Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. OBJETIVO
Definir las actividades requeridas para la administración del riesgo, a partir del desarrollo de una metodología
para la identificación, análisis y valoración del riesgo que contribuyan a identificar e implementar planes de
acción para mitigar los riesgos que tengan impacto sobre el cumplimiento de los objetivos estratégicos, las
políticas o los objetivos de los procesos del Consejo Profesional Nacional de Ingeniería - Copnia.
2. ALCANCE
El presente documento contempla las actividades de identificación, clasificación, análisis, evaluación, valoración
y monitoreo de riesgos y es aplicado por todos los procesos del Copnia.
El procedimiento para la Administración de Riesgos abarca los riesgos de gestión, corrupción y seguridad digital
asociados a los procesos institucionales.
3. NORMATIVIDAD
4. DEFINICIONES1
• Activo: en el contexto de seguridad digital son elementos tales como aplicaciones de la organización,
servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la
organización para funcionar en el entorno digital.
• Amenazas: situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o
a una organización.
• Causa: todos aquellos factores internos y externos que solos o en combinación con otros, pueden
producir la materialización de un riesgo.
• Consecuencia: los efectos o situaciones resultantes de la materialización del riesgo que impactan en el
proceso, la entidad, sus grupos de valor y demás partes interesadas.
• Disponibilidad: propiedad de ser accesible y utilizable a demanda por una entidad.
• Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por todo el personal para
proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.
• Impacto: se entiende como las consecuencias que puede ocasionar a la organización la materialización
del riesgo.
• Integridad: propiedad de exactitud y completitud.
• Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Esta puede ser medida con
criterios de frecuencia o factibilidad.
• Riesgo de gestión: posibilidad de que suceda algún evento que tendrá un impacto sobre el
cumplimiento de los objetivos. Se expresa en términos de probabilidad y consecuencias.
• Riesgo de corrupción: posibilidad de que, por acción u omisión, se use el poder para desviar la gestión
de lo público hacia un beneficio privado.
• Riesgo de seguridad digital: combinación de amenazas y vulnerabilidades en el entorno digital. Puede
debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la
integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados
con el ambiente físico, digital y las personas.
• Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para
modificar su probabilidad o impacto.
• Riesgo residual: nivel de riesgo que permanece luego de tomar sus correspondientes medidas de
tratamiento.
• Vulnerabilidad: es una debilidad, atributo, causa o falta de control que permitiría la explotación por
parte de una o más amenazas contra los activos.
5. CONDICIONES GENERALES
5.1 Para la administración de los riesgos el Copnia utiliza como referencia lineamientos metodológicos emitidos
por el Departamento Administrativo de la Función Pública.
1
Los términos y definiciones pueden ser consultados en la Guía para la Administración del Riesgo emitida por
el Departamento Administrativo de la Función Pública - 2018
DE-pr-02
PROCEDIMIENTO DE ADMINISTRACION DEL Vigente a partir de
Diciembre 2019
RIESGO 6ta. Actualización
Pág.3/7
5.3 Es responsabilidad de los líderes de los procesos identificar y documentar los riesgos, sin importar la fuente
de información (contexto estratégico, indicadores, resultados de auditoría, quejas, observación directa, entre
otros); para ello, se hará uso de las herramientas dispuestas por la Subdirección de Planeación, Seguimiento y
Control.
5.4 Es responsabilidad del profesional de gestión del área de Tecnología de la Información y de las
Comunicaciones asesorar y acompañar a la primera línea de defensa (líderes de procesos) en la realización de
la gestión de riesgos de seguridad digital y en la recomendación de controles para mitigar los riesgos.
5.6 El contexto estratégico institucional se formula para el período correspondiente a la ejecución del plan
estratégico de la entidad, y se revisa anualmente para su actualización, como fuente de información para la
definición de los mapas de riesgos y el plan de acción institucional.
5.7 Para establecer el contexto de proceso se deben determinar las características o aspectos esenciales del
proceso y sus interrelaciones. Se pueden considerar factores como: objetivo del proceso, alcance del proceso,
interrelación con otros procesos, procedimientos asociados y responsables del proceso.
5.8 Si dentro del seguimiento realizado, bien sea por parte de la Oficina de Control Interno, por los líderes de
los procesos u otro funcionario que participa o interactúa con el proceso, se establece que se han materializado
uno o más riesgos, las acciones requeridas serán las definidas en los “Lineamientos para el manejo de Riesgos
Materializados” (Ver anexo 6). Las acciones a seguir serán manejadas en el formato vigente de plan de
mejoramiento.
