Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VERSIÓN: 06
FECHA: 10/06/2019
MANUAL DE ADMINISTRACIÓN
DEL RIESGO
Tabla de Contenido
PRESENTACIÓN.......................................................................................................2
1. OBJETO..............................................................................................................3
2. ALCANCE...........................................................................................................4
3. POLÍTICAS..........................................................................................................4
4. AUTORIDAD Y RESPONSABILIDAD................................................................4
4.1 LÍNEA DE DEFENSA ESTRATÉGICA............................................................4
5. DOCUMENTOS DE REFERENCIA Y SOPORTE..............................................7
6. TERMINOLOGÍA.................................................................................................8
7. DESCRIPCIÓN...................................................................................................9
7.1. Marco conceptual de la administración de riesgos.........................................9
7.2. Metodología de la administración de riesgos.................................................9
7.2.1. Política de Administración de Riesgos.......................................................10
7.3. Riesgos de gestión........................................................................................11
7.3.1. Identificación del Riesgo............................................................................11
7.3.2. Determinación del Contexto.......................................................................11
7.3.2.1. Determinación Del Contexto Externo......................................................11
7.3.2.2. Determinación del Contexto Interno.......................................................11
7.3.2.3. Determinación del Contexto del Proceso...............................................12
7.3.3. Análisis de objetivos estratégicos y de los procesos.................................13
7.3.4. Identificación de los puntos de riesgo........................................................13
7.3.5. Identificación de áreas de impacto.............................................................14
7.3.6. Identificación de áreas de factores de riesgo.............................................14
7.3.7. Descripción del riesgo................................................................................14
7.3.7.1. Premisas para la adecuada redacción del riesgo...................................16
7.3.8. Clasificación del riesgo...............................................................................17
7.4. Valoración del Riesgo....................................................................................17
CORPORACIÓN AUTÓNOMA REGIONAL PARA LA DEFENSA
DE LA MESETA DE BUCARAMANGA – CDMB.
ELABORÓ: REVISÓ: APROBÓ:
Equipo Líder SIGC Delegado Dirección SIGC Director(a) General
CÓDIGO: VERSIÓN:
E-GE-MA02 07
FECHA: PÁGINA: MANUAL DE ADMINISTRACIÓN DEL RIESGO
10/06/2019 Pág. 2 de 36
PRESENTACIÓN
1. OBJETO
2. ALCANCE
3. POLÍTICAS
4. AUTORIDAD Y RESPONSABILIDAD
- Definir el marco general para la gestión del riesgo y el control del mismo.
- Asegurar que las metas y objetivos de la CDMB son compatibles con las
políticas y procedimientos internos relacionados con la gestión del riesgo.
CORPORACIÓN AUTÓNOMA REGIONAL PARA LA DEFENSA
DE LA MESETA DE BUCARAMANGA – CDMB.
ELABORÓ: REVISÓ: APROBÓ:
Equipo Líder SIGC Delegado Dirección SIGC Director(a) General
CÓDIGO: VERSIÓN:
E-GE-MA02 07
FECHA: PÁGINA: MANUAL DE ADMINISTRACIÓN DEL RIESGO
10/06/2019 Pág. 5 de 36
- Analizar la gestión del riesgo y aplicar mejoras identificadas para la gestión del
riesgo.
- Definir el marco general para la gestión del riesgo y el control del mismo.
- Validar la política de administración del riesgo para ser aprobada por el Comité
Institucional de Gestión y Desempeño.
- Identificar, valorar y gestionar los riesgos que puedan afectar los objetivos del
proceso y de la entidad permanentemente.
- Evaluar con la primera línea de defensa que los riesgos identificados sean
consistentes con la política.
Decreto 1081 de 2015, Señala una metodología para elaborar una estrategia de
lucha contra la corrupción, esta metodología se encuentra registrada en el
documento “Estrategias para la construcción del Plan Anticorrupción y Atención
al Ciudadano”
Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control
interno en las Entidades y organismos del Estado y se dictan otras
disposiciones (Modificada parcialmente por la Ley 1474 de 2011).
Ley 489 de 1998, Estatuto básico de Organización y Funcionamiento de la
Administración Pública. Capítulo IV Relacionado con el Sistema Nacional de
Control interno.
Ley 474 de 2011, Por la cual se dictan normas sobre el Sistema Nacional de
Control Interno de las Entidades y Organismos de la Administración Pública del
orden nacional y Territorial y se dictan otras disposiciones (Modificado
parcialmente por el Decreto 2593 del 2000 y por el art. 8 de la Ley 1474 del
2011)
Directiva Presidencial 09 de 1999, Lineamientos para la implementación de la
política de lucha contra la corrupción.
Guía para la administración del riesgo y el diseño de controles en entidades
públicas de la función pública 2020.
6. TERMINOLOGÍA
Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por
todo el personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
7. DESCRIPCIÓN
Esta etapa tiene el objetivo de identificar los riesgos que se encuentren o no bajo
el control de la CDMB, teniendo en cuenta el contexto estratégico de la Entidad, la
caracterización de cada proceso y el análisis frente a los factores internos y
externos que puedan generar riesgos que afecten el cumplimiento de objetivos. A
continuación, se explican cada una de las fases para su identificación.
Los puntos de riesgo son todas las actividades que se encuentran en el flujo del
proceso donde exista evidencia o se tienen indicios de que se puede materializar
algún riesgo y deben mantenerse bajo control para asegurar de que el proceso
cumpla con su objetivo.
La descripción del riesgo debe contener los detalles específicos y debe ser fácil de
entender tanto para el líder del proceso como para las personas ajenas al proceso.
El DAFP establece la siguiente estructura que inicia con la frase “POSIBILIDAD
DE”, a continuación, se describe la estructura:
Causa raíz: Es la causa principal o básica, corresponden a las razones por las
cuales se puede presentar el riesgo, son la base para la definición de
controles en la etapa de valoración del riesgo. Se debe tener en cuenta que
para un mismo riesgo pueden existir más de una causa o subcausas que
pueden ser analizadas.
Ejemplo:
Alcance: Las actividades del proceso inician con la elaboración del Plan Anual de
Adquisiciones y termina con la liquidación de contratos.
CATEGORÍA DESCRIPCIÓN
Ejecución y administración Pérdidas derivadas de errores en la ejecución y administración de
de procesos procesos.
Pérdida derivada de actos de fraude por personas ajenas a la
Fraude externo
CDMB (no participa personal de la Entidad)
Pérdida debido a actos de fraude, actuaciones irregulares,
comisión de hechos delictivos abuso de confianza, apropiación
indebida, incumplimiento de regulaciones legales o internas de la
Fraude interno
CDMB en las cuales están involucrado por lo menos 1 participante
interno de la Entidad, son realizadas de forma intencional y/o con
ánimo de lucro para sí mismo o para terceros.
Errores en hardware, software, telecomunicaciones, interrupción
Fallas tecnológicas
de servicios básicos.
Pérdidas que surgen de acciones contrarias a las leyes o acuerdos
Relaciones laborales de empleo, salud o seguridad, del pago de demandas por daños
personales o de discriminación.
Fallas negligentes o involuntarias de las obligaciones frente a los
Usuarios, productos y
usuarios y que impiden satisfacer una obligación profesional frente
prácticas
a éstos.
Pérdida por daños o extravíos de los activos fijos por desastres
Daños a activos
naturales u otros riesgos/eventos externos como atentados,
fijos/eventos externos
vandalismo, orden público.
VALORACIÓN AFECTACIÓN
REPUTACIONAL
ECONÓMICA
Afectación menor a 10 El riesgo afecta la imagen de algún área
LEVE 20%
SMLMV. de la CDMB.
El riesgo afecta la imagen de la CDMB
internamente, de conocimiento general
MENOR 40% Entre 10 y 50 SMLMV
nivel interno, de Asamblea Corporativa y
Consejo Directivo.
El riesgo afecta la imagen de la CDMB
MODERADO 60% Entre 50 y 100 SMLMV con algunos usuarios de relevancia
frente al logro de los objetivos.
El riesgo afecta la imagen de la CDMB
con efecto publicitario sostenido a nivel
MAYOR 80% Entre 100 y 500 SMLMV
de sector administrativo, nivel
departamental o municipal.
El riesgo afecta la imagen de la CDMB a
CATASTRÓFICO
Mayor a 500 SMLMV nivel nacional, con efecto publicitario
100%
sostenido a nivel país.
CORPORACIÓN AUTÓNOMA REGIONAL PARA LA DEFENSA
DE LA MESETA DE BUCARAMANGA – CDMB.
ELABORÓ: REVISÓ: APROBÓ:
Equipo Líder SIGC Delegado Dirección SIGC Director(a) General
CÓDIGO: VERSIÓN:
E-GE-MA02 07
FECHA: PÁGINA: MANUAL DE ADMINISTRACIÓN DEL RIESGO
10/06/2019 Pág. 19 de 36
7.4.2. Causas
7.4.3. Consecuencias
7.4.4. Probabilidad
CORPORACIÓN AUTÓNOMA REGIONAL PARA LA DEFENSA
DE LA MESETA DE BUCARAMANGA – CDMB.
ELABORÓ: REVISÓ: APROBÓ:
Equipo Líder SIGC Delegado Dirección SIGC Director(a) General
CÓDIGO: VERSIÓN:
E-GE-MA02 07
FECHA: PÁGINA: MANUAL DE ADMINISTRACIÓN DEL RIESGO
10/06/2019 Pág. 24 de 36
7.4.5. Impacto
PREGUNTA RESPUESTA
N°
Si el riesgo de corrupción se materializa podría… SI NO
1 ¿Afectar el grupo de funcionarios del proceso? x
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? x
3 ¿Afectar el cumplimiento de misión de la CDMB? x
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la
x
CDMB?
5 ¿Generar pérdida de confianza de la CDMB, afectando su reputación? x
6 ¿Generar pérdida de recursos económicos? x
7 ¿Afectar la generación de los productos o la prestación de los servicios? x
¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida
8 x
del bien, servicios o recursos públicos?
9 ¿Generar pérdida de información de la CDMB? x
¿Generar intervención de los órganos de control, de la Fiscalía u otro
10 x
ente?
11 ¿Dar lugar a procesos sancionatorios? x
12 ¿Dar lugar a procesos disciplinarios? x
13 ¿Dar lugar a procesos fiscales? x
CORPORACIÓN AUTÓNOMA REGIONAL PARA LA DEFENSA
DE LA MESETA DE BUCARAMANGA – CDMB.
ELABORÓ: REVISÓ: APROBÓ:
Equipo Líder SIGC Delegado Dirección SIGC Director(a) General
CÓDIGO: VERSIÓN:
E-GE-MA02 07
FECHA: PÁGINA: MANUAL DE ADMINISTRACIÓN DEL RIESGO
10/06/2019 Pág. 25 de 36
Para la redacción de los controles se deben tener en cuenta los siguientes pasos:
EJEMPLOS DE CONTROL
Dueño del
Proceso Tipo de activo Activo Descripción
activo
Base de datos con
Coordinador
Base de datos de información de
Talento Humano Información de Talento
nómina nómina de la
Humano
CDMB
Servidor WEB que Coordinador
Aplicativo de
Talento Humano Software contiene el front de Talento
nómina
office de la CDMB Humano
Formatos de
Gestión
Información Cuentas de cobro cuentas de cobro Tesorera
Financiera
diligenciados
Tipo Vulnerabilidades
Mantenimiento insuficiente
Ausencia de esquemas de reemplazo periódico
Sensibilidad a la radiación electromagnética
CORPORACIÓN AUTÓNOMA REGIONAL PARA LA DEFENSA
DE LA MESETA DE BUCARAMANGA – CDMB.
ELABORÓ: REVISÓ: APROBÓ:
Equipo Líder SIGC Delegado Dirección SIGC Director(a) General
CÓDIGO: VERSIÓN:
E-GE-MA02 07
FECHA: PÁGINA: MANUAL DE ADMINISTRACIÓN DEL RIESGO
10/06/2019 Pág. 30 de 36
Tipo Amenaza
Daño físico Fuego
Agua
Eventos naturales Fenómenos climáticos
Fenómenos sísmicos
Pérdidas de los Fallas en el sistema de suministro de agua
servicios esenciales Fallas en el suministro de aire acondicionado
Perturbación debida a Radiación electromagnética
la radiación Radiación térmica
Compromiso de la Interceptación de servicios de señales de
información interferencia comprometida
Espionaje remoto
Fallas del equipo
Mal funcionamiento del equipo
Fallas técnicas Saturación del sistema de información
Mal funcionamiento del software
Incumplimiento en el mantenimiento del
sistema
de información
Acciones no Uso no autorizado del equipo
autorizadas Copia fraudulenta del software
Compromiso de las Error en el uso o abuso de derechos
funciones Falsificación de derechos
Son las decisiones que se toman frente a los niveles de riesgo resultantes, a
continuación, se especifican las decisiones que se pueden tomar frente a los
riesgos residuales relacionados con definir los planes de acción dentro del mapa
de riesgos:
Una vez diseñado y validado el plan para administrar los riesgos, la Oficina de
control interno. Debe hacer seguimiento a los mapas de riesgo, verificando la
efectividad de los controles. Los seguimientos se realizarán de la siguiente
manera:
El monitoreo es esencial para asegurar que las acciones se están llevando a cabo
y evaluar la eficiencia en su implementación adelantando revisiones sobre la
marcha para evidenciar todas aquellas situaciones o factores que pueden estar
influyendo en la aplicación de las acciones preventivas.