
actividades, la normativa que reglamenta la actividad, los documentos asociados, registros etc., que
se emplean para efectuar algún tipo de control.´
Es importante tener en cuenta que los controles permiten prevenir la ocurrencia de eventos que ponen
en riesgo la adecuada ejecución de los procesos, y cuando esto no es posible, desarrollar un plan de
respaldo, o de contingencia. Existen dos tipos de controles: en la probabilidad y sobre el impacto, lo
anterior deriva su clasificación en dos tipos; preventivos y correctivos. A continuación se describe en
que consiste cada uno de ellos.
• Preventivos: Son aquellas acciones encaminadas a eliminar las causas generadoras de un riesgo,
de tal manera que eviten o disminuyan su ocurrencia o materialización.
• Correctivos: Son aquellas acciones que permiten el restablecimiento de la actividad, después de ser
detectado un evento no deseable. A través de estos controles se puede cambiar o modificar las
acciones que propiciaron su ocurrencia y corregir los productos o servicios generados de la actividad
critica antes de ser suministrados al cliente.
Es importante revisar si los controles están documentados (proceso, normativa, etc), si se están
aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Así mismo, es necesario
conservar los registros que evidencian la aplicación del control y conservarlos para su efectivo
seguimiento. Algunos de estos controles pueden ser actividades incluidas en el mismo descriptor del
proceso en la descripción de actividades o ser actividades propias del mismo.
9.3.1 Estructura del formulario de determinación y análisis de controles
La etapa de determinación y análisis de controles se desarrolla en el formulario “Controles-Análisis”,

ver Anexo 4, que contiene los siguientes campos:
· Punto Crítico de Control: relaciona la actividad crítica documentada en el formulario de

“Identificación de riesgos”.
· Riesgo: relaciona el riesgo identificado en el formulario “Identificación de riesgos”
· Control: se despliega una lista de “tipos de controles” que pueden ser aplicados. De esta lista se
selecciona el control que más se relacione con las actividades que se realizan.
· Nombre: se diligencian las acciones que apuntan a prevenir la ocurrencia del riesgo identificado,
que se aplican sobre las causas y el evento mismo que lo materializa y/o las acciones que permiten el
restablecimiento de la actividad y los productos y/o servicios generado, es decir las actividades de
corrección que se adelantan para resarcir los efectos de la materialización del riesgo.
· Ubicación: Se diligencia la ruta o el lugar de evidencia de la ejecución o disposición del control.
· Tipo: Se relaciona la clasificación del control, el cual puede ser preventivo o correctivo.
CÓDIGO: AR-L02
Nota 10: Las acciones que se realicen para efectuar control, deben tener relación directa con las
causas generadoras del riesgo identificado. Para ello es importante revisar que las actividades de
control subsanen y/o prevengan los agentes generadores del riesgo identificado. Así mismo, es
importante considerar las acciones de manera correctiva que se pueden adelantar para mitigar los
efectos de un riesgo cuando se ha materializado.
9.3.2 Documentación del control
El control es una ACTIVIDAD, por tanto en el espacio “nombre” debe ir un sustantivo que tenga
que ver con el verbo utilizado, acompañado de la herramienta (si existe) que permite efectuar el
control.
X INCORRECTO  CORRECTO
Informes mensuales que incluyen Elaboración, seguimiento, revisión, o
vencimientos. análisis de informes mensuales que
incluyen vencimientos.
Metodología de medición y análisis de Aplicación de la Metodología de medición
desempeño municipal. y análisis de desempeño municipal en el
análisis de información.
Ejemplo 1: al escribir como control los Informes, estos por sí solos no efectúan el control en la
actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo
que se debería documentar allí seria: elaboración o seguimiento de informes mensuales que
incluyen vencimientos. Por tanto el control efectuado es la actividad sobre una herramienta, en
este caso los informes.
Ejemplo 2: Al documentar que la Metodología de medición y análisis de desempeño municipal

es el control, no se específica como se realiza el control o en que consiste, por ello, la
metodología por sí sola no efectúa el control en la actividad crítica, esta es la HERRAMIENTA
que se utiliza para efectuar el control, por tanto lo que se debería documentar allí sería:
aplicación de la metodología de medición y análisis de desempeño municipal en el análisis de
información.
Asimismo, es importante revisar que los controles documentados son actividades

