MATRIZ DE RIESGOS

Riesgos que afectan la seguridad de los procesos de la

Item FUENTE DEL RIESGO-CAUSA DESCRIPCIÓN

ALTERACION, MANIPULACION, DAÑO

DE RECURSOS (Tecnológico, humano,
1 Realizar acto ilegal o fraude que atente contra los recursos de la en
documental, financieros, físicos) POR PARTE
DE USUARIOS INTERNOS Y EXTERNOS

1. Contratar, financiar operaciones con usuarios involucrados

CORRUPCIÓN, NARCOTRÁFICO,
LAVADO DE ACTIVOS, TERRORISMO,
DELINCUENCIA, SUPLANTACIÓN,
2
INFILTRACIÓN, EMPRESA FACHADA O
PERSONAL NO AUTORIZADO
PARA EL TRÁMITE
organizada, corrupción, enriquecimiento ilícito, entre otros.
2. Cobrar dádivas por facilitar, incluir o agilizar trámites o activi
la entidad.
3. Generar conflicto de intereses.
4. Asegurar una ventaja directa o indirecta inapropiada para la ent
5. Filtrar información por encargo directo o específico para actua
económicos.

Delinquir con la finalidad de obtener dinero u objetos, afectan

DELINCUENCIA COMÚN Y/U
3 selectivo y buscan lucro momentaneo, o bien planear organizadam
ORGANIZADA
suplantar.

Infiltrar, sabotear y hackear información y/o equipos a la cual

4 DELINCUENTE INFORMÁTICO
modificarla, eliminarla, o bien para cometer actos ilícitos.

1. Incurrir en demora, errores e insatisfacción del usuario frente a

5 CAIDA DE RED oportunidad de trámite y/o entrega de información.
2. Generar reprocesos que alteran el desarrollo normal de las activ

USO INADECUADO Y/O ABUSO

6 Abusar de los medios, controles, permisos y/o perfiles creados de
TECNOLOGÍA

7 OBSOLESCENCIA TECNOLÓGICA Usar tecnología obsoleta o inadecuada en los equipos de la CCF qu

 1. Generar pérdida, extravío, fuga, desactualización, obsolescencia
2. Ocasionar reprocesos, devoluciones, ajustes, faltantes o sobrant
3. Direccionar la correspondencia erradamente generando demora
4. Asumir costos por daño, demora, robo o pérdida, cuando el
equipos en las condiciones y estado recibidos.
CONTROLES INSUFICIENTES SOBRE
5. Exponer a usuarios internos/externos a agresiones físicas o
LOS TRÁMITES Y/O RECURSOS (Humano,
8 Alternativos de Solución de Conflictos.
tecnológico, financiero, físico, documental,
6. Prescripción o pérdida de los procesos jurídicos (vencimiento
entre otros).
involucradas en el proceso, falta de impulso procesal, descuido en
7. realizar trámites de inscripción de actos y/o documentos sin
sistema de información de la Registraduría del Estado Civil, así co
8. Presentar errores ortográficos o semánticos que cambien el
distractores internos y/o externos.

1. Incumplir con la ejecución de planes y proyectos programados e

RECURSOS INSUFICIENTES (Humano, 2. Presentar pérdida y/o deterioro no controlado de la información
9 tecnológico, financiero, fisico, infraestructura, 3. Manipular inapropiadamente la documentación.
documental, entre otros) 4. Atentar contra la seguridad y salud en el trabajo de usu
sicosociales; sobrecarga laboral, entre otros).

1. Estar involucrados en sanciones, multas, demandas por incu

INCUMPLIMIENTO DE LA legislación colombiana que afecten la estabilidad y reputación insti
10
NORMATIVIDAD 2. Usar aplicaciones, software y hardware ilegales, acorde con
adquiridos para el respaldo del funcionamiento y correcto manejo d

1. Reducir ingresos ordinarios operacionales que afecten la continu

11 INFORMALIDAD DEL COMERCIO
2. Generar competencia a la entidad.

1. Contratar personas no acorde con los criterios del perfil requerid

SELECCIÓN, CONTRATACIÓN O 2. Incumplir parcial o totalmente con lo dispuesto en los Procedim
12 FORMACIÓN INADECUADA SEGÚN y/o de CAPACITACIÓN al personal contratado.
PERFIL LABORAL 3. Cometer errores (humanos) por falta de controles y/o de autoco
4. Prescindir de personal calificado para el desarrollo de funciones

1. Presentar comportamiento desobligante y/o conductas inadecu

ACTITUD Y COMPORTAMIENTO
13
INADECUADO DEL FUNCIONARIO
en la relación con sus compañeros.
2. Generar resistencia al cambio ante instrucciones recibidas acord
3. Incurrir en exceso de confianza en el manejo de recursos (
infraestructura, entre otros).
4. Evadir la aplicación de recomendaciones como resultado de las
derive (Planes de Acción y/o de Mejoramiento Interno, seguimient
 1. Retrasar los procesos en la labor diaria y generar reprocesos.
14 AUSENTISMO LABORAL
2. Generar sanciones y/o pérdida de recursos económicos.

