Manual-Administración-de-Riesgos MININTERIOR

PLANEACIÓN Y
PROCESO DIRECCIONAMIENTO ESTRATÉGICO VERSIÓN 02

Y COMUNICACIONES
METODOLOGÍA PARA LA PÁGINA 1 de 33
ADMINISTRACIÓN DE RIESGOS DE
MANUAL FECHA
GESTIÓN, CORRUPCIÓN Y 20/10/2022
SEGURIDAD DE LA INFORMACIÓN VIGENCIA
METODOLOGÍA PARA LA
ADMINISTRACIÓN DE
RIESGOS DE GESTIÓN,
CORRUPCIÓN Y
SEGURIDAD DE LA
INFORMACIÓN
Oficina Asesora de Planeación
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Tabla de contenido
1. OBJETIVO ..................................................................................................................... 3
2. ALCANCE ...................................................................................................................... 3
3. CONDICIONES GENERALES ....................................................................................... 3
4. DEFINICIONES O GLOSARIO ...................................................................................... 3
5. DESCRIPCIÓN DEL MANUAL ...................................................................................... 5
5. CONTROL DE CAMBIOS ............................................................................................ 33
6. CONTROL DE FORMALIZACIÓN ............................................................................... 33
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
1. OBJETIVO
Administrar todo tipo de riesgo que pueda afectar el logro de los objetivos planificados por la
entidad, atendiendo los lineamientos de la política de administración de riesgos, desarrollando los
pasos señalados por esta metodología; con el propósito de prevenir las posibles desviaciones que
puedan presentarse en la operación de los procesos y reducir el nivel de los daños e impactos que
puedan ocasionarse como consecuencia de la materialización de los riesgos.
…
2. ALCANCE
Este documento es aplicable al desarrollo de todos los pasos establecidos para la administración
de los riesgos identificados y sus correspondientes desagregaciones y tipologías; así como a todos
los procesos, sus responsables y a todo el personal de la entidad que participa en la operación de
dichos procesos, conforme las responsabilidades establecidas en las líneas de defensa señaladas
en la Política de Administración del Riesgo de la entidad.
…
3. CONDICIONES GENERALES
3.1 Una vez realizada la fase de valoración del riesgo después de definidos los controles se debe
aplicar la opción de tratamiento. Esto se define a partir de datos cuantitativos del nivel de riesgo
residual, de la importancia del riesgo, lo cual incluye el efecto que puede tener sobre la entidad,
la probabilidad e impacto de este y la relación costo-beneficio de las medidas de tratamiento.
4. DEFINICIONES O GLOSARIO
 Activo: En el contexto de seguridad digital son elementos tales como aplicaciones de la
organización, servicios web, redes, Hardware, información física o digital, recurso humano,
entre otros, que utiliza la organización para funcionar en el entorno digital.
 Apetito de Riesgo: Cantidad, tipo de riesgo y nivel de riesgo que la entidad está dispuesta a
aceptar o retener, relacionado con sus Objetivos, el marco legal y las disposiciones de la Alta
Dirección y del Órgano de Gobierno. El apetito de riesgo puede ser diferente para los distintos
tipos de riesgos que la entidad debe o desea gestionar.
 Capacidad de riesgo: Es el máximo valor del nivel de riesgo que una Entidad puede soportar
y a partir del cual se considera por la Alta Dirección y el Órgano de Gobierno que no sería
posible el logro de los objetivos de la Entidad.
 Causa: todos aquellos factores internos y externos que solos o en combinación con otros,
pueden producir la materialización de un riesgo
 Causa Inmediata: Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen
la causa principal o base para que se presente el riesgo
 Causa Raíz: Causa principal o básica, corresponde a las razones por la cuales se puede
presentar el riesgo.
 Confidencialidad: Propiedad de la información que la hace no disponible o sea divulgada a

individuos, entidades o procesos no autorizados.
 Consecuencia: los efectos o situaciones resultantes de la materialización del riesgo que

impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.
 Control: Medida que permite reducir o mitigar un riesgo.
 Criterios de Aceptabilidad del Riesgo: Definición organizacional que determina cuando un

riesgo debe contar con un tratamiento específico dependiendo de su calificación residual.
 Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una entidad.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
 Factores de riesgo: Son las fuentes generadoras de riesgos.
 Integridad: Propiedad de exactitud y completitud.
 Impacto: las consecuencias que puede ocasionar a la organización la materialización del

riesgo.
 MECI: Modelo Estándar de Control Interno.
 MIPG: Modelo Integrado de Planeación y Gestión.
 Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de

ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento
traería sobre la capacidad institucional de alcanzar los objetivos.
 Nivel de Aceptación del Riesgo: Decisión informada de tomar un riesgo.
 Plan de Contingencia de Riesgos: Son las respuestas estratégicas que se utilizan

solamente si el riesgo ocurre. En los planes de contingencia se planifican ciertas acciones
que se ponen en marcha sólo si las señales de advertencia se disparan, no se gastan recursos
por adelantado y no trata de cambiar la probabilidad e impacto de un riesgo, pero planifica
como controlarlo en caso de que ocurra.
 Probabilidad: Se entiende la posibilidad de ocurrencia del riesgo. Estará asociada a la

exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente
será el número de veces que se pasa por el punto de riesgo en el periodo de 1 año.
 Riesgo: Efecto que se causa sobre los objetivos de las entidades, debido a eventos
potenciales. Nota: Los eventos potenciales hacen referencia a la posibilidad de incurrir en
pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la
tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.
 Riesgos de corrupción: Posibilidad de que por acción u omisión, se use el poder para
desviar la gestión de lo público hacia un beneficio privado.
 Riesgo de Seguridad de la Información: Posibilidad de que una amenaza concreta pueda

explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.
Suele considerarse como una combinación de la probabilidad de un evento y sus
consecuencias. (ISO/IEC 27000).
 Riesgo Inherente: Nivel de riesgo propio de la actividad. El resultado de combinar la

probabilidad con el impacto, nos permite determinar el nivel del riesgo inherente, dentro de
unas escalas de severidad
 Riesgo Residual: El resultado de aplicar la efectividad de los controles al riesgo inherente.
 Tolerancia del riesgo: Riesgo que una entidad o grupo de interés está preparado a manejar
después de que el riesgo ha sido tratado (riesgo residual). Es decir, es el valor de la máxima
desviación admisible del nivel de riesgo con respecto al valor del apetito de riesgo
determinado por la entidad.
 Tratamiento del Riesgo: Proceso para modificar el riesgo.
 Vulnerabilidad: Representan la debilidad de un activo o de un control que puede ser

explotada por una o más amenazas.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
5. DESCRIPCIÓN DEL MANUAL

