GESTION DE RIESGOS

La gestión de Riesgos es una parte fundamental de la Gobernabilidad corporativa que busca contribuir eficientemente
en la identificación, análisis, tratamiento, comunicación y monitoreo de los riesgos del negocio.

La gestión de riesgos se puede aplicar a toda la organización, en todas sus áreas y niveles, en cualquier momento, así como

Cuando la gestión de riesgos se implementa, le permite a la organización:

Aumentar la probabilidad de alcanzar los objetivos
Cumplir con los requisitos legales, reglamentarios y normas
Mejorar la confianza y honestidad de las partes involucradas
Mejorar los controles
Minimizar las perdidas

PROCESO PARA LA GESTIÓN DEL RIESGO:

1.       Entender la organización o el proceso y su contexto
2.       Identificación de riesgos
3.       Análisis de los riesgos inherentes: Calificación y Evaluación
4.       Valoración de los riesgos: identificación y evaluación de controles
5.       Evaluación de los riesgos Residuales
6.       Tratamiento de los riesgos
7.       Planes de acción
8.       Seguimiento a los planes de acción definidos
9.       Aplicación de acciones preventivas y de mejoramiento
10.   Actualización mapas de riesgos
11.   Seguimiento a las acciones preventivas y de mejoramiento

REFERENCIAS BIBIOGRAFICAS
NTC 5254 - GESTION DE RIESGOS
AS/NZ 4360:2004 - ESTANDAR AUSTRALIANO
NTC 31000 - GESTION DE RIESGO
Guía de para la Administración del riesgo / Departamento Administrativo de la Función Pública
 ntribuir eficientemente
o.

ualquier momento, así como a funciones, proyecto y actividades especificas.

 IDENTIFICACIÓN DE RIESGOS

N. ACTIVIDAD DEL
DESCRIPCIÓN DEL RIESGO CAUSA DEL RIESGO
DE (QUE) (POR QUE) PROCESO
RIESGO (DONDE)

El riesgo se ocasiona debido a los

establecimientos pueden cambiar
Datos desactualizados o su domicilio y no actualizarlo en
sus plataformas, por ende cuando
R1 incorrectos de los el usuario quiera asistir al Area de Comunicacion
restaurantes
restaurante recomendado por la
aplicacion puede que acuda a un
lugar incorrecto o inexistente

Al usar la plataforma los usuarios

deben realizar un registro de datos
para poder calificar los
Vulneracion de los datos de
R2 los usuarios restaurantes, alli registran datos Area tecnologica
personales que pueden verse
vulnerados en un ataque por
hackers
 Baja adopcion de la El riesgo se puede ocasionar por
R3 aplicacion por parte de los un diseño poco intuitivo de la Area Tecnologica
usuarios plataforma

El riesgo se ocasiona cuando hay

R4 Competencia de otras aplicaciones que llevan mas Area marketing y
aplicaciones tiempo en el mercado y la nuestra desarrollo
no destaca sobre ellas

El riesgo aparece cuando la

aplicación depende de un servidor
Dependencia Tecnologica especifico, que puede ser on Area tecnologica
premise o cloud, para funcionar
correctamente.

R5
E RIESGOS ANÁLISIS DEL RIESGO IN

CALIFICACIÓN

IMPACTO CLASIFICACIÓN DEL

RIESGO PROBABILIDAD IMPACTO

Al no tener los datos actualizados los

usuarios puede que asistan a lugares
equivocos o inexistentes y por ende la
aplicacion puede tener calificaciones bajas al ESTRATÉGICOS PROBABLE MODERADO
no recomendar los lugares publicados de
forma correcta

La aplicacion puede ser victima de ataques

ciberneticos y por ende se ven afectados los
usuarios en conjunto con los datos que hayan
registrado, lo cual puede dar mala reputacion TECNOLOGÍA RARO MAYOR
a la aplicacion al estar expuestos los datos de
los usuarios.
Al ser poco intuitiva la plataforma se puede
presentar que los usuarios no quieran usarla
TECNOLOGÍA POSIBLE MENOR
o sea un proceso complejo y por ellos
desistan de probarla