Propiciar situaciones de inseguridad (asonadas, motines, actos

15 ENTORNO SOCIAL cercanía a entidades del sector público, plazas mayoristas, zonas d
usuarios internos y externos, y la infraestructura de la organización

1. Incumplir con metas y objetivos institucionales plasmados en lo

2. Generar reprocesos y actividades de impacto bajo o medio, de
16 DEBILIDAD EN LA PLANEACION 3. Planear inadecuamente los recursos (humanos, tecnológicos, f
proyectos institucionales.
4. Incurrir en sanciones por incumplimientos durante la ejecución

1. Entregar productos, bienes y/o servicios requeridos sin cumplir l

2. Generar programas, proyectos, capacitaciones y/o actividad
recreación y el deporte, tampoco fortalezcan la actividad comercia
17 DEBILIDAD EN LA EJECUCIÓN logre el impacto socioeconómico y/o ambiental proyectado.
3. Elaborar estudios no funcionales para toma de decisiones
empresarios y usuarios externos de la jurisdicción de la organizació
4. Convocar grupos de interés ajenos a la temática de la actividad.

Por parte del Contratista:

1. Incumplir con especificaciones técnicas, económicas, condic
servicio a entregar, según contrato/convenio.
2. Generar demora con la documentación requerida en las diferen
liquidación y/o cierre).
DEBILIDAD EN PROCESO DE
18
CONTRATACIÓN
Por parte del Contratante y Supervisor:
1. Demorar trámites en las diferentes etapas de contratación.
2. Contravenir lo dispuesto en los contratos y/o convenios suscrito
3. Incumplir lo dispuesto en cuanto al alcance del Supervisor fren
en su ejecución, cumplimiento y pago; frente a Convenios, hasta l

1. Incumplir con los criterios establecidos en el Manual de Ima

USO INADECUADO DE PUBLICIDAD presentaciones, papeleria, dotaciones, material publicitario, entre o
19
INSTITUCIONAL 2. Participar en actividades no autorizadas o ajenas a la organiza
dotación institucional no vigente.

PROCEDIMIENTOS, FORMATOS E
20 INSTRUCTIVOS DESACTUALIZADOS O
INEXISTENTES
INSEGURIDAD DE LA
21
INFRAESTRUCTURA
OCURRENCIA DE CUALQUIER EVENTO
22
NEGATIVO ALTERADOR O ADVERSO
1. Afectar la calidad del servicio y la responsabilidad sobre el proc
2. Aplicar criterios no conformes con los procedimientos a seguir
3. Duplicar funciones, generando reprocesos y demora en los tiemp
4. Carecer de evidencia objetiva sobre la actividad programada / re
5. Centralizar información en un solo funcionario, por la no transf
1. Permitir u otorgar accesos no autorizados a funcionarios y/o
Atención Regional de la organización.
2. Carecer de botones de pánico para dar aviso a las autoridades, s
3. Incumplir con los criterios de seguridad establecidos, sea por d
controlen la intención de hurto o robo a usuarios internos y externo
1. Incumplir con metas y objetivos institucionales plasmados en lo
2. Generar reprocesos y actividades de impacto bajo o medio alto d
3. Reprogramación de proyectos, programas y actividades
4. Perdida de recursos económicos
5. Despidos de personal/ cancelación de contratos a funcionarios/su
6. Disminución en la solidez financiera por el no ingreso de dinero
7. No contar con un plan de contingencia y canales de información
8. Falta de capacitación a todo el personal para afrontar una situaci
 CODIGO: FOR-CMC-34

MATRIZ DE RIESGOS VERSION: 5

FECHA: 8 de Septiembre 2020

que afectan la seguridad de los procesos de la CCF

DESCRIPCIÓN DEL RIESGO

cto ilegal o fraude que atente contra los recursos de la entidad.

atar, financiar operaciones con usuarios involucrados en lavado de activos, terrorismo, delincuencia común y
a, corrupción, enriquecimiento ilícito, entre otros.
dádivas por facilitar, incluir o agilizar trámites o actividades, abusando de su posición de confianza y/o jerárquica en

r conflicto de intereses.
ar una ventaja directa o indirecta inapropiada para la entidad.
información por encargo directo o específico para actuar con extorsiones, secuestros o intimidaciones que poseen fines
os.

con la finalidad de obtener dinero u objetos, afectando a clientes, visitantes y/o funcionarios. Su mecanismo es
y buscan lucro momentaneo, o bien planear organizadamente para seleccionar el objetivo a sustraer, atacar, infiltrar y/o

sabotear y hackear información y/o equipos a la cual se tiene acceso o hay vulnerabilidad para tomarla, utilizarla,
a, eliminarla, o bien para cometer actos ilícitos.

en demora, errores e insatisfacción del usuario frente a la prestación del servicio que espera se cumpla con la debida
ad de trámite y/o entrega de información.
r reprocesos que alteran el desarrollo normal de las actividades de los funcionarios.

e los medios, controles, permisos y/o perfiles creados dentro de la organización.

ología obsoleta o inadecuada en los equipos de la CCF que no garantice la seguridad física, lógica y de la comunicación.
 r pérdida, extravío, fuga, desactualización, obsolescencia de recursos e información.
nar reprocesos, devoluciones, ajustes, faltantes o sobrantes de efectivo, demoras en trámites.
ionar la correspondencia erradamente generando demoras y/o vencimientos en su circulación interna.
r costos por daño, demora, robo o pérdida, cuando el usuario no entrega el auditorio, salón empresarial, mobiliario,
n las condiciones y estado recibidos.
er a usuarios internos/externos a agresiones físicas o verbales en desarrollo de actos relacionados con Métodos
os de Solución de Conflictos.
ipción o pérdida de los procesos jurídicos (vencimiento de términos, incompetencia del funcionario y/o de las partes
das en el proceso, falta de impulso procesal, descuido en su seguimiento, entre otros).
ar trámites de inscripción de actos y/o documentos sin verificar identificación de usuario que radica solicitud ante
e información de la Registraduría del Estado Civil, así como el biométrico de la CCF.
ntar errores ortográficos o semánticos que cambien el sentido y/o criterios de la intención de la información por
es internos y/o externos.

lir con la ejecución de planes y proyectos programados en el Plan Anual de Trabajo y el Plan Estratégico.
tar pérdida y/o deterioro no controlado de la información.
ular inapropiadamente la documentación.
ar contra la seguridad y salud en el trabajo de usuarios internos/externos (riesgos ambientales, ergonómicos,
es; sobrecarga laboral, entre otros).

nvolucrados en sanciones, multas, demandas por incumplimiento a criterios y requisitos establecidos dentro de la
n colombiana que afecten la estabilidad y reputación institucional.
aplicaciones, software y hardware ilegales, acorde con los permisos y licencias que deben tener y no hayan sido
s para el respaldo del funcionamiento y correcto manejo dentro de la organización.

ingresos ordinarios operacionales que afecten la continuidad de la entidad.

r competencia a la entidad.

ar personas no acorde con los criterios del perfil requerido.

lir parcial o totalmente con lo dispuesto en los Procedimientos de SELECCIÓN Y CONTRATACIÓN DE PERSONAL,
PACITACIÓN al personal contratado.
er errores (humanos) por falta de controles y/o de autocontrol, autogestión y autorregulación.
ndir de personal calificado para el desarrollo de funciones por terminación unilateral del contrato.

tar comportamiento desobligante y/o conductas inadecuadas del funcionario frente al cumplimiento de sus funciones y
ión con sus compañeros.
r resistencia al cambio ante instrucciones recibidas acorde con sus funciones.
ir en exceso de confianza en el manejo de recursos (humanos, tecnológicos, físicos, financieros, documentales, de
ctura, entre otros).
la aplicación de recomendaciones como resultado de las Auditorías Internas o Externas, y la información que de allí se
anes de Acción y/o de Mejoramiento Interno, seguimiento).
 r los procesos en la labor diaria y generar reprocesos.
r sanciones y/o pérdida de recursos económicos.

situaciones de inseguridad (asonadas, motines, actos vandálicos, marchas o protestas, paros, por ejemplo), por la
entidades del sector público, plazas mayoristas, zonas de tolerancia, entre otros, que afecten la vida e integridad de los
nternos y externos, y la infraestructura de la organización.

plir con metas y objetivos institucionales plasmados en los planes de la organización.