5.9 Los funcionarios y contratistas del Copnia deben conocer el mapa de riesgos de corrupción antes de su
publicación. Para lograr este propósito la Subdirección de Planeación, Control y Seguimiento deberá diseñar y
poner en marcha las actividades o mecanismos necesarios para que los funcionarios y contratistas conozcan,
debatan y formulen sus apreciaciones y propuestas sobre el proyecto del mapa de riesgos de corrupción.
6. DESCRIPCIÓN DE LA ACTIVIDAD
Nombre de la
No. Descripción Responsable Registro
actividad
1 Planificar los Definir los mecanismos, herramientas y recursos Subdirección de Documentos
mecanismos y necesarios para la formulación o actualización de los Planeación, asociados a la
herramientas de mapas de riesgos. Control y administración
administración Seguimiento de riesgos
de riesgos Son mecanismos, herramientas y recursos, entre
otros:
Metodologías, procedimientos, formatos,
cronogramas, recurso humano, presupuesto y
capacitación.
2 Establecer el Establecer los factores externos. Se determinan las Subdirección de Documento de
DE-pr-02
PROCEDIMIENTO DE ADMINISTRACION DEL Vigente a partir de
Diciembre 2019
RIESGO 6ta. Actualización
Pág.4/7
Nombre de la
No. Descripción Responsable Registro
actividad
contexto características o aspectos esenciales del ambiente Planeación, contexto
en el cual la Entidad busca alcanzar sus objetivos. Control y interno,
Se pueden considerar factores como: políticos, Seguimiento externo de la
económicos y financieros, sociales y culturales, (Contexto de la entidad.
tecnológicos, ambientales y legales y Entidad)
Documento de
reglamentarios.
Responsables contexto del
de procesos proceso.
Establecer el contexto interno. Se determinan las
(Contexto de
características o aspectos esenciales del ambiente
los procesos)
en el cual el Copnia busca alcanzar sus objetivos. Se
Lista de activos
pueden considerar factores como: Estructura
de la seguridad
organizacional, funciones y responsabilidades,
Profesional de digital.
políticas, objetivos y estrategias implementadas,
gestión del área
recursos y conocimientos con que se cuenta
de Tecnologías
(personas, procesos, sistemas, tecnología),
de la
relaciones con las partes involucradas y cultura
información y
organizacional.
de las
Comunicaciones
Establecer contexto del proceso, considerando:
y líderes de
diseño del proceso, interacciones con otros
proceso (Lista
procesos, transversalidad, procedimientos
de activos de
asociados, responsables del proceso, comunicación
seguridad de la
entre los procesos y activos de seguridad digital del
información)
proceso.
3 Consolidar Recopilar, analizar y consolidar la información Subdirección de Documento de
contexto suministrada por los responsables de los procesos y Planeación, contexto
generar el documento Control y interno,
Seguimiento externo de la
entidad y el
contexto del
proceso.
4 Identificar y Establecer las fuentes o factores de riesgo, los Responsables Mapa de
clasificar el eventos o riesgos, sus causas y sus consecuencias. de Procesos riesgos por
riesgo proceso
Considerar el contexto interno, externo de la
entidad y el contexto del proceso para la
identificación de riesgos, así como causas y/o
consecuencias.
Nombre de la
No. Descripción Responsable Registro
actividad
• La identificación de las causas por las cuales
el riesgo se podría llegar a materializar.
• Los efectos que podría conllevar la
materialización del riesgo.
• La clasificación de riesgos de acuerdo con el
alcance del presente documento.
Nombre de la
No. Descripción Responsable Registro
actividad
valoración definitiva del mismo (Riesgo residual). de Proceso riesgos por
proceso
Los criterios mínimos de tratamiento de riesgo se
encuentran en la tabla de criterios (Ver anexo 5).
8 Divulgar los Adelantar las actividades necesarias para que las Responsables
mapas de dependencias que intervienen en el proceso objeto de Procesos
riesgos de de análisis conozcan los riesgos identificados
procesos
9 Consolidar el Recopilar, analizar y consolidar la información Subdirección de Mapa de
mapa de riesgos suministrada por los responsables de los procesos y Planeación, riesgos
institucional generar el “Mapa de Riesgos Institucional”, el cual Seguimiento y institucional
se alimenta con los riesgos residuales altos o Control
extremos de cada uno de los procesos
10 Divulgar el mapa Coordinar la divulgación del mapa de riesgos Subdirección de Comunicación
de riesgos institucional Planeación,
institucional Seguimiento y
Control
11 Realizar Asegurarse de que las acciones establecidas en los Responsables Actas de
monitoreo al mapas de riesgo se están llevando a cabo y evaluar de Procesos Subcomité de
mapa de riesgos la eficacia en su implementación, adelantando Gestión
por proceso revisiones sobre la marcha para evidenciar todas Integral
aquellas situaciones o factores que pueden influir en
la aplicación de acciones preventivas.
