DIRECCIÓN DE COMUNICACIONES ESTRATÉGICAS

ADMINISTRACIÓN
DE RIESGOS

RESERVADO
AGENDA

1. Marco Normativo.

2. Definición del Riesgo.

3. Proceso Administración del Riesgo.

4. Política de Calidad.

5. Contexto Estratégico.

6. Matriz Estratégica de Riesgos.

7. Identificación de Riesgos.

8. Análisis del Riesgo.

9. Seguimiento y Revisión.

10. Plazos Seguimiento Administración de Riesgos.

RESERVADO
 1.
MARCO
NORMATIVO

RESERVADO
 MARCO NORMATIVO

Usar: Arial Narrow, negrita

TÍTULO - 24 puntos
Ley 87 de 1993. Artículo 2 Objetivos del Control
Ley 1474 de 2011. Estatuto Anticorrupción.
Interno. Literal a). Proteger los recursos de la
Artículo 73 “Plan Anticorrupción y de Atención al
organización, buscando su adecuada administración
Ciudadano” que deben elaborar anualmente todas
ante posibles riesgos que los afectan.
las entidades, incluyendo el mapa de riesgos de
corrupción, las medidas concretas para mitigar
Literal f). Definir y aplicar medidas para prevenir los
esos riesgos, las estrategias anti trámites y los
riesgos, detectar y corregir las desviaciones que se
mecanismos para mejorar la atención al
presenten en la organización y que puedan afectar el
ciudadano.
logro de los objetivos.

Directiva Permanente No. 0119000003105 del 18

Norma ISO 31.000:2018 Gestión de Riesgos. de junio de 2019. Lineamientos generales para la
administración de riesgos del Comando General de
las Fuerzas Militares.

CEDE5 - FECHA 02-18-2020 RESERVADO

 MARCO NORMATIVO

Guía para la Administración del Riesgo de

Directiva Permanente No. 000115 del 03 de Gestión, Corrupción y Seguridad Digital y,
Diciembre de 2019. Lineamientos Generales para Diseño de Controles en Entidades Públicas.
la Administración de Riesgos en el Ejército Nacional. Departamento Administrativo de la Función
Pública (DAFP). Versión 04 - 2018

Decreto 124 de 2016. Por el cual se sustituye el

Decreto 1499 del 2017 Modelo Integrado de
Titulo 4 de la Parte 1 del Libro 2 del Decreto 1081
Planeación y Gestión. Versión 3.
de 2015, relativo al “Plan Anticorrupción y de
Atención al Ciudadano”.
Manual Operativo Modelo Integrado de Planeación
y Gestión. Diciembre 2019.

CEDE5 - FECHA 02-18-2020 RESERVADO

 2.
DEFINICIÓN DE
RIESGOS

RESERVADO
 MARCO NORMATIVO

Definición
Riesgo Posibilidad de que
suceda algún evento que
tendrá un impacto sobre
el cumplimiento de los
objetivos. Se expresa en
términos de probabilidad
y consecuencias.

Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág. 8

CEDE5 - FECHA 02-18-2020 RESERVADO

 3.
PROCESO
ADMINISTRACIÓN
DE RIESGOS

RESERVADO
 PROCESO ADMINISTRACIÓN DE RIESGOS

2. Alcance, contexto,
criterios

Evaluación del Riesgo

1. Comunicación y consulta

8. Seguimiento y revisión
3. Identificación del Riesgo

4. Análisis del Riesgo

5. Valoración del Riesgo

6. Tratamiento del Riesgo

7. REGISTRO E INFORME

Fuente: Norma Técnica Colombiana NTC ISO 31.000: 2018. Pág. 10

CEDE5 - FECHA 02-18-2020 RESERVADO

 4.
POLITICA DE
CALIDAD

RESERVADO
 COMPROMISOS CON EL SIG

Política de Calidad
El Ejército Nacional con la finalidad primordial de defender la soberanía, la independencia y la
integridad territorial, cumple su misión en el marco del desarrollo de operaciones militares,
regido por la Constitución Nacional, el respeto absoluto por los DD.HH. y acatamiento del DIH,
honor militar, disciplina, ética en todas las actuaciones, compromiso, fe en la causa y
persistencia en el empeño, comprometido con el desarrollo y mejora continua del Sistema
Integrado de Gestión (SIG), la administración de los riesgos de gestión y corrupción,
cumpliendo con los requerimientos de las partes interesadas con un alto nivel de calidad,
innovación y competitividad, mediante prácticas de legalidad y transparencia; garantizando
protección a la población, neutralización de amenazas internas y externas, coadyuvando a la
legalidad, el emprendimiento y la equidad, como la Fuerza eje de acción unificada en
operaciones terrestres conjuntas, coordinadas, interagenciales y multilaterales para alcanzar la
unidad de esfuerzo.

