Manual de Riesgos Sin Colores

CÓDIGO: E-GE-MA02
VERSIÓN: 06
FECHA: 10/06/2019
PROCESO DE GESTIÓN ESTRATÉGICA
MANUAL DE ADMINISTRACIÓN
DEL RIESGO
CUADRO CONTROL DE CAMBIOS
Versión Fecha Descripción del Cambio
01 23/09/2010 EMISIÓN INICIAL

MODIFICACIÓN (Sol 998) Actualización documentación de referencia y soporte;
en la Tabla No. 1. En la Clasificación de Riesgos se incluye la definición Riegos
02 17/04/2012 Ambiental; en la tabla 2 de Calificación: Probabilidad * Impacto se incluye el
impacto relacionado con ambiental, se incluye tabla 3 de impactos ambientales,
incluye utilización del formato A-TH-FO30 Panorama de Riesgos para los riesgos
MODIFICACIÓN (Sol 1541) Actualizar el documento conforme al acuerdo del
Consejo Directivo 1262 de Diciembre del 2013, donde se actualizan cambios en
03 05/08/2014 el nombre de responsables y se actualiza el ítem documentación de referencia y
soporte donde se relacionan documentos del sistema de gestión ambiental y de
seguridad y salud(Sol
MODIFICACIÓN en el1910)
trabajo;
Seseactualiza
actualizade
la imagen
acuerdoinstitucional.
a los lineamientos de la
Guía para la gestión del Riesgo 2015 Presidencia de la República en los
04 10/08/2016 siguientes ITEM: Documentación de referencia y soporte; Terminología donde se
incluye definición del riesgo residual; se incluye la descripción del riesgo de
corrupción; 4.4 análisis del riesgo.
Modificación (Sol. 2625) Se actualiza el documento en lo siguiente: Se eliminó la
05 14/09/2018 Norma Técnica colombiana GP 1000:2009, se actualizo la versión de la NTC
ISO 9001, se cambió el representante por Delegado.
Modificación (Sol 2799) Se actualiza el Manual de administración del riesgo
06 10/06/2019
conforme a la Guía del departamento de la función pública vigencia 2018
CORPORACIÓN AUTÓNOMA REGIONAL PARA LA DEFENSA
DE LA MESETA DE BUCARAMANGA – CDMB.
ELABORÓ: REVISÓ: APROBÓ:
Equipo Líder SIGC Delegado Dirección SIGC Director(a) General
CÓDIGO: VERSIÓN:
E-GE-MA02 07
FECHA: PÁGINA: MANUAL DE ADMINISTRACIÓN DEL RIESGO
10/06/2019 Pág. 1 de 36
Tabla de Contenido
PRESENTACIÓN.......................................................................................................2
1. OBJETO..............................................................................................................3
2. ALCANCE...........................................................................................................4
3. POLÍTICAS..........................................................................................................4
4. AUTORIDAD Y RESPONSABILIDAD................................................................4
4.1 LÍNEA DE DEFENSA ESTRATÉGICA............................................................4
5. DOCUMENTOS DE REFERENCIA Y SOPORTE..............................................7
6. TERMINOLOGÍA.................................................................................................8
7. DESCRIPCIÓN...................................................................................................9
7.1. Marco conceptual de la administración de riesgos.........................................9
7.2. Metodología de la administración de riesgos.................................................9
7.2.1. Política de Administración de Riesgos.......................................................10
7.3. Riesgos de gestión........................................................................................11
7.3.1. Identificación del Riesgo............................................................................11
7.3.2. Determinación del Contexto.......................................................................11
7.3.2.1. Determinación Del Contexto Externo......................................................11
7.3.2.2. Determinación del Contexto Interno.......................................................11
7.3.2.3. Determinación del Contexto del Proceso...............................................12
7.3.3. Análisis de objetivos estratégicos y de los procesos.................................13
7.3.4. Identificación de los puntos de riesgo........................................................13
7.3.5. Identificación de áreas de impacto.............................................................14
7.3.6. Identificación de áreas de factores de riesgo.............................................14
7.3.7. Descripción del riesgo................................................................................14
7.3.7.1. Premisas para la adecuada redacción del riesgo...................................16
7.3.8. Clasificación del riesgo...............................................................................17
7.4. Valoración del Riesgo....................................................................................17
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 2 de 36
7.3.1. Análisis de Riesgos....................................................................................17

7.3.1.1. Determinar la probabilidad......................................................................17
7.3.1.2. Determinar el impacto.............................................................................18
7.3.2. Evaluación de Riesgos...............................................................................19
7.3.2.1. Análisis preliminar (riesgo inherente)......................................................19
7.3.2.2. Valoración de controles...........................................................................20
7.4. Riesgos de corrupción...................................................................................23
7.4.1. Descripción del riesgo................................................................................23
7.4.2. Causas........................................................................................................23
7.4.3. Consecuencias...........................................................................................23
7.4.4. Probabilidad................................................................................................23
7.4.5. Impacto.......................................................................................................24
7.4.6. Identificación de controles..........................................................................25
7.5. Riesgos de seguridad de la información.......................................................27
7.5.1. Activos de seguridad de la información.....................................................27
7.5.2. Opción de riesgo........................................................................................29
7.5.3. Vulnerabilidades y amenazas....................................................................29
7.5.4. Estrategias para combatir el riesgo............................................................32
7.5.5. Herramientas para la gestión del riesgo....................................................33
8.3.1 Monitoreo y Seguimiento a la Gestión del Riesgo.....................................34
8.3.1.1 Monitoreo a la Gestión del Riesgo..........................................................34
8.3.1.2 Seguimiento a la Gestión del Riesgo......................................................35
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 3 de 36
PRESENTACIÓN
El Departamento Administrativo de la Función Pública (DAFP) pone a disposición

de las entidades la metodología para la administración del riesgo.
Para la implementación de la gestión del riesgo la CDMB realiza un análisis de las

estrategias, la formulación de los objetivos y la implementación de los objetivos en
la toma de decisiones, permitiendo una identificación del riesgo adecuada a las
necesidades de la Entidad, con un enfoque preventivo que permite la protección
de los recursos, alcanzar mejores resultados y mejorar la prestación de servicio a
los usuarios y a la comunidad en general.
Esta política responde al Modelo Integrado de Planeación y Gestión según

Decreto 1499 de 2017 buscando reglamentar el alcance del Sistema Integrado de
Gestión y Control (SIGC) y su articulación con el Sistema de Control Interno, de tal
manera que permita el fortalecimiento de los mecanismos, métodos y
procedimientos de gestión y control al interior de los organismos y entidades del
Estado.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 4 de 36
1. OBJETO
Establecer los criterios necesarios para orientar la identificación, análisis y

valoración de los riesgos que rigen la Política de Administración del Riesgo de la
Corporación Autónoma Regional para la Defensa de la Meseta de Bucaramanga -
CDMB, la cual se encuentra alineada a los objetivos estratégicos de la Entidad y
permite gestionar los riesgos de la organización a un nivel aceptable.
2. ALCANCE
El Manual de Administración del Riesgo es aplicable a todos los procesos que

conforman el Sistema Integrado de Gestión y Control SIGC de la Corporación
Autónoma Regional para la Defensa de la Meseta de Bucaramanga – CDMB, y a
todas las actividades realizadas por los servidores públicos durante el ejercicio de
sus funciones.
3. POLÍTICAS
 La información que hace parte del presente Manual de Administración del