…
Antes de dar inicio al desarrollo de la metodología para la administración de riesgos, es preciso
revisar e indagar sobre todos aquellos factores, elementos y actividades críticas, así como la
complejidad, normatividad aplicable, misión, visión, procesos, planeación institucional, objetivos,
estructura, cultura, recursos, entre otros aspectos, lo anterior con el fin de conocer y comprender la
entidad, contar con una visión holística y un análisis integral del entorno general en que esta realiza
su operación; una vez comprendido lo anterior se da inicio al desarrollo de la metodología para la
administración de riesgos en el Ministerio del Interior.
5.1 Política de Administración de Riesgos
La política de administración de riesgos contiene la declaración e intenciones de la Alta Dirección,

establece los lineamientos y límites de actuación respecto de la administración de riesgos, por lo que
para su definición y establecimiento es pertinente:
- Revisar y analizar toda la información de carácter interno y externo que pueda afectar la
operación de la entidad.
- Asegurarse de que la política documentada contenga:
 Objetivo: se debe establecer su alineación con los objetivos estratégicos de la entidad y

gestionar los riesgos a un nivel aceptable.
 Alcance: la administración de riesgos debe ser extensible y aplicable a todos los procesos,
planes, programas y proyectos de la entidad. Las particularidades que presentan los
riesgos de corrupción y seguridad de la información, en especial en el análisis del impacto,
su gestión se realiza de acuerdo con criterios diferenciales previstos en las tablas para
calificar el impacto en cada caso.
 Términos y definiciones: relacionados con la administración del riesgo que sean
relevantes para que todo el personal de la entidad entienda su contenido y aplicación.
 Estructura para la administración del riesgo.
- Metodología para la gestión del riesgo: se deben destacar cada uno de los pasos que
deben surtirse para una adecuada administración de riesgos, indicando todos aquellos
lineamientos que en cada paso de dicha metodología sean necesarios para que todos los
procesos puedan iniciar con los análisis correspondientes, incluyendo los aspectos
relevantes sobre los factores de riesgo estratégicos para la entidad.
- Herramientas para la gestión del riesgo: se deben explicar las herramientas
establecidas para la administración del riesgo, de tal forma que todo el personal de la
entidad comprenda su aplicación.
- Niveles de aceptación del riesgo: se deben establecer los niveles de aceptación de
desviación relativa al logro de los objetivos, los mismos están asociados a la estrategia de
la entidad y pueden considerarse para cada uno de los procesos. Los riesgos de corrupción
son inaceptables.
- Niveles para calificar el impacto: se deben establecer los criterios para definir el nivel de
impacto ya sea económico y reputacional o en términos de frecuencia o factibilidad, como
las variables principales.
 Periodicidad para el seguimiento de acuerdo con el nivel del riesgo residual: la
política debe indicar claramente los tiempos o periodos dentro de la respectiva vigencia en
que se debe realizar el seguimiento.
 Medidas de tratamiento de riesgos: con base en el análisis y evaluación de controles se
debe establecer las opciones de tratamiento del riesgo.
 Líneas de responsabilidad frente a la gestión del riesgo: se deben indicar las líneas de
responsabilidad y sus responsabilidades, frente a la administración de riesgos.
Una vez documentada y sometida a consulta, la política debe ser establecida por la Alta Dirección,
con el liderazgo del representante legal y con la participación del Comité Institucional de Coordinación
de Control Interno, publicada en la página web de la entidad y socializada al personal para
conocimiento y aplicación.
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
5.2 Identificar los riesgos
Esta etapa tiene como objetivo identificar los riesgos que estén o no bajo el control de la organización,
para ello se debe tener en cuenta el contexto estratégico en el que opera la entidad, la caracterización
de cada proceso que contempla su objetivo y alcance y, también, el análisis frente a los factores
internos y externos que pueden generar riesgos que afecten el cumplimiento de los objetivos.
Se aplican las siguientes fases:
5.2.1 Análisis de objetivos estratégicos y de los procesos:
Este paso es muy importante, dado que todos los riesgos que se identifiquen deben tener impacto
en el cumplimiento del objetivo estratégico o del proceso.
 Análisis de objetivos estratégicos: la entidad debe analizar los objetivos estratégicos e

identificar los posibles riesgos que afectan su cumplimiento y que puedan ocasionar su éxito
o fracaso.
Es necesario revisar que los objetivos estratégicos se encuentren alineados con la misión y
la visión institucional, así como, analizar su adecuada formulación, es decir que contengan
las siguientes características mínimas: especifico, medible, alcanzable, relevante y
proyectado en el tiempo (SMART por sus siglas en ingles).
 Análisis de los objetivos de proceso: los objetivos de proceso deben ser analizados con base
en las características mínimas explicadas en el punto anterior, pero además, se debe revisar
que los mismos estén alineados con la misión y la visión, es decir, asegurar que los objetivos
de proceso contribuyan a los objetivos estratégicos.
5.2.2 Identificación de los puntos de riesgo.
Son actividades dentro del flujo del proceso donde existe evidencia o se tienen indicios de que
pueden ocurrir eventos de riesgo operativo y deben mantenerse bajo control para asegurar que el
proceso cumpla con su objetivo.
5.2.3 Identificación de áreas de impacto.
El área de impacto es la consecuencia económica o reputacional a la cual se ve expuesta la

organización en caso de materializarse un riesgo. Los impactos que aplican son afectación
económica (o presupuestal) y reputacional.
5.2.4 Identificación de áreas de factores de riesgo:
Son las fuentes generadoras de riesgos. En la Tabla 1 encontrará un listado con ejemplo de factores
de riesgo que puede tener una entidad.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Tabla 1. Factores de Riesgo
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Fuente: DAFP, 2020. Guía para la Administración del Riesgo y el diseño de controles en entidades públicas, V.5.
5.2.5 Descripción del riesgo
La descripción del riesgo debe contener todos los detalles que sean necesarios y que sea fácil de
entender tanto para el líder del proceso como para personas ajenas al proceso. Se propone una
estructura que facilita su redacción y claridad que inicia con la frase POSIBILIDAD DE y se analizan
los siguientes aspectos:
Figura 1. Estructura propuesta para la redacción del riesgo
La anterior estructura evita la subjetividad en la redacción y permite entender la forma como se puede
manifestar el riesgo, así como sus causas inmediatas y causas principales o raíz, esta es información
esencial para la definición de controles en la etapa de valoración del riesgo.
Desglosando la estructura propuesta tenemos:
 Impacto: las consecuencias que puede ocasionar a la organización la materialización del

riesgo.
 Causa inmediata: circunstancias o situaciones más evidentes sobre las cuales se presenta
el riesgo, las mismas no constituyen la causa principal o base para que se presente el riesgo.
 Causa raíz: es la causa principal o básica, corresponden a las razones por la cuales se puede
presentar el riesgo, son la base para la definición de controles en la etapa de valoración del
riesgo. Se debe tener en cuenta que para un mismo riesgo pueden existir más de una causa
o subcausas que pueden ser analizadas.
Ejemplo:
Proceso: gestión de recursos

Objetivo: adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la
entidad para su continua operación
Alcance: inicia con el análisis de necesidades para cada uno de los procesos de la entidad
(plan anual de adquisidores) y termina con las compras y contratación requeridas bajo las
especificaciones técnicas y normativas establecidas.
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Atendiendo el esquema propuesto para la redacción del riesgo, tenemos:
Figura 2. Ejemplo aplicado bajo la estructura propuesta para la redacción del riesgo
Posibilidad de incurrir en afectación económica por multas o sanciones, debido a adquisición de

bienes y servicios fuera de los requerimientos normativos.
Premisas para una adecuada redacción del riesgo
 No describir como riesgos omisiones ni desviaciones del control.