CEDE5 - FECHA 02-18-2020 RESERVADO

 5.
CONTEXTO
ESTRATÉGICO

RESERVADO
 CONTEXTO ESTRATÉGICO
1. Contexto Estratégico

Se determinan las características o aspectos esenciales del entorno en el cual opera la

entidad. A partir de los factores que se definan es posible establecer las causas de los
riesgos a identificar.

Contexto Externo Contexto Interno

Económicos Financiero

Políticos Personal

Social Procesos

Tecnológicos Tecnológico

Medio Ambientales Normatividad

Comunicación Ext Comunicación Int.

Imagen Infraestructura

CEDE5 - FECHA 02-18-2020 RESERVADO

CEDE5 - FECHA 02-18-2020 RESERVADO
 TIPOS DE RIESGOS

Tipos de Riesgos de Gestión

Se establece los tipos de riesgo que se va a manejar por proceso, así:

Apoyo: Son aquellos eventos que requieren de acciones preventivas

para que se logre o contribuya a la materialización y/o producción de
un bien o servicio. Estos van relacionados directamente con los
procesos que sirven de soporte del cumplimiento de los que
conforman la cadena de valor de la entidad.

Estratégico: Posibilidad de ocurrencia de eventos que afecten los

objetivos estratégicos de la organización pública y por tanto impactan
toda la entidad.

Cumplimiento: Posibilidad de ocurrencia de eventos que afectan la

situación jurídica o contractual de la organización debido a su
incumplimiento o desacato a la normatividad legal y las obligaciones
contractuales.

CEDE5 - FECHA 02-18-2020 RESERVADO

 TIPOS DE RIESGOS

Tipos de Riesgos de Gestión

Imagen o Reputacional: Posibilidad de ocurrencia de un evento que

afecte la imagen, buen nombre o reputación de una organización,
ante sus clientes y partes interesadas.

Evaluación: Incluyen aquellos procesos necesarios para medir y

recopilar datos destinados a realizar el análisis del desempeño y la
mejora de la eficacia y la eficiencia y son una parte integral de los
procesos estratégicos, misionales y de apoyo.

Financiero: Posibilidad de ocurrencia de eventos que afecten los

estados financieros y todas aquellas áreas involucradas con el
proceso financiero como presupuesto, tesorería, contabilidad, cartera,
central de cuentas, costos, etc.

Operativos: Posibilidad de ocurrencia de eventos que afecten los

procesos misionales de la entidad.

CEDE5 - FECHA 02-18-2020 RESERVADO

 TIPOS DE RIESGOS

Tipos de Riesgos de Gestión

Seguridad de la Información: Posibilidad de que por una amenaza

concreta pueda explotar una vulnerabilidad para causar una pérdida o
daño en un activo de información. Suele considerarse como una
combinación de la probabilidad de un evento y sus consecuencias.

Tecnológico: Posibilidad de ocurrencia de eventos que afecten la

totalidad o parte de la infraestructura tecnológica (hardware, software,
redes, etc) de una entidad.

Ambiental: Posibilidad de ocurrencia de un evento de forma natural o

antrópica que afecte los recursos naturales y la salud humana,
incumpliendo la normatividad ambiental legal vigente.

Gerencial:Posibilidad de ocurrencia de eventos que afectan los

procesos gerenciales y/o la alta dirección.

CEDE5 - FECHA 02-18-2020 RESERVADO

 TIPOS DE RIESGOS

Tipo de Riesgo Corrupción

Corrupción: Posibilidad de que, por acción u omisión, se use el

poder para desviar la gestión de lo público hacia un beneficio privado.

CEDE5 - FECHA 02-18-2020 RESERVADO

 6.
MATRIZ
ESTRATEGICA DE
RIESGOS

CEDE5 - FECHA 02-18-2020 RESERVADO

RESERVADO
 MATRIZ ESTRATÉGICA DE RIESGOS

Matriz Estratégica de Riesgos

Esta herramienta facilita la visualización y control

de manera general de los riesgos que impactan al
Ejército Nacional, con el fin de generar acciones
para su mitigación desde el nivel estratégico hasta
el nivel táctico.