Riesgo se entenderá como la Política de Administración del Riesgo de la
CDMB, la cual establece los principios básicos y el marco general de actuación
para el control y la gestión de los riesgos de toda naturaleza que enfrente la
Corporación.
 Los lineamientos enunciados en este documento son de obligatorio

cumplimiento para todos los procesos del SIGC.
 Para la identificación de los riesgos cada proceso se tienen dispuestas 2

matrices de riesgos donde se encuentran los riesgos de gestión, corrupción y
seguridad digital.
4. AUTORIDAD Y RESPONSABILIDAD
4.1 LÍNEA DE DEFENSA ESTRATÉGICA
4.1.1. Alta Dirección
- Definir el marco general para la gestión del riesgo y el control del mismo.
- Asegurar que las metas y objetivos de la CDMB son compatibles con las
políticas y procedimientos internos relacionados con la gestión del riesgo.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 5 de 36
- Realizar seguimiento cuatrimestralmente a la gestión del riesgo inherente y

residual de la Entidad.
- Otorgar los recursos necesarios para ayudar a los responsables a gestionar y

tratar los riesgos a su cargo
4.1.2. Comité institucional de gestión y desempeño
- Analizar la gestión del riesgo y aplicar mejoras identificadas para la gestión del
riesgo.
- Aprobar anualmente la política de administración del riesgo.
4.1.3. Comité institucional de coordinación de control interno
- Definir el marco general para la gestión del riesgo y el control del mismo.
- Supervisar el cumplimiento de la metodología establecida para la gestión del

riesgo y control.
- Recibir de la Oficina de Direccionamiento Estratégico Institucional el análisis

de eventos y riesgos críticos para conocer la gestión de riesgo de la entidad.
- Validar la política de administración del riesgo para ser aprobada por el Comité
Institucional de Gestión y Desempeño.
4.2. PRIMERA LÍNEA DE DEFENSA
4.2.1. Líderes de procesos
- Identificar, valorar y gestionar los riesgos que puedan afectar los objetivos del
proceso y de la entidad permanentemente.
- Diseñar, implementar y monitorear los controles establecidos en los riesgos de

su proceso.
- Proponer mejoras a la gestión del riesgo.
- Supervisar la ejecución de los controles aplicados por todo el proceso en la

gestión diaria, detectar la deficiencia de los controles y determinar las
acciones de mejora que haya lugar.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 6 de 36
- Informar a la Oficina Asesora de Direccionamiento Estratégico – ADEI, sobre

los riesgos materializados y los avances y evidencias de la gestión del riesgo
en el proceso.
- Orientar el desarrollo e implementación de las políticas y procedimientos

internos relacionados con la gestión del riesgo.
- Aplicar anualmente la metodología contenida en el presente Manual, a efectos

de actualizar el Mapa de Riesgos de cada proceso.
4.2.2. Servidores públicos
- Ejecutar los controles operativos en el día a día.
- Apoyar al líder del proceso en la identificación y gestión de los riesgos y sus

controles.
- Notificar a los líderes del proceso respectivo si percibe la materialización de

algún riesgo.
4.3. SEGUNDA LÍNEA DE DEFENSA
4.3.1. Oficina de direccionamiento estratégico institucional-ADEI
- Apoyar en la definición de la metodología de riesgos.
- Presentar al Comité Institucional de Coordinación de Control Interno el análisis

de eventos y riesgos críticos.
- Capacitar y asesorar a los líderes de procesos sobre la identificación, análisis

y valoración de riesgos y determinación de controles.
- Supervisar que la primera línea de defensa identifique, evalúe y gestione los

riesgos y controles, para que se efectúen las respectivas acciones de mejora.
- Monitorear de forma cuatrimestral, los riesgos identificados en los procesos y

los controles establecidos, por la primera línea de defensa.
- Identificar cambios en los niveles de aceptación del riesgo en la CDMB,

especialmente de los riesgos ubicados en zona baja y presentarlo para
aprobación del Comité Institucional de Coordinación de Control Interno.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 7 de 36
- Evaluar con la primera línea de defensa que los riesgos identificados sean
consistentes con la política.
- Divulgar la Política de Administración del Riesgo a través del Link de la

Intranet del sistema Integrado de Gestión y control y a través del correo
electrónico.
4.4. TERCERA LÍNEA DE DEFENSA
4.3.1. Oficina de Control Interno
- Asegurar la eficacia de la gestión del riesgo y los controles, con énfasis en el

diseño e idoneidad de los controles establecidos por los procesos.
- Proporcionar aseguramiento objetivo en las áreas identificadas no cubiertas

por la segunda línea de defensa.
- Llevar a cabo el seguimiento de a los riesgos consolidados en los mapas de

riesgos y reportar los resultados al Comité Institucional de Coordinación de
Control Interno.
- Recomendar mejoras a la administración del riesgo de la CDMB.
- Verificar la publicación del mapa de riesgos de corrupción en la página WEB

de la entidad
5. DOCUMENTOS DE REFERENCIA Y SOPORTE
 Modelo Estándar de Control Interno MECI 1000: 2014 (Componente

Administración del Riesgo)
 Modelo Integrado de Planeación y Gestión MIPG.
 NTC ISO 9001: vigente Sistema de Gestión de Calidad
 NTC ISO 14001: vigente Sistema de Gestión Ambiental
 NTC ISO 45001:2018 Sistemas de gestión de la seguridad y salud en el trabajo
 NTC ISO 17025:XXXXX
 NTC ISO 31000:2011 Gestión del Riesgo. Principios y Directrices
 Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993
en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de
control interno de las entidades y organismos del Estado.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 8 de 36
 Decreto 1081 de 2015, Señala una metodología para elaborar una estrategia de
lucha contra la corrupción, esta metodología se encuentra registrada en el
documento “Estrategias para la construcción del Plan Anticorrupción y Atención
al Ciudadano”
 Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control
interno en las Entidades y organismos del Estado y se dictan otras
disposiciones (Modificada parcialmente por la Ley 1474 de 2011).
 Ley 489 de 1998, Estatuto básico de Organización y Funcionamiento de la
Administración Pública. Capítulo IV Relacionado con el Sistema Nacional de
Control interno.
 Ley 474 de 2011, Por la cual se dictan normas sobre el Sistema Nacional de
Control Interno de las Entidades y Organismos de la Administración Pública del
orden nacional y Territorial y se dictan otras disposiciones (Modificado
parcialmente por el Decreto 2593 del 2000 y por el art. 8 de la Ley 1474 del
2011)
 Directiva Presidencial 09 de 1999, Lineamientos para la implementación de la
política de lucha contra la corrupción.
 Guía para la administración del riesgo y el diseño de controles en entidades
públicas de la función pública 2020.
6. TERMINOLOGÍA
Activo de información: Es cualquier elemento que tenga valor para la

organización.
Causa: todos aquellos factores internos y externos que solos o en combinación

con otros, pueden producir la materialización de un riesgo.
Consecuencia: los efectos o situaciones resultantes de la materialización del

riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes
interesadas
Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por
todo el personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
Impacto: se entiende como las consecuencias que puede ocasionar a la

organización la materialización del riesgo.
Mapa de riesgos: documento con la información resultante de la gestión del

riesgo.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 9 de 36
Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Esta

puede ser medida con criterios de frecuencia o factibilidad.
Plan Anticorrupción y de Atención al Ciudadano: plan que contempla la

estrategia de lucha contra la corrupción que debe ser implementada por todas las
entidades del orden nacional, departamental y municipal.
Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de

acciones de la dirección para modificar su probabilidad o impacto.
Riesgo residual: nivel de riesgo que permanece luego de tomar sus

correspondientes medidas de tratamiento.
Riesgo de corrupción: Es la posibilidad de que, por acción u omisión, se use el

poder par desviar la gestión de lo público hacía un beneficio privado.
7. DESCRIPCIÓN
7.1. Marco conceptual de la administración de riesgos
La Administración del Riesgo representa una herramienta de gestión que permite

estudiar y evaluar aquellos eventos, tanto internos como externos, que pueden
afectar o impedir el cumplimiento de los objetivos institucionales, habilitando a la
Entidad para emprender las acciones necesarias de protección y aseguramiento
contra los efectos ocasionados por la ocurrencia de estos eventos. En este
sentido, a partir de la Administración del Riesgo se identifica la presencia de la
incertidumbre en todas las actividades organizacionales, permitiendo garantizar la
coordinación de las actuaciones necesarias a su manejo.
El adecuado tratamiento de los riesgos propicia el crecimiento y desarrollo de la