RECURRENTES o PERIODICAS. Para el caso de un control relacionado con la realización de
una capacitación, debe evaluarse si dicha capacitación tiene una periodicidad, es recurrente o
si está programada, de lo contrario esta no podría considerarse como un control.
Nota 11: Cuando no es posible implementar controles para prevenir la ocurrencia del riesgo, debería
elaborarse un plan de contingencia o de respaldo para minimizar los efectos o pérdidas que se
generen por la materialización del riesgo, tal es el caso de pólizas y otros mecanismos de protección
esencialmente económicos. Cuando se han implementado dichas medidas estas son relacionadas en
la pestaña controles en el campo Evaluación impacto descrito en el capítulo 9.4.2 de este documento.
CÓDIGO: AR-L02
9.4 Evaluación de controles
Los controles definidos son ponderados de acuerdo con su grado de incidencia frente al riesgo
identificado. Los controles son evaluados frente a criterios de probabilidad e impacto. Para realizar
esta evaluación se utiliza el formulario “Controles” en la pestaña: evaluación de controles. Ver anexo
4.
9.4.1 Evaluación respecto a la probabilidad (sobre las causas y eventos generadores)
Se obtiene diligenciando el siguiente cuestionario, teniendo en cuenta las herramientas para

ejercer cada control y el seguimiento realizado, ver Cuadro 8.
PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES

La
Algunas
mayoría
No. PREGUNTA SI NO Parcialmente Siempre veces No Aplica
de las
(muestra)
veces
¿Posee una
herramienta
1 20 0
para ejercer
el control?
¿Esta
sistematizada
2 20 0
o es una
aplicación?
HERRAMIENTAS ¿Existen
PARA EJERCER manuales,
EL CONTROL instructivos,
guías, etc.
3 5 0
para el
manejo del
sistema o
aplicación?
¿Se ha Redistribuye
documentado puntaje de
el mapa de 10 en las
riesgos del preguntas 1
4 10 0
sistema o a 3 cuando
aplicación la respuesta
según el sea SI
SGSI?
¿Están
definidos los
COMPETENCIA DE
responsables
QUIEN EJERCE EL 5 10 0 5
de la
CONTROL
ejecución del
control?
CÓDIGO: AR-L02
¿Se ha
capacitado a
los
responsables
6 de ejercer el 10 0
control,
respecto a
cómo se debe
realizar?
¿Existen
manuales,
instructivos,
guías, etc.
DOCUMENTACIÓN
7 que detalle 5 0
DEL CONTROL
cómo se
realiza las
actividades
del control?
¿El control se
aplica todas
FRECUENCIA DE
las veces que
APLICACIÓN DEL 8 20 10 5
se realiza la
CONTROL
actividad
crítica (PCC)?
Cuadro 8. Criterios para evaluar el control frente a la probabilidad
Cuando no existe una herramienta para ejercer el control, es decir la respuesta a la pregunta número
1 es NO, no se realizan las preguntas de la 2 a la 4 y se resta 55 puntos de la calificación total (100
puntos). Estos 55 puntos corresponden a 35 puntos que se obtendrían si la respuesta a las preguntas
2 a la 4 fuera afirmativa (SI), en caso de que hubiera herramienta, al no existir la herramienta no se
puntúa estos aspectos. Los otros 20 puntos que se restan, son aquellos que se otorgan cuando existe
una herramienta que permita efectuar el control. La puntuación de la probabilidad para cada control se
obtiene multiplicando el puntaje obtenido por la ponderación asignada.
Para realizar la valoración de los riesgos de la categoría de Corrupción, se adiciona la pregunta: ¿En
el tiempo que lleva implementada la herramienta ha demostrado ser efectiva?, la cual asigna una
puntuación adicional así, ver cuadro 9:
PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES

SI NO
La La
Nunca ha
FRECUENCIA implementación implementación El riesgo aun ocurre
ocurrido el
DE del control ha del control ha con frecuencia,
PREGUNTA riesgo desde
APLICACIÓN evitado la evitado la aunque en menor
que se
DEL CONTROL ocurrencia del ocurrencia del medida a que si no
implementa el
riesgo entre riesgo en el existiera el control
control
1=>3 años último año
10 7 5 0
CÓDIGO: AR-L02
Cuadro 9. Criterio adicional para evaluar el control frente a la probabilidad para los riesgos de la
categoría de Corrupción.
Esta puntuación redistribuye los pesos de las calificaciones otorgadas en las 8 preguntas relacionadas
en el cuadro 6, en una relación de 1 punto para cada pregunta de la 1 a la 8, a excepción de la
pregunta 4, en la cual se hace reducción de 3 puntos.
Nota 12: La pregunta número 9, se habilita únicamente para los riesgos de la categoría de Corrupción
y redistribuye los pesos porcentuales solo para estos riesgos.
9.4.2 Evaluación respecto al impacto (sobre los efectos)
Se obtiene diligenciando el siguiente cuestionario para el conjunto de controles, teniendo en cuenta la

mitigación de la materialización del riesgo bajo criterios de cubrimiento y administración, ver cuadro 8.
Criterios para evaluar el conjunto de controles frente al impacto:
PARAMETROS RESPUESTA PUNTAJE CRITERIOS PUNTAJE

¿Cuenta con ¿Cubre todos SI NO Parcialmente
copias de los efectos del
seguridad, pólizas riesgo? 40 0 20
Sí 20
de seguro, planes ¿Se revisan y
de respaldo o mantienen 40 0 20
planes de actualizadas?
contingencia? No 0
Cuadro 8. Criterios para evaluar el conjunto de controles frente al impacto
La puntuación del impacto para el conjunto de controles se obtiene mediante la sumatoria de los
puntajes obtenidos. De no contar con copias de seguridad, pólizas de seguro, planes de respaldo o
planes de contingencia, se deshabilitan las preguntas relacionadas con los criterios y la calificación
asignada es cero.
9.5 Valoración del riesgo después de controles (riesgo residual)
Utiliza la evaluación de los controles para reducir la probabilidad e impacto que se determinó en la
valoración del riesgo antes de controles –Sección 6.4 -. Determina el riesgo no cubierto por los
controles establecidos.
 Reducción de la probabilidad
Al obtener el promedio de la evaluación de los controles respecto a la probabilidad, se determina el
número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información: ver
cuadro 8. Disminución de la probabilidad con la calificación del riesgo:
CÓDIGO: AR-L02
CALIFICACIÓN DE CUADRANTES A DISMINUIR EN

CONTROLES LA PROBABILIDAD
91-100 3 cuadrantes
76- 90 2 cuadrantes
51-75 1 cuadrantes
0-50 0 cuadrantes
Cuadro 9. Disminución de la probabilidad con la calificación del riesgo
 Reducción del impacto

Al obtener la evaluación de los controles respecto al impacto, se determina el número de
cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información, ver cuadro 9.
Disminución de la probabilidad con la calificación del riesgo:
CALIFICACIÓN DE CUADRANTES A DISMINUIR EN

CONTROLES EL IMPACTO
91-100 2 cuadrantes
76- 90 1 cuadrante
0-75 0 cuadrantes
Cuadro 10. Disminución del impacto con la calificación del riesgo
Zona de riesgo: se relaciona en el link “Ver Grafica” y se obtiene a partir del cruce entre la
probabilidad e impacto, determinada por el número de cuadrantes a disminuir, luego de la valoración
de los controles. En la matriz de valoración de riesgos se estima la nueva ubicación del riesgo
(residual), la cual se visualiza como se presentó anteriormente en el numeral 6.3 de este documento.
9.6 Priorización de riesgos
Al ubicar los riesgos en el Formulario “Matriz de valoración de riesgos después de controles” se define
cuáles requieren acciones inmediatas. Ver anexo 3.
Con el fin de determinar cuantitativamente la priorización de riesgos, se asociaron valores numéricos a

cada una de las escalas de probabilidad y ocurrencia definidas, de la siguiente manera:
VALOR PROBABILIDAD VALOR IMPACTO