CEDE5 - FECHA 02-18-2020 RESERVADO

 MATRIZ ESTRATÉGICA DE RIESGOS

CEDE5 - FECHA 02-18-2020 RESERVADO

 7.
IDENTIFICACIÓN
DE RIESGOS

RESERVADO
RESERVADO
 IDENTIFICACIÓN DEL RIESGO

2. Identificación del Riesgo

El objetivo de esta fase de la administración de riesgos es generar
una lista detallada de los posibles riesgos que pueden afectar el
correcto funcionamiento de las actividades del proceso, para ello se
deben determinar de la siguiente manera:

Identificación del proceso: Determinar cuál es el proceso al

que se le determina el riesgo.

Objetivo del proceso: Tener presente el objetivo de acuerdo a

la caracterización del proceso.

Identificar los riesgos: Se identifica el riesgo que podría afectar

el cumplimiento del objetivo del proceso y/o misión Institucional.

Establecer las causas: Descripción de los factores internos y/o

externos que generan los riesgos.

Determinar los efectos o consecuencias: Consecuencias que

puede dejar la ocurrencia del evento sobre la organización.

CEDE5 - FECHA 02-18-2020 RESERVADO

 TENGA EN CUENTA
Identificación Riesgo de Corrupción

1. El riesgo de corrupción debe estar descrito de manera clara y precisa.

2. Su redacción no debe dar lugar a ambigüedades o confusiones con la causa

generadora del mismo.

3. El riesgo se plantea sobre procesos y debe existir coherencia con el mismo.

4. Es necesario que dentro de la redacción se contemplen todos los componentes

de su definición:

Acción u Uso del Desviar la Beneficio

Omisión poder gestión de privado
lo público
X X X X

CEDE5 - FECHA 02-18-2020 RESERVADO

CEDE5 - FECHA 02-18-2020 RESERVADO
 8.
ANÁLISIS DEL
RIESGO

RESERVADO
 ANÁLISIS DEL RIESGO
3. Análisis del Riesgo

En esta etapa se busca el desarrollo y la comprensión del riesgo, tomando como

entrada la información obtenida de la identificación del riesgo. Dos aspectos
fundamentales se deben definir dentro de este proceso:

Probabilidad: Posibilidad de ocurrencia del riesgo.

Impacto: Las consecuencias que puede ocasionar a la

organización la materialización del riesgo.

CEDE5 - FECHA 02-18-2020 RESERVADO

 ANÁLISIS DEL RIESGO
¿Cómo medimos la Probabilidad?

Frecuencia o Factibilidad

Número de
eventos en un Eventos que no
periodo se han
determinado. presentado pero
es posible que
Hechos que se sucedan.
han
materializado

CEDE5 - FECHA 02-18-2020 RESERVADO

 TABLA DE PROBABILIDAD
DESCRIPTOR NIVEL DESCRIPCIÓN FRECUENCIA

El evento puede ocurrir solo en

No se ha presentado en
Rara vez 1 circunstancias excepcionales
los últimos 5 años.
(Poco comunes o anormales).
El evento puede ocurrir en algún Al menos 1 vez en los
Improbable 2
momento. últimos 5 años.
El evento podrá ocurrir en algún Al menos 1 vez en los
Posible 3
momento. últimos 2 años.
Es viable que el evento ocurra
Al menos 1 vez en el
Probable 4 en la mayoría de las
último año.
circunstancias.

Se espera que el evento ocurra

Casi seguro 5 en la mayoría de las Más de 1 vez al año.
circunstancias.

Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital. Pág. 39

CEDE5 - FECHA 02-18-2020 RESERVADO

 TABLA DE IMPACTO
DESCRIPTOR NIVEL DESCRIPCIÓN

Si el hecho llegara a presentarse, tendría

Insignificante 1 consecuencias o efectos mínimos sobre la
entidad.
Si el hecho llegara a presentarse, tendría bajo
Menor 2
impacto o efecto sobre la entidad.
Si el hecho llegara a presentarse, tendría
Moderado 3 medianas consecuencias o efectos sobre la
entidad.
Si el hecho llegara a presentarse, tendría altas
Mayor 4
consecuencias o efectos sobre la entidad.
Si el hecho llegara a presentarse, tendría
Catastrófico 5 desastrosas consecuencias o efectos sobre la
entidad.
Fuente: Guía para la Administración del Riesgos DAFP. Pág. 28.