12 Realizar análisis Analizar el diseño e idoneidad de los controles, Oficina de Informes de
de los controles determinando si son o no adecuados para prevenir Control Interno Auditoría
y generar o mitigar los riesgos de los procesos, haciendo uso
recomendaciones de las técnicas relacionadas con pruebas de Actas de
auditoría que permitan determinar la efectividad de Subcomité de
los controles. Gestión
Integral
13 Generar reportes Revisar y reportar la efectividad y la aplicación de Oficina de Acta de Comité
respecto a la controles, planes de contingencia y actividades de Control Interno Coordinador de
efectividad de monitoreo vinculadas a riesgos claves de la entidad. Control Interno
los controles
7. ANEXOS
8. CONTROL DE CAMBIOS
Notas:
N° PREGUNTA RESPUESTA
SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA PODRÍA...
SI NO
1 ¿Afectar al grupo de funcionarios del proceso? X
2 ¿Afectar el cumplimiento de metas y objetivos de la X
dependencia?
3 ¿Afectar el cumplimiento de misión de la entidad? X
4 ¿Afectar el cumplimiento de la misión del sector al que X
pertenece la entidad?
5 ¿Generar pérdida de confianza de la entidad, afectando su X
reputación?
6 ¿Generar pérdida de recursos económicos? X
7 ¿Afectar la generación de los productos o la prestación de X
servicios?
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad X
por la pérdida del bien, servicios o recursos públicos?
9 ¿Generar pérdida de información de la entidad? X
10 ¿Generar intervención de los órganos de control, de la Fiscalía X
u otro ente?
11 ¿Dar lugar a procesos sancionatorios? X
12 ¿Dar lugar a procesos disciplinarios? X
13 ¿Dar lugar a procesos fiscales? X
14 ¿Dar lugar a procesos penales? X
15 ¿Generar pérdida de credibilidad del sector? X
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X
17 ¿Afectar la imagen regional? X
18 ¿Afectar la imagen nacional? X
19 ¿Generar daño ambiental? X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un
impacto moderado. Responder afirmativamente de SEIS a ONCE
preguntas genera un impacto mayor. Responder afirmativamente de 10
DOCE a DIECINUEVE preguntas genera un impacto catastrófico
Moderado: Genera medianas consecuencias sobre la entidad
Mayor: Genera altas consecuencias sobre la entidad
Catastrófico: Genera consecuencias desastrosas para la entidad
Anexo 3. TABA DE CALIFICACIÓN DE RIESGOS
Una vez determinado el nivel del riesgo residual, se tratarán los riesgos de acuerdo con la siguiente
relación:
Oficina de Convocar al Comité de Informar al líder del proceso sobre el Informar al líder
Control Coordinación de Control hecho encontrado. del proceso sobre
Interno Interno e informar sobre los el hecho
hechos detectados, desde Orientar al líder del proceso para que
donde se tomarán las realice la revisión, análisis y acciones Orientar
decisiones para iniciar la correspondientes para resolver el técnicamente
investigación de los hechos. hecho. sobre las acciones
determinadas en la
Dependiendo del alcance Verificar que se tomaron las acciones política de riesgos
(normatividad asociada al y que se actualizó el mapa de riesgos institucional.
hecho de corrupción correspondiente.
materializado), realizar la
denuncia ante el ente de Convocar al Comité de Coordinación
control respectivo. de Control Interno e informar sobre la
actualización realizada.
Facilitar el inicio de las
acciones correspondientes
con el líder del proceso,
para revisar el mapa de
riesgos y sus controles
asociados.
Líder del Informar a la Alta Dirección Tomar las acciones correctivas Aplicar las
proceso u sobre el hecho encontrado. necesarias, dependiendo del riesgo orientaciones de la
otro (s) materializado. política de riesgos
funcionario De considerarlo necesario, institucional.
(s) que realizar la denuncia ante el Iniciar el análisis de causas y (Verificar los
participa (n) ente de control respectivo. determinar acciones preventivas y de niveles de
o mejorar. aceptación del
interactúa(n) Iniciar con las acciones riesgo)
con el correctivas necesarias Analizar y actualizar el mapa de
proceso riesgos.
Realizar el análisis de
causas y determinar Informar a la Alta Dirección sobre el
acciones preventivas y de hallazgo y las acciones tomadas.
mejora.
CONTROL DE CAMBIOS
DE-fr-04
v 2. Jun 17