5 Frecuente 5 Muy alto
4 Ocasional 4 Alto
3 Probable 3 Moderado
2 Poco probable 2 Bajo
1 Remota 1 Muy bajo
La multiplicación entre estos valores genera la siguiente calificación:
CÓDIGO: AR-L02
Calificación de los cuadrantes en la “Matriz de valoración de riesgos después de controles”
Asignando las prioridades en orden decreciente con la calificación se obtiene:
Prioridades de cuadrantes con la calificación en la “Matriz de valoración de riesgos después

de controles”.
CÓDIGO: AR-L02
Priorizando el impacto en calificaciones iguales, se organizan así:
Prioridades de cuadrantes para calificaciones iguales en la “Matriz de valoración de riesgos

después de controles”.
Al aplicar el semáforo de zonas de riesgo se obtiene el orden de las prioridades para el tratamiento,
pasando de la zona inaceptable a aceptable – rojo a naranja respectivamente -.
Prioridades de cuadrantes para zonas de riesgo en la matriz “Matriz de valoración de

riesgos después de controles”
CÓDIGO: AR-L02
10 MATRICES DE LOS MAPAS DE RIESGO
Las matrices de los mapas de riesgo documentados serán consolidadas en archivos en Excel y
publicadas por el Grupo de Planeación.
10.1 Mapa de riesgos del proceso
Contiene una síntesis de las etapas desarrolladas para la Administración de riesgos, presentando los
riesgos a los cuales está expuesto un proceso, y la aplicación de la Política Institucional de
Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas.
El formato “Mapa de riesgos del proceso”, es el resultado de las anteriores etapas de administración
de riesgos del proceso. Este formulario es exportado por el aplicativo de identificación de riesgos,
constituyendo un archivo en Excel el cual es publicado en la intranet de la Entidad. Este formato
constituye un reporte del mapa de riesgos consolidado para cada proceso, el cual es actualizado
cada vez que se requiera y según los tiempos establecidos para la revisión y actualización de los
mapas, descritos en el capítulo 7 de este documento. Este formato está incluido dentro del SGC con el
código F-GP-11.
10.2 Mapa de riesgos institucional asociado a procesos
Contiene el consolidado de los riesgos (excepto los de la categoría de corrupción) a los cuales están
expuestos los procesos de la Entidad, permitiendo conocer la aplicación de la Política Institucional de
Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas.
Este documento se elabora con la información de todos los mapas de riesgos documentados para los
procesos y se ajusta con la actualización de los mismos a medida que se requiera.
Este consolidado es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo

en Excel el cual es publicado en la intranet de la Entidad y en la página Web, de acuerdo con los
tiempos establecidos para el seguimiento a la administración de riesgos presentada en el capítulo 7 de
este documento. Este formato está incluido dentro del SGC con el código F-GP-12.
10.3 Mapa de riesgos de corrupción
Contiene la consolidación de los riesgos de la categoría Corrupción a los cuales están expuestos los
procesos de la Entidad, permitiendo conocer la aplicación de la Política Institucional de Tratamiento de
Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento
se ajusta con la actualización que se derive luego de las revisiones realizadas a estos riesgos en el
marco del seguimiento descrito en el capítulo 7 de este documento, los cuales atienden los dispuesto
por la Presidencia de la Republica-Secretaria de Transparencia en el documento “Estrategias para la
construcción del plan anticorrupción y atención al ciudadano” Bogotá.
Este consolidado es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo

en Excel el cual es publicado en la intranet de la Entidad y en la página Web. Este formato está
incluido dentro del SGC con el código F-GP-35.
CÓDIGO: AR-L02
11 PRODUCTO O SERVICIO NO CONFORME
La no conformidad que se presenta en un producto o servicio prestado por el DNP, está directamente
asociada con la materialización de los riesgos identificados para el proceso que genera el producto o
servicio. Por esta razón se ha identificado, para todos los productos y/o servicios del DNP una ficha de
productos y/o servicio, en la cual están definidos las variables y atributos que deben cumplir los
productos y servicios generados por el DNP en cada uno de los procesos. Esta ficha establece
además, el mecanismo de seguimiento y/o medición de la variable o atributo de cada producto y/o
servicio, así como su responsable del producto y/o servicio (según actividad descrita en el proceso) y
a quien va dirigido, es decir, los clientes (según actividad descrita en el proceso). Este formato está
incluido dentro del SGC con el código F-GP-06.
11.1 Identificación de producto no conforme
La identificación de productos no conformes se realiza de acuerdo con el esquema presentado a

continuación. El Grafico 2 representa las etapas más relevantes del tratamiento del producto no
conforme, el cual esta descrito al detalle en el documento “Lineamiento para el control y tratamiento
de productos y/o servicios no conformes del DNP AR-L01”.
11.2 Tratamiento del producto no conforme
Antes de la materialización de un riesgo que pueda incidir en la conformidad de un producto y/o

servicio, se deben identificar las actividades de corrección que se van a ejecutar en caso tal que al
materializarse un riesgo se obtenga un producto y/o servicio no conforme. Esta identificación de
actividades o acciones de corrección se realiza únicamente para los productos y/o servicios (finales e
intermedios, de acuerdo con el PCC) de los procesos misionales contenidos en los macroproceso de:
Planeación de Mediano y Largo Plazo, Finanzas Públicas, Gestión y Coordinación, Monitoreo y
Seguimiento control y evaluación de PPPP.
Una vez se haya identificado la materialización de un riesgo que como consecuencia genere un
producto y/o servicio no conforme, se identifican las acciones posteriores a la materialización del
riesgo en el formulario “Matriz de producto o servicio no conforme” con su respectivo registro de
acciones tomadas posteriormente. Ver anexo 6.
Nota 14: En los casos en los cuales la actividad identificada como PCC no sea la actividad
generadora del producto y/o servicio final identificado en las fichas de productos y/o servicios, es
necesario realizar el diligenciamiento del formato Matriz de producto o servicio no conforme, haciendo
la aclaración que se trata de un producto final y por tanto diligenciar los campos de este formato.
CÓDIGO: AR-L02
Grafico 2. Etapas relevantes del tratamiento del producto no conforme
11.2.1 Estructura del formulario “Tratamiento de Producto No Conforme”
La etapa de producto o servicio no conforme es desarrollada en el formulario “Tratamiento de

Producto No Conforme”, ver anexo 6.
CÓDIGO: AR-L02
Producto y/o servicio: Se identifica el resultado de la actividad señalada como crítica, en la

cual la materialización de alguno de los riesgos, provoque la no conformidad. Así mismo, es
importante documentar el tratamiento
Cliente: se indica la organización, entidad o persona que recibe el producto y/o servicio (Según
actividad descrita en el proceso).
Responsable de liberación: persona que autoriza la entrega del producto al cliente (Según
actividad descrita en el proceso).
Riesgo: relaciona el riesgo o riesgos identificados en el formulario “Identificación de riesgos”

asociados al proceso.
Acción: se enumeran las acciones que se van a ejecutar, una vez el riesgo se ha materializado,
para garantizar que el productos o servicio generado por la actividad sea conforme respecto a
las variables y atributos que debe cumplir, los cuales están establecidos en la ficha del producto
o servicio. La documentación se realiza enumerada, iniciando con un verbo infinitivo y haciendo
las aclaraciones correspondientes cuando haya lugar.
Registro: documenta la posible forma de evidenciar la naturaleza de la no conformidad y de

cualquier acción tomada posteriormente, ejemplo: comunicación escrita dirigida a la entidad que
genera la información, solicitando la aclaración de datos que presenten inconsistencias.
12 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA

ADMINISTRACIÓN DE RIESGOS
El cambio de versión en un mapa de riesgos por proceso, se realiza de acuerdo con los “Lineamientos
para la elaboración y control de documentos de los sistemas de gestión del DNP” DS-L01, y afecta la
versión actual de los siguientes documentos.
· Mapa de riesgos institucional

· Mapa de riesgos de corrupción (cuando aplique)
En el caso específico del mapa de riesgos de corrupción, se llevará un control de los cambios y las
versiones de este documento, teniendo en cuenta los cambios que surjan de las revisiones que se
deben realizar, según las fechas establecidas en el numeral 7.1, de este documento. Para esto se
utilizará el formato “Matriz de Control de Cambios” MCC-01.
CÓDIGO: AR-L02
13 ANEXOS
Anexo 1. Formulario “Identificación de riesgos”
CÓDIGO: AR-L02
Anexo 2. Formulario “Valoración del riesgo antes de controles”
CÓDIGO: AR-L02
Anexo 3. Formulario “Valoración del riesgo antes de controles”
CÓDIGO: AR-L02
Anexo 4. Formulario “Controles-Análisis”
CÓDIGO: AR-L02
Anexo 5. Formulario “Controles” en la pestaña: evaluación de controles
CÓDIGO: AR-L02
CÓDIGO: AR-L02
Anexo 6. Formulario “Tratamiento de Producto No Conforme”
CÓDIGO: AR-L02
Fecha aprobación: 19 Diciembre de 2014
Revisó: ______________________________
Lidia Yazmin Gonzalez Rojas
Coordinadora Grupo de Planeación
Aprobó: ______________________________
Edgar Antonio Gomez Álvarez
Secretario General
Representante de la Alta Dirección

Copia de AR-L02 Lineamientos Administracion Riesgos - Pu PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Copia de AR-L02 Lineamientos Administracion Riesgos - Pu PDF

Cargado por

Copyright:

Formatos disponibles

LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP

Departamento Nacional de Planeación

10.2 Mapa de riesgos institucional asociado a procesos ............................................................. 33

· Decreto 1599 de 2005

· Proceso GC-AR “Administración de Riesgos”

· “Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del

· Acción de riesgos: es la aplicación concreta de las opciones de tratamiento de riesgo.

· Administración de Riesgos: es el proceso continuo basado en el conocimiento, evaluación y

· Análisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos

· Autoevaluación del control: Elemento de control que basado en un conjunto de mecanismos

· Calificación del riesgo: establece el grado de exposición de la Entidad bajo criterios de

· Causas: son los medios, circunstancias y agentes generadores del riesgo.

· Cliente: organización, entidad o persona que recibe un producto y/o servicio.

· Efectos: lo que podría generarse en la Entidad con la materialización de un riesgo. Es el

· Pérdida: Consecuencia negativa que trae consigo un evento.

· Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar

· Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo.

· Registro: documento que presenta resultados obtenidos o proporciona evidencia de las

· Responsables: rol o cargo encargado de adelantar las acciones propuestas.

· Riesgos Estratégicos: Están relacionados con la planificación, diseño y conceptualización de

· Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

· Riesgos de Tecnología3: Están relacionados con la capacidad tecnológica de la Entidad para

· Subproceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales

· Valoración pura: grado de exposición al riesgo en un escenario sin controles.

· Valoración residual: grado de exposición al riesgo con la calificación de probabilidad e impacto

· Zona de riesgo: es el nivel de exposición al riesgo, hallado mediante el cruce entre la

6 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS

6.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos

El cumplimiento de estos objetivos será informado semestralmente, para verificar el avance y

6.2 Los riesgos que se van a controlar.

Por lo anterior, se establece que la totalidad de riesgos identificados en el mapa de riesgos

6.3 Opciones de tratamiento de riesgos

6.4 Acciones para administrar los riesgos

6.4.1 Tiempo y recursos

6.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos

La responsabilidad de acompañar en el desarrollo del proceso de administración de riesgos y la

El representante de la alta dirección es el encargado de velar por la elaboración de los mapas de

6.6 Recursos requeridos

6.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos

Documentación de los mapas impacto ambiental

7 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO

7.2 Evaluación Realizada por la Oficina de Control Interno

7.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de

A continuación se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los

 Verificar la correspondencia entre el proceso y el mapa de riesgos.

 Verificar que el tratamiento de los riesgos es adecuado y efectivo.

8 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO

9 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP

9.1 Identificación de riesgos

9.1.1 Priorización de riesgos

No obstante, la declaración de la materialización de un riesgo en alguno de los ejercicios

9.1.2 Estructura del formulario de identificación de riesgos

La etapa de identificación de riesgos es desarrollada en el aplicativo Identificador de Riesgos en el

- Macroproceso: En este espacio se relaciona el macroproceso al cual pertenece el proceso

· Punto Crítico de Control (PCC): Es el punto de partida para la identificación de riesgos, en

· Categoría4: Con base en las clasificaciones establecidas en formulario, se selecciona el grupo

A continuación se relacionan las categorías establecidas en las que puede incluirse o

CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR:

a) Estratégico: se materializa - Errores de juicio. - Pérdida de confianza en la

c) Financiero: esta dado por

CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR:

CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR:

Posterior a la selección de la categoría, es necesario establecer una preposición que relacione