CEDE5 - FECHA 02-18-2020 RESERVADO

 EVALUACIÓN DEL RIESGO

CEDE5 - FECHA 02-18-2020 RESERVADO

 EVALUACIÓN IMPACTO RIESGO DE CORRUPCIÓN
IMPACTO DE LOS RIESGOS DE CORRUPCIÓN
Respuesta
Si el riesgo de corrupción se materializa podría...
SI NO
1. ¿Afectar al grupo de funcionarios del proceso?
2. ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3. ¿Afectar el cumplimiento de misión de la Entidad?
4. ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?
5. ¿Generar pérdida de confianza de la Entidad, afectando su reputación?
6. ¿Generar pérdida de recursos económicos?
7. ¿Afectar la generación de los productos o la prestación de servicios?
8. ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien o
servicios o los recursos públicos?
9. ¿Generar pérdida de información de la Entidad?
10. ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente?
11. ¿Dar lugar a procesos sancionatorios?
12. ¿Dar lugar a procesos disciplinarios?
13. ¿Dar lugar a procesos fiscales?
14. ¿Dar lugar a procesos penales?
15. ¿Generar pérdida de credibilidad del sector?
16. ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17. ¿Afectar la imagen regional?
18. ¿Afectar la imagen nacional?
19. ¿Generar daño ambiental?
CALIFICACIÓN DE RIESGO DE CORRUPCIÓN IMPACTO
Nota: Si la respuesta a la pregunta 16 es afirmativa, el
Respuestas Descripción Nivel
riesgo se considera catastrófico.
Entre 1-5 Moderado 0
Entre 6-11 Mayor 1
Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital. Pág. 46
Entre 12-19 Catastrófico 2

CEDE5 - FECHA 02-18-2020 RESERVADO

 EVALUACIÓN DEL RIESGO

3.1. Evaluación del riesgo

Permite comparar los resultados de su calificación en

términos de probabilidad y impacto, para tener un primer
resultado cuantitativo y cualitativo del estado actual del
riesgo sin haber tomado acción alguna para su manejo y
así posteriormente poder tomar decisiones y definir los
controles a ejecutar.

CEDE5 - FECHA 02-18-2020 RESERVADO

 MATRIZ DE RIESGO

MAPA DE CALOR

CEDE5 - FECHA 02-18-2020 RESERVADO

 TRATAMIENTO DEL RIESGO

Tratamiento del Riesgo

Aceptar el riesgo: No se adopta ninguna medida que afecte la probabilidad o

el impacto del riesgo. (Ningún riesgo de corrupción podrá ser aceptado).

Reducir el riesgo: Se adoptan medidas para reducir la probabilidad o el

impacto del riesgo, o ambos; por lo general conlleva a la implementación de
controles.

Evitar el riesgo: Se abandonan las actividades que dan lugar al riesgo, es

decir, no iniciar o no continuar con la actividad que causa el riesgo.

Compartir el riesgo: Se reduce la probabilidad o el impacto del riesgo,

transfiriendo o compartiendo una parte del riesgo.

Los riesgos de corrupción se pueden compartir pero no se pueden

transferir su responsabilidad.

Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág 68

CEDE5 - FECHA 02-18-2020 RESERVADO

 CONTROLES

Medida que modifica al riesgo (Procesos, políticas, dispositivos, prácticas u otras

Controles: acciones).

Son las acciones establecidas a través

de políticas y procedimientos que
contribuyen a garantizar que se lleven a
Qué son cabo las instrucciones de la dirección
para mitigar los riesgo que inciden en el
actividades cumplimiento de los objetivos.
de control?:
La actividad de control debe por si
sola mitigar o tratar la causa del
riesgo y ejecutarse como parte del día
a día de las operaciones.

Actividades de control documentadas en:

POLÍTICAS PROCEDIMIENTOS
Las políticas establecen las líneas generales Los procedimientos son los que llevan dichas
del control interno. políticas a la práctica.

Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág 46

CEDE5 - FECHA 02-18-2020 RESERVADO

 CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL

CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL:

CONTROLES PREVENTIVOS:

Controles que están diseñados para evitar un evento no deseado en el momento en que
se produce. Este tipo de controles intentan evitar la ocurrencia de los riesgos que
puedan afectar el cumplimiento de los objetivos.

CONTROLES DETECTIVOS:

Controles que están diseñados para identificar un evento o resultado no previsto

después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se tomen las acciones
correspondientes.

NOTA 1: Se deben seleccionar actividades de control preventivas y detectivas que

por sí solas ayuden a la mitigación de las causas que originan los riesgos.

NOTA 2: El evento no deseado esta identificado en las causas que originan el

riesgo.

Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág 74

CEDE5 - FECHA 02-18-2020 RESERVADO

 DISEÑO DE CONTROLES

Diseño de Controles
Al momento de definir si un control o los controles mitigan de manera
adecuada el riesgo, se debe considerar desde la redacción del
mismo, las siguientes variables:

PASO 1 Debe tener definido el responsable de realizar la actividad de control.

PASO 2 Debe tener una periodicidad definida para su ejecución.

PASO 3 Debe indicar cuál es el propósito del control.

PASO 4 Debe establecer el cómo se realiza la actividad de control.

PASO 5
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.

PASO 6 Debe dejar evidencia de la ejecución del control.

Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág 49

CEDE5 - FECHA 02-18-2020 RESERVADO

 VALORACIÓN DE CONTROLES

Valoración de los controles para la mitigación de los riesgos

El control esta bien diseñado para mitigar el riesgo.

El control se ejecuta como fue diseñado y de manera consistente.

1. El control esta diseñado y se ejecuta para mitigar el impacto del

riesgo una vez se materialice.

2. El control esta diseñado y se ejecuta para mitigar la

probabilidad de que el riesgo se materialice.

Para la adecuada mitigación de los riesgos no basta con que un

control este bien diseñado, el control debe ejecutarse por parte de
los responsables tal como se diseño.

Por que un control que no se ejecute, o un control que se ejecute y

este mal diseñado, no va a contribuir a la mitigación del riesgo.

Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág 59

CEDE5 - FECHA 02-18-2020 RESERVADO

 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO

CEDE5 - FECHA 02-18-2020 RESERVADO

 VALORACIÓN DE CONTROLES Y DEL RIESGO

MATRIZ DE RIESGO
Zona de
valoración del Registro Seguimiento
riesgo

Extrema Administración de riesgos Mensualmente

Alta Administración de riesgos Bimestral

Moderado Administración de riesgos Trimestralmente

Baja Administración de riesgos Semestralmente

NOTA 1: Se deben identificar mínimo dos (02) acciones con periodicidad establecida en la zona
de acuerdo al cuadro en cada nivel de la Institución. (Departamento, División, Brigada,
Batallón).

NOTA 2: En la valoración del riesgo de corrupción su seguimiento será mensual.

CEDE5 - FECHA 02-18-2020 RESERVADO

 ACCIONES Y SEGUIMIENTO RIESGOS

ACCIONES: En esta parte de la metodología se definen las acciones que se van a tomar para
mitigar el riesgo.

Las acciones adicionales deben ser actividades diferentes a las establecidas en la caracterización,
procedimiento y reglamentación interna (Reglamentos, normas, directivas permanentes), así:

Disminuir la probabilidad: Acciones encaminadas a gestionar las causas del riesgo.

Disminuir el impacto: Acciones encaminadas a disminuir las consecuencias del riesgo.

NOTA 1: Si el control en la evaluación del diseño da DÉBIL ó MODERADO, se deberá

documentar acciones para fortalecer el control.

CEDE5 - FECHA 02-18-2020 RESERVADO

 ACCIONES Y SEGUIMIENTO

CEDE5 - FECHA 02-18-2020 RESERVADO

 9.
SEGUIMIENTO Y
REVISIÓN

RESERVADO
 COMUNICACIÓN Y CONSULTA

Procesos continuos y reiterativos que una organización lleva a cabo para

suministrar, compartir u obtener información e involucrarse en un diálogo con
las partes involucradas con respecto a la gestión del riesgo. Este análisis debe
garantizar que se tienen en cuenta las necesidades de los usuarios o
Comunicación y consulta

ciudadanos.

Elaborar y difundir documentos para la administración de riesgos.

Informes periódicos del seguimiento de los riesgos.

Informe final administración de riesgos.

Los Departamentos establecen los riesgos que van a ser estandarizados a los
procesos de las Unidades

Los Departamentos que estandarizan riesgos a las Unidades, serán los

directamente responsables del seguimiento y si se materializa, documentarán
solicitud de acción correctiva de acuerdo al procedimiento de mejora continua.

CEDE5 - FECHA 02-18-2020 RESERVADO

 SEGUIMIENTO Y REVISIÓN

Seguimiento y Revisión

Seguimiento y revisión: Esta a cargo de los lideres de los procesos y sus

equipos quienes deben revisar periódicamente la administración de riesgos y si
es el caso ajustarlo, informando a CEDE5 mediante documento. Anexo C.

Administración de Riesgos - seguimiento: Permite llevar un control a los

resultados obtenidos en cada periodo de tiempo evaluado de acuerdo al
cumplimiento de las acciones y porcentaje de avance del proceso dado en la
suite visión empresarial modulo gestión del riesgo.

Teniendo en cuenta las líneas de defensa se define como un modelo de control

que establece los roles y responsabilidades de todos los actores del riesgo
y control en una entidad, proporcionando aseguramiento de la gestión y
previniendo la materialización de los riesgos en todos los ámbitos. Anexo C.

CEDE5 - FECHA 02-18-2020 RESERVADO

 SEGUIMIENTO Y REVISIÓN
Línea Estratégica
Esta línea al ser una instancia decisoria dentro
del sistema de Control Interno, esta bajo la
responsabilidad de la alta dirección y del comité
institucional de coordinación de control interno;
su rol principal es analizar los riesgos y
amenazas institucionales, que puedan afectar
el cumplimiento de los planes estratégicos , así
como definir el marco general para la gestión
del riesgo (política de administración del riesgo)
y el cumplimiento de los planes de la entidad.
Fuente: Anexo B Directiva Permanente N° 000115 del 3 de diciembre de 2019
CEDE5 - FECHA 02-18-2020
Integrada por Comandante del Ejército, Segundo Comandante, Jefatura de Estado
Mayor de Planeación y Políticas, Jefatura de Estado Mayor Generadora de Fuerza y
Jefatura de Estado Mayor de Operaciones, quienes hacen parte del Sub Comité de
Control Interno.
Rol principal:
 Determinar las políticas y estrategias que aseguran que la estructura, procesos,
autoridad y responsabilidades están claramente definidos para el logro de los
objetivos de la entidad.
 Establecer objetivos institucionales alineados con el propósito fundamental,
metas y estrategias de la entidad.
 Establecer la Política de Administración del Riesgo.
 Asumir la responsabilidad primaria del Sistema de Control Interno y de la
identificación y evaluación de los cambios que podrían tener un impacto
significativo en el mismo.
 Específicamente el Comité Institucional de Coordinación de Control Interno,
evalúa y da línea sobre la administración de los riesgos en la entidad.
 Establecer las políticas de operación encaminadas a controlar los riesgos que
pueden llegar a incidir en el cumplimiento de los objetivos institucionales.
 Hacer seguimiento a la adopción, implementación y aplicación de controles.
 Analizar las evaluaciones de la gestión del riesgo, elaboradas por la segunda
línea de defensa.
Aspectos claves:
 Fortalecer el Comité Institucional de Coordinación de Control Interno
incrementando su periodicidad para las reuniones.
 Evaluar la forma como funciona el Esquema de la línea de Defensa, incluyendo la
línea estratégica.
 Definición de líneas de reporte en temas clave para la toma de decisiones,
atendiendo el esquema de Líneas de Defensa.
 Definición y evaluación de la Política de Administración del Riesgo. La evaluación
debe considerar su aplicación en la entidad, cambios en el entorno que puedan
definir ajustes, dificultades para su desarrollo, riesgos emergentes.
RESERVADO
 SEGUIMIENTO Y REVISIÓN
1ª. Línea de Defensa
Desarrolla e implementa procesos de control y
gestión de riesgos a través de su identificación,
análisis, valoración, monitoreo y acciones de
mejora.
Integrada por la Jefatura de Estado Mayor de
Planeación y Políticas con sus Departamentos,
Jefatura de Estado Mayor Generadora de
Fuerza con sus Comandos Funcionales, la
Jefatura de Estado Mayor de Operaciones con
sus dependencias y en general los Estados
Mayores y Planas Mayores de las Unidades.
Rol principal: diseñar, implementar y
monitorear los controles y gestionar de manera
directa en el día a día los riesgos de la entidad.
Así mismo, orientar el desarrollo e
implementación de políticas y procedimientos
internos y asegurar que sean compatibles con
las metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su logro.
Aspectos claves:
 La identificación de riesgos y el
establecimiento de controles, así como su
seguimiento, acorde con el diseño de dichos
controles, evitando la materialización de los
riesgos.
 La formulación de planes de mejoramiento,
su aplicación y seguimiento para resolver
los hallazgos presentados por riesgos o
materialización de los mismos.
Fuente: Anexo B Directiva Permanente N° 000115 del 3 de diciembre de 2019
CEDE5 - FECHA 02-18-2020
2ª. Línea de Defensa
Asegura que los controles y los procesos de
gestión de riesgos implementados por la primera
línea de defensa, estén diseñados
apropiadamente y funcionen como se pretende.
Integrada por Jefe de Planeación, Director
Gestión de Calidad, Jefes de Seguimiento y
Evaluación de Comando Ejército, Líder del
proceso de la Sección de Calidad o Planeación
de acuerdo a la estructura de las Unidades
Operativas Mayores y Menores.
Rol principal: monitorear la gestión de riesgo y
control ejecutada por la primera línea de defensa,
complementando su trabajo.
Aspectos claves:
 Asegurar que los controles y procesos de
gestión del riesgo de la 1ª. Línea sean
apropiados y funcionen correctamente.
 Consolidar y analizar información sobre temas
clave para la entidad y las acciones
preventivas necesarias para evitar
materialización de riesgos.
 Trabajar coordinadamente con las oficinas de
control interno en el fortalecimiento del
Sistema de Control Interno - SCI.
 Asesorar a la 1ª. Línea en temas claves del
SCI, como riesgos y controles, planes de
mejoramiento, indicadores de gestión,
procesos y procedimientos
 Establecer mecanismos para la
autoevaluación.
RESERVADO
3ª. Línea de Defensa
Proporciona información sobre la efectividad
del S.C.I., a través de un enfoque basado en
riesgos, incluida la operación de la primera y
segunda línea de defensa
A cargo Inspección General del Ejército, Jefes
de Estado Mayor y Secciones de Control
Interno Unidades Operativas Mayores,
Menores y Equivalentes.
Rol principal: proporcionar un aseguramiento
basado en el más alto nivel de independencia y
objetividad sobre la efectividad del S.C.I.
El alcance de este aseguramiento, a través de
la auditoría interna cubre todos los
componentes del S.C.I.
Aspectos claves:
 Orientación técnica y recomendaciones
frente a la administración de riesgos.
Coordinado con las Oficinas de Planeación.
 Monitorear la exposición de la organización
al riesgo y realizar recomendaciones con
alcance preventivo.
 Asesoría proactiva y estratégica, a la alta
dirección y líderes de proceso.
 Informar los hallazgos y proporcionar
recomendaciones de forma independiente.
 ACLARACIONES