r reprocesos y actividades de impacto bajo o medio, de acuerdo con indicadores propuestos.
r inadecuamente los recursos (humanos, tecnológicos, financieros, documental, entre otros) para la realización de los
institucionales.
r en sanciones por incumplimientos durante la ejecución de programas, proyectos, actividades y presupuestos.

r productos, bienes y/o servicios requeridos sin cumplir los requisitos contractuales establecidos.
r programas, proyectos, capacitaciones y/o actividades en municipios que no promuevan la cultura, educación,
y el deporte, tampoco fortalezcan la actividad comercial, la competitividad, la innovación, el emprendimiento, y no se
mpacto socioeconómico y/o ambiental proyectado.
ar estudios no funcionales para toma de decisiones que no respondan a las expectativas socieconómicas de los
os y usuarios externos de la jurisdicción de la organización.
car grupos de interés ajenos a la temática de la actividad.

del Contratista:
plir con especificaciones técnicas, económicas, condiciones de entrega, garantías y vigencias del producto, bien o
entregar, según contrato/convenio.
r demora con la documentación requerida en las diferentes etapas de contratación (precontractual, contractual, pago,
n y/o cierre).

del Contratante y Supervisor:

ar trámites en las diferentes etapas de contratación.
venir lo dispuesto en los contratos y/o convenios suscritos.
plir lo dispuesto en cuanto al alcance del Supervisor frente al contrato que garantice el adecuado seguimiento y control
ución, cumplimiento y pago; frente a Convenios, hasta la liquidación y cierre.

plir con los criterios establecidos en el Manual de Imagen Corporativa de la CCF (logo, slogan, emblema, colores,
ones, papeleria, dotaciones, material publicitario, entre otros).
par en actividades no autorizadas o ajenas a la organización, utilizando material promocional y publicitario, así como
nstitucional no vigente.
r la calidad del servicio y la responsabilidad sobre el proceso.
r criterios no conformes con los procedimientos a seguir para minimizar posibles demoras en los trámites.
r funciones, generando reprocesos y demora en los tiempos de respuesta.
r de evidencia objetiva sobre la actividad programada / realizada.
lizar información en un solo funcionario, por la no transferencia de conocimiento.

ir u otorgar accesos no autorizados a funcionarios y/o terceros a las instalaciones de la Sede Principal y Centros de
Regional de la organización.
er de botones de pánico para dar aviso a las autoridades, sobre eventos que estén ocurriendo dentro de las instalaciones.
lir con los criterios de seguridad establecidos, sea por desconocimiento, formación o entrenamiento, que minimicen y
la intención de hurto o robo a usuarios internos y externos de la organización.

lir con metas y objetivos institucionales plasmados en los planes de la organización

r reprocesos y actividades de impacto bajo o medio alto de acuerdo con el indicador propuesto
ramación de proyectos, programas y actividades
de recursos económicos
os de personal/ cancelación de contratos a funcionarios/suspensión de contratos
ución en la solidez financiera por el no ingreso de dineros públicos
ar con un plan de contingencia y canales de información efectivos
e capacitación a todo el personal para afrontar una situación de emergencia y realizar trabajo remoto y/o trabajo en casa
 CRITERIOS PARA CALIFICACIÓN EN LA EVALUACIÓN DE RIESGOS

La posibilidad de ocurrencia de la amenaza; esta puede ser medida con criterios de

FUENTE DEL RIESGO- frecuencia, teniendo en cuenta la presencia de factores internos y externos que
CAUSA pueden propiciar el riesgo, aunque éste no se haya materializado

Causa sin capacidad y/o sin intención. No se han presentado eventos relacionados con esta
1 BAJA fuente de riesgo.
Causa con capacidad y se ha presentado eventos similares características atribuibles a esta
2 MEDIA fuente de riesgo.
Causa con la capacidad y la intensión. Se han presentado eventos en la empresa atribuibles
3 ALTA a esta fuente de riesgo.

Debilidades de los procesos, de los procedimientos, del personal, de las

VULNERABILIDAD instalaciones, del sistema de seguridad, etc.
Los controles de seguridad establecidos y aplicados en la empresa son totalmente eficaces para evitar
1 BAJA la materialización del riesgo
Los controles de seguridad establecidos y aplicados son satisfactorios para evitar la materialización del
2 MEDIO BAJA riesgo
Los controles de seguridad establecidos y aplicados son mínimos para evitar la materialización del
3 MEDIA riesgo
No se han establecido y aplican controles de seguridad para evitar la materialización del riesgo.
4 ALTA Existen controles de seguridad establecidos y aplicados pero son ineficaces.

CONSECUENCIA Consecuencias que puede ocasionar a la organización la materialización del riesgo.

(IMPACTO / DAÑO) Pueden ser sociales, legales, económicas, físicas, operativa, etc.
Las consecuencias son mínimas o casi nulas. Las consecuencias puede ser asumidas por
1 INSIGNIFICANTE la organización sin ningún problema.
Con consecuencias para los bienes, la infraestructura, los documentos, la información, etc.
2 MENOR (Afecta solamente un área de la organización).
Con consecuencias para gran parte de la empresa. Impacto legal medio. (Afecta los
3 MODERADO procesos y las actividades )
Con consecuencias altas para la seguridad de la empresa y/o su imagen. Impacto
4 MAYOR económico grave. Alto impacto legal. (Probabilidad de grandes daños a las instalaciones,
probabilidad de daño a las personas)
Con consecuencias para las personas, bienes e instalaciones la empresa. Afectación al
5 CATASTRÓFICO negocio, gran pérdida de valores de difícil recuperación, daño a las instalaciones, afectación
a la imagen y reputación organizacional)

Posibilidad de ocurrencia del riesgo que entorpecer el normal desarrollo de las

funciones de la empresa y le impidan el logro de sus objetivos.
NIVEL DE RIESGO
Nivel de Riesgo (NR) es igual a la Causa (A) por la Vulnerabilidad (V) por el Impacto
(I).
Mantener el monitoreo sobre los controles establecidos para evitar la materialización del
0-6 ACEPTABLE riesgo. Tomar acciones correctivas para los riesgos materializados.
7 - 14 TOLERABLE Tomar acciones e implementar medidas de control para reducir el riesgo residual.

Implementar programas y medidas de seguridad y prevención de pérdidas. Tomar acciones

15 - 29 MODERADO para reducir el riesgo residual. Requiere la atención por parte de los lideres de procesos.

Requiere atención por parte de las directivas. Tomar las acciones requeridas para reducir el
30 - 39 IMPORTANTE riesgo residual. De aplicar se recomienda compartir los riesgos con la adquisición de pólizas
de seguros.
Requiere implementar medidas urgentes. Diseñar e implementar un Plan de continuidad del
40 - 60 INACEPTABLE negocio puntual reducir el riesgo residual. De aplicar, eliminar la fuente/actividad que genera
el riesgo.
 MATRIZ DE RIESGOS

EVALUACION DEL
IDENTIFICACION DEL RIESGO ANALISIS DEL RIESGO
RIESGO

PARTES VULNERABILIDADES EVALUACIÓN 3

EVALUACIÓN 1 EVALUACIÓN 2 CONSECUENCIAS DE LA NIVEL DE RIESGO
INVOLUCRADAS FUENTE DEL RIESGO- (Fallas o errores de seguridad que
PROCESO ACTIVIDADES DESCRIPCIÓN DEL RIESGO MATERIALIZACIÓN DEL RIESGO (NR)
(Actores,/ Asociados de CAUSA propician la materialización del Impacto
Amenaza (A) Vulnerabilidad (V) (Daños/Impactos)
negocios) riesgo) (I)
 CÓDIGO: FOR-CMC-34

S VERSIÓN: 5

FECHA: 8 de septiembre de 2020

VALORACION DEL RIESGO TRATAMIENTO DEL RIESGO

CONTROLES ACTUALES SELECCIONE TIEMPO DE EJECUCIÓN

CRITICIDAD
CONTRA LA
DEL RIESGO TRATAMIENTO PLANES PARA EL TRATAMIENTO RESPONSABLE(S)
MATERIALIZACIÓN DEL
(CR)
RIESGO
Día/Mes/Año Mensual Bimensual Trimestral Semestral Anual

Aceptación del beneficio potencial a ganar, o de la carga de perder, proveniente de un riesgo

ACEPTAR
particular. Incluye la aceptación del riesgo residual.

RETENER Tomar la decisión de afrontar el riesgo y aplicar controles para su mitigación.

COMPARTIR/
Distribución pactada del riesgo con las otras partes involucradas (Asociados de Negocio)
TRANSFERIR

Decisión tomada de no involucrarse en una actividad o retirarse de ella con el fin de no quedar
EVITAR / ELIMINAR
expuesto a un riesgo. Retirar la fuente del riesgo.
 CÓDIGO: FOR-CMC-34
MATRIZ DE RIESGOS VERSION: 5
FECHA: 8 de septiembre de 2020

CONTROL DE CAMBIOS
No. Tipo de cambio
No. Fecha Actividad Fuente del Riesgo Riesgo Cambios
Riesgo
Adición Modificar Eliminar