Se puede presentar el riesgo al no ofrecer un

factor diferenciador con nuestra aplicacion ESTRATÉGICOS PROBABLE MODERADO
frente a otras.

en caso de haber fallos con el servidor o con

la plataforma en la nube por ende se
ocasionaran fallos en la aplicación TECNOLOGÍA PROBABLE MODERADO
inhabilitando su funcionamiento.
NÁLISIS DEL RIESGO INHERENTE

EVALUACIÓN IDENTIFICACIÓN DE CONTROLES

TRATAMIENTO DEL N.
ZONA DE RIESGO
O SEVERIDAD RIESGO SEGÚN LA DE
SEVERIDAD CONTROL

* Reducir el riesgo

* Evitar el riesgo
Alto C1
* Compartir o
transferir el riesgo

* Reducir el riesgo

* Evitar el riesgo
Alto C2
* Compartir o
transferir el riesgo
 * Reducir el riesgo
* Evitar el riesgo
Moderado C3
* Compartir o
transferir el riesgo

* Reducir el riesgo

* Evitar el riesgo C4
Alto
* Compartir o
transferir el riesgo

* Reducir el riesgo

* Evitar el riesgo
Moderado C5
* Compartir o
transferir el riesgo
Quién lleva a cabo el control (Responsable)
Frecuencia del Control (Cada cuanto se realiza)
Qué busca hacer el control (objetivo)
Cómo se lleva a cabo el control (procedimiento)
Que pasa con las desviaciones y/o excepciones
(Investigación y análisis)
Evidencia de la ejecución del control (La firma no es
evidencia suficiente de que un control se ejecuto)

VALORACIÓN DE RI

IDENTIFICACIÓN DE CONTROLES

¿EXISTEN HERRAMIENTAS PARA

DESCRIPCIÓN DEL CONTROL EJERCER EL CONTROL?

PROBABILIDAD / IMPACTO

El encargado de este control es el jefe de tecnologia,

se realizara el control en un periodo no superior a 30
dias, consistira en contrastar la informacion
suministrada directamente con los propietarios y se 15
actualizara en el sistema. Este seguimiento quedara
documentado y registrado en un acta que debe ser
presentada al director de area o proyecto

El encargado del control es el jefe del departamento

de tecnologia, se realizara un control mensual,
buscando salvaguardas para evitar ataques
ciberneticos a la aplicacion, se llevara a
implementara el seguimiento en conjunto con la 15
contratacion de un software que brinde seguridad
cibernetica a la aplicacion. Este seguimiento quedara
documentado y registrado en un acta que debe ser
presentada al director de area o proyecto
 El encargado del control es el jefe de tecnologia en
conjunto con el programador, se realizara un
seguimiento mensual, buscando estrategias y
mejoras que puedan realizarse a la aplicacion de 15
manera de pueda ser mas intuitiva. Este seguimiento
quedara documentado y registrado en un acta que
debe ser presentada al director de area o proyecto.

El encargado del control es el director del proyecto,

en conjunto con los jefes de cada area debera realizar
un control mensual para evaluar los factores que
pueden mejorarse para que la apliacion tenga mas 15
relevancia entre los usuarios. Se realizara un acta y se
dejara documentado lo procesos a mejorar y
acciones a llevar a cabo.

El encargado del control es el jefe del area

tecnologica, se debe realizar un control quincenal
sobre el funcionamiento de la aplicación en conjunto
con el servidor; de igual manera ver el
funcionamiento del servidor y revisar las 15
oportunidades de mejora en caso de necesitarse. Se
entregara un informe al director del proyecto en base
a la labor realizada
 VALORACIÓN DE RIESGOS

EVALUACIÓN DE CONTROLES

¿ESTÁN DEFINIDOS LOS RESPONSABLES ¿LA HERRAMIENTA PARA EJERCER EL ¿LA FRECUENCIA DE EJECUCIÓN DEL
DE LA EJECUCIÓN DEL CONTROL Y DEL CONTROL Y SEGUIMIENTO ES
CONTROL, SE APLICA?
SEGUIMIENTO? ADECUADA?