A tener en cuenta.

En cada uno de los riesgos identificados, se debe tener presente que los indicadores
que van a medir la gestión son los del Informe de Gestión Plan de Acción.

Cuando un riesgo es materializado se deberá informar al Departamento mediante

oficio y enviar el plan de mejoramiento, quien será el responsable de validarlo y
aprobarlo e informar al Departamento de Planeación (CEDE5). Anexo A.

Por cada riesgo se deben identificar mínimo tres (03) controles y estar redactados de
acuerdo al diseño de controles. Anexo A.

Los análisis de riesgos se continúan elaborando trimestralmente y final:

Los Departamentos consolidan la información de su proceso de las Unidades Operativas
Mayores y elaboran un informe, teniendo en cuenta la eficacia de las acciones en la suite
visión empresarial modulo gestión del riesgo. Formato Análisis Trimestral
Administración de Riesgos y Formato Análisis Anual Administración de Riesgos.
El responsable de Gestión de la Calidad o quien haga sus veces en las Unidades
Operativas Mayores consolida la información de los procesos y de acuerdo a su
seguimiento elabora el análisis de riesgos de la Unidad Operativa Mayor.

CEDE5 - FECHA 02-18-2020 RESERVADO

 ANÁLISIS TRIMESTRAL ADMINISTRACIÓN DE RIESGOS
MINISTERIO DE DEFENSA NACIONAL Pág. de
COMANDO GENERAL DE LAS FUERZAS MILITARES ANÁLISIS TRIMESTRAL ADMINISTRACIÓN Código: FO-JEMPP-CEDE5-1291
EJERCITO NACIONAL
DEPARTAMENTO DE PLANEACIÓN
DE RIESGOS Versión: 0
Fecha de emisión: 2019-03-13
Unidad o Dependencia : Proceso o Sección:
Fecha de elaboración: Año: Mes: Día: Periodo:
Administración de riesgos:
Riesgos Identificados: Total Controles: Total Acciones:
Administración de riesgos
Apoyo AP
Riesgos Acciones Controles
Corrupción CO
1,2
Cumplimiento CU
Estratégico ES 1
Evaluación EV
0,8
Financiero FI
Imagen o Reputacional IM
0,6
Operativos OP
Tecnológico TE 0,4