Corporación y favorece el cumplimiento de su función constitucional. Para ello es
necesaria la definición de su entorno, su reconocimiento, análisis, valoración y
definición de las alternativas de manejo bajo la siguiente estructura de elementos:
7.2. Metodología de la administración de riesgos
Para gestionar y administrar los riesgos de los procesos la CDMB adopta la

metodología vigente propuesta por el Departamento Administrativo de la Función
Pública; a continuación, se presenta el esquema que expone la metodología de
riesgos
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 10 de 36
Ilustración 1. Metodología para la Administración del Riesgo DAFP
7.2.1. Política de Administración de Riesgos
La Política de Administración de Riesgos de la CDMB, estará conformada por:
 La información que hace parte del presente Manual de Administración del

Riesgo, la cual establece los principios básicos y el marco general de
actuación para el control y la gestión de los riesgos a los que enfrenta la
Corporación.
 Los riesgos de cada proceso se identificarán en el Formato Mapa de

riesgos identificado con el código E-GE-FO10.
 Los riesgos identificados y las respectivas acciones de tratamiento se

consolidarán en el Formato Políticas de Administración del Riesgo
identificado con el código E-GE-FO12.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 11 de 36
7.3. Riesgos de gestión
7.3.1. Identificación del Riesgo
Esta etapa tiene el objetivo de identificar los riesgos que se encuentren o no bajo
el control de la CDMB, teniendo en cuenta el contexto estratégico de la Entidad, la
caracterización de cada proceso y el análisis frente a los factores internos y
externos que puedan generar riesgos que afecten el cumplimiento de objetivos. A
continuación, se explican cada una de las fases para su identificación.
7.3.2. Determinación del Contexto
La determinación del contexto permite identificar el alcance dentro del cual se

cumplirán las acciones relacionadas con la identificación, análisis, valoración y
tratamiento de los riesgos para los diferentes procesos.
En la determinación del contexto deberán aplicarse las herramientas definidas en

la etapa de planeación, considerando en el análisis los siguientes elementos:
7.3.2.1. Determinación Del Contexto Externo
Se determinan las características o aspectos esenciales del entorno en el cual

opera la entidad. Se pueden considerar factores como:
POLÍTICOS: cambios de gobierno, legislación, políticas públicas, regulación.
ECONÓMICOS Y FINANCIEROS: disponibilidad de capital, liquidez, mercados

financieros, desempleo, competencia.
SOCIALES Y CULTURALES: demografía, responsabilidad social, orden público.

CONTEXTO
EXTERNO TECNOLÓGICOS: avances en tecnología, acceso a sistemas de información
externos, gobierno en línea.
AMBIENTALES: emisiones y residuos, energía, catástrofes naturales, desarrollo
sostenible.
LEGALES Y REGLAMENTARIOS: Normatividad externa (leyes, decretos,
ordenanzas y acuerdos).
7.3.2.2. Determinación del Contexto Interno
Se determinan las características o aspectos esenciales del ambiente en el cual la

organización busca alcanzar sus objetivos. Se pueden considerar factores como:
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 12 de 36
FINANCIEROS: presupuesto de funcionamiento, recursos de inversión,

infraestructura, capacidad instalada.
PERSONAL: competencia del personal, disponibilidad del personal, seguridad y
salud ocupacional.
PROCESOS: capacidad, diseño, ejecución, proveedores, entradas, salidas,
CONTEXTO gestión del conocimiento.
INTERNO TECNOLOGÍA: integridad de datos, disponibilidad de datos y sistemas, desarrollo,
producción, mantenimiento de sistemas de información.
ESTRATÉGICOS: direccionamiento estratégico, planeación institucional,
liderazgo, trabajo en equipo.
COMUNICACIÓN INTERNA: canales utilizados y su efectividad, flujo de la
información necesaria para el desarrollo de las operaciones.
7.3.2.3. Determinación del Contexto del Proceso
Se determinan las características o aspectos esenciales del proceso y sus

interrelaciones. Se pueden considerar factores como:
DISEÑO DEL PROCESO: claridad en la descripción del alcance y objetivo del
proceso.
INTERACCIONES CON OTROS PROCESOS: relación precisa con otros procesos
en cuanto a insumos, proveedores, productos, usuarios o clientes.
TRANSVERSALIDAD: procesos que determinan lineamientos necesarios para el
desarrollo de todos los procesos de la entidad.
CONTEXTO
DEL PROCEDIMIENTOS ASOCIADOS: pertinencia en los procedimientos que
PROCESO desarrollan los procesos.
RESPONSABLES DEL PROCESO: grado de autoridad y responsabilidad de los
funcionarios frente al proceso.
COMUNICACIÓN ENTRE LOS PROCESOS: efectividad en los flujos de
información determinados en la interacción de los procesos.
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO: información, aplicaciones,
hardware entre otros, que se deben proteger para garantizar el funcionamiento
interno de cada proceso, como de cara al ciudadano.
Los diferentes procesos diligenciarán los formatos E-GE-FO26 Matriz FODA

Institucional y E-GE-FO27 Matriz FODA por proceso.
El contexto interno y externo de la Entidad se registrará en el documento Contexto

interno y externo de la CDMB (E-GE-DE-10)
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 13 de 36
7.3.3. Análisis de objetivos estratégicos y de los procesos
7.3.3.1. Objetivos estratégicos

Los objetivos estratégicos de la Entidad se encuentran estipulados en el
Documento objetivos del SIGC (E-GE-DE05); la entidad debe analizar estos
objetivos para identificar los posibles riesgos que afecten su cumplimiento y que
puedan ocasionar su éxito o fracaso.
7.3.3.2. Objetivos de los procesos
Los objetivos estratégicos de los procesos se encuentran definidos en las

caracterizaciones de todos los procesos; la entidad debe analizar estos objetivos
para determinar sus riesgos y asegurar que los mismos se encuentran alineados
con la Misión y la Visión de la CDMB y que contribuyan a los objetivos
estratégicos.
7.3.4. Identificación de los puntos de riesgo
Los puntos de riesgo son todas las actividades que se encuentran en el flujo del
proceso donde exista evidencia o se tienen indicios de que se puede materializar
algún riesgo y deben mantenerse bajo control para asegurar de que el proceso
cumpla con su objetivo.
Los puntos de riesgo pueden ser:
- Insumos: Recursos financieros, humanos y materiales empleados para

generar los productos y servicios de la entidad.
- Procesos: Actividades realizadas para transformar los insumos en los

productos o servicios que presta la CDMB.
- Productos: Bienes y servicios elaborados que requiere la población para

satisfacer una demanda o dar respuesta a las causas concretas de un
problema.
- Resultados o efectos: Cambios en el comportamiento o en el estado de los

beneficiarios como consecuencia de recibir los bienes o servicios.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 14 de 36
- Impactos: Cambios en las condiciones de vida en la población objetivo. Mayor

valor público en términos de bienestar, prosperidad general y calidad de vida
de la población.
7.3.5. Identificación de áreas de impacto
Las áreas de impacto son las consecuencias económicas o reputacionales a las

cuales se ve expuesta la Entidad en caso de que la materialización de los riesgos.
Los impactos que aplican son afectación económica y reputacional.
7.3.6. Identificación de áreas de factores de riesgo
Las áreas de factores de riesgo son las fuentes generadoras de riesgos, a

continuación, se presentará una tabla con los factores de riesgo que puede
presentar la CDMB y sus ejemplos
FACTOR DEFINICIÓN DESCRIPCIÓN

Falta de procedimientos.
Eventos relacionados con Errores de grabación o autorización.
errores en las actividades que Errores en cálculos para los pagos internos
Procesos
deben realizar los servidores y externos.
públicos de la CDMB. Falta de capacitación, temas relacionados
con el personal.
Incluye la seguridad y salud Hurto de activos.
en el trabajo. Se analiza Posibles comportamientos no éticos de los
Talento humano
posible dolo e intención frente servidores públicos.
a la corrupción. Fraudes internos (corrupción o soborno).
Daños de equipos.
Eventos relacionados con la
Caída de aplicaciones.
Tecnología infraestructura física de la
Caída de redes.
CDMB.
Errores en programas.
Derrumbes.
Eventos relacionados con la
Incendios.
Infraestructura infraestructura física de la
Inundaciones.
CDMB.
Daños a activos fijos.
Suplantación de identidad.
Situaciones externas que
Evento externo Asalto a las instalaciones de la CDMB.
afectan la entidad.
Atentados, vandalismo, orden público.
7.3.7. Descripción del riesgo

CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 15 de 36
La descripción del riesgo debe contener los detalles específicos y debe ser fácil de
entender tanto para el líder del proceso como para las personas ajenas al proceso.
El DAFP establece la siguiente estructura que inicia con la frase “POSIBILIDAD
DE”, a continuación, se describe la estructura:
Ilustración 2. Estructura para la redacción del riesgo
 Impacto: las consecuencias que pueden ocasionar a la organización la

materialización del riesgo.
 Causa inmediata: Circunstancias o situaciones más evidentes sobre las

cuales se presenta el riesgo, las mismas no constituyen la causa principal o
base para que se presente el riesgo.
 Causa raíz: Es la causa principal o básica, corresponden a las razones por las
cuales se puede presentar el riesgo, son la base para la definición de
controles en la etapa de valoración del riesgo. Se debe tener en cuenta que
para un mismo riesgo pueden existir más de una causa o subcausas que
pueden ser analizadas.
Ejemplo:
Proceso: Adquisición de bienes y servicios.
Objetivo: Establecer y ejecutar la planeación oportuna de los bienes, servicios y

obra pública requeridos por la Entidad para su normal funcionamiento, a través de
procedimientos contractuales garantizando la selección objetiva, asesoría en la
ejecución y liquidación de los contratos.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 16 de 36
Alcance: Las actividades del proceso inician con la elaboración del Plan Anual de
Adquisiciones y termina con la liquidación de contratos.
Atendiendo el esquema propuesto para la redacción del riesgo, se tiene:
7.3.7.1. Premisas para la adecuada redacción del riesgo
A continuación, se describen las recomendaciones a tener en cuenta para el

momento de redactar los riesgos
 No describir como riesgos omisiones ni desviaciones del control.

Ejemplo: Errores en la liquidación de la nómina por fallas en los
procedimientos existentes.
 No describir causas como riesgos.

Ejemplo: Inadecuado funcionamiento de la plataforma estratégica donde se
realiza seguimiento a la planeación.
 No describir riesgos como la negación de un control.

Ejemplo: Retrasos en la prestación del servicio por no contar con digiturno
para la atención.
 No existen riesgos transversales, lo que pueden existir son causas

transversales.
Ejemplo: Pérdida de expedientes.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 17 de 36
7.3.8. Clasificación del riesgo
Los riesgos se clasifican de la siguiente manera:
CATEGORÍA DESCRIPCIÓN
Ejecución y administración Pérdidas derivadas de errores en la ejecución y administración de
de procesos procesos.
Pérdida derivada de actos de fraude por personas ajenas a la
Fraude externo
CDMB (no participa personal de la Entidad)
Pérdida debido a actos de fraude, actuaciones irregulares,
comisión de hechos delictivos abuso de confianza, apropiación
indebida, incumplimiento de regulaciones legales o internas de la
Fraude interno
CDMB en las cuales están involucrado por lo menos 1 participante
interno de la Entidad, son realizadas de forma intencional y/o con
ánimo de lucro para sí mismo o para terceros.
Errores en hardware, software, telecomunicaciones, interrupción
Fallas tecnológicas
de servicios básicos.
Pérdidas que surgen de acciones contrarias a las leyes o acuerdos
Relaciones laborales de empleo, salud o seguridad, del pago de demandas por daños
personales o de discriminación.
Fallas negligentes o involuntarias de las obligaciones frente a los
Usuarios, productos y
usuarios y que impiden satisfacer una obligación profesional frente
prácticas
a éstos.
Pérdida por daños o extravíos de los activos fijos por desastres
Daños a activos
naturales u otros riesgos/eventos externos como atentados,
fijos/eventos externos
vandalismo, orden público.
7.4. Valoración del Riesgo
7.3.1. Análisis de Riesgos
Con el análisis de los riesgos se busca establecer la probabilidad de ocurrencia

del riesgo y sus consecuencias o impactos, para estimar la zona de riesgo inicial
(RIESGO INHERENTE).
7.3.1.1. Determinar la probabilidad
Es la posibilidad de ocurrencia del riesgo, esto se encuentra asociado a la

exposición al riesgo que se está analizando. Según lo anterior, la probabilidad
inherente será el número de veces que se pasa por el punto de riesgo en 1 año. A
continuación, se definen los criterios para establecer el nivel de probabilidad.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 18 de 36
NIVEL VALORACIÓN FRECUENCIA DE LA ACTIVIDAD PROBABILIDAD

La actividad que conlleva el riesgo se
1 MUY BAJA 20%
ejecuta como máximos 2 veces al año
2 BAJA 40%
ejecuta de 3 a 24 veces por año
3 MEDIA 60%
ejecuta de 24 a 500 veces por año
4 ALTA ejecuta mínimo 500 veces al año y máximo 80%
5000 veces por año.
5 MUY ALTA 100%
ejecuta más de 5000 veces por año.
7.3.1.2. Determinar el impacto
Para la determinación del impacto se tienen en cuenta como variables principales

los impactos económicos y reputacionales; si se presentan varios impactos para
un riesgo (económico y reputacional) y que tienen diferentes niveles, se debe
tomar el nivel más alto. Por ejemplo, para un riesgo se define un impacto
económico en nivel INSIGNIFICANTE y un impacto reputacional en nivel
MODERADO, para este caso se toma el nivel más alto, que sería el nivel
MODERADO.
A continuación, se definen los criterios para definir el nivel de impacto
VALORACIÓN AFECTACIÓN
REPUTACIONAL
ECONÓMICA
Afectación menor a 10 El riesgo afecta la imagen de algún área
LEVE 20%
SMLMV. de la CDMB.
El riesgo afecta la imagen de la CDMB
internamente, de conocimiento general
MENOR 40% Entre 10 y 50 SMLMV
nivel interno, de Asamblea Corporativa y
Consejo Directivo.
MODERADO 60% Entre 50 y 100 SMLMV con algunos usuarios de relevancia
frente al logro de los objetivos.
con efecto publicitario sostenido a nivel
MAYOR 80% Entre 100 y 500 SMLMV
de sector administrativo, nivel
departamental o municipal.
El riesgo afecta la imagen de la CDMB a
CATASTRÓFICO
Mayor a 500 SMLMV nivel nacional, con efecto publicitario
100%
sostenido a nivel país.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 19 de 36
A continuación, se presenta un ejemplo sobre la elección de probabilidad e

impacto.
Proceso: Adquisición de bienes y servicios
Objetivo: Establecer y ejecutar la planeación oportuna de los bienes, servicios y

obra pública requeridos por la Entidad para su normal funcionamiento, a través de
procedimientos contractuales garantizando la selección objetiva, asesoría en la
ejecución y liquidación de los contratos.
Riesgo identificado: posibilidad de afectación económica por multa y sanción del

ente regulador debido a la adquisición de bienes y servicios sin el cumplimiento de
los requisitos normativos.
Análisis: N° de veces que se ejecuta la actividad: ejm la actividad de contratos se

lleva a cabo 10 veces en el mes, eso quiere decir 120 contratos en el año.
Calculando la afectación económica, podría tener una afectación económica de
500 SMLMV.
Según la anterior información y las tablas de calificación de probabilidad e

impacto, al realizarse la actividad por lo menos 120 veces al año la probabilidad de
ocurrencia es media y al ser la afectación económica 500 SMLMV, el impacto del
riesgo es mayor.
7.3.2. Evaluación de Riesgos
Teniendo en cuenta los resultados de probabilidad e impacto, se busca determinar

la zona de riesgo inicial (RIESGO INHERENTE).
7.3.2.1. Análisis preliminar (riesgo inherente)
En esta fase se determinan los niveles de severidad a través de la combinación de

la probabilidad y el impacto, a continuación, se definen las 4 zonas de severidad
en la matriz de calor.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 20 de 36
Cruzando los datos obtenidos del análisis de impacto y probabilidad se determina

la zona de riesgo.
7.3.2.2. Valoración de controles
Estructura para la descripción del control:
Para la redacción del control se establece la siguiente estructura:
- Responsable de ejecutar el control: identifica el cargo del servidor público

que ejecuta el control, si el control es automático se define el sistema que
realiza la actividad de control.
- Acción: Determinada a través de verbos que indican la acción que se debe
realizar como parte del control.
- Complemento: Son los detalles que identifican claramente el objeto del
control
A continuación, se presenta un ejemplo:

CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 21 de 36
Tipología de controles y procesos:
Teniendo en cuenta el ciclo de las actividades de los procesos se puede

establecer el momento en el que un control se activa y, por tanto, determinar su
tipología, los tipos de controles son:
- Control preventivo: Este control aparece en la entrada del proceso y antes

de que la actividad que puede generar el riesgo se realice, va a las causas
del riesgo atacando la probabilidad de ocurrencia del riesgo.
- Control detectivo: Control que ocurre en la ejecución del proceso, estos

controles detectan el riesgo, pero cuando son activados generan
reprocesos, esto quiere decir que cuando el control detecta que algo ocurre
devuelve el proceso a los controles preventivos atacando la probabilidad de
ocurrencia del riesgo.
- Control correctivo: El control se activa en la salida del proceso y después de

que el riesgo se materializa, la mayoría de estos controles tienen costos
implícitos, atacando el impacto frente a la materialización del riesgo.
Además, teniendo en cuenta la forma de ejecución de los controles se tienen:
- Control manual: Controles que son ejecutados por las personas

- Control automático: Controles ejecutados por un sistema.
Análisis y evaluación de los controles

CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 22 de 36
A continuación, se especifican los atributos para el diseño del control, teniendo en

cuenta características de eficiencia y formalización.
CARACTERÍSTICAS DESCRIPCIÓN PESO

Va hacia las causas del riesgo,
Preventivo aseguran el resultado final 25%
esperado.
Detecta que algo ocurre y
devuelve el proceso a los
Detectivo 15%
Tipo controles preventivos. Se
pueden generar reprocesos.
Dado que permiten reducir el
impacto de la materialización
Correctivo 10%
del riesgo, tienen un costo en
Atributos de
su implementación.
eficiencia
Son actividades de
procesamiento o validación de
información que se ejecutan
Automático por un sistema y/o aplicativo de 25%
manera automática sin la
Implementación
intervención de personas para
su realización.
Controles que son ejecutados
Manual por una persona, tiene implícito 15%
el error humano.
Controles que están
documentados en el proceso,
ya sea en manuales,
Documentado -
procedimientos, flujogramas o
cualquier otro documento
Documentación propio del proceso.
Identifica a los controles que
pese a que se ejecutan en el
Sin
proceso no se encuentran -
documentar
documentados en ningún
Atributos documento propio del proceso.
informativos El control se aplica siempre que
Continua se realiza la actividad que -
conlleva el riesgo.
Frecuencia
El control se aplica
Aleatoria aleatoriamente a la actividad -
que conlleva el riesgo.
El control deja un registro
Con registro permite evidencia la ejecución -
Evidencia del control.
El control no deja registro de la
Sin registro -
ejecución del control.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 23 de 36
Los controles correctivos atacan el impacto y los controles preventivos y detectivos

atacan la probabilidad.
Para los riesgos de corrupción únicamente hay disminución de probabilidad. Es

decir, para el impacto no opera el desplazamiento.
7.4. Riesgos de corrupción
7.4.1. Descripción del riesgo
Es necesario que en la descripción del riesgo concurran los componentes de su

definición, así:
ACCIÓN U OMISIÓN + USO DEL PODER + DESVIACIÓN DE LA GESTIÓN DE

LO PÚBLICO + EL BENEFICIO PRIVADO
Ejemplo: Posibilidad de recibir o solicitar cualquier dádiva o beneficio a nombre

propio o de terceros con el fin de celebrar un contrato.
7.4.2. Causas
En este ítem se debe identificar y describir las causas (peligro) asociadas a la

potencial situación de riesgo Ej: Planeación inadecuada, Incumplimiento de
procedimientos, Falta de Entrenamiento, Recursos inadecuados o insuficientes,
Método no definido o inadecuado entre otros.
7.4.3. Consecuencias
En esta casilla se identifica el efecto o efectos asociados a la ocurrencia de la

situación de riesgo Ej: Sanciones, Perdida de bienes, Daño Ambiental, Pérdida de
Credibilidad, Detrimento del patrimonio, interrupción de la actividad desarrollada,
Disminución de la calidad del servicio, Enfermedades laborales, Muerte del
Paciente, Incapacidad permanente.
7.4.4. Probabilidad
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 24 de 36
Para el caso de los riesgos de corrupción, se expresa en términos de frecuencia o

factibilidad, donde frecuencia se refiere a analizar el número de eventos en un
periodo determinado, la factibilidad implica analizar la presencia de factores
internos y externos que propician el riesgo; los criterios de probabilidad para este
tipo de riesgos son:
NIVEL VALORACIÓN DECRIPCIÓN FRECUENCIA

Se espera que el evento ocurra en la
1 RARA VEZ Mas de 1 vez al año
mayoría de las circunstancias.
El evento puede ocurrir en algún Al menos 1 vez en
2 IMPROBABLE
momento. los últimos 5 años
El evento podrá ocurrir en algún Al menos 1 vez en
3 POSIBLE
momento, los últimos 2 años
Es viable que el evento ocurra en la Al menos 1 vez en el
4 PROBABLE
mayoría de las circunstancias. último año
Se espera que el evento ocurra en la

5 CASI SEGURO Mas de 1 vez al año
mayoría de las circunstancias.
7.4.5. Impacto
El impacto en los riesgos de corrupción se debe analizar y calificar teniendo en

cuenta las consecuencias identificadas en la fase de descripción del riesgo. Lo
criterios para calificar el impacto son:
PREGUNTA RESPUESTA
N°
Si el riesgo de corrupción se materializa podría… SI NO
1 ¿Afectar el grupo de funcionarios del proceso? x
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? x
3 ¿Afectar el cumplimiento de misión de la CDMB? x
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la
x
CDMB?
5 ¿Generar pérdida de confianza de la CDMB, afectando su reputación? x
6 ¿Generar pérdida de recursos económicos? x
7 ¿Afectar la generación de los productos o la prestación de los servicios? x
¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida
8 x
del bien, servicios o recursos públicos?
9 ¿Generar pérdida de información de la CDMB? x
¿Generar intervención de los órganos de control, de la Fiscalía u otro
10 x
ente?
11 ¿Dar lugar a procesos sancionatorios? x
12 ¿Dar lugar a procesos disciplinarios? x
13 ¿Dar lugar a procesos fiscales? x
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 25 de 36
14 ¿Dar lugar a procesos penales? x

15 ¿Generar pérdidas de credibilidad del sector? x
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? x
17 ¿Afectar la imagen regional? x
18 ¿Afectar la imagen nacional? x
19 ¿Generar daño ambiental? x
Responder afirmativamente de UNA a CINCO preguntas genera un impacto MODERADO
Responder afirmativamente de SEI a ONCE preguntas genera un impacto MAYOR
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto 10 MAYOR
CATASTRÓFICO
MODERADO: Genera medianas consecuencias sobre la CDMB
MAYOR: Genera altas consecuencias sobre la CDMB
CATASTRÓFICO: Genera consecuencias desastrosas para la CDMB
Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en

cuenta solamente los niveles “moderado”, “mayor” y “catastrófico”, dado que estos
riesgos siempre serán significativos, por tanto, no aplican los niveles de impacto
insignificante y menor.
7.4.6. Identificación de controles
Para la redacción de los controles se deben tener en cuenta los siguientes pasos:
- PASO 1: Debe tener definido el responsable a llevar a cabo la actividad del

control
El responsable es la persona o aplicativo asignado para ejecutar el control,

si el control es manual (ejecutado por personas) se define el cargo del
responsable, si el control lo realiza un sistema o aplicación, el responsable
será el sistema o la aplicación definida.
Se debe evitar asignar áreas de manera general o el nombre de personas
- PASO 2: Debe tener una periodicidad definida para su ejecución.
El control debe definir una periodicidad de realización (diario, mensual,

trimestral, anual, etc.). Hay controles que no tienen una periodicidad
específica, como por ejemplo los controles en las actividades de
contratación de proveedores porque solo se ejecutan cuando se contrata al
proveedor o los controles que puede realizar un software que se encuentre
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 26 de 36
programado para que se ejecute en un tiempo en específico. Por esto es

importante que en la redacción del control se especifique que cada vez que
se desarrolla la actividad se ejecuta el control.
- PASO 3: Debe indicar cual es el propósito del control.
El control debe indicar para qué se realiza, indicando si su propósito es el

de prevenir las causas que generan el riesgo (verificar, validar, conciliar,
comparar, revisar, cotejar) o su propósito es detectar la materialización del
riesgo.
Es importante determinar inicialmente controles preventivos antes que los

detectivos.
- PASO 4: Debe establecer el cómo se realiza la actividad de control.
El control debe indicar cómo se realiza, con el propósito de conocer si el

origen de la información sirve para ejecutar el control y es confiable para
mitigar el riesgo.
- PASO 5: Debe indicar que pasa con las observaciones o desviaciones

resultantes de ejecutar el control.
Si se observan diferencias o aspectos que no se cumplen al momento de

evaluar un control, la actividad no debería continuar hasta que se subsane
la situación.
Si el responsable de ejecutar el control no realiza ninguna actividad de

seguimiento a las observaciones o desviaciones, o la actividad continua a
pesar de indicar esas desviaciones, el control tendría problemas en su
diseño.
- PASO 6: Debe dejar evidencia de la ejecución del control.
Esta evidencia permite revisar la información por parte de un tercero y

pueda llegar a la misma conclusión de quien ejecutó el control con el
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 27 de 36
propósito de evaluar si el control fue ejecutado de acuerdo a los parámetros

establecidos.
Hay controles en los que su evidencia puede ser un “aprobado” o “revisado”

y otros en los que la evidencia es la configuración y la programación de la
aplicación si es un control automático.
EJEMPLOS DE CONTROL
- El auxiliar de cartera verifica mensualmente que los valores recaudados en

el Banco correspondan con los saldos adecuados por los clientes, esta
toma dicha información directamente del portal bancario e identifica las
cuentas por cobrar, es decir, pendientes de pago que fueron canceladas
según los extractos bancarios revisados. En caso de observar cuentas de
cobro que a la fecha no se ha recibido el pago: liste las cuentas pendientes
de pago, realice llamadas a los clientes y solicite fecha de pago de las
mismas. Evidencia: el listado de cuentas por cobrar pendientes de
pago con los compromisos acordados con los clientes y el extracto
bancario.
- Cada vez que se va a realizar un pago, el sistema SAP valida que el

proveedor al cual se le va a girar el pago no esté reportado en listas
restrictivas, comparando el número de identificación tributaria (NIT) o
cédula con la información cargada en el aplicativo de las listas de clientes
reportados en temas de lavado de activos y financiación del terrorismo. En
caso de encontrar coincidencias el sistema no permite realizar el pago.
Como evidencia queda la programación interna del aplicativo y el
reporte de coincidencia con listas restrictivas.
7.5. Riesgos de seguridad de la información
7.5.1. Activos de seguridad de la información
Para la identificación de los riesgos el proceso debe conocer los activos de

información que se encuentran bajo su responsabilidad, a continuación, se
presentan la descripción de tipos de activos de información:
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 28 de 36
Tipo de activo Descripción

Información almacenada en formatos físicos (papel, carpetas,
CD, DVD) o en formatos digitales o electrónicos (ficheros en
bases de datos, correos electrónicos, archivos o servidores),
Información teniendo en cuenta lo anterior, se puede distinguir como
información: Contratos, acuerdos de confidencialidad, manuales
de usuario, procedimientos operativos o de soporte, planes para
la continuidad del negocio, registros contables, estados
financieros, archivos ofimáticos, documentos y registros del
sistema integrado de gestión, bases de datos con información
personal o con información relevante para algún proceso (bases
de datos de nóminas, estados financieros) entre otros.
Software Activo informático lógico como programas, herramientas
ofimáticas o sistemas lógicos para la ejecución de las
actividades
Hardware Equipos físicos de cómputo y de comunicaciones como,
servidores, biométricos que por su criticidad son considerados
activos de información
Servicio brindado por parte de la CDMB para el apoyo de las
Servicios actividades de los procesos, tales como: Servicios WEB,
intranet, CRM, ERP, Portales organizacionales, Aplicaciones
entre otros (Pueden estar compuestos por hardware y software)
Se consideran intangibles aquellos activos inmateriales que
Intangibles otorgan a la entidad una ventaja competitiva relevante, uno de
ellos es la imagen corporativa, reputación o el good will, entre
otros
Componentes Medios necesarios para realizar la conexión de los elementos de
de red hardware y software en una red, por ejemplo, el cableado
estructurado y tarjetas de red, routers, switches, entre otros
Aquellos roles que, por su conocimiento, experiencia y criticidad
Personas para el proceso, son considerados activos de información, por
ejemplo: personal con experiencia y capacitado para realizar
una tarea específica en la ejecución de las actividades
Instalaciones Espacio o área asignada para alojar y salvaguardar los datos
considerados como activos críticos para la empresa
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 29 de 36
A continuación, se presentan ejemplos sobre los activos de información y sus

responsables.
Dueño del
Proceso Tipo de activo Activo Descripción
activo
Base de datos con
Coordinador
Base de datos de información de
Talento Humano Información de Talento
nómina nómina de la
Humano
CDMB
Servidor WEB que Coordinador
Aplicativo de
Talento Humano Software contiene el front de Talento
nómina
office de la CDMB Humano
Formatos de
Gestión
Información Cuentas de cobro cuentas de cobro Tesorera
Financiera
diligenciados
7.5.2. Opción de riesgo
Es necesario identificar el tipo de riesgo de seguridad digital que se va a bordar

teniendo en cuenta:
- Pérdida de la confidencialidad: El objetivo de la confidencialidad es prevenir

la divulgación no autorizada de la información Sobre la CDMB.
- Pérdida de la integridad: La integridad supone que la información se
mantenga inalterada ante accidentes o intentos maliciosos Sólo se podrá
modificar la información mediante autorización.
- Pérdida de la disponibilidad: La disponibilidad supone que el sistema
informático se mantenga trabajando sin sufrir ninguna degradación en
cuanto a accesos.
7.5.3. Vulnerabilidades y amenazas
La vulnerabilidad se entiende como una debilidad, atributo, causa o falta de control

que permitiría la explotación por parte de una o más amenazas contra los activos,
a continuación, se presenta un listado de posibles vulnerabilidades:
Tipo Vulnerabilidades
Mantenimiento insuficiente
Ausencia de esquemas de reemplazo periódico
Sensibilidad a la radiación electromagnética
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 30 de 36
Hardware Susceptibilidad a las variaciones de temperatura (o al polvo y

suciedad)
Almacenamiento sin protección
Falta de cuidado en la disposición final
Copia no controlada
Ausencia o insuficiencia de pruebas de software
Ausencia de terminación de sesión
Ausencia de registros de auditoría
Asignación errada de los derechos de acceso
Software Interfaz de usuario compleja
Ausencia de documentación
Fechas incorrectas
Ausencia de mecanismos de identificación y autenticación de
usuarios
Contraseñas sin protección
Software nuevo o inmaduro
Ausencia de pruebas de envío o recepción de mensajes
Líneas de comunicación sin protección
Red Conexión deficiente de cableado
Tráfico sensible sin protección
Punto único de falla
Ausencia del personal
Entrenamiento insuficiente
Personal Falta de conciencia en seguridad
Ausencia de políticas de uso aceptable
Trabajo no supervisado de personal externo o de limpieza
Uso inadecuado de los controles de acceso al edificio
Lugar Áreas susceptibles a inundación
Red eléctrica inestable
Ausencia de protección en puertas o ventanas
Organización Ausencia de procedimiento de registro/retiro de usuarios
Ausencia de proceso para supervisión de derechos de acceso
La amenaza es una situación potencial de un incidente no deseado, el cual puede

ocasionar daño a un sistema o a una organización, a continuación, se presenta un
listado de posibles amenazas.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 31 de 36
Tipo Amenaza
Daño físico Fuego
Agua
Eventos naturales Fenómenos climáticos
Fenómenos sísmicos
Pérdidas de los Fallas en el sistema de suministro de agua
servicios esenciales Fallas en el suministro de aire acondicionado
Perturbación debida a Radiación electromagnética
la radiación Radiación térmica
Compromiso de la Interceptación de servicios de señales de
información interferencia comprometida
Espionaje remoto
Fallas del equipo
Mal funcionamiento del equipo
Fallas técnicas Saturación del sistema de información
Mal funcionamiento del software
Incumplimiento en el mantenimiento del
sistema
de información
Acciones no Uso no autorizado del equipo
autorizadas Copia fraudulenta del software
Compromiso de las Error en el uso o abuso de derechos
funciones Falsificación de derechos
Además de las amenazas anteriores se pueden presentar amenazas dirigidas por

el hombre: empleados con o sin intención, proveedores y piratas informáticos,
entre otros, a continuación, se presentan ejemplos de los mismos.
Fuente de amenaza Motivación Acciones amenazantes

Pirata informático, intruso Reto Piratería
ilegal Ego Ingeniería social
Destrucción de la
Criminal de la computación información Divulgación Crimen por computador
ilegal de la Acto fraudulento
información
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 32 de 36
Chantaje Destrucción Ataques contra el sistema

Terrorismo DDoS
Penetración en el sistema
Espionaje industrial
(inteligencia, empresas, Ventaja competitiva Ventaja de defensa Hurto
gobiernos extranjeros, otros Espionaje económico de información
intereses)
Intrusos (empleados con Curiosidad Asalto a un empleado
entrenamiento deficiente, Ganancia monetaria Chantaje
descontentos,
malintencionados,
negligentes,
deshonestos o despedidos)
7.5.4. Estrategias para combatir el riesgo
Son las decisiones que se toman frente a los niveles de riesgo resultantes, a
continuación, se especifican las decisiones que se pueden tomar frente a los
riesgos residuales relacionados con definir los planes de acción dentro del mapa
de riesgos:
- Reducir: Después de realizar un análisis y considerar que el nivel de riesgo

es alto, se determina tratarlo mediante transferencia o mitigación del
mismo.
Mitigar: Después de realizar un análisis y considerar los niveles de riesgo
se implementan acciones que mitiguen el nivel de riesgo. No
necesariamente es un control adicional.
Transferir: Después de realizar un análisis, se considera que la mejor

estrategia es tercerizar el proceso o trasladar el riesgo a través de seguros
o pólizas. La responsabilidad económica recae sobre el tercero, pero no se
transfiere la responsabilidad sobre el tema reputacional.
- Aceptar: Después de realizar un análisis y considerar los niveles de riesgo

se determina asumir el mismo conociendo los efectos de su posible
materialización.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 33 de 36
- Evitar: Después de realizar un análisis y considerar que el nivel de riesgo es

demasiado alto, se determina NO asumir la actividad que genera este
riesgo.
A continuación, se determinan las opciones de tratamiento del riesgo en la CDMB
TIPO DE RIESGO ZONA DE RIESGO NIVEL DE

ACEPTACIÓN
El riesgo se ACEPTA y
se administra a través de
las actividades
Baja ejecutadas por los
procesos; se debe
realizar seguimiento
continuo al riesgo.
Riesgos de Gestión
Se establecen acciones
de control preventivo que
Riesgos de seguridad Moderada
permitan REDUCIR la
digital
probabilidad e impacto.
Se debe establecer una
acción correctiva y/o
gestión del cambio que
Alta y extrema
permita reducir, evitar o
compartir la ocurrencia y
consecuencia del riesgo.
Los riesgos de
corrupción no pueden ser
Baja, Moderada, Alta y aceptados, se deben
Riesgos de Corrupción
Extrema implementar acciones
con el propósito de
reducir o evitar el riesgo.
7.5.5. Herramientas para la gestión del riesgo
Indicadores clave de riesgo:
Se encuentran basados en datos históricos, relacionados con algún evento cuyo

comportamiento puede indicar mayor o menor exposición a determinados riesgos.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 34 de 36
Los indicadores permiten capturar la ocurrencia de un riesgo identificado y que es

considerado ALTO, permitiendo registrar las ocurrencias y evaluar a través de su
tendencia la eficacia de los controles que se tienen para mitigarlos, a continuación,
se presentan ejemplos de indicadores.
PROCESO ASOCIADO INDICADOR MÉTRICA

Número de horas de
Tiempo de interrupción
Gestión de Tecnología interrupción de
de aplicativos críticos en
de la Información aplicativos críticos al
el mes
mes.
Reportes emitidos al Número de reportes
Gestión de los recursos
regulador fuera del mensuales remitidos
financieros
tiempo establecido fuera de términos.
Volumen de
Errores en transacciones
Gestión de los recursos transacciones al mes
y su impacto en la
financieros sobre la capacidad
gestión presupuestal
disponible
Reclamos por usuarios % solicitudes mensuales
por incumplimientos a fuera de términos.
Relación con partes términos de ley o
interesadas reiteraciones de % solicitudes reiteradas
solicitudes por conceptos por un tema.
no adecuados
% de nuevos empleados
Gestión de Talento que abandonan el puesto
Rotación de personal
Humano dentro de los primeros 6
meses.
8.3.1 Monitoreo y Seguimiento a la Gestión del Riesgo
8.3.1.1 Monitoreo a la Gestión del Riesgo
Los líderes de procesos realizaran el monitoreo permanente al cumplimiento de

los controles y acciones de tratamiento definidas para mitigar el riesgo, lo anterior
se recomienda realizar en las sesiones de los Comités primarios.
Le corresponde igualmente a la Oficina Asesora de Direccionamiento Estratégico

Institucional (ADEI) adelantar el monitoreo, este monitoreo se realizará
mensualmente estableciendo con cada proceso la fecha propicia de revisión.
CÓDIGO: VERSIÓN:
E-GE-MA02 07
10/06/2019 Pág. 35 de 36
8.3.1.2 Seguimiento a la Gestión del Riesgo
Una vez diseñado y validado el plan para administrar los riesgos, la Oficina de
control interno. Debe hacer seguimiento a los mapas de riesgo, verificando la
efectividad de los controles. Los seguimientos se realizarán de la siguiente
manera:
- Primer seguimiento: Con corte al 30 de abril. En esta medida, la publicación

deberá surtirse dentro de los diez (10) primeros días del mes de enero.
- Segundo seguimiento: Con corte al 31 de agosto, La publicación deberá
surtirse dentro de los diez (10) primeros días del mes de septiembre.
- Tercer seguimiento: Con corte al 31 de diciembre. La publicación deberá
surtirse dentro de los diez (10) primeros días del mes de enero.
El monitoreo es esencial para asegurar que las acciones se están llevando a cabo
y evaluar la eficiencia en su implementación adelantando revisiones sobre la
marcha para evidenciar todas aquellas situaciones o factores que pueden estar
influyendo en la aplicación de las acciones preventivas.
De manera complementaria, los responsables de los procesos deberán actualizar

anualmente la matriz de factores generadores de riesgos, con el propósito de
identificar nuevos riesgos que puedan afectar la gestión institucional. A partir de
los factores generadores de riesgos, y de los nuevos riesgos identificados, se
deberá aplicar la metodología de análisis, valoración y formulación de políticas
anteriormente descrita

Manual de Riesgos Sin Colores

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Riesgos Sin Colores

Cargado por

Copyright:

Formatos disponibles

CÓDIGO: E-GE-MA02

PROCESO DE GESTIÓN ESTRATÉGICA

CUADRO CONTROL DE CAMBIOS

Versión Fecha Descripción del Cambio

01 23/09/2010 EMISIÓN INICIAL

7.3.1. Análisis de Riesgos....................................................................................17

El Departamento Administrativo de la Función Pública (DAFP) pone a disposición

Para la implementación de la gestión del riesgo la CDMB realiza un análisis de las

Esta política responde al Modelo Integrado de Planeación y Gestión según

Establecer los criterios necesarios para orientar la identificación, análisis y

El Manual de Administración del Riesgo es aplicable a todos los procesos que

 La información que hace parte del presente Manual de Administración del

 Los lineamientos enunciados en este documento son de obligatorio

 Para la identificación de los riesgos cada proceso se tienen dispuestas 2

4.1 LÍNEA DE DEFENSA ESTRATÉGICA

4.1.1. Alta Dirección

- Realizar seguimiento cuatrimestralmente a la gestión del riesgo inherente y

- Otorgar los recursos necesarios para ayudar a los responsables a gestionar y

4.1.2. Comité institucional de gestión y desempeño

- Aprobar anualmente la política de administración del riesgo.

4.1.3. Comité institucional de coordinación de control interno

- Supervisar el cumplimiento de la metodología establecida para la gestión del

- Recibir de la Oficina de Direccionamiento Estratégico Institucional el análisis

4.2. PRIMERA LÍNEA DE DEFENSA

4.2.1. Líderes de procesos

- Diseñar, implementar y monitorear los controles establecidos en los riesgos de

- Proponer mejoras a la gestión del riesgo.

- Supervisar la ejecución de los controles aplicados por todo el proceso en la

- Informar a la Oficina Asesora de Direccionamiento Estratégico – ADEI, sobre

- Orientar el desarrollo e implementación de las políticas y procedimientos

- Aplicar anualmente la metodología contenida en el presente Manual, a efectos

4.2.2. Servidores públicos

- Ejecutar los controles operativos en el día a día.

- Apoyar al líder del proceso en la identificación y gestión de los riesgos y sus

- Notificar a los líderes del proceso respectivo si percibe la materialización de

4.3. SEGUNDA LÍNEA DE DEFENSA

4.3.1. Oficina de direccionamiento estratégico institucional-ADEI

- Apoyar en la definición de la metodología de riesgos.

- Presentar al Comité Institucional de Coordinación de Control Interno el análisis

- Capacitar y asesorar a los líderes de procesos sobre la identificación, análisis

- Supervisar que la primera línea de defensa identifique, evalúe y gestione los

- Monitorear de forma cuatrimestral, los riesgos identificados en los procesos y

- Identificar cambios en los niveles de aceptación del riesgo en la CDMB,

- Divulgar la Política de Administración del Riesgo a través del Link de la

4.4. TERCERA LÍNEA DE DEFENSA

4.3.1. Oficina de Control Interno

- Asegurar la eficacia de la gestión del riesgo y los controles, con énfasis en el

- Proporcionar aseguramiento objetivo en las áreas identificadas no cubiertas

- Llevar a cabo el seguimiento de a los riesgos consolidados en los mapas de

- Recomendar mejoras a la administración del riesgo de la CDMB.

- Verificar la publicación del mapa de riesgos de corrupción en la página WEB

5. DOCUMENTOS DE REFERENCIA Y SOPORTE

 Modelo Estándar de Control Interno MECI 1000: 2014 (Componente

Activo de información: Es cualquier elemento que tenga valor para la

Causa: todos aquellos factores internos y externos que solos o en combinación

Consecuencia: los efectos o situaciones resultantes de la materialización del

Impacto: se entiende como las consecuencias que puede ocasionar a la

Mapa de riesgos: documento con la información resultante de la gestión del

Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Esta

Plan Anticorrupción y de Atención al Ciudadano: plan que contempla la

Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de

Riesgo residual: nivel de riesgo que permanece luego de tomar sus

Riesgo de corrupción: Es la posibilidad de que, por acción u omisión, se use el

7.1. Marco conceptual de la administración de riesgos