PROBABILIDAD / IMPACTO PROBABILIDAD / IMPACTO PROBABILIDAD / IMPACTO

15 0 25

15 0 25
15 0 25

15 0 25

15 0 25
 EVALUACIÓN DEL RIESGO RESIDUAL

CALIFICACIÓN EVALUACIÓN

¿EL CONTROL HA DEMOSTRADO SER ZONA DE

EFECTIVO? TOTAL PROBABLIDAD
/ IMPACTO PROBABILIDAD IMPACTO RIESGO O
SEVERIDAD
PROBABILIDAD / IMPACTO

0 55 PROBABLE MENOR

0 55 RARO MODERADO
0 55 POCO PROBABLE MENOR

0 55 POSIBLE MODERADO

0 55 POSIBLE MENOR

0
0
GO RESIDUAL PLANES DE ACCIÓN

EVALUACIÓN
No
DESCRIPCIÓN FECHA DE
TRATAMIENTO DEL ACCIÓN DE LA ACCIÓN INICIO
RIESGO PREVENTIVA

Establecer programas
de recompensas y
beneficios para
REDUCIR A1 incentivar la 4/1/2024
participación activa de
los usuarios y
beneficiarios.

Establecer políticas y
procedimientos de
seguridad claros y
REDUCIR A2 comunicarlos a todos 4/1/2024
los miembros del
equipo.
ACEPTAR A3 4/1/2024
Solicitar comentarios y
sugerencias de los
usuarios para mejorar
constantemente la
experiencia de uso.

Realizar un análisis
periódico del mercado
y la competencia para
REDUCIR A4 identificar nuevas 4/1/2024
características y
tendencias relevantes.

Establecer planes de
contingencia y realizar
copias de seguridad
regulares de los datos
REDUCIR A5 para minimizar el 4/1/2024
impacto de posibles
interrupciones o fallas.
 SEGUIMIENTO A LOS PLANES DE
LANES DE ACCIÓN ACCIÓN

RESPONSABLE RESULTADO DEL

FECHA DE FINALIZACIÓN (Nombre y cargo) FECHA SEGUIMIENTO

Juan Gonzales - Jefe

Aun no esta definida de tecnologia

Juan Gonzales - Jefe

Aun no esta definida de tecnologia
 Juan Gonzales - Jefe
Aun no esta definida
de tecnologia

Aun no esta definida Katherine Martinez -

Director de Proyecto

Juan Gonzales - Jefe

Aun no esta definida de tecnologia
 MAPA DE RIESGOS INHERENTES PROCESO:

Probabilidad/Impacto Insignificante Menor Moderado Mayor Catastrófico

Casi Cierto

Probable R1 - R4

Posible R3 R5

Poco probable

Raro R2

Probabilidad/Impacto Insignificante (1) Menor (5) Moderado (25) Mayor (125) Catastrófico (625)
Casi Cierto (5) 5 25 125 625 3125
Probable (4) 4 20 100 500 2500
Posible (3) 3 15 75 375 1875
Poco probable (2) 2 10 50 250 1250
Raro (1) 1 5 25 125 625

RESULTADO
Menor o Igual a 10 Bajo
Entre 15 y 75 Moderado
Entre 100 y 500 Alto
Mayor a 625 Extremo
SEVERIDAD DEL RIESGO

Bajo

Moderado

Alto

Extremo
 MAPA DE RIESGOS RESIDUAL PROCESO:

Probabilidad/Impacto Insignificante Menor Moderado Mayor Catastrófico

Casi Cierto

Probable R1

Posible R5 R4

Poco probable R3

Raro R2

Probabilidad/Impacto Insignificante (1) Menor (5) Moderado (25) Mayor (125) Catastrófico (625)
Casi Cierto (5) 5 25 125 625 3125
Probable (4) 4 20 100 500 2500
Posible (3) 3 15 75 375 1875
Poco probable (2) 2 10 50 250 1250
Raro (1) 1 5 25 125 625

RESULTADO
Menor a Igual a 10 Bajo
Entre 15 y 75 Moderado
Entre 100 y 500 Alto
Mayor a 625 Extremo
SEVERIDAD DEL RIESGO

Bajo

Moderado

Alto

Extremo
 CLASIFICACIÓN DE LOS RIESGOS
Son aquellos que se asocian con toda posibilidad de que suceda algo relacionado con el cumplimiento de los objetivos
ESTRATÉGICOS estratégicos y la misión institucional, la sostenibilidad y subsistencia de la entidad en el corto, mediano y largo plazo.

Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la entidad, tiene que ver con
IMAGEN conocimiento de prácticas corruptas, manejo desacertado de los medios de comunicación, insatisfacción ciudadana
por el mal servicio, incumplimiento de planes, programas y proyectos.

Son aquellos relacionados con la parte operativa y técnica de la entidad que provienen de la operación cotidiana y
específica de cada proceso. Dentro de ellos se pueden encontrar deficiencias en los flujos de información y
OPERATIVO comunicación, cifras, así como desarticulación entre procesos, debilidades en infraestructura, dotación y talento
humano, lo cual conduce a ineficiencias, corrupción e incumplimiento de los objetivos institucionales.

Son aquellos asociados a la probabilidad de que un evento adverso o alguna fluctuación financiera reporte
FINANCIERO consecuencias negativas en una empresa; hace referencia a la incertidumbre producida en el rendimiento de una
inversión o a los sobrecostos o perdidas economicas como consecuación de una acción dentro de la empresa.

Son todos los relacionados con la capacidad de la entidad para cumplir con los requisitos, aca están inmersos los
CUMPLIMIENTO requisitos regulativos, legales, contractuales, políticas internas, solicitudes de información, ética, calidad, entre otros.

Son los relacionados con la capacidad de la entidad, para que la tecnología disponible y proyectada satisfaga las
necesidades actuales, futuras y de soporte de la entidad. Esto tiene que ver con Software (compatibilidad,
TECNOLOGÍA configuración), Hardware (capacidades, desempeños, obsolescencia), Sistemas (Diseños, especificidades,
complejidad)

AMBIENTALES Y DE Son aquellos generados por la exposición a factores internos y externos que afectan el medio ambiente de la entidad
SALUD (la contaminación, ambientes poco saludables, malos hábitos) inherentes a las actividades que desarrolla en cada
OCUPACIONAL proceso.
PROBABILIDAD:

La probabilidad de ocurrencia es la posibilidad que un evento se materialice. Para determinar la probabilidad se puede utilizar
el análisis cualitativo o cuantitativo, así como la estadística de la situación. El análisis cualitativo se utiliza para aquellos casos en
los cuales no existen datos para generar estadísticas; ésta se asocia al criterio de frecuencia (medida de las veces que se sucede
un evento expresado como la cantidad de ocurrencias en un tiempo dado).

TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN (FACTIBILIDAD) FRECUENCIA CALIFICACION
El evento puede ocurrir solo en circunstancias No se ha presentado en
1 RARO 1
excepcionales los últimos 5 años.

2 POCO PROBABLE El evento puede ocurrir en algún momento. Al menos de 1 vez en los 2
últimos 5 años.
Al menos de 1 vez en los
3 POSIBLE El evento podría ocurrir en algún momento. 3
últimos 2 años.
El evento probablemente ocurrirá en la mayoría de Al menos de 1 vez en el
4 PROBABLE 4
las circunstancias. último año.

5 CASI CIERTO Se espera que el evento ocurra en la mayoría de las Más de 1 vez al año. 5
circunstancias.

EFECTO EN LA PROBABILIDAD DESPUÉS DE EVALUAR LOS CONTROLES

PUNTAJE RESPUESTA
PREGUNTAS
AFIRMATIVA NEGATIVA

¿EXISTE UNA HERRAMIENTA PARA EJERCER EL CONTROL?

1 15 0

¿ESTÁN DEFINIDOS LOS RESPONSABLES DE LA EJECUCIÓN DEL

CONTROL Y DEL SEGUIMIENTO?
2 15 0
 ¿LA HERRAMIENTA PARA EJERCER EL CONTROL, SE APLICA?
3 15 0

¿LA FRECUENCIA DE EJECUCIÓN DEL CONTROL Y SEGUIMIENTO ES

ADECUADA?
4 25 0

¿EL CONTROL HA DEMOSTRADO SER EFECTIVO?