Ejemplo: errores en la liquidación de la nómina por fallas en los procedimientos existentes.
 No describir causas como riesgos

Ejemplo: inadecuado funcionamiento de la plataforma estratégica donde se realiza el
seguimiento a la planeación.
 No describir riesgos como la negación de un control.

Ejemplo: retrasos en la prestación del servicio por no contar con digiturno para la atención.
 No existen riesgos transversales, lo que pueden existir son causas transversales.

Ejemplo: pérdida de expedientes.
Puede ser un riesgo asociado a la gestión documental, a la gestión contractual o jurídica y en cada
proceso sus controles son diferentes.
5.2.6 Identificación y descripción de riesgo de corrupción:
Es la posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público
hacia un beneficio privado.
“Esto implica que las prácticas corruptas son realizadas por actores públicos y/o privados con poder
e incidencia en la toma de decisiones y la administración de los bienes públicos” (CONPES No. 167
de 2013).
Es necesario que en la descripción del riesgo concurran los componentes de su definición, así:
Los riesgos de corrupción se establecen sobre procesos.
El riesgo debe estar descrito de manera clara y precisa. Su redacción no debe dar lugar a
ambigüedades o confusiones con la causa generadora de los mismos.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Con el fin de facilitar la identificación de riesgos de corrupción y evitar que se presenten confusiones
entre un riesgo de gestión y uno de corrupción, se sugiere la utilización de la matriz de definición
de riesgo de corrupción, que incorpora cada uno de los componentes de su definición.
De acuerdo con la siguiente matriz, si se marca con una X en la descripción del riesgo que aparece
en cada casilla quiere decir que se trata de un riesgo de corrupción:
Figura 3. Ejemplo aplicado bajo la estructura propuesta para la redacción del riesgo
5.2.7 Identificación y descripción del riesgo de seguridad de la información:
Como primer paso para la identificación de riesgos de seguridad de la información es necesario

identificar los activos de información del proceso, con base en el documento “Modelo nacional de
gestión de riesgo de seguridad de la información en entidades públicas”.
Se podrán identificar los siguientes tres (3) riesgos inherentes de seguridad de la información:
 Pérdida de la confidencialidad.
 Pérdida de la integridad.
 Pérdida de la disponibilidad.
Para cada riesgo se deben asociar el grupo de activos, o activos específicos del proceso, y
conjuntamente analizar las posibles amenazas y vulnerabilidades que podrían causar su
materialización. Para este efecto, es necesario consultar el documento “Modelo nacional de gestión
de riesgos de seguridad de la información para entidades públicas” donde se encuentran las
siguientes tablas necesarias para este análisis:
Identificación de Amenazas:
Se plantean los siguientes listados de amenazas, que representan situaciones o fuentes que pueden
hacer daño a los activos y materializar los riesgos. A manera de ejemplo se citan las siguientes
amenazas:
 Deliberadas (D), fortuitas (F) o ambientales (A).
Deliberadas (D): se utiliza para todas las acciones deliberadas de forma voluntaria e intencionada
que tienen como objetivo causar daño a los activos de la información, tales como información,
procesos y sistemas.
Fortuitas (F): se utiliza para todas las acciones humanas que pueden danar accidentalmente los
activos de la información, tales como información, procesos y sistemas.
Ambientales (A): se utiliza para todos los incidentes que no se basan en las acciones humanas.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Tabla 2. Tabla de amenazas comunes
Tipo Amenaza Origen

Fuego F, D, A
Agua F, D, A
Contaminación F, D, A
Daño físico Accidente Importante F, D, A
Destrucción del equipo o medios F, D, A
Polvo, corrosión, congelamiento F, D, A
Fenómenos climáticos A
Fenómenos sísmicos A
Eventos naturales Fenómenos volcánicos A
Fenómenos meteorológicos A
Inundación A
Fallas en el sistema de suministro de agua o aire acondicionado A
Perdida de los servicios Perdida de suministro de energía A
esenciales Falla en equipo de telecomunicaciones D, F
Perturbación debida a la Radiación electromagnética D, F
radiación Radiación térmica D, F
Impulsos electromagnéticos D, F
Interceptación de señales de interferencia comprometida D
Espionaje remoto D
Escucha encubierta D
Hurto de medios o documentos D
Hurto de equipo D
Recuperación de medios reciclados o desechados D
Compromiso de la información Divulgación D, F
Datos provenientes de fuentes no confiables D, F
Manipulación con hardware D
Manipulación con software D
Detección de la posición D, F
Fallas del equipo F
Mal funcionamiento del equipo F
Saturación del sistema de información F
Fallas técnicas Mal funcionamiento del software F
Incumplimiento en el mantenimiento del sistema de información. F
Uso no autorizado del equipo D
Copia fraudulenta del software D
Acciones no autorizadas Uso de software falso o copiado D
Corrupción de los datos D
Procesamiento ilegal de datos D
Error en el uso D, F
Abuso de derechos D
Compromiso de las funciones Falsificación de derechos D
Negación de acciones D
Incumplimiento en la disponibilidad del personal D
Fuente: Mintic, 2018. Lineamientos para la gestión de riesgos de seguridad de la información en entidades públicas
Amenazas dirigidas por el hombre: empleados con o sin intención, proveedores y piratas
informáticos, entre otros.
Tabla 3. Tabla de amenazas dirigida por el hombre
Fuente de amenaza Motivación Acciones amenazantes

Pirata informático, intruso ilegal  Reto
 Piratería
 Ego
 Ingeniería Social
 Rebelión
 Intrusión, accesos forzados al sistema
 Estatus
 Acceso no autorizado
 Dinero
Criminal de la computación  Destrucción de la información  Crimen por computador
 Divulgación ilegal de la información  Acto fraudulento
 Ganancia monetaria  Soborno de la información
 Alteración no autorizada de los datos  Suplantación de identidad
 Intrusión en el sistema
Terrorismo  Chantaje  Bomba/Terrorismo
 Destrucción  Guerra de la información
 Explotación  Ataques contra el sistema DDoS
 Venganza  Penetración en el sistema
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Fuente de amenaza Motivación Acciones amenazantes

 Ganancia política  Manipulación en el sistema
 Cubrimiento de los medios de
comunicación
Espionaje industrial (inteligencia,  Ventaja competitiva  Ventaja de defensa
empresas, gobiernos  Espionaje económico  Ventaja política
extranjeros, otros intereses)  Explotación económica
 Hurto de información
 Intrusión en privacidad personal
 Ingeniería social
 Penetración en el sistema
 Acceso no autorizado al sistema
Intrusos (Empleados con  Curiosidad  Asalto a un empleado
entrenamiento deficiente,  Ego  Chantaje
descontentos, malintencionados,  Inteligencia  Observar información reservada
negligentes, deshonestos o  Ganancia monetaria  Uso inadecuado del computador
despedidos)  Venganza  Fraude y hurto
 Errores y omisiones no intencionales (ej.  Soborno de información
Error en el ingreso de datos, error de  Ingreso de datos falsos o corruptos
programación)  Interceptación
 Código malicioso
 Venta de información personal
 Errores en el sistema
 Intrusión al sistema
 Sabotaje del sistema
 Acceso no autorizado al sistema.
Identificación de vulnerabilidades: la entidad pública puede identificar vulnerabilidades

(debilidades) en las siguientes áreas:
Tabla 4. Tabla de Vulnerabilidades Comunes

Tipo Vulnerabilidades
Mantenimiento insuficiente
Ausencia de esquemas de reemplazo periódico
Sensibilidad a la radiación electromagnética
Hardware Susceptibilidad a las variaciones de temperatura (o al polvo y suciedad)
Almacenamiento sin protección
Falta de cuidado en la disposición final
Copia no controlada
Ausencia o insuficiencia de pruebas de software
Ausencia de terminación de sesión
Ausencia de registros de auditoría
Asignación errada de los derechos de acceso
Interfaz de usuario compleja
Software
Ausencia de documentación
Fechas incorrectas
Ausencia de mecanismos de identificación y autenticación de usuarios
Contraseñas sin protección
Software nuevo o inmaduro
Ausencia de pruebas de envío o recepción de mensajes
Líneas de comunicación sin protección
Red Conexión deficiente de cableado
Tráfico sensible sin protección
Punto único de falla
Ausencia del personal
Entrenamiento insuficiente
Personal Falta de conciencia en seguridad
Ausencia de políticas de uso aceptable
Trabajo no supervisado de personal externo o de limpieza
Uso inadecuado de los controles de acceso al edificio
Áreas susceptibles a inundación
Lugar
Red eléctrica inestable
Ausencia de protección en puertas o ventanas
Ausencia de procedimiento de registro/retiro de usuarios
Ausencia de proceso para supervisión de derechos de acceso
Organización Ausencia de control de los activos que se encuentran fuera de las instalaciones
Ausencia de acuerdos de nivel de servicio (ANS o SLA)
Ausencia de mecanismos de monitoreo para brechas en la seguridad
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Tipo Vulnerabilidades
Ausencia de procedimientos y/o de políticas en general (esto aplica para muchas actividades
que la entidad no tenga documentadas y formalizadas como uso aceptable de activos, control de
cambios, valoración de riesgos, escritorio y pantalla limpia entre otros)
La sola presencia de una vulnerabilidad no causa daños por sí misma, ya que representa únicamente
una debilidad de un activo o un control, para que la vulnerabilidad pueda causar daño, es necesario
que una amenaza pueda explotar esa debilidad. Una vulnerabilidad que no tiene una amenaza puede
no requerir la implementación de un control.
Tabla 5. Tabla de amenazas y vulnerabilidades de acuerdo con el tipo de activo
En la figura 04. se observa un ejemplo de identificación del riesgo sobre un activo como es la base
de datos de nómina.
Figura 4. Formato de descripción del riesgo de seguridad de la información
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
5.2.8 Clasificación del riesgo:
Permite agrupar los riesgos identificados, se clasifica cada uno de los riesgos en las siguientes
categorías:
Figura 5. Clasificación de riesgos
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Teniendo en cuenta que en la figura 05 se definieron una serie de factores generadores de riesgo,
para poder definir la clasificación de riesgos, su interrelación es la siguiente:
Figura 6. Relación ente factores de riesgo y clasificación del riesgo
Clasificación de los riesgos de corrupción:
 Conflicto de intereses
Las siguientes características pueden servir como guía para identificar una situación de conflicto de
intereses:
 Implica una confrontación entre el deber público y los intereses privados del servidor, es decir,
este tiene intereses personales que podrían influenciar negativamente sobre el desempeño de
sus deberes y responsabilidades.
 Son inevitables y no se pueden prohibir, ya que todo servidor público tiene familiares y amigos
que eventualmente podrían tener relación con las decisiones o acciones de su trabajo.
 Pueden ser detectados, informados y desarticulados voluntariamente, antes que, con ocasión de
su existencia, se provoquen irregularidades o corrupción.
 Mediante la identificación y declaración se busca preservar la independencia de criterio y el
principio de equidad de quien ejerce una función pública, para evitar que el interés particular afecte
la realización del fin al que debe estar destinada la actividad del Estado.
 Se puede constituir en un riesgo de corrupción y, en caso de que se materialice, generar
ocurrencia de actuaciones fraudulentas o corruptas.
 Afecta la imagen de transparencia y el normal funcionamiento de la administración pública.
Materialización del conflicto de intereses y corrupción
Como se ha expresado anteriormente, la identificación, declaración y gestión del conflicto de

intereses son prácticas preventivas y complementarias a los principios de acción basados en valores
establecidos en el Código de integridad.
Por ello, es de suma importancia aclarar que el conflicto de intereses no representa, en sí mismo,
corrupción; sin embargo, estos sí se constituyen en riesgos de corrupción o disciplinarios. Ahora, en
caso de que el juicio o la decisión profesional del servidor termina sesgada por el interés particular
y, en consecuencia, obtenga un beneficio directo o indirecto, la situación de conflicto se materializaría
y esto se constituiría en un hecho de corrupción.
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
El siguiente cuadro, elaborado por la Oficina Antifraude de Cataluña, explica las diferencias entre
conflicto de intereses y corrupción:
Tabla 6. Conflicto de intereses y corrupción
Fuente: DAFP, 2019. Guía para la identificación y declaración del conflicto de intereses en el sector público colombiano, V.2.
Considerando la diferenciación de los tipos de conflicto y el carácter situacional de los mismos, se

recomienda fomentar mecanismos preventivos de autorregulación moral (norma social) y ética (valor
subjetivo), a través de la reflexión frente a casos aplicados a situaciones administrativas que generen
dilemas morales y situaciones de conflicto de intereses.
De igual forma, para la regulación del conflicto de intereses se deben aplicar criterios de razonabilidad
y proporcionalidad normativos, donde se integren las situaciones que se consideran como conflicto
de intereses aplicables a cada caso, restringiendo en diversa medida las antedichas libertades,
especialmente en aquellas situaciones de alto riesgo para la gerencia pública.
Finalmente, estas dos líneas de intervención se alinean en la apuesta por un enfoque moderno de la
política de conflicto de intereses, como aquel que pretende lograr un equilibrio a través de la
identificación de riesgos, prohibiendo formas inaceptables de interés privado, dar a conocer las
circunstancias en que pueden surgir conflicto y la garantía de procedimientos eficaces para resolver
situaciones de conflicto de intereses con herramientas de carácter pedagógico y preventivo 1
5.3. Valoración de riesgos
Establecer la probabilidad de ocurrencia del riesgo y el nivel de consecuencia o impacto, con el fin
de estimar la zona de riesgo inicial (Riesgo Inherente), los elementos que lo desarrollan son:
Análisis de riesgos: Se busca establecer la probabilidad de ocurrencia del riesgo y sus

consecuencias o impacto, con el fin de estimar la zona de riesgo de inicial (Riesgo Inherente).
Evaluación de riesgos: Se busca confrontar los resultados del análisis del riesgo inicial frente a los
controles establecidos, con el fin de determinar la zona de riesgo final (Riesgo residual).
5.3.1 Análisis de riesgos
en este punto se busca establecer la probabilidad de ocurrencia del riesgo y sus consecuencias o
impacto.
5.3.1.1 Determinar la probabilidad:
Se entiende como la posibilidad de ocurrencia del riesgo. Para efectos de este análisis, la
probabilidad de ocurrencia estará asociada a la exposición al riesgo del proceso o actividad que se
esté analizando. De este modo, la probabilidad inherente será el número de veces que se pasa por
el punto de riesgo en el periodo de 1 año.
Teniendo en cuenta lo explicado en el punto anterior sobre el nivel de probabilidad, la exposición al

riesgo estará asociada al proceso o actividad que se esté analizando, es decir, al número de veces
1 Guía para la identificación y declaración del conflicto de intereses en el sector público colombiano. Versión 2.
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
que se pasa por el punto de riesgo en el periodo de 1 año, en la tabla 07 se establecen los criterios
para definir el nivel de probabilidad.
Tabla 7. Criterios para definir el nivel de probabilidad
Frecuencia de La Actividad Probabilidad

La actividad que conlleva el riesgo se
Muy baja 20%
ejecuta como máximo 2 veces al año.
Baja 40%
ejecuta de 3 a 24 veces al año.
Media 60%
ejecuta de 25 a 500 veces al año.

Alta ejecuta mínimo 501 veces al año y 80%
máximo 5000 veces al año.

Muy alta 100%
ejecuta más de 5001 veces al año.
 Determinar la probabilidad riesgos de corrupción
Se analiza qué tan posible es que ocurra el riesgo, se expresa en términos de frecuencia o
factibilidad, donde frecuencia implica analizar el número de eventos en un periodo determinado,
se trata de hechos que se han materializado o se cuenta con un historial de situaciones o eventos
asociados al riesgo; factibilidad implica analizar la presencia de factores internos y externos que
pueden propiciar el riesgo, se trata en este caso de un hecho que no se ha presentado pero es
posible que suceda.
Criterios para calificar la probabilidad
Figura 7. Criterios para calificar la probabilidad
 Determinar la probabilidad riesgos de seguridad de la información
Para esta etapa se asociarán las tablas de probabilidad e impacto definidas en el numeral 5.3.1.1 de
la presente guía.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
5.3.1.2 Determinar el impacto
Para la construcción de la tabla de criterios se definen los impactos económicos y reputacionales

como las variables principales.
Cuando se presenten ambos impactos para un riesgo, tanto económico como reputacional, con
diferentes niveles se debe tomar el nivel más alto, así, por ejemplo: para un riesgo identificado
se define un impacto económico en nivel insignificante e impacto reputacional en nivel moderado,
se tomará el más alto, en este caso sería el nivel moderado. En la tabla 08 se establecen los
criterios para definir el nivel de impacto.
Tabla 8. Criterios para definir el nivel de impacto
Afectación económica Reputacional

Afectación menor a 10
Leve 20% El riesgo afecta la imagen de algún área de la organización.
SMLMV.
El riesgo afecta la imagen de la entidad internamente, de

Menor 40% Entre 11 y 50 SMLMV. conocimiento general, nivel interno, de junta directiva y accionistas
y/o de proveedores.
Moderado El riesgo afecta la imagen de la entidad con algunos usuarios de

Entre 51 y 100 SMLMV.
60% relevancia frente al logro de los objetivos.
El riesgo afecta la imagen de la entidad con efecto publicitario

Mayor 80% Entre 101 y 500 SMLMV. sostenido a nivel de sector administrativo, nivel departamental o
municipal.
Catastrófico El riesgo afecta la imagen de la entidad a nivel nacional con efecto

Mayor a 501 SMLMV.
100% publicitario sostenido a nivel país.
Ejemplo (continuación):

Objetivo: adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad
para su continua operación
Riesgo identificado: posibilidad de afectación económica por multa y sanción del ente regulador
debido a la adquisición de bienes y servicios sin el cumplimiento de los requisitos normativos.
N.º de veces que se ejecuta la actividad: la actividad de contratos se lleva a cabo 10 veces en el
mes = 120 contratos en el año.
Cálculo afectación económica: de llegar a materializarse, tendría una afectación económica de 500
SMLMV.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Aplicando las tablas de probabilidad e impacto tenemos:
Probabilidad inherente= media 60%, Impacto inherente: mayor 80%
 Determinar el impacto riesgo de corrupción
El impacto se debe analizar y calificar a partir de las consecuencias identificadas en la fase de

descripción del riesgo
Tabla 9. Criterios para calificar el impacto en riesgos de corrupción
Respuesta
N° Pregunta Si el riesgo se materializa podría…
Sí No
1 ¿Afectar al grupo de funcionario del proceso?
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3 ¿Afectar el cumplimiento de la misión de la entidad?
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación?
6 ¿Generar pérdida de recursos económicos?
7 ¿Afectar la generación de los productos o la prestación de servicios?
¿Dar lugar al detrimento de calidad de vida de la comunidad por la
8
pérdida del bien, servicios o recursos públicos?
9 ¿Generar pérdida de la información de la entidad?
¿Generar intervención de los órganos de control, de la fiscalía u otro
10
ente?
11 ¿Dar lugar a procesos sancionatorios?
12 ¿Dar lugar a procesos disciplinarios?
13 ¿Dar lugar a procesos fiscales?
14 ¿Dar lugar a procesos penales?
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Respuesta
N° Pregunta Si el riesgo se materializa podría…
Sí No
15 ¿Generar pérdida de credibilidad del sector?
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17 ¿Afectar la imagen regional?
18 ¿Afectar la imagen nacional?
19 ¿Generar daño ambiental?
Total, de respuestas afirmativas
Responder afirmativamente de una (1) a cinco (5) preguntas genera un impacto moderado.
Responder afirmativamente de seis (6) a once (11) preguntas genera un impacto mayor.
Responder afirmativamente de doce (12) a diecinueve (19) preguntas genera un impacto
catastrófico.
MODERADO Genera medianas consecuencias sobre la entidad.
MAYOR Genera altas consecuencias sobre la entidad.
CATASTRÓFICO Genera consecuencias desastrosas para la entidad.
Si la respuesta a la pregunta 16 es afirmativa, el riesgo se considera catastrófico. Por cada riesgo

de corrupción identificado, se debe diligenciar una tabla de estas.
 Determinar el impacto riesgo de seguridad de la información
Para esta etapa se asociarán las tablas de impacto definida en el numeral 5.3.1.2 de la presente
guía.
5.3.2 Evaluación del riesgo
A partir del análisis de la probabilidad de ocurrencia del riesgo y sus consecuencias o impactos, se
busca determinar la zona de riesgo inicial (RIESGO INHERENTE).
5.3.2.1 Análisis preliminar (riesgo inherente):
Se trata de determinar los niveles de severidad a través de la combinación entre la probabilidad y el

impacto. Se definen 4 zonas de severidad en la matriz de calor (ver figura 8).
Figura 8. Matriz de calor (niveles de severidad del riesgo)
debido a la adquisición de bienes y servicios sin el cumplimiento de los requisitos normativos
Probabilidad Inherente= moderada 60%
Impacto Inherente: mayor 80%
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Aplicando la matriz de calor tenemos:
Figura 9. Matriz de calor (niveles de severidad del riesgo)
 Análisis preliminar riesgo de corrupción (riesgo inherente):
Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en cuenta solamente los
niveles “moderado”, “mayor” y “catastrófico”, dado que estos riesgos siempre serán significativos; en
este orden de ideas, no aplican los niveles de impacto insignificante y menor, que sí aplican para los
demás riesgos.
Por último, ubique en el mapa de calor el punto de intersección resultante de la probabilidad y el

impacto para establecer el nivel del riesgo inherente.
Figura 10. Análisis del impacto en riesgos de corrupción
 Análisis preliminar riesgo de seguridad de la información (riesgo inherente):
Para esta etapa se asociarán el mapa de calor definido en el numeral 5.3.2.1 del presente manual.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Figura 11. Ejemplo aplicando la etapa de valoración del riesgo sobre un activo como es la base de
datos de nómina.
La probabilidad y el impacto se determina con base a la amenaza, no en las vulnerabilidades
5.3.2.2 Valoración de controles
En primer lugar, conceptualmente un control se define como la medida que permite reducir o mitigar
el riesgo. Para la valoración de controles se debe tener en cuenta:
- La identificación de controles se debe realizar a cada riesgo a través de las entrevistas con
los líderes de procesos o servidores expertos en su quehacer. En este caso sí aplica el criterio
experto.
- Los responsables de implementar y monitorear los controles son los líderes de proceso con
el apoyo de su equipo de trabajo.
 Estructura para la descripción del control: para una adecuada redacción del control se propone
una estructura que facilitará más adelante entender su tipología y otros atributos para su
valoración. La estructura es la siguiente:
- Responsable de ejecutar el control: identifica el cargo del servidor que ejecuta el control,
en caso de que sean controles automáticos se identificará el sistema que realiza la actividad.
- Acción: se determina mediante verbos que indican la acción que deben realizar como parte
del control.
- Complemento: corresponde a los detalles que permiten identificar claramente el objeto del
control.
Figura 12. se establece un ejemplo bajo esta estructura.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
El profesional de contratación, verifica que la información suministrada por el proveedor corresponda
con los requisitos establecidos acorde con el tipo de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisa con la información física suministrada por el
proveedor, los contratos que cumplen son registrados en el sistema de información de contratación.
 Tipología de controles y los procesos: a través del ciclo de los procesos es posible
establecer cuándo se activa un control y, por lo tanto, establecer su tipología con mayor
precisión. Para comprender esta estructura conceptual, en la figura 13 se consideran 3 fases
globales del ciclo de un proceso así:
Figura 13. Ciclo del proceso y las tipologías de controles
Acorde con lo anterior, tenemos las siguientes tipologías de controles:

 Control preventivo: control accionado en la entrada del proceso y antes de que se realice la
actividad originadora del riesgo, se busca establecer las condiciones que aseguren el
resultado final esperado.
 Control detectivo: control accionado durante la ejecución del proceso. Estos controles
detectan el riesgo, pero generan reprocesos.
 Control correctivo: control accionado en la salida del proceso y después de que se
materializa el riesgo. Estos controles tienen costos implícitos.
Así mismo, de acuerdo con la forma como se ejecutan tenemos:

 Control manual: controles que son ejecutados por personas.
 Control automático: son ejecutados por un sistema.
 Estructura para la descripción del control en riesgos de seguridad de la información
Las entidades públicas podrán mitigar/tratar los riesgos de seguridad de la información empleando
como mínimo los controles del Anexo A de la ISO/IEC 27001:2013, estos controles se encuentran
en el anexo 4. “Modelo Nacional de Gestión de riesgo de seguridad de la Información en entidades
públicas”, siempre y cuando se ajusten al análisis de riesgos.
Acorde con el control seleccionado, será necesario considerar las características de diseño y
ejecución definidas para su valoración
A continuación, se incluyen algunos ejemplos de controles y los dominios a los que pertenecen, la
lista completa se encuentra en del documento maestro del modelo de seguridad y privacidad de la
información (MSPI):
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Tabla 10. Controles para riesgos de seguridad de la información
 Análisis y evaluación de los controles – Atributos:
A continuación, se analizan los atributos para el diseño del control, teniendo en cuenta características
relacionadas con la eficiencia y la formalización. En la tabla 11 se puede observar la descripción y
peso asociados a cada uno así:
Tabla 11. Atributos de para el diseño del control
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
*Nota: Los atributos informativos solo permiten darle formalidad al control y su fin es el de conocer
el entorno del control y complementar el análisis con elementos cualitativos; sin embargo, estos no
tienen una incidencia directa en su efectividad.
Teniendo en cuenta que es a partir de los controles que se dará el movimiento, en la matriz de calor
que corresponde a la figura 14 se muestra cuál es el movimiento en el eje de probabilidad y en el eje
de impacto de acuerdo con los tipos de controles.
Figura 14. Movimiento en la matriz de calor acorde con el tipo de control
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
debido a la adquisición de bienes y servicios sin el cumplimiento de los requisitos normativos

Probabilidad Inherente= moderada 60%
Impacto Inherente: mayor 80%
Zona de riesgo: alta
Controles identificados:
Control 1: el profesional del área de contratos verifica que la información suministrada por el
proveedor corresponda con los requisitos establecidos de contratación a través de una lista de
chequeo donde están los requisitos de información y la revisión con la información física suministrada
por el proveedor los contratos que cumplen son registrados en el sistema de información de
contratación.
Control 2: el jefe del área de contratos verifica en el sistema de información de contratación la
información registrada por el profesional asignado y aprueba el proceso para firma del ordenador del
gasto, en el sistema de información queda el registro correspondiente, en caso de encontrar
inconsistencias, devuelve el proceso al profesional de contratos asignado.
En la tabla 12. se observa la aplicación de la tabla de atributos, esta le servirá como ejemplo para el
análisis y valoración de los dos controles propuestos.
Tabla 12. Aplicación tabla atributos a ejemplo propuesto
5. 3.2.3 Nivel de riesgo (riesgo residual): es el resultado de aplicar la efectividad de los controles
al riesgo inherente.
Para la aplicación de los controles se debe tener en cuenta que los estos mitigan el riesgo de forma
acumulativa, esto quiere decir que una vez se aplica el valor de uno de los controles, el siguiente
control se aplicará con el valor resultante luego de la aplicación del primer control
Vr. 03; 10/09/2020
PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Tabla 13. Aplicación de controles para establecer el riesgo residual
Riesgo identificado: posibilidad de pérdida económica por multa y sanción del ente regulador
debido a la adquisición de bienes y servicios sin el cumplimiento de los requisitos normativos.
Probabilidad residual= baja 25.2%
Impacto Residual: mayor 80%
Zona de riesgo residual: alta
Para este caso, si bien el riesgo se mantiene en zona alta, se bajó el nivel de probabilidad de
ocurrencia del riesgo.
Figura 15. Movimiento en la matriz de calor con el ejemplo propuesto
Nota: En caso de no contar con controles correctivos, el impacto residual es el mismo calculado
inicialmente, es importante señalar que no será posible su movimiento en la matriz para el impacto.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
A continuación se podrá observar el formato propuesto para el mapa de riesgos, este incluye la matriz
de calor correspondiente.
Formato mapa de riesgos
Parte 1 identificación del riesgo:
Tabla 14. Ejemplo mapa de riesgos acorde con el ejemplo propuesto
Parte 2 Valoración del riesgo:
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Parte 3 Planes de acción (para la opción de tratamiento reducir):
5.3.3 Medidas de Tratamiento de Riesgo

6.
El objetivo de esta etapa es identificar las opciones para tratar los riesgos de acuerdo con el nivel de
riesgo residual obtenido, esto para procesos en funcionamiento, pero cuando se trate de procesos
nuevos se procede a partir del riesgo inherente.
En el Ministerio del Interior se ha definido que los riesgos que se tratan de forma adicional al uso de
controles (criterio de aceptabilidad del riesgo), son aquellos que estén en las siguientes situaciones:
 Si el riesgo residual es extremo, alto o moderado.

 Si hay causas sin controles asociados.
 Si hay controles sin evidencias.
Dentro de las actividades a desarrollar en esta etapa se encuentra la de identificar y formalizar las
opciones de tratamiento adecuadas, dentro de las cuales se encuentran:
a) Evitar: Después de realizar un análisis y considerar que el nivel del riesgo es demasiado alto,
se determina NO asumir la actividad que genera este riesgo.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
b) Aceptar: Después de realizar un análisis y considerar los niveles de riesgo se determina

asumir el mismo conociendo los efectos de su posible materialización. Para esta opción se
debe tener en cuenta las siguientes consideraciones:
 En este caso no se adopta ninguna medida que afecte la probabilidad o el impacto del
riesgo.
 La aceptación del riesgo puede ocurrir sin tratamiento, lo que implica que los riesgos
aceptados están sujetos a monitoreo.
 Los riesgos de corrupción están excluidos de esta medida de manejo o control. Es

decir, ningún riesgo de corrupción podrá ser aceptado.
 Para el caso de riesgos residuales que sean aceptados por el líder del proceso o
dueño del riesgo y que tengan calificación extrema, alta o moderada, deberá
reportarse a la Oficina Asesora de Planeación formalmente a través de un
memorando que justifique el porqué de la situación y posteriormente al Comité
Institucional de Coordinación de Control Interno.
c) Reducir: Después de realizar un análisis y considerar que el nivel de riesgo es alto, se

determina tratarlo mediante mitigar o compartir el riesgo.
 Compartir: Se adoptan medidas para reducir la probabilidad o el impacto del riesgo,

transfiriendo o compartiendo una parte del riesgo. Para el caso que se decida
tercerizar el proceso o trasladar el riesgo a través de seguros o pólizas, la
responsabilidad económica recae sobre el tercero, pero no se transfiere la
responsabilidad sobre el tema reputacional. De igual forma, los riesgos de corrupción
se pueden compartir, pero no se puede transferir su responsabilidad.
 Mitigar: Después de realizar un análisis y considerar los niveles de riesgo se

implementan acciones que mitiguen el nivel de riesgo. Por lo tanto, se adoptan
medidas para reducir la probabilidad o el impacto del riesgo. No necesariamente es
un control adicional.
Nota: Frente al plan de acción referido para la opción de reducir, es importante mencionar que,
conceptualmente y de manera general, se trata de una herramienta de planificación empleada para
la gestión y control de tareas o proyectos. Para efectos del mapa de riesgos, cuando se define la
opción de reducir, se requerirá la definición de un plan de acción que especifique: i) responsable, ii)
fecha de implementación, y iii) fecha de seguimiento.
Con el propósito de ilustrar las estrategias para combatir los riesgos de gestión y seguridad de la
información, en la siguiente tabla se indican las opciones de tratamiento aplicables de acuerdo con
la zona de riesgo:
Tabla 15. Opciones de tratamiento Riesgo de Gestión y Seguridad de la Información
Zona de Reducir
Semáforo Evitar Aceptar
riesgo Compartir Mitigar
Extremo Rojo X X X X
Alto Naranja X X X X
Moderado Amarillo X X X X
Bajo Verde X
Fuente: Construcción propia, 2021
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
De la misma forma, se ilustran las estrategias para combatir el riesgo de corrupción de acuerdo con
la zona de riesgo:
Tabla 16. Opciones de tratamiento Riesgo de Corrupción
Zona de Reducir Aceptar

Semáforo Evitar
riesgo Compartir Mitigar
Extremo Rojo X X X
Alto Naranja X X X Ningún riesgo de

corrupción podrá
Moderado Amarillo X X X ser aceptado.
Bajo Verde
Fuente: Construcción propia, 2021
Nota 1: Para los riesgos de corrupción, la respuesta será evitar, compartir o mitigar el riesgo.
Nota 2: Cuando un riesgo de corrupción se encuentre en zona de riesgo (Moderado: 3, Rara Vez:
1), no aplicarán las opciones de tratamiento compartir o reducir el riesgo, ya que en este caso el
riesgo se encontrará en su máxima disminución posible dentro del mapa de calor.
5.3.4 Herramientas para la gestión del riesgo:
como producto de la aplicación de la metodología se contará con la “Matriz Mapa de riesgo”, formato
asociado al presente manual. Además de esta herramienta, se tienen las siguientes:
5.3.4.1 Gestión de eventos: un evento es un riesgo materializado, se pueden considerar incidentes

que generan o podrían generar pérdidas a la entidad, se debe contar con una base histórica de
eventos que permita revisar si el riesgo fue identificado y qué sucedió con los controles. En caso de
que el riesgo no se hubiese identificado, se debe incluir y dar el tratamiento correspondiente de
acuerdo con la metodología.
Algunas fuentes para establecer una base histórica de eventos pueden ser:
 Mesa de ayuda
 Las PQRD (peticiones, quejas, reclamos, denuncias)
 Oficina jurídica
 Líneas internas de denuncia
Este mecanismo genera información para que el evento no se vuelva a presentar, así mismo, es
posible establecer el desempeño de los controles así:
Desempeño del control= # eventos / frecuencia del riesgo (# veces que se hace la actividad)
5.3.4.2 Indicadores clave de riesgo: hace referencia a una colección de datos históricos, por
periodos de tiempo, relacionados con algún evento cuyo comportamiento puede indicar una mayor o
menor exposición a determinados riesgos. No indica la materialización de los riesgos, pero sugiere
que algo no funciona adecuadamente y, por lo tanto, se debe investigar.
Un indicador clave de riesgo, o KRI, por su sigla en inglés (Key Risk Indicators), permite capturar la
ocurrencia de un incidente que se asocia a un riesgo identificado previamente y que es considerado
alto, lo cual permite llevar un registro de ocurrencias y evaluar a través de su tendencia la eficacia
de los controles que se disponen para mitigarlos. En la tabla 17 se muestran algunos ejemplos de
estos indicadores.
Vr. 03; 10/09/2020

PLANEACIÓN Y
Y COMUNICACIONES
MANUAL FECHA
Tabla 17. Ejemplos indicadores clave de riesgo
5. CONTROL DE CAMBIOS
VERSIÓN DESCRIPCIÓN DE CAMBIOS FECHA

El Manual “Metodología para la administración de riesgos de gestión,
corrupción y seguridad de la información”, para la presente versión se
armonizó con la Política de Administración de Riesgos, así como, la
01 29/12/2021
Guía para la Administración del riesgo y el diseño de controles en
entidades públicas Versión 5 del Departamento Administrativo de la
Función Pública.
02 Se realiza ajuste de forma al documento, con relación a la palabra

20/10/2022
Seguridad de la Información.
….
6. CONTROL DE FORMALIZACIÓN
ELABORÓ REVISÓ APROBÓ
LISETH JOHANA ALVAREZ WILSON ADRIAN ZAMORA ROJAS

PROFESIONAL GMC JEFE OFICINA ASESORA DE
ANGÉLICA MARÍA PATIÑO PLANEACIÓN (E)
PEDRO ALFONSO RODRIGUEZ COORDINADOR GMC - OAP Validado a través del correo
TECNICO GMC wilson.zamora@mininterior.gov.co con
fecha del 20/10/2022
Vr. 03; 10/09/2020

Manual-Administración-de-Riesgos MININTERIOR

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual-Administración-de-Riesgos MININTERIOR

Cargado por

Copyright:

Formatos disponibles

PLANEACIÓN Y

PROCESO DIRECCIONAMIENTO ESTRATÉGICO VERSIÓN 02

Oficina Asesora de Planeación

Vr. 03; 10/09/2020

Vr. 03; 10/09/2020

 Confidencialidad: Propiedad de la información que la hace no disponible o sea divulgada a

 Consecuencia: los efectos o situaciones resultantes de la materialización del riesgo que

 Control: Medida que permite reducir o mitigar un riesgo.

 Criterios de Aceptabilidad del Riesgo: Definición organizacional que determina cuando un

 Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una entidad.

Vr. 03; 10/09/2020

 Factores de riesgo: Son las fuentes generadoras de riesgos.

 Integridad: Propiedad de exactitud y completitud.

 Impacto: las consecuencias que puede ocasionar a la organización la materialización del

 MECI: Modelo Estándar de Control Interno.

 MIPG: Modelo Integrado de Planeación y Gestión.

 Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de

 Nivel de Aceptación del Riesgo: Decisión informada de tomar un riesgo.

 Plan de Contingencia de Riesgos: Son las respuestas estratégicas que se utilizan

 Probabilidad: Se entiende la posibilidad de ocurrencia del riesgo. Estará asociada a la

 Riesgo de Seguridad de la Información: Posibilidad de que una amenaza concreta pueda

 Riesgo Inherente: Nivel de riesgo propio de la actividad. El resultado de combinar la

 Riesgo Residual: El resultado de aplicar la efectividad de los controles al riesgo inherente.

 Tratamiento del Riesgo: Proceso para modificar el riesgo.

 Vulnerabilidad: Representan la debilidad de un activo o de un control que puede ser

Vr. 03; 10/09/2020

5. DESCRIPCIÓN DEL MANUAL

5.1 Política de Administración de Riesgos

La política de administración de riesgos contiene la declaración e intenciones de la Alta Dirección,

- Asegurarse de que la política documentada contenga:

 Objetivo: se debe establecer su alineación con los objetivos estratégicos de la entidad y

5.2 Identificar los riesgos

Se aplican las siguientes fases:

5.2.1 Análisis de objetivos estratégicos y de los procesos:

 Análisis de objetivos estratégicos: la entidad debe analizar los objetivos estratégicos e

5.2.2 Identificación de los puntos de riesgo.

5.2.3 Identificación de áreas de impacto.

El área de impacto es la consecuencia económica o reputacional a la cual se ve expuesta la

5.2.4 Identificación de áreas de factores de riesgo:

Vr. 03; 10/09/2020

Tabla 1. Factores de Riesgo

Vr. 03; 10/09/2020

5.2.5 Descripción del riesgo

Figura 1. Estructura propuesta para la redacción del riesgo

Desglosando la estructura propuesta tenemos:

 Impacto: las consecuencias que puede ocasionar a la organización la materialización del

Proceso: gestión de recursos

Atendiendo el esquema propuesto para la redacción del riesgo, tenemos:

Posibilidad de incurrir en afectación económica por multas o sanciones, debido a adquisición de

Premisas para una adecuada redacción del riesgo

 No describir como riesgos omisiones ni desviaciones del control.

 No describir causas como riesgos

 No describir riesgos como la negación de un control.

 No existen riesgos transversales, lo que pueden existir son causas transversales.

5.2.6 Identificación y descripción de riesgo de corrupción:

Los riesgos de corrupción se establecen sobre procesos.

Vr. 03; 10/09/2020

5.2.7 Identificación y descripción del riesgo de seguridad de la información:

Como primer paso para la identificación de riesgos de seguridad de la información es necesario

 Deliberadas (D), fortuitas (F) o ambientales (A).

Vr. 03; 10/09/2020

Tabla 2. Tabla de amenazas comunes

Tipo Amenaza Origen

Tabla 3. Tabla de amenazas dirigida por el hombre