Ambiental AM
0,2
Gerencial GR
Seguridad de la Información SE 0
AP CO CU ES EV FI IM OP TE AM GR SE
TOTAL 0 0 0
Materialización:

Nombre del riesgo:

R
Causas:
1

Plan de mejoramiento:

Nombre del riesgo:

R
Causas:
2

Plan de mejoramiento:

Eficacia de los controles:

Eficacia de los acciones:

Conclusiones y/o observaciones:

Elaboró: Revisó: Aprobó:

CEDE5 - FECHA 02-18-2020 RESERVADO

 ANÁLISIS ANUAL ADMINISTRACIÓN DE RIESGOS
MINISTERIO DE DEFENSA NACIONAL Pág. de
COMANDO GENERAL DE LAS FUERZAS MILITARES ANÁLISIS ANUAL ADMINISTRACIÓN Código: FO-JEMPP-CEDE5-1393
EJERCITO NACIONAL DE RIESGOS Versión: 0
DEPARTAMENTO DE PLANEACIÓN Fecha de emisión: 2019-12-12
Unidad o Dependencia : Proceso:
Fecha de elaboración: Año: Mes: Día: Periodo:
Administración de riesgos:
Riesgos Identificados: Total Controles: Total Acciones:
Identificación de riesgos
Apoyo AP
Riesgos Controles Acciones
Corrupción CO
Cumplimiento CU
Estratégico ES
Evaluación EV
Financiero FI
Imagen o Reputacional IM
Operativos OP
Tecnológico TE
Ambiental AM
Gerencial GR
000
Seguridad de la Información SE
AP CO CU ES EV FI IM OP TE AM GR SE TO
TOTAL TO 0 0 0
Riesgos Materializados:
Nombre del riesgo: Plan de mejoramiento:

Eficacia de los controles:

Eficacia de los acciones:

Riesgos próxima vigencia:

Nombre del riesgo: Continúa: Justificación: Análisis de la evaluación del riesgo:

Conclusiones y/o observaciones:

Elaboró: Revisó: Aprobó:

CEDE5 - FECHA 02-18-2020 RESERVADO

 10.
PLAZOS
SEGUIMIENTO
ADMINISTRACIÓN
DE RIESGOS

RESERVADO
 PLAZOS SEGUIMIENTO ADMINISTRACIÓN DEL RIESGO. ANEXO B.

De Unidades
Operativas De Unidades Operativas
Zona de Mayores, Menores, Fuerzas de De Unidades
valoración del Seguimiento De Comando Comandos Despliegue Rápido, CEO y Tácticas a Unidades
riesgo Ejército - al CEDE5 Funcionales y de CEC a Unidades Operativas Operativas Menores
Apoyo a Mayores
Comando Ejército

Día 20 del mes Día 15 del mes Día 05 del mes

Extrema Mensual Día 10 del mes siguiente
siguiente siguiente siguiente

20 Marzo, 20 15 Marzo, 15 05 Marzo, 05

Mayo, 22 Julio, Mayo, 15 Julio, 10 Marzo, 10 Mayo, 10 Mayo, 05 Julio, 05
20 Septiembre, 15 Septiembre, Julio, 10 Septiembre, 10 Septiembre, 05
Alta Bimestral
20 Noviembre 15 Noviembre, Noviembre, 10 Enero año Noviembre, 05
y 20 Enero año 15 Enero año siguiente Enero año
siguiente siguiente siguiente

15 Abril, 15
20 Abril, 22 Julio, 05 Abril, 05 Julio,
Julio, 15 10 Abril, 10 Julio, 10
20 Octubre y 20 05 Octubre y 05
Moderado Trimestral Octubre y 15 Octubre y 10 Enero año
Enero año Enero año
Enero año siguiente.
siguiente. siguiente.
siguiente.
22 Julio y 20 15 Julio y 15 05 Julio y 05
10 Julio y 10 Ene año
Baja Semestral Enero año Enero año Enero año
siguiente
siguiente siguiente siguiente

CEDE5 - FECHA 02-18-2020 RESERVADO