5 30 0
TOTAL 100 0

RESULTADO
0 a 50 puntos No hay disminución de Nivel de probabilidad
51 a 75 puntos Se disminuye en 1 nivel de probabilidad
76 a 100 puntos Se disminuye en 2 niveles de probabilidad
IMPACTO:

La magnitud del impacto es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, pe
definen rangos sobre los resultados posibles asociados a un evento.

TABLA DE IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
El evento no afectaría de manera importante la
1 INSIGNIFICANTE
continuidad del proceso ni sus resultados
El evento no afectaría la continuidad; pero si
2 MENOR
levemente los resultados esperados del proceso

De persistir el evento podría afectar la continuidad del

3 MODERADO
proceso, u afectaría mesuradametne los resultados

El evento puede interrumpir temporalmente la

4 MAYOR continuidad del proceso; y/o generar pérdidad
considerables
El evento puede interrumpir la continudidad del
5 CATASTRÓFICO proceso; y severamente sus resultados

EFECTO EN LA IMPACTO DESPUÉS DE EVALUAR LOS CONTROLES

PREGUNTAS

¿EXISTE UNA HERRAMIENTA PARA EJERCER EL CONTROL?

1

¿ESTÁN DEFINIDOS LOS RESPONSABLES DE LA EJECUCIÓN DEL CONTROL Y

DEL SEGUIMIENTO?
2

¿LA HERRAMIENTA PARA EJERCER EL CONTROL, SE APLICA?

3

¿LA FRECUENCIA DE EJECUCIÓN DEL CONTROL Y SEGUIMIENTO ES ADECUADA?

¿EL CONTROL HA DEMOSTRADO SER EFECTIVO?

5
TOTAL

RESULTADO
0 a 50 puntos No hay disminución de Nivel de impacto
51 a 75 puntos Se disminuye en 1 nivel de impacto
76 a 100 puntos Se disminuye en 2 niveles de impacto
titativamente, sea este una pérdida, perjuicio o desventaja. Se

CTO
MONTO DEL IMPACTO CALIFICACION

1 SMLV 1

10 SMLV 5

50 SMLV 25

100 SMLV 125

200 SMLV 625

EVALUAR LOS CONTROLES

PUNTAJE RESPUESTA
AFIRMATIVA NEGATIVA

15 0

15 0

15 0

25 0

30 0
100 0
TRATAMIENTO DEL RIESGO:
El tratamiento de los riesgo consiste en identificar las opciones para mitigar/tratar los riesgos
se realizar la evaluación de dichas opciones, se preparan los planes de mitigación de riesgos y
su implementación. Sin embargo, la Organización puede decidir aceptar el riesgo sin tomar
acciones adicionales.

TRATAMIENTO DEL RIESGO

DESCRIPTOR DESCRIPCIÓN

No se emprende ninguna acción que afecte la probabilidad o

ACEPTAR
el impacto del riesgo.

Se implementan controles y sus acciones de manejo del

REDUCIR riesgo orientadas a disminuir la probabilidad de
materialización del riesgo.

EVITAR Supone salir de las actividades que generan riesgos.

Implica disminuir la probabilidad o el impacto del riesgo

COMPARTIR
trasladandolo o compartiendo una parte del riesgo.

Implica llevar a cabo acciones para minimizar la probabilidad

REDUCIR
o el impacto del riesgo o ambos conceptos a la vez.

OPCIONES DE MANEJO DEL RIESGO SEGÚN SU SEVERIDAD

SEVERIDAD DEL RIESGO OPCIONES DE TRATAMIENTO DEL RIESGO

 Bajo * Asumir el riesgo

* Asumir el riesgo
Moderado
* Reducir el riesgo

* Reducir el riesgo

Alto * Evitar el riesgo

* Compartir o transferir el riesgo

* Reducir el riesgo

Extremo * Evitar el riesgo

* Compartir o transferir el riesgo

OPCIONES DE TRATAMIENTO DEL RIESGO
Se asume el riesgo.
Si el riesgo inherente se ubica en la zona baja, se debe revisar si éste riesgo amerita o
no, que se incluya en el mapa de riesgos, para su administración.

Se asume el riesgo.
Reducir el riesgo: Se implementan controles y sus acciones de manejo del riesgo
orientadas a disminuir la probabilidad de materialización del riesgo Y/O controles y sus
acciones de manejo del riesgo , orientadas a disminuir el impacto de la materialización del
riesgo. Lo anterior con el propósito de llevar el riesgo a la zona baja.

Reducir y evitar el riesgo: Se implementan controles y sus acciones de manejo del riesgo,
orientadas a disminuir o evitar la materialización del riesgo Y/O controles y sus acciones
de manejo del riesgo orientadas a disminuir o evitar el impacto de la materialización del
riesgo. Lo anterior con el propósito de llevar el riesgo a zona moderada.
Compartir o transferir el riesgo: se podría establecer el mantenimiento de pólizas de
seguros, tercerización, entre otras; como controles o acciones de manejo del riesgo
enfocadas a la protección. Esta opción de manejo se deberá tener en cuenta, con base
en la capacidad del proceso y/o la entidad, para asumir las consecuencias del impacto
producido por la materialización del riesgo.

Reducir y evitar el riesgo: Se implementan controlesy sus acciones de manejo del riesgo,
orientadas a disminuir o evitar la materialización del riesgo Y/O controles y sus acciones
de manejo del riesgo orientadas a disminuir o evitar el impacto de la materialización del
riesgo.
Compartir o transferir el riesgo: teniendo en cuenta que en esta zona de riesgo se pueden
producir pérdidas considerables para el proceso y/o la entidad, se hace necesario que se
implementen controles de protección y sus acciones de manejo del riesgo, en los cuales
se involucren pólizas, tercerizaciones, entre otras medidas que protejan el proceso y/o la
entidad.
Actividades de Control:
Las actividades de control son las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo
las instrucciones de la Dirección para mitigar los riesgos que inciden en el cumplimiento de los objetivos.

Tipos de controles por su oportunidad:

-          preventivos
-          Detectivos
-          correctivos

Tipos de controles por su naturaleza:

-          Manual
-          Automatico
-          Semiautomatico

Se identifican los controles y se determina si estan bien diseñados para mitigar las causas y si funcionan tal como fueron diseñados.

Aspectos Claves de Diseño a Identificar en un Control:

Quién lleva a cabo el control (Responsable)

Frecuencia del Control (Cada cuanto se realiza)
Qué busca hacer el control (objetivo)
Cómo se lleva a cabo el control (procedimiento)
Que pasa con las desviaciones y/o excepciones (Investigación y análisis)
Evidencia de la ejecución del control (La firma no es evidencia suficiente de que un control se ejecuto)

Para que desde la lectura se pueda hacer una idea preliminar del diseño del control y que realmente sea un control, redactarlo en el siguinte orden:
Quien – Frecuencia - Cuando - Que - Como - Que pasa si hay excepciones - Evidencia

Documentación del Control :

La documentación del control es parte fundamental del control interno por que:
-          Aporta Claridad a las funciones. (quien, que, como, cuando, evidencia).
-          Ayuda en la formación de nuevo personal
-          Constituye un medio para conservar el conocimiento de la organización
-          Información actualizada y referencia para el resto de los empleados
-          Establece expectativa de desempeño y conducta.

Un control bien diseñado:

Mitiga la Causa Asociada
La frecuencia del control permite identificar un error oportunamente
La persona que ejecuta el control tiene el conocimiento y la experiencia suficiente.
Existe segregación de funciones en quien hace la actividad y el que ejecuta el control.
La Información utilizada para realizar el control es adecuada y confiable.
Las excepciones resultantes de ejecutar el control son resueltas oportunamente
Es posible reprocesar la actividad de control de acuerdo a las evidencias y soportes anexos de su ejecución.
siguinte orden: