1de-Gu-0007 Guía Técnica Policial para La Gestión Integral Del Riesgo

Página 1 de 52
DIRECCIONAMIENTO ESTRATÉGICO
Código: 1DE-GU-0007
Fecha: 22-08-2018 GUÍA TÉCNICA POLICIAL PARA LA GESTIÓN
POLICÍA NACIONAL
Versión: 0 INTEGRAL DEL RIESGO
A partir de la Política de Gestión Integral del Riesgo establecida en la Institución, la operacionalización de la

administración del riesgo, se define como aspecto fundamental para el desarrollo secuencial y sistemático de las
fases de Identificación, Definición, Gestión, Medición y Cierre, las cuales deben desarrollarse de la siguiente
manera, teniendo en cuenta cada uno de los numerales que en ella se disponen, así:
1. OBJETIVO: Proporcionar las directrices para la Gestión Integral del Riesgo en la Policía Nacional. Los
objetivos específicos son:
1.1. Establecer los lineamientos para identificar, describir, calificar, evaluar y priorizar el tratamiento de los
riesgos que puedan afectar o impedir el logro de los objetivos institucionales y de sus procesos.
1.2. Identificar los parámetros que se deben tener en cuenta para definir acciones de tratamiento que
permitan disminuir la probabilidad de ocurrencia de los riesgos y disminuir su impacto.
1.3. Hacer seguimiento a la ejecución de las acciones planificadas y revisar su eficacia.
2. ALCANCE: Aplica a las unidades de la Policía Nacional, de acuerdo con el Ámbito de Gestión en el cual
desarrollen sus actividades: Institucional – Misional Policial, Educativo, de Salud y Bienestar.
Contenido de la Actividad
3. EJECUCIÓN DE LAS FASES DE LA GESTIÓN INTEGRAL DEL RIESGO
LA METODOLOGÍA CONSTA DE 5 FASES: Estas fases se desarrollan de acuerdo con los parámetros que se
disponen tanto en los aspectos generales como específicos de la presente Guía, de la siguiente manera:
Identificación de Riesgos: en esta fase el objetivo es hacer una adecuada identificación y descripción de los
riesgos institucionales, de procesos o Individuales, de forma que se facilite el desarrollo de las siguientes fases.
Como aspectos relevantes se han estandarizado factores y agentes generadores (en relación con las causas o
vulnerabilidades), incluye la identificación de situaciones de materialización para cada riesgo, la identificación
de controles de detección tanto de riesgos materializados como de efectos y la estandarización de los efectos.
Con la estandarización de factores, agentes generadores y efectos se pretende que la labor de describir un
riesgo sea mucho más práctica y asertiva.
Definición de la Gestión: Incluye el análisis antes de controles, la valoración de controles y el análisis después
de controles, con el fin de priorizar los riesgos para su tratamiento.
La calificación (análisis antes de controles) se hace con base en las situaciones materializadas (de la fase de
Identificación), la identificación / valoración de controles se hace por causa o efecto dependiendo de si es un
control preventivo o correctivo. De esta forma se dan las herramientas para la formulación de planes de
tratamiento coherentes con las causas y consecuencias más relevantes y permiten obtener un panorama global
de la Institución con el fin de formular planes que impacten de forma significativa la gestión.
Gestión de Riesgos: En esta fase se aprueban o desaprueban las acciones ejecutadas de los planes de
tratamiento, se realiza el registro de las materializaciones de los riesgos identificados, la gestión de los
“Eventos Potenciales a Evaluar – EPE”, (hallazgos/no conformidades, indicadores de gestión y proyectos
incumplidos, producto y servicio no conforme recurrente), para determinar si a partir de estos, se pueden
identificar nuevos riesgos y actualizar los ya identificados, lo que se constituiría en “Eventos a Evaluar – EE”.
Esto significa, que permanentemente se debe gestionar la información en la herramienta tecnológica dispuesta
para ello, lo cual, servirá posteriormente como insumo para la realización del informe de gestión integral del
riesgo, tanto trimestral como anual.
Página 2 de 52
POLICÍA NACIONAL
Medición de Resultados de la Gestión: Con base en la información registrada en resultados de gestión de

los procesos, se miden los resultados en términos de la gestión del proceso. Muestra aspectos como riesgos
materializados, la medición de la disminución y el aumento del nivel de riesgos con su respectivo análisis y la
medición del desempeño de los planes de tratamiento (planes, programas y proyectos) de los riesgos
institucionales, masivos por procesos e individuales.
Cierre: En esta fase se consolidan los resultados trimestrales y se incluye la generación y análisis de
situaciones específicas que contribuyan a fortalecer los activos de la Institución en términos del conocimiento en
Riesgos y se describen las Lecciones Aprendidas.
La siguiente gráfica muestra las fases, su secuencia y su relación con el ciclo PHVA o método “Shewhart”.
Ciclo PHVA de las Fases para la Gestión Integral del Riesgo

ENTRADAS
• Objetivo del proceso Fase de definición de la Fase de gestión de Fase de medición de
• Indicadores del proceso Fase de identificación Fase de cierre
gestión riesgos resultados de la gestión
• Actividades de riesgo en los procedimientos
• Inventario de activos de información
• Aspectos e impactos ambientales
Identificación de riesgos Calificar riesgos
con el plan inicial
ENTRADAS
• Riesgos identificados que se materializaron Actualización de riesgos con Evaluar riesgos con base en
• Hallazgos o No Conformidades base en la medición la valoración de los
• Productos y servicios no conformes trimestral controles
• Quejas y reclamos
• Objetivos del Plan Estratégico Institucional
• Indicadores incumplidos de gestión, estrategia
y proyectos Actualización de riesgos con Ejecución / control de la Medir trimestralmente la
Definir plan de tratamiento efectividad de la gestión y Cierre anual
base en la medición anual y ejecución del plan de
(Proyecto, Programa o plan) aspectos por mejorar
el contexto tratamiento
Planear y actuar Planear Hacer Verificar Verificar
4. FASE DE IDENTIFICACIÓN DE RIESGOS INSTITUCIONALES E INHERENTES A LOS PROCESOS CON

EL PLAN INICIAL
4.1 OBJETIVO DE LA FASE
El objetivo de identificar los riesgos institucionales e inherentes a los procesos con este plan, es la
identificación de los eventos potenciales que pueden poner en riesgo la adecuada gestión tanto de la Institución
como de los procesos, utilizando como fuentes de identificación el análisis del contexto institucional, los
objetivos institucionales, los objetivos de los procesos, los indicadores que permiten medir el cumplimiento de
cada objetivo y el análisis de los procedimientos que se ejecutan en cada proceso por nivel; se espera que al
implementar este plan se determine el panorama global de todos los riesgos asociados a los objetivos y
actividades inherentes a la misión de la Institución y por ende, de sus procesos.
Página 3 de 52
POLICÍA NACIONAL
Este Plan se debe implementar una vez, y posteriormente se deberá utilizar lo descrito en la identificación de
nuevos riesgos y actualización, establecida en el numeral 5 de la presente guía.
Se requiere identificar los riesgos por las fuentes anteriormente nombradas para cada uno de los procesos
definidos.
Para cada riesgo identificado se deberán establecer las posibles fuentes (clase de factor y agente generador),
causas, los efectos y las situaciones de materialización del riesgo, entendiendo que una buena descripción de
los riesgos es fundamental para priorizar la gestión de la Institución.
4.2. DESCRIPCIÓN DE ACTIVIDADES
4.2.1. Identificación de Riesgos Institucionales
El análisis de contexto es la fuente primaria para la identificación de riesgos institucionales o corporativos, y su

gestión es responsabilidad de la “Estrategia y Gestión Estratégica o “Direccionamiento Estratégico y
Planeación”, quien haga sus veces o equivalente.
Como se mencionó anteriormente el análisis del contexto tiene como finalidad establecer los factores internos y
externos que pueden afectar el cumplimiento de los objetivos y dirección estratégica de la Policía Nacional,
utilizando herramientas metodológicas, que permitan comprender la realidad del quehacer institucional e
identificar y clasificar las fortalezas debilidades, oportunidades y amenazas a las cuales está sometida la
Entidad. Debido a la complejidad y volumen de la información que surge del análisis anterior, realizado según
la metodología de la Guía de Planeación Estratégica Institucional – PEI y para facilitar la comprensión al
personal de los diferentes niveles, se presenta un resumen ejecutivo del análisis del contexto, que se registra
en el formato denominado “identificación de riesgos institucionales asociados a la estrategia y objetivos
estratégicos”, el cual se tomará como el punto de partida para la identificación sistemática de los riesgos
institucionales. (Véase ítem de anexos).
Esta identificación se debe realizar tomando como base el análisis de la realidad institucional y los objetivos
estratégicos definidos por más de un cuatrienio en la formulación estratégica; siendo esto insumo para la
identificación y actualización de los riesgos institucionales, masivos por procesos e individuales, en caso de
llegar a considerarse necesario en el marco de la formulación de la estrategia institucional y la gestión integral
del riesgo, atendiendo las directrices del alto mando y los lineamientos metodológicos que determinan la
“Política de Gestión Integral del Riesgo en la Policía Nacional”.
En este consenso se debe evaluar la posible simplificación, consolidación y articulación para la definición de los
riesgos basados en los objetivos estratégicos y la planeación estrategia, con el fin de definir la forma de
operacionalización que suponga proyecto (s), programa (s), plan (es) de acción y de tratamiento de riesgo (s),
evitando duplicidad de actividades al momento de formular las anteriores herramientas metodológicas.
Nota 1: Siempre que se identifique o actualice un riesgo institucional, se defina un nuevo objetivo estratégico,
se deberá por parte de las instancias comprometidas en este numeral, realizar una retroalimentación en tal
sentido, a fin de visualizar y concretar qué aspectos involucran riesgo para el cumplimiento del (os) objetivo (s)
estratégico (s), y si estos riesgos y su tratamiento, serán contemplados dentro del desarrollo de las estrategias
o se tratarán mediante la gestión integral del riesgo.
Nota 2: Serán insumo permanente para la “Planeación Estratégica”, quien haga sus veces o su equivalente, la
medición de los resultados de la gestión integral del riesgo, en los periodos que esta última se dé, por lo que se
debe consultar a los funcionarios analistas planeación institucional, sobre la interpretación de dichos resultados
Página 4 de 52
POLICÍA NACIONAL
y su posible afectación (positiva o negativa) a los objetivos estratégicos, de acuerdo a su intención y propósito
establecido.
Nota 3: La contemplación de este numeral y sus notas, en el presente documento, hace alusión al concepto de
“pensamiento basado en riesgos”, desde la observancia de la planificación estratégica institucional, que, a
partir de este hecho, vincula y conecta permanentemente sus actividades con la administración del riesgo
establecida por la Policía Nacional, como un instrumento fundamental para la estructuración y actualización de
la formulación estratégica y todos sus derivados.
Nota 4: Todo riesgo institucional que se identifique a partir de este ejercicio u otro, será asignado por la
Dirección General, de acuerdo al tema específico o general que involucre el tratamiento del mismo por parte de
una Dirección u Oficina Asesora.
Punto de control:
QUÉ: Verificar la identificación de riesgos institucionales asociados a la estrategia y objetivos estratégicos
QUIÉN: Jefe Grupo Direccionamiento Estratégico y de Recursos
CUANDO: Cada vez que se realice un ejercicio de planeación estratégica
EVIDENCIA: Riesgos identificados.
4.2.2. Identificación de riesgos por proceso o ámbitos de gestión
Para la identificación de riesgos se deben tener en cuenta los siguientes aspectos:
La identificación de riesgos se debe hacer por cada Ámbito de Gestión, por proceso y por nivel. Es importante
tener claridad de cuáles son las diferencias entre los objetivos de un proceso en cada uno de sus niveles,
cuáles son las actividades realizadas en cada nivel, y cuáles son los indicadores que permiten medir el
desempeño en cada nivel. La redacción debe ser clara y simple, evitando “adornar” los textos.
Como ayuda para identificar los riesgos en cada proceso, se relacionan a continuación las fuentes que deben
ser revisadas. No existe obligatoriedad de identificar un riesgo para cada fuente, sólo se espera que al revisar
cada una de ellas, cada proceso del sistema haya realizado un trabajo estructurado que demuestre una
adecuada planificación de su gestión, a través de la identificación de la mayor cantidad de riesgos de su
proceso.
4.2.2.1. Fuente de identificación de riesgos: Objetivo del proceso
Los Responsables Direccionamiento Estratégico y de Recursos deberán identificar los riesgos asociados al
objetivo de su proceso, en su nivel.
El objetivo se deberá tomar de la caracterización vigente. Como ayuda, se podrá tener en cuenta que las
caracterizaciones describen actividades de carácter estratégico, táctico y operacional, para los diferentes
ámbitos de gestión, de acuerdo con los siguientes criterios:
NIVEL CARACTER ACTIVIDAD GENERAL
Direccionar, dar lineamientos de carácter estratégico del

proceso a desarrollar por las unidades del del nivel
Caracterización estratégico, quienes deben consolidar y responder por los
ESTRATÉGICO resultados institucionales, con base en los resultados del
de Procesos de
seguimiento reportados por las Unidades de carácter
Del nivel
operacional, y proponer nuevos lineamientos que propicien la
estratégico
mejora.
Página 5 de 52
POLICÍA NACIONAL
Dan lineamientos de Carácter Estratégico – Táctico: con

énfasis en PVA); y lineamientos de Carácter Operacional:
Énfasis en H (Hacer).
Con base en el direccionamiento recibido del del nivel
estratégico del respectivo proceso, definir planes, programas
o proyectos para ser ejecutados e impactar el nivel
operacional. Hacer control y seguimiento a la ejecución de
Caracterización los lineamientos por parte de las unidades del nivel táctico u
de Procesos de operacional y retroalimentar. Consolidar y responder por los
TÁCTICO
Nivel táctico resultados e informar al del nivel estratégico.
Procesos ámbitos de gestión Misional Policial
Procesos ámbitos de gestión Educativo
Procesos ámbitos de gestión Bienestar
Procesos ámbitos de gestión Salud
Ejecutar los lineamientos recibidos del respectivo proceso,
controlar la ejecución de las acciones, responder e informar
los resultados y cualquier información relevante que resulte
Caracterización de ello.
de Procesos de OPERACIONAL
Nivel operacional Procesos Misionales
Procesos ámbitos de gestión Educativo
Procesos ámbitos de gestión Bienestar
Procesos ámbitos de gestión Salud
En la tabla se observa que los procesos del nivel estratégico y táctico pueden tener riesgos asociados con las
actividades de direccionar, difundir, hacer control y retroalimentar.
También se observa que los procesos de nivel táctico u operacional pueden tener riesgos asociados con las
actividades de ejecución de lineamientos, y control de sus resultados.
Todos los procesos adicionalmente a las actividades mencionadas en la Tabla, expresan en sus objetivos
actividades específicas y particulares que deben ser tenidas en cuenta para la identificación de riesgos.
4.2.2.2. Fuente de identificación de riesgos: Indicadores del proceso
Los indicadores de los procesos generalmente se utilizan como controles para detectar la materialización del
riesgo (Ej: indicador de incremento de homicidios) o los efectos del riesgo, (Ej: indicador de percepción de
inseguridad), por tanto, deben considerarse, para la identificación de riesgos relacionados con ellos, en cada
proceso y en cada nivel. Los indicadores del proceso se deberán tomar de la caracterización vigente. También
verificar y de ser necesario, complementar la información de los indicadores (temporizador, meta, etc.), con las
Fichas Técnicas que se encuentran cargadas en el módulo de indicadores del aplicativo o sistema
correspondiente.
Con base en la definición anterior, se puede inferir que se deberán tomar en cuenta para la identificación de
riesgos, sus causas, sus efectos o sus controles, aquellos indicadores que permitan medir el cumplimiento de
los objetivos de los procesos, aspecto necesario para asegurar la eficacia del Sistema de Gestión – SG.
Página 6 de 52
POLICÍA NACIONAL
Nota 1: Si los objetivos de los procesos están formulados claramente y los indicadores se plantearon de
acuerdo a lo descrito en los numerales mencionados, muy probablemente los riesgos por estas dos fuentes
(objetivos e indicadores) van a ser los mismos. Si este es el caso, no se debe escribir el riesgo dos veces.
Nota 2: El enfoque de la identificación de riesgos por la fuente indicadores es en relación con la pregunta:
¿Qué podría ocurrir que afectara el logro de las metas de los indicadores en el proceso? No se deben
identificar riesgos enfocados a los aspectos genéricos de los indicadores como: Indicadores que no aportan a
la mejora del proceso, no contar con información oportuna y confiable para la toma de decisiones,
incumplimiento de las metas del indicador, formulación equivocada del indicador, que la meta no sea la
adecuada para el indicador formulado, etc.
Ejemplo 1: La pregunta ¿Qué podría ocurrir que afectara el logro de las metas del indicador de “incremento de
homicidios”? podría conducir a la respuesta: incremento de violencia por surgimiento de nuevas bandas
criminales en un determinado sector y limitación de recursos y falta de eficacia en las operaciones para
contrarrestarlos, lo cual conlleva a la identificación de un posible riesgo, asociado al incremento de homicidios.
4.2.2.3. Fuente de identificación de riesgos: Actividades de riesgo en los procedimientos
El análisis de los procedimientos permite obtener una visión detallada del proceso analizado. Este análisis tiene
dos objetivos:
 Identificar las actividades de más alto riesgo para el logro de los objetivos.
 Determinar si los procedimientos existentes son suficientes para asegurar que los funcionarios del
proceso tengan disponible la descripción de las actividades que deben realizar, evitando así que se
cometan errores, que se dejen de realizar actividades o no se adelanten o ejecuten de la forma
estandarizada, que se pierda tiempo por no tener claridad de cómo dar cumplimiento a la totalidad de
sus responsabilidades.
El conocimiento del proceso es crítico para la realización de esta actividad. Lo que debe hacerse es identificar
cual es el verbo en la actividad analizada y posteriormente hacer las siguientes preguntas acerca de esa
actividad: (ante una respuesta positiva, se deberá documentar el posible riesgo para su aprobación).
 ¿La actividad analizada genera impactos ambientales?

 ¿La actividad analizada requiere el manejo, almacenamiento o contacto con información sensible?
 ¿La actividad analizada utiliza equipos / maquinaria de alto costo?
 ¿La actividad analizada es de contacto directo con la ciudadanía o con algún ente externo?
 ¿La actividad analizada requiere o puede requerir el manejo, almacenamiento o contacto con dinero
(directa o indirectamente)?
 ¿La actividad analizada puede llevar a la toma de decisiones que afecten a una gran población de la
comunidad policial?
 ¿Dentro del procedimiento hay alguna actividad realizada por un tercero?
 ¿La actividad analizada requiere para su realización de un alto nivel de competencia (educación,
formación, habilidades, experiencia) en algún aspecto específico?
 ¿La actividad analizada puede involucrar algún daño físico a quien la desempeña?
Página 7 de 52
POLICÍA NACIONAL
Los aspectos anteriores ayudarán a identificar si una actividad es crítica o no, desde el punto de vista de los
riesgos en cada proceso se deberán analizar los procedimientos correspondientes al nivel para el cual se está
efectuando la identificación, es decir, aquellos procedimientos en los que los ejecutores son funcionarios del
proceso en el nivel que se está analizando.
El Responsable Direccionamiento Estratégico y de Recursos del proceso deberá asignar las responsabilidades
de análisis de los procedimientos entre los funcionarios del proceso, donde cada procedimiento deberá ser
analizado por al menos dos ejecutores del mismo. Los resultados de esta actividad se deberán plasmar en un
documento (acta). Para la revisión de los resultados del análisis por parte del Responsable Direccionamiento
Estratégico y de Recursos.
4.2.2.4 Fuente de identificación de riesgos: Inventario de activos de información
Activo de información es cualquier cosa que tenga valor para la institución y, en consecuencia, deba ser
protegido. Los activos de información se traducen en dispositivos tecnológicos, archivos, bases de datos,
documentación física, personas, sistemas de información, entre otros. Este concepto es bastante amplio, y
debe ser limitado por una serie de consideraciones:
 El impacto que para la institución supone la pérdida de Confidencialidad, Integridad o Disponibilidad de

cada activo.
 El tipo de información que maneja.
 Sus productores y consumidores.
 La identificación de activos de información se hace teniendo en cuenta la importancia que cada

“candidato” a ser activo posea dentro del Proceso o Procedimiento que lo utiliza y, de igual manera, la
sensibilidad de la información que maneja.
Para identificar activos de información es recomendable partir de la documentación de Procesos existente en la

POLICÍA NACIONAL, bien sea que estos Procesos hagan parte del Sistema de Gestión – SG, o no se
encuentren incluidos dentro del alcance de éste.
Por cada Proceso a evaluar se debe revisar la documentación de cada uno de los Procedimientos o Guías que
hacen parte de él para así, identificar de manera preliminar los activos de información asociados a cada uno de
ellos.
Una vez identificados preliminarmente los activos de información asociados a cada Procedimiento, se deben
realizar entrevistas de validación con las áreas usuarias propietarias de dichos activos con el fin de clarificar su
existencia, importancia y unicidad dentro del Proceso analizado.
Posteriormente, cada activo de información debe ser valorado de acuerdo con su impacto por la pérdida de
Confidencialidad, Integridad y Disponibilidad.
4.2.2.4.1 Categorización de los activos de información
Cada uno de los “candidatos” a ser activo de información debe ser categorizado dentro de una tipología. Las
categorías definidas para catalogar los activos de información de la POLICÍA NACIONAL son:
Página 8 de 52
POLICÍA NACIONAL
TABLA No. 0. CATEGORIZACIÓN DE ACTIVOS DE INFORMACIÓN
TIPO DE ACTIVO DESCRICIÓN

Cualquier tipo de información contenida en un medio digital, bien sean bases
de datos, archivos de datos, contratos y acuerdos, documentación del
Información -
sistema, información sobre investigación, manuales de usuarios,
Electrónica
procedimientos operativos o de soporte, planes de continuidad, pruebas de
auditoría, información archivada electrónicamente.
Cualquier tipo de información contenida en un medio físico, bien sean bases
de datos, archivos de datos, contratos y acuerdos, documentación del
Información - Físico sistema, información sobre investigación, manuales de usuarios,
procedimientos operativos o de soporte, planes de continuidad, pruebas de
auditoría, información archivada físicamente.
Cualquier componente de hardware que sea necesario para efectuar o
Hardware complementar operaciones sobre algún activo de información como equipos
de comunicación, equipos de cómputo, medios removibles y otros equipos.
Todo sistema de información o software adquirido o desarrollado al interior de
Software la institución que realice operaciones, transacciones y que requiera la
interacción de uno o más activos de información para efectuar sus tareas.
Todo aquel funcionario, proveedor o cliente que realice funciones críticas
Persona para la institución, cuya ausencia o incumplimiento de tales funciones puede
desencadenar un alto impacto para la misma.
Todo conjunto de elementos o servicios que están considerados como
Infraestructura necesarios para que una organización pueda funcionar o bien para que una
actividad se desarrolle efectivamente.
Es el conjunto de actividades que buscan responder a las necesidades de un
Servicio
cliente.
El objetivo de utilizar estas categorías obedece a la simplificación en la detección de riesgos y al mayor

entendimiento del entorno para cada tipificación. Así pues, se pueden identificar de manera preliminar algunos
de los riesgos asociados a un activo de información con sólo conocer su clasificación.
Es importante anotar que durante el análisis de riesgos pueden surgir nuevas tipificaciones en las cuales se
pueden categorizar tanto nuevos activos de información como aquellos que han sido previamente identificados
y categorizados en una tipificación diferente. En el caso que surja una nueva categoría que tipifique un grupo
de activos de información, ésta deberá ser claramente descrita para facilitar la asociación de los activos que
pueden pertenecer a ella acorde con sus características. Si alguno de los activos de información previamente
analizados debe ser reclasificado en una nueva categoría es importante mantener la historia de su clasificación
anterior, puesto que la reclasificación supone una revisión en el análisis de riesgos para el activo reclasificado.
4.2.2.4.2 Criterios para agrupar, eliminar, asociar o conservar los activos de información
Los “candidatos” a ser activos de información que han sido identificados preliminarmente, deben ser validados
en entrevistas con las áreas usuarias propietarias de los activos con el fin de determinar su existencia, unicidad,
importancia y similitudes con otros activos de información. Es posible realizar alguna de las siguientes acciones
sobre estos activos de información identificados de manera preliminar:
 Eliminar
Cuando el activo de información no existe en el momento del análisis, bien sea porque: nunca
se ha utilizado, se ha dejado de utilizar, fue reemplazado por otro o, por cualquier otra razón
que implique su no existencia.
Página 9 de 52
POLICÍA NACIONAL
 Asociar
Cuando un activo de información se pueda unificar con otro porque está contenido en él, porque
son complementarios o está referido de dos maneras diferentes y se encuentra duplicado.
 Agrupar
Cuando un grupo de activos de información tienen características similares y se determina que

podrían estar expuestos a los mismos riesgos y, en consecuencia, están sujetos a los mismos
controles para gestionar dichos riesgos, se pueden agrupar en un nuevo activo de información
que los englobe a todos por sus similitudes.
 Conservar
Cuando un activo de información es importante dentro del proceso, subproceso o procedimiento

que lo utiliza, contiene o procesa información sensible, debe permanecer dentro del listado de
activos de información para posteriormente ser valorado, definir su propietario y custodio,
analizar sus riesgos e identificar los controles necesarios para tratar los riesgos identificados.
Todos los activos de información preliminarmente identificados deben ser incluidos en una
Matriz de Activos, registrando los procesos y procedimientos que los utilizan, las acciones
realizadas sobre ellos (eliminar, asociar, agrupar o conservar), para facilitar el manejo histórico
de dichos activos y los cambios que posteriormente pueden ser realizados sobre ellos.
4.2.2.4.3 Calificación y valoración de activos de información
Para que las actividades de la metodología de riesgos sean eficientes, estas se deben enfocar al análisis de los
activos con mayor valoración, es decir, los activos que en caso de materialización del riesgo puedan tener las
mayores consecuencias negativas para la institución. Por esta razón, a partir de la “valoración de los activos”,
se seleccionan los que obtuvieron una calificación igual o superior a 3: importante, para que se tengan en
cuenta en la fase de identificación de riesgos y se analicen con mayor detalle.
Para realizar la valoración de activos, se debe tener en cuenta la Tabla de Valoración y Clasificación de Activos
de Información, que se muestra a continuación.
4.2.2.4.4 Criterios para calificar los activos de información
Posterior al proceso de depuración y consolidación de activos de información y, una vez éstos han sido
asociados a otros, agrupados bajo un nuevo activo, o permanecen independientes dada su importancia, deben
ser valorados de acuerdo con su impacto en términos de la pérdida de los tres principios básicos de la
seguridad de la información: Confidencialidad, Integridad y Disponibilidad.
 Confidencialidad
Se ha definido el principio básico de seguridad “Confidencialidad” como la garantía de que la

información no está disponible o divulgada a personas, entidades o procesos no autorizados.
 Integridad
Se ha definido el principio básico de seguridad “Integridad” como la protección de la exactitud y

estado completo de los activos.
Página 10 de 52
POLICÍA NACIONAL
 Disponibilidad
Se ha definido el principio básico de seguridad “Disponibilidad” como la garantía de que los

usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo
requieren.
Clasificación Valor
Bajo 1-3
Medio 4-7
Importante 8-11
Alto 12-15
4.2.2.4.5 Criterios para valorar el impacto o consecuencia de la afectación del activo
TABLA No. 1. VALORACIÓN Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Valor
Descripción Descripción Descripción
Nombre mayor o
Disponibilidad Integridad Confidencialidad
igual a
PÚBLICA: Es toda información que un
sujeto obligado genere, obtenga, adquiera, o
controle en su calidad de tal, el cual
contiene datos públicos, datos que no son
semiprivado, privado o sensible. Son
Ley 1581/2012
considerados datos públicos, entre otros, los
No esenciales, la datos relativos al estado civil de las
No afecta la
BAJO 1 interrupción es personas, a su profesión u oficio, su calidad
operación y
de hasta 30 días de comerciante o de servidor público. Por su
puede repararse
naturaleza, los datos públicos pueden estar
fácilmente.
contenidos, entre otros, en registros
públicos, documentos públicos, gacetas y
boletines oficiales y sentencias judiciales
debidamente ejecutoriadas que no estén
sometidas a reserva. (Decreto 1377/13).
PÚBLICA CLASIFICADA- SEMIPRIVADA:
Es aquella información que estando en
poder o custodia de un sujeto obligado en
su calidad de tal, pertenece al ámbito
propio, particular y semi-privado de una
persona natural o jurídica, por lo que su
Normal, acceso podrá ser negado o exceptuado,
Puede repararse,
MEDIO 2 interrupción de siempre que se trate de las circunstancias
pérdidas leves
hasta siete días legítimas y necesarias, y los derechos
particulares o privados consagrados en el
artículo 18 de la Ley 1712 /14.
Esta información contiene dato

semiprivado. Que es el dato que no tiene
naturaleza íntima, reservada, ni pública y
Página 11 de 52
POLICÍA NACIONAL
cuyo conocimiento o divulgación puede

interesar no sólo a su titular sino a cierto
sector o grupo de personas o a la sociedad
en general, como el dato financiero y
crediticio de actividad comercial o de
servicios. (Ley 1266/2008).
PÚBLICA CLASIFICADA- PRIVADA:

poder o custodia de un sujeto obligado en
su calidad de tal, pertenece al ámbito
propio, particular y privada de una persona
natural o jurídica por lo que su acceso podrá
Importante, ser negado o exceptuado, siempre que se
Difícil reparación
interrupción trate de las circunstancias legítimas y
IMPORTANTE 3 y pérdidas
hasta por 72 necesarias y los derechos particulares o
significativas.
horas privados consagrados en el artículo 18 de la
Ley 1712 /14.
Esta información contiene Dato privado. Es

el dato que por su naturaleza íntima o
reservada sólo es relevante para el titular.
(Ley 1266/2008).
CLASIFICADA RESERVADA CON DATO
SENSIBLE: Es aquella información" que
estando en poder o custodia de un sujeto
obligado en su calidad de tal, es
exceptuada, de acceso a la ciudadanía por
daño a intereses personales, que contengan
datos sensibles: se entiende por datos
sensibles aquellos que afectan la intimidad
No puede
Urgente la del Titular o cuyo uso indebido puede
repararse y
interrupción generar su discriminación, tales como
ALTO 4 ocasiona
hasta por 24 aquello que revelen el origen racial o étnico,
pérdidas graves
horas la orientación política, las convicciones
para la institución
religiosas o filosóficas, la pertenencia a
sindicatos, organizaciones sociales, de
derechos humanos o que promueva
intereses de cualquier partido político o que
garanticen los derechos y garantías de
partidos políticos de oposición, así como los
datos relativos a la salud, a la vida sexual, y
los datos biométricos. Ley 1581/2012
CLASIFICADA RESERVADA:
No puede
Críticos, la poder o custodia de un sujeto obligado en
repararse y
interrupción es su calidad de tal, es exceptuada, de acceso
EXTREMO 5 ocasiona
de minutos y a la ciudadanía por daño a intereses
pérdidas graves
hasta 12 horas. públicos y bajo cumplimiento de la totalidad
para el país.
de los requisitos consagrados en el artículo
de la Ley 1712 /14.
Página 12 de 52
POLICÍA NACIONAL
La valoración general de cada activo de información se obtiene sumando la calificación de impacto de los tres
principios (Confidencialidad, Integridad y Disponibilidad):
VA = IC + II + ID
Donde:
VA = Valor Activo 1 <= VA <= 15
C = Confidencialidad 1 <= IC <= 5
I = Integridad 1 <= II <= 5
D = Disponibilidad 1<= ID <= 5
4.2.2.4.6 Gestión del Riesgo en Seguridad de la Información por tipos de activos
Se realizará la identificación de riesgos a partir de la valoración de los activos de información (Véase numeral
4.2.2.4.3), que puedan afectar alguno de los siguientes criterios de la seguridad de la información:
confidencialidad, integridad o disponibilidad.
Los riesgos asociados a la afectación de la “Seguridad de la Información”, se estandarizarán de acuerdo a los

nombres relacionados a continuación, para su respectivo análisis, valoración y tratamiento, debiéndose
considerar para cada caso, las diferentes categorías de riesgo, definidos como institucionales, masivos por
procesos e individuales, así:
 Pérdida de la confidencialidad de los activos de información.

 Pérdida de la integridad de los activos de información.
 Pérdida de la disponibilidad de los activos de información.
4.2.2.5. Fuente de identificación de riesgos: Aspectos e Impactos Ambientales
Para la identificación de los riesgos que afecten el ambiente, se debe tomar como referencia, los aspectos e
impactos ambientales identificados por la Institución y que serán parametrizados en el aplicativo definido para
dicha actividad, haciéndose necesario que estos aspectos e impactos, se adopten mediante los instrumentos de
gestión del “Sistema de Gestión Ambiental” y el cumplimiento de los requisitos legales, asegurando que, su
actualización se realice teniendo en cuenta el contexto de la organización, de manera periódica, como criterio
para definir los factores externos e internos, que sean considerados como riesgos u oportunidades.
4.2.2.5.1. Evaluación de Aspectos e Impactos Ambientales
La evaluación de aspectos e impacto ambientales, se debe realizar de acuerdo a los ítems de la tabla que se
muestra a continuación, tomando como insumo para la identificación de los riesgos ambientales, aquellos
aspectos e impactos, que obtuvieron una calificación, puntaje o significancia mayor o igual a 3.5: Alta, en una
calificación de 1 a 5.
Página 13 de 52
POLICÍA NACIONAL
TABLA No. 2. EVALUACIÓN DE ASPECTOS E IMPACTOS AMBIENTALES
CONDICIÓN ORIGEN CARÁCTER

CRITERIO DE EVALUACIÓN
DE DEL DEL CONTROL OPERACIONAL
(100%)
OPERACIÓN ASPECTO IMPACTO
Actividad Externa Influenciable
Significativo por Actividad

Anormal o Emergencia
Severidad
Subtotal Frecuencia
Subtotal Severidad
Frecuencia (25%)
Registros o
Actividad Propia
(75%)
evidencias
Responsable
Negativo
Positivo
Normal
(instructivos,
del programa
lista de
Recuperabilidad
y Control
chequeo y
Afectación
Cobertura
Operacional
mantenimiento,
entre otras).
ASPECTO IMPACTO
AMBIENTAL AMBIENTAL
Nota: El criterio de referencia para el cumplimiento del presente numeral, se debe realizar de acuerdo a lo
definido en el procedimiento “identificación y evaluación de aspectos e impactos ambientales”, el que haga sus
veces o equivalente. Respecto de la identificación de los mismos, cada vez que surja uno nuevo o se actualicen
los existentes, se procederá a insertar dicha información en el módulo de riesgos PRO.
4.2.2.5.2. Gestión del Riesgo Ambiental y Ecológico
Como se estableció en el numeral anterior, la gestión del riesgo ambiental, se realizará a partir de la fuente
denominada “Aspectos e Impactos ambientales”, partiendo para ello de su evaluación, significando entonces
que se debe emplear los criterios de esta guía para la identificación, definición, gestión, medición y cierre de los
riesgos, asociados a la posible afectación ambiental o ecológica.
Nota 1: Para el desarrollo de los parámetros de esta guía en términos ambientales, se debe utilizar los formatos
definidos para tal fin, los cuales deberán controlarse, siendo adaptados por el Equipo Direccionamiento del
Sistema de Gestión Ambiental de la Oficina de Planeación, para su uso por parte de las unidades o procesos a
nivel país, con el asesoramiento de los analistas planeación institucional.
Nota 2: Los formatos en mención, solo serán utilizados inicialmente en la gestión del riesgo ambiental y
ecológico, mientras se automatice o parametrice la información metodológica de riesgo ambiental en el
aplicativo que se utilice para tal fin.
Nota 3: Los formatos que se utilicen inicialmente para la gestión del riesgo ambiental y ecológico, serán
documentos controlados, y su manejo debe darse de manera digital.
4.2.2.6 Codificación de riesgos y planes de tratamiento
Los riesgos institucionales, masivos por procesos e individuales, se deben codificar para facilitar su búsqueda,
siguiendo estos parámetros, así:
 Para codificar riesgos: primero se debe tener en cuenta la categoría del riesgo, determinando si este es
institucional, masivo por proceso o individual, al igual que el nivel del proceso, la unidad que identifica y
el número al que corresponde el riesgo identificado, por ejemplo:
Página 14 de 52
POLICÍA NACIONAL
Si el riesgo es institucional, su código o sigla inicial será “RIN”, acompañado de la sigla del proceso de
del nivel estratégico al cual fue asignado por parte del Director General. Si para el ejemplo el riesgo es
el de “atentado”, el cual es responsabilidad de la Dirección de Seguridad Ciudadana, para su
tratamiento a través del proceso de del nivel estratégico “Convivencia y Seguridad Ciudadana”, que de
acuerdo a la codificación del sistema es “1CS”, este dato se agregaría a la palabra “RIN”, quedando
“RIN_1CS_”, a la cual se le adiciona la abreviatura de la unidad, que para este caso es “DISEC”, lo que
nos da “RIN_1CS_DISEC_”. Se continua con agregar el número del riesgo correspondiente, de acuerdo
a la cantidad identificada, quedando como “RIN_1CS_DISEC_005_”; finalizando esta codificación con el
nombre del riesgo, dando como resultado el “RIN_1CS_DISEC_005_ Que se materialicen los atentados
contra la integridad física de los funcionarios, bienes e instalaciones policiales”.
 Para codificar planes de tratamientos: basta con anteponer a la sigla o código del riesgo, el acrónimo
“PTR”, el cual traduce “Plan de Tratamiento del Riesgo”. Si tomamos para el ejemplo, el código del
riesgo anterior, el nombre del plan quedaría, “PTR_RIN_1CS_DISEC_005_” y se continuaría con el
nombre que se le dé a este. Ejemplo: “PTR_RIN_1CS_DISEC_005_Implementación Sistema Operativo
de Seguridad Integral – SIOSI”.
Otros ejemplos de codificación de riesgos y planes:
 Riesgo masivo por proceso: “RM_2BS_DIRAF_003_Que se pierda dinero de la Institución”.

 Plan de tratamiento: “PTR_RM_2BS_DIRAF_003_Estructuración nuevo procedimiento de
abono a cuenta”.
 Riesgo individual: “RI_1CI_ARCOI_001_Concluir en forma errónea sobre un proceso,
procedimiento o actividad auditado”.
 Plan de tratamiento: “PTR_RI_ARCOI_001_Desarrollo e implementación de una herramienta
tecnológica para el control de riesgos operativos, normativos y organizacionales sistematizados
– CRONOS”.
Nota 1: Por ningún motivo, a los planes de tratamiento de los riesgos, se les podrá, después de su código,
colocar el nombre del riesgo, por lo que los nombres de los mismo deben ir asociados a aquello que se
pretenda actualizar, modificar, ajustar o estructurar, lo cual siempre estará asociado a controles preventivos,
correctivos o detectivos para mejorar los procesos.
4.2.3. Determinación de clase de factor, agente generador, causas – vulnerabilidades, por cada riesgo
identificado.
La identificación completa de los riesgos, debe permitir su correcta clasificación con base en la Tabla 3, la cual
presenta una guía general de Clases de Factores y Agentes Generadores:
Página 15 de 52
POLICÍA NACIONAL
TABLA No. 3. CLASES DE FACTORES Y AGENTES GENERADORES

CLASE DE FACTOR AGENTE GENERADOR
Disminución presupuestal para la Institución.
Económico Disminución presupuestal para el proceso.
No disponibilidad oportuna de recursos.
Aspectos Ambientales: Generación de Residuos Peligrosos
(RESPEL); Generación de Residuos especiales como los aparatos
Eléctricos y Electrónicos - RAEEs, que en sus componentes internos
tienen características peligrosas; Consumo de Agua; Consumo de
Energía; Consumo de Papel en actividades administrativas;
Generación de emisiones atmosféricas por fuentes móviles;
Ambiental Generación de vertimientos de aguas residuales; Generación de
aceite quemado (Aceite Usado vegetal - AUV).
Impactos Ambientales: Contaminación de suelos o cuerpos de agua;
Agotamiento del recurso natural; Agotamiento del recurso natural
(Flora, fauna, deforestación); Alteración de la calidad del aire;
Contaminación del agua.
Político Nueva legislación que afecta a la Institución.
Baja percepción y confianza por parte de la ciudadanía.
Cultura ciudadana que no favorece el cumplimiento de la misión
Social Institucional.
Deficientes o insuficientes controles de políticas, estrategias.
Falta de conocimiento o entendimiento de los objetivos
estratégicos de la Institución.
Falta de conocimiento, entendimiento o aplicación de los principios y
valores de la Institución.
Las metas/resultados esperados no se conocen, no son claros o no
Estratégico se concertaron con los involucrados.
Los mecanismos de comunicación interna no están bien definidos o
no son claros para los funcionarios.
Deficiente planeación de necesidades de recursos económicos.
Cultura de los funcionarios que no favorece el cumplimiento de los
objetivos.
Capacidad insuficiente o no disponibilidad oportuna de los recursos
de infraestructura.
Deficiente planificación o diseño de políticas, estrategias.
Actividades de mantenimiento de instalaciones y equipos no
Infraestructura (Edificios, apropiadas y/ o insuficientes.
espacios de trabajo, Infraestructura no apropiada.
herramientas, transporte) Dificultades con el suministro de servicios públicos y privados.
Competencias no apropiadas.
Competencias no definidas / no definidas adecuadamente.
Alto nivel de rotación.
Capacidad laboral no suficiente (la cantidad de trabajo excede la
Talento Humano capacidad del personal).
La estructura organizacional establecida no se ajusta a las
necesidades de la Institución.
Los mecanismos de formación / capacitación no son los adecuados.
Página 16 de 52
POLICÍA NACIONAL
El personal no es consciente de la pertinencia e importancia de las

actividades que tiene asignadas
Baja motivación.
Imparcialidad.
Deficientes o insuficientes controles de procesos o procedimientos.
La definición / delimitación de autoridades o responsabilidades no es
clara.
Los mecanismos de difusión de información no son los adecuados.
Procesos/Procedimientos / No están documentadas las actividades.
planes Deficiente formulación de los mecanismos de seguimiento y
medición (indicadores, encuestas, cronogramas, seguimiento a
proyectos, etc).
Deficientes / insuficientes controles a los proveedores
Actividades de mantenimiento y soporte de infraestructura
Tecnología (hardware, tecnológica no apropiada o insuficiente.
Software, sistemas de Tecnología obsoleta o que no cumple con lo requerido.
Información, Comunicación) Deficiencias en los controles que garantizan la seguridad de la
Información.
Así mismo se deben identificar TODAS las posibles causas – vulnerabilidades que podrían generar cada uno
de los riesgos identificados en el punto anterior.
Nota: las unidades y procesos de acuerdo a ámbito o nivel de gestión, podrán sugerir factores y agentes
generadores, en caso de estimarlos pertinentes, los cuales serán incluidos en esta guía por parte de la Oficina
de Planeación, previo análisis de conveniencia, suficiencia, pertinencia y coherencia.
4.2.4. Situaciones de materialización y controles para su detección.
Se deben relacionar cuáles son las situaciones concretas en las que podría presentarse el riesgo, pues
generalmente tienen formas diferentes de materialización. Las situaciones de materialización son
independientes de las causas, es decir, una sola situación de materialización puede generarse por una o por
varias causas simultáneamente. Esto significa que no se debe asociar una situación específica de
materialización por cada causa, sino por el riesgo.
Si un riesgo está bien identificado se debe poder responder a la pregunta: ¿cómo se puede materializar?, si no
se puede responder esta pregunta, es necesario revisar el riesgo identificado. Las situaciones de
materialización deben ser concretas y verificables por medios tangibles.
Establecer con claridad las posibles situaciones de materialización tiene tres objetivos específicos que son de
vital importancia para las fases siguientes:
 Permite comprobar que el riesgo está bien identificado. (Fase de Identificación).
 Permite asignar con mayor claridad y criterio los valores de probabilidad de ocurrencia de riesgo. (Fase
de Definición de la Gestión).
 Facilita determinar si un riesgo se ha materializado o no. (Fase de Gestión de Riesgos).

Página 17 de 52
POLICÍA NACIONAL
Hay situaciones en las que la materialización de un riesgo se detecta inmediatamente, mientras que hay otras
situaciones en que se detecta el efecto de su materialización:
Ejemplo 1
Riesgo: (Que ocurra un accidente aéreo). ¿Cómo se puede materializar? Aquí la respuesta además de única,
es obvia: cuando ocurre un accidente aéreo. Es un evento puntual. ¿Cómo se puede detectar que ocurrió?
Porque de acuerdo con el protocolo (PRT0001), durante todo el tiempo en que una aeronave esté en vuelo,
esta es constantemente monitoreada, lo cual, en caso de ocurrencia de un accidente permite conocer la
situación inmediatamente. Adicionalmente, esta novedad queda registrada en el formato o formulario (FR0001)
Reporte Novedades.
Ejemplo 2:
Riesgo: (Que un plan o estrategia no alcance los resultados planificados). ¿Cómo se puede materializar? Aquí
hay que analizar un poco más que en el caso anterior. Habría que verificar cuáles eran los resultados
planificados de ese plan o estrategia y este caso, la materialización del riesgo se va dar en términos de que los
resultados de la medición planificada no cumplan con las expectativas.
Una situación de materialización nunca es: una queja, una demanda, una mala publicidad, etc. Estos son
ejemplos de cómo se dan los efectos, no las situaciones de materialización.
Lo ideal es que se tengan mecanismos que permitan detectar los riesgos materializados inmediatamente
(después de su materialización) cuando se presentan las situaciones. En el campo ¿Qué controles realiza en
su proceso que permitan detectar la situación de materialización?, se debe escribir en la actualidad cómo se
está detectando la situación que se materializa. En caso de que no haya un mecanismo definido para detectar
la materialización, se deberá escribir: “No hay”. No contar con mecanismos que permiten detectar que un
riesgo se ha materializado, será un aspecto a considerar cuando se defina el plan de tratamiento del riesgo.
El análisis de situaciones de materialización en la fase de identificación debe ser exhaustivo, tomando en

consideración los criterios establecidos y las posibles materializaciones asociadas a incumplimiento de
indicadores, productos no conformes, no conformidades, y la falla en los controles preventivos, correctivos o
detectivos.
Para el caso de la identificación de riesgos para seguridad de la información, las situaciones de materialización,
se encuentran estandarizadas por cada uno de los pilares, debiéndose tener en cuenta la información
parametrizada en el aplicativo.
4.2.5. Efectos y controles para su detección.
Se deben identificar TODOS los posibles efectos que podrían generarse si los riesgos identificados se
materializaran y se deben registrar en el campo de “Efectos” del módulo de Riesgos de la herramienta que lo
contenga.
Adicionalmente, debe indicarse, en la actualidad, cual es el registro que permite determinar que el riesgo
materializado ha producido un efecto. Ejemplo:
Página 18 de 52
POLICÍA NACIONAL
Posible Efecto: Pérdida de imagen, credibilidad, confianza.
¿Cómo se detecta este efecto?: Informe de monitoreo de medios, quejas, reclamos.
Los efectos se definen en relación con las situaciones de materialización identificadas. Una sola situación de
materialización puede generar varios efectos simultáneamente y un efecto puede darse para varias situaciones
de materialización.
Esto significa que los efectos deben seleccionarse para el conjunto de situaciones de materialización y no
deben encontrarse efectos repetidos para un mismo riesgo.
Los posibles efectos para cada uno de los riesgos identificados, se seleccionarán de la Tabla No. 4. Efectos
Potenciales.
TABLA No. 4. EFECTOS POTENCIALES

N° EFECTOS DESCRIPCIÓN
Pérdida de imagen / credibilidad Disminución de la percepción favorable
1 / confianza/ clientes, usuarios que tiene la ciudadanía, los funcionarios
insatisfechos y la comunidad internacional acerca de la
institución.
2 Afectación a la Seguridad y Daños que pueden presentarse en la
Salud Ocupacional integridad física y mental de las
personas, generando lesión o muerte.
3 Pérdidas Económicas Detrimento del patrimonio público. Se
expresa en términos de salarios
mínimos mensuales legales vigentes.
Afectación Ambiental Impactos causados al ambiente como
4 resultados de las acciones realizadas.
5 Afectación a los objetivos No se alcanzan las metas estratégicas
estratégicos de la Institución planificadas por la Institución.
6 Afectación al bienestar / Afectación a los niveles de motivación de
motivación del personal los funcionarios de la Institución.
7 Interrupción de la Prestación del Imposibilidad de continuar con la
Servicio prestación del servicio.
Nota: La información referenciada en la anterior tabla, es de carácter general, toda vez que los impactos, se
encuentran de manera específica en la “Matriz de Evaluación de Riesgos” (véase numeral 6.2.1.1.5.).
5. IDENTIFICACIÓN DE NUEVOS RIESGOS Y ACTUALIZACIÓN
5.1. OBJETIVO
El objetivo de esta actividad es la actualización de los riesgos y de sus elementos, o nueva identificación de
riesgos, -si aplica-, luego de haber ejecutado un ciclo completo, para que con base en el análisis de los
resultados de la gestión, se identifiquen nuevos aspectos de los “procesos”, “procedimientos” y “actividades”
críticas o complejas que no permitan alcanzar los objetivos institucionales, y a través de la gestión se continúe
contribuyendo a la mejora continua, disminuyendo la materialización de riesgos y los impactos no deseados.
Página 19 de 52
POLICÍA NACIONAL
De la calidad del trabajo de actualización – identificación, depende la adecuada priorización de todos los riesgos
de la Institución y la definición de planes de tratamiento adecuados que agreguen valor a dicha gestión.
Los riesgos (y su descripción) en la Policía Nacional se identifican o actualizan en tres (3) momentos, con base
en las siguientes fuentes:
TABLA No. 5. SUBFASES DE IDENTIFICACIÓN / ACTUALIZACIÓN DE RIESGOS
N° FUENTE ¿CUÁNDO?
Riesgos institucionales e inherentes a las Una sola vez, cuando se inicie la
1 actividades de los procesos. implementación de la presente metodología
Análisis de riesgos de planes, programas y (Aplicando el Plan de Identificación Inicial).
proyectos
Trimestralmente, si aplica, con los resultados
2 Resultados de desempeño de los procesos. del informe trimestral de gestión de riesgos.
Anualmente, con el informe del análisis de
3 Actualización con base en el análisis del contexto contexto y el informe de cierre que contiene
y resultado fase de cierre, planes, proyectos y los resultados de la gestión de riesgos, y la
programas. descripción de los planes, proyectos y
programas a ejecutar en el año siguiente.
5.2.1. Actualización de riesgos con base en el análisis de contexto, en los resultados de la fase de cierre
y en los planes, proyectos y programas a desarrollar en el año.
La identificación / actualización de riesgos, causas y efectos asociados al contexto, a los planes, proyectos y
programas, y a los resultados de la fase de cierre, se hará anualmente. Se deberá hacer la “Reunión anual de
revisión de riesgos”, reunión en la que debe participar un número representativo de los funcionarios del
proceso. El objetivo es que en la reunión se revisen los riesgos que el proceso ya había identificado, los planes,
proyectos y programas, y se haga el análisis de contexto, con el fin de identificar nuevos riesgos, causas o
efectos.
Esta reunión deberá llevarse a cabo dentro de los primeros 15 (quince) días calendario del mes de noviembre
de cada año. La fecha máxima para la aprobación de toda la información producida (nueva o para
actualización), será hasta el 20 de enero en cada vigencia.
Las tareas a ejecutar por parte del Responsable Direccionamiento Estratégico y de Recursos son; preparar,
moderar, y consolidar los resultados de la reunión.
5.2.1.1. Preparar la Reunión
El éxito de la reunión estará dado por la calidad de la información con la que se cuente en el momento de
realizarla, dada esta condición, el Responsable Direccionamiento Estratégico y de Recursos deberá asignar las
responsabilidades de recolección y análisis de la información requerida entre los funcionarios del proceso. La
citación a la reunión debe ser enviada a los funcionarios del proceso mínimo, con 5 (cinco) días hábiles de
anticipación, a la fecha de la reunión.
Página 20 de 52
POLICÍA NACIONAL
Cada funcionario presentará la información que le fue asignada, y los asistentes, con base en su conocimiento
y experiencia del proceso tendrán la responsabilidad de aportar a la reunión con el fin de poder actualizar los
riesgos identificados y su situación.
A continuación, se describe la información que debe ser preparada por los funcionarios para presentar en la
reunión:
 Presentación de Identificación del Proceso y del informe anual de gestión de riesgos
Con base en la caracterización del proceso, se deberá hacer la presentación y explicar a los asistentes la
siguiente información con el fin de contextualizarlos:
 Nombre del Proceso.

 Dependencia o dependencias que participan en el proceso. (Nivel).
 Objetivo del Proceso en el nivel.
 Cuál es la evidencia del cumplimiento del objetivo del proceso.
(Ejemplo: Proceso de Control Interno: informes de auditorías).
 Cliente del proceso (que puede ser interno / externo).
 Informe anual de gestión de riesgos del proceso.
 Proyectos y Planes Especiales y Programas a elaborar o ejecutar.
El Responsable Direccionamiento Estratégico y de Recursos del proceso será el encargado de presentar en la

reunión, las modificaciones en los riesgos por cambio en el objetivo o en los indicadores y designará quien
presentará las modificaciones en los riesgos por cambios en los procedimientos
5.2.1.2 Actualización Mapa de Riesgos Institucional
Los riesgos institucionales, deben ser actualizados por los directores o jefes de oficinas asesoras, a quienes
fueron asignados por parte de la Dirección General, dada las condiciones de tratamiento específico o general
que se requiere para mitigar los mismos.
Dicha actualización, será aprobada en términos metodológicos, por los analistas planeación institucional de la
Oficina de Planeación, quienes evaluarán la pertinencia, suficiencia, coherencia, conveniencia y adecuación de
la información a actualizar, con base en los informes de gestión integral del riesgo, tanto trimestral como anual,
lo que dará la posibilidad de incorporar modificaciones en la descripción del riesgo (factor de riesgo, agente
generador, causa, riesgo, descripción, situaciones de materialización, control detectivo, efecto, control para
detectarlo, al igual que los planes de tratamiento).
Igualmente corresponde a los líderes de proceso de del nivel estratégico, participar en dicha actualización y
presentar el riesgo institucional ante la instancia que se considere necesario, teniendo como opciones
obligatorias, el Comité de Gestión y Desempeño Institucional o Comité de Coordinación de Control Interno.
Una vez el Comité de Gestión y Desempeño Institucional o Comité de Coordinación de Control Interno, apruebe
los riesgos institucionales, los analistas planeación institucional de la Oficina de Planeación asesorarán a la
unidad en la materia, solicitando la inserción de la información en el aplicativo o herramienta tecnológica
destinada para tal fin, de acuerdo a lo aprobado en el Comité respectivo.
Página 21 de 52
POLICÍA NACIONAL
Para determinar los riesgos institucionales del año siguiente, al inicio de la implementación de la presente
metodología, se tendrá en cuenta:
a. Los riesgos institucionales identificados en el periodo anterior.
b. Los que como resultado de la evaluación de todos los riesgos de la Institución hayan quedado ubicados
en las zonas más altas de riesgo.
c. Aquellos que afecten directamente el cumplimiento de la misión institucional y los objetivos estratégicos,
como resultado de la actualización del análisis del contexto.
Nota 1: Estas actualizaciones no requieren ser sometidas a Comité de Gestión y Desempeño Institucional o
Comité de Coordinación de Control Interno, a menos que las modificaciones a la descripción inicial del riesgo
sean sustanciales e impliquen o ameriten la aprobación del Mando Institucional.
Nota 2: Cualquier cambio o modificación a un riesgo institucional, en alguno de sus apartes (factor de riesgo,
agente generador, causa, riesgo, descripción, situaciones de materialización, control detectivo, efecto, control
para detectarlo, al igual que los planes de tratamiento), necesariamente deben surtir trámite ante los analistas
planeación institucional de la Oficina de Planeación para su respectiva aprobación metodológica.
Nota 3. Desde la “Planeación Estratégica” o el “Direccionamiento Estratégico y Planeación”, quien haga sus
veces o equivalente, no se gestionará riesgos inherentes a sí mismo, ya que, desde esta instancia, se
direccionará metodológicamente los riesgos institucionales identificados y su posterior actualización.
Para la actualización de Riesgos con base en el desempeño del proceso se hace referencia a los riesgos
materializados o no, que no se habían identificado en el plan inicial, o riesgos a los cuales faltó identificarles
causas, situaciones que se registran en el Informe Trimestral y Anual “Resultados de la Gestión Integral del
Riesgo”, de la Fase Medición de Resultados de la Gestión. De este informe, se debe analizar lo siguiente:
1. Aquellos casos que en el campo de “Causa generadora asociada al riesgo” para los eventos a evaluar, la
respuesta haya sido: “El riesgo no se había identificado”: En este caso, deberá insertarse el riesgo en la
herramienta tecnológica establecida para tal fin, con las instrucciones antes dadas en el “Plan Inicial de
Identificación”.
2. Aquellos casos que en el campo de “Causa generadora asociada al riesgo” para los eventos a evaluar, la
respuesta haya sido: “el riesgo ha sido identificado, pero no la causa”: Deberá insertarse esta causa en el
riesgo al cual se le realizó gestión, de acuerdo a su materialización.
5.2.1.3. Moderar la Reunión
El objetivo de la reunión es revisar y actualizar los eventos potenciales que pueden poner en riesgo la adecuada
gestión tanto de la Institución, como de los procesos, lo cual se hará mediante el análisis de la información
presentada descrita en el punto anterior.
Con base en la información descrita en el numeral 5.2.1., el conocimiento del proceso que tiene cada uno de los
asistentes, y con la orientación del Responsable Direccionamiento Estratégico y de Recursos, se deberán ir
identificando en la reunión las debilidades, oportunidades, fortalezas y amenazas del proceso.
Página 22 de 52
POLICÍA NACIONAL
La idea es que al ir presentando cada uno de los puntos descritos, se vayan identificando las debilidades,
oportunidades, fortalezas y amenazas. Una vez se haya diligenciado la información, deberán tomarse las
debilidades y amenazas y verificar si ya se habían contemplado como causas o como riesgos en los que ya se
habían identificado, sino, se deberán incluir afectando el riesgo que corresponda.
5.2.1.4. Consolidar los resultados de la Reunión
Los resultados de la reunión deberán ser consolidados por el Responsable Direccionamiento Estratégico y de
Recursos del proceso, por cada Ámbito de Gestión o unidad, quien debe insertarlos de acuerdo a lo
consensuado, en el aplicativo o herramienta tecnológica dispuesta para la administración del riesgo.
Nota: Si una unidad desconcentrada o proceso de despliegue en la actualización o generación de nuevos

riesgos, por la aplicación de las directrices del plan inicial o por la ejecución de esta fase 5, prevista en este acto
administrativo, identifican riesgos individuales, estos deben ser presentados en el Equipo de Gestión Integral
del Riesgo de la unidad o en el Comité de Gestión y Desempeño Institucional o el que haga sus veces, del nivel
inmediatamente superior, con el fin se apruebe o desapruebe en términos metodológicos, la información
suministrada por el proceso o unidad correspondiente. De lo anterior deberán quedar los registros de lo
actuado.
Punto de control:
QUÉ: Verificar la identificación de riesgos institucionales, masivos por proceso e individuales
QUIÉN: Líder de Proceso, Director, Jefe, Comandante, Analista Planeación Institucional, Responsable
Direccionamiento Estratégico y de Recursos
CUANDO: Anualmente, Trimestralmente y cada vez que se presente un Evento Potencial a Evaluar - EPE
EVIDENCIA: Riesgos identificados e insertados en el módulo riesgos PRO
6. FASE DEFINICIÓN DE LA GESTIÓN
6.1. OBJETIVO DE LA FASE
El objetivo de esta fase es definir las acciones que permitirán dar tratamiento adecuado a los riesgos
identificados de forma que:
a) Prevengan la materialización de los riesgos, mediante el tratamiento de las causas raíces de los
riesgos potenciales, de una manera integral y consolidada.
b) Se determinen acciones que permitan mitigar los efectos de los riesgos materializados y restablecer el
curso normal de las actividades en el menor tiempo posible, cuando la prestación del servicio se vea
afectada.
c) Se determinen los costos asociados a la implementación de las actividades con el fin de planificar las
necesidades de recursos y posteriormente de controlarlos.
d) Determinar las acciones para detectar las “situaciones de materialización”, “efectos” y “amenazas” del
riesgo identificado en su ocurrencia.
Página 23 de 52
POLICÍA NACIONAL
6.2.1. Realizar Calificación del Riesgo (Análisis antes de Controles) y Evaluación del Riesgo con Base en
los Controles Existentes (Análisis después de Controles)
Una vez la Oficina de Planeación haya aprobado la Descripción de Riesgos, (donde aplique por competencia o
categoría del riesgo), los Responsables Direccionamiento Estratégico y de Recursos de procesos de cada nivel,
por cada Ámbito de Gestión o unidad, deberán diligenciar en el aplicativo, el análisis y valoración de controles
para los riesgos de su nivel y con su grupo de trabajo (el mismo del Plan Inicial). Este aspecto aplica igualmente
para cuando los Responsables Direccionamiento Estratégico y de Recursos, quienes deben aprobar la
descripción de los riesgos individuales.
6.2.1.1. Calificar el riesgo o Análisis Antes de Controles
6.2.1.1.1 Calificación de la Frecuencia
Para cada una de las posibles situaciones de materialización, clasificar cualitativamente la frecuencia de
ocurrencia histórica de cada situación en el año inmediatamente anterior, en términos de:
TABLA No. 6. CALIFICACIÓN FRECUENCIA ANTES DE CONTROLES

Vlr ESTIMACIONES O CONSIDERACIONES
5 Ha ocurrido o podría ocurrir siempre (si se selecciona este ítem, las situaciones de
materialización se están calificando sin controles, lo que para el caso es correcto).
4 Ha ocurrido o podría ocurrir frecuentemente (si se selecciona este ítem, las situaciones de
materialización se están calificando sin controles, lo que para el caso es correcto.
3 Ha ocurrido o podría ocurrir moderadamente (si selecciona este ítem, evidenciar registros y por
qué se logró esa estadística. Se debe poder demostrar que la situación de materialización ocurre
en la cantidad de veces de acuerdo a lo consultado, sin controles existentes).
2 Ha ocurrido o podría ocurrir ocasionalmente (si selecciona este ítem, evidenciar registros y por
qué se logró esa estadística. Se debe poder demostrar que la situación de materialización,
ocurre en la cantidad de veces de acuerdo a lo consultado, sin controles existentes).
1 Podría ocurrir (si selecciona este ítem, evidenciar registros y por qué se logró esa estadística. Se
debe poder demostrar que la situación de materialización ocurre en el número de veces indicado;
ósea cero, sin controles existentes).
Nota 1: Se debe tener en cuenta que, para realizar este análisis, es necesario desprender o quitar de la
frecuencia presentada, los controles preventivos y correctivos, toda vez que muy probablemente la ocurrencia
de la frecuencia histórica, se tomó a partir de resultados con controles aplicados. Recordemos que esta
actividad se hace sin controles existentes, ósea en el contexto de un escenario caótico, por lo tanto, se debe
calificar la frecuencia como mínimo en 4.
Nota 2: Para un riesgo existente, en un segundo periodo (trimestral y anual), después de identificado, la
calificación inicial deberá tomarse como el resultado final del primer periodo, y así sucesivamente lo que
permitirá un seguimiento real de la evolución de la gestión de riesgos en el tiempo.
6.2.1.1.2. Calificar Exposición
Para cada riesgo, teniendo en cuenta los factores tanto internos como externos del mismo, determinar cuál es
su factibilidad en términos de:
Página 24 de 52
POLICÍA NACIONAL
TABLA No. 7. CALIFICACIÓN EXPOSICIÓN ANTES DE CONTROLES
5 Constante exposición
4 Frecuente exposición
3 Moderada exposición
2 Ocasional exposición
1 Muy rara exposición
Nota 1: Para determinar la exposición se debe tener en cuenta la frecuencia de realización de la actividad que
genera el riesgo. Ejemplo: Es más factible que ocurra un accidente aéreo para una persona que vuela todos los
días que para una persona que vuela 5 veces al año, el que vuela todos los días está más expuesto al riesgo.
Nota 2: Se debe recordar que la Probabilidad, se da en términos del promedio entre frecuencia y exposición, y
que ésta se reflejará en la Matriz de Valoración del Riesgo, de acuerdo a la configuración de la fórmula en el
aplicativo. Ejemplo: Frecuencia=3, Exposición =2, Probabilidad = (3+2) / 2 = 2,5.
6.2.1.1.3. Impacto
Para cada uno de los efectos del riesgo (de la fase de identificación), indicar cuál es el máximo nivel de impacto
que podría producir en caso de materialización. Esta actividad se debe hacer con base en la Matriz de
Valoración del Riesgo, tal como se indica en la Tabla No. 8, de acuerdo a los siguientes impactos.
Impactos:
 Pérdida de imagen, credibilidad, confianza, clientes / usuarios insatisfechos.

 Afectación a la Seguridad y Salud en el Trabajo.
 Pérdidas Económicas.
 Daño Ambiental.
 Afectación a los Objetivos Estratégicos de la Institución.
 Afectación al Bienestar / Motivación del Personal.
 Interrupción de la Prestación del Servicio.
Nota: Aplicar para la calificación del impacto el criterio dado en la nota 1 del numeral 6.2.1.1.1.
6.2.1.1.4. Nivel de Riesgo antes de controles
El nivel de Riesgo se define como la “probabilidad” por el “impacto”
NR = P x I (para un riesgo, en una unidad)

NR = Sumatoria (PxI) para un riesgo en múltiples unidades)
6.2.1.1.5. Valoración de Controles Existentes (Preventivos – Correctivos)
Para cada una de las causas y efectos de cada riesgo, relacionar qué controles existen. En este sentido, los ,
deben estandarizar los controles preventivos, correctivos y detectivos para su inserción y valoración en el
aplicativo, por parte de sus despliegues o unidades desconcentradas.
Página 25 de 52
POLICÍA NACIONAL
Nota 1: No son válidos como controles existentes: actas, correos, comunicaciones oficiales, informes, entre
otros, cuando no estén vinculados a ejecución directa de procedimientos, instructivos, directivas, guías,
manuales, resoluciones, leyes, políticas, lineamientos.
Nota 2: Son válidos como controles existentes: Los registros que permiten la aplicación verificable o
demostrable de procedimientos, instructivos, directivas, guías, manuales, resoluciones, aplicativos, formatos,
personas, entre otros, y los que posteriormente resulten de los planes de tratamiento para cualquier riesgo
antes de que estos se materialicen estando previamente identificados.
Nota 3: Las Leyes, Políticas, Lineamientos, Aplicativos, Planes (por ejemplo, PITP), por si solos no son
controles existentes, y por lo tanto se debe relacionar exactamente qué parte de estos, obra como control para
la causa, impacto o situación de materialización, demostrando o comprobando su aplicación.
Nota 4: Las unidades de nivel 3, pueden sugerir controles existentes a su proceso inmediatamente superior,
con el fin se evalúen para inclusión en la estandarización de los mismos. Respecto a los controles para la
seguridad de la información, estos deben ser tomados a partir de los que relacione en este sentido la
normatividad existente.
Nota 5: Para definir si un control es preventivo, correctivo o detectivo, basta con sustentar y demostrar, si este
fue creado e implementado antes o después de la materialización del riesgo al cual está asociado, y la
intención por el cual se creó, modificó o ajustó, parcial o totalmente.
Nota 6: El procedimiento “EJECUTAR ACCIÓN CORRECTIVA, PREVENTIVA Y CORRECCIÓN”, el que haga

sus veces o equivalente, es el medio o canal para la estructuración de controles correctivos, no siendo válido
este, como control existente a valorar, por lo que deberá ser desaprobado cuando se inserte en el aplicativo.
Nota 7: Para que un control existente pueda aplicar para más de una causa o efecto/impacto, se debe poder
demostrar y constatar que el mismo contiene en su estructura, las “formas” y “cómo”, que visualicen o
evidencien su conexión con dichas causas o efectos/impactos para la mitigación o respectiva opción de
tratamiento del riesgo.
Nota 8: Cuando un control de carácter preventivo o correctivo, es valorado con un “No” o varios “No”, -ante las
preguntas relacionadas al final de este numeral-, se deben establecer acciones en los planes de tratamiento,
para la construcción o estructuración del faltante en dicho control. Por ejemplo: Si ante las preguntas “¿Está
documentado el control?, ¿Existe un documento que describa las acciones del control?; “se respondió, No”; el
proceso o unidad, debe generar el documento que soporte los lineamiento o criterios de aplicación,
funcionamiento, implementación, control y seguimiento del mismo. Este aspecto debe ser controlado y
monitoreado por el nivel superior permanentemente, cada vez que se realice valoración de controles.
Nota 9: No se debe valorar supuestos controles. Los controles deben existir, por lo que responder a todas las
preguntas “No”, para su valoración, no es correcto, lo que indica, que dicho control no existe.
Página 26 de 52
POLICÍA NACIONAL
TABLA No. 8. MATRIZ DE EVALUACIÓN DEL RIESGO

“la evaluación es el resultado de calificar el riesgo (Véase numeral 6.2.1.1) y valorar los controles existentes (Véase numeral 6.2.1.1.5)”
MATRIZ DE CALIFICACIÓN Y VALORACION DEL RIESGO (MVR / RAM)

IMPACTO PROBABILIDAD UBICACIÓN OPCIÓN
Pérdida de
Im agen, Afectación a la
Pérdidas Afectación a los Afectación al
Interrupción ZONA DE
credibilidad, Seguridad y de la
Económ icas Daño Am biental objetivos bienestar / RIESGO Asumir el
confianza, Salud en el
(En (ISO14001) estratégicos de m otivación del
prestacion del 1 2 3 4 5
clientes / Trabajo servicio (GTC BAJO riesgo
S.M.M.L.V.) la Institución personal
usuarios (OSHAS18001) 176) ACEPTABLE
insatisfechos
*Poca o nula
afectación al medio
ambiente.
Hechos o noticias *Posibilita una
Interrupción de ZONA DE Asumir y
que afectan la Lesiones o recuperación Menos del 20% de
Afectacion a un la prestacion del
imagen a nivel enfermedades que 0-500 inmediata de las los objetivos
funcionario servicio hasta 2
1 (0.0-1) (1.1 - 2) (2.1-3) (3.1-4) (4.1-5) RIESGO Reducir el
Unidades de no requieren condiciones estratégicos
horas. MEDIO riesgo
Policia incapacidad. originales tras el
cese de la acción.
*Afecta únicamente
el área de trabajo.
*Baja alteración en el
medio ambiente.
Lesión o *Posibilita una pronta
enfermedad que recuperación de las Evitar,
Hechos o noticias
requiere de un condiciones Entre el 21% y el Interrupción de ZONA DE Reducir,
que afectan la
tratamiento médico originales tras el 40% de los Afectacion a una la prestacion del
imagen a nivel
ambulatorio y que
501-1000
cese de la acción. objetivos unidad servicio hasta 6 2 (1.1.-2) (2.1-4) (4.1-6) (4.1-8) (8.1-10) RIESGO Compartir o
Todos los
genere *La afectación sale estratégicos horas. ALTO Transferir el
funcionarios
incapacidad laboral del área de trabajo riesgo
temporal (ILT) pero se mantiene en
áreas bajo el control
institucional.
Lesión o *Media alteración en

enfermedad que el medio ambiente.
requiere de un *Posibilita una
Hechos o noticias tratamiento médico recuperación en el Entre el 41% y el Interrupción de
Afectacion a los
que afectan la ambulatorio y que mediano plazo de las 60% de los la prestacion del
imagen a nivel genere
1001-1500
condiciones objetivos
funcionarios de una
servicio hasta
3 (2.1-3) (4.1-6) (6.1-9) (8.1-12) (10.1-15)
region.
Ciudad incapacidad laboral originales tras el estratégicos 12 horas.
temporal (ILT) por cese de la acción.
más de 30 días, *Afecta levemente a
pero menos de 90 terceros.
*Alta alteración en el
medio ambiente.
*Recuperación solo
Lesión o
en el largo plazo de Afectacion a los
Hechos o noticias enfermedad grave Entre el 61% y Interrupción de
las condiciones funcionarios de mas
que afectan la irreparable 80% de los la prestacion del
imagen a nivel (Incapacidad
1501-2000 originales tras el
objetivos
de una region, pero
servicio hasta 4 (3.1-4) (6.1-8) (9.1-12) (12.1-16) (15.1-20)
cese de la acción. no toda la
País permanente parcial estratégicos 18 horas.
*Afecta en mayor Institucion.
o invalidez).
grado a terceros. La
afectación es a nivel
local.
*Grave afectación al
medio ambiente.
*Pérdida permanente
en la calidad de las
Muerte, lesión o condiciones y
Hechos o noticias Entre el 81% y Interrupción de
enfermedad que recursos Afectacion de todos
que afectan la 100% de los la prestacion del
imagen a nivel
implique a largo Más de 2000 ambientales sin
objetivos
los funcionarios de la
servicio por 24
5 (4.1-5) (8.1-10) (12.1-15) (16.1-20) (20.1-25)
plazo una limitación posibilidades de Institucion.
Internacional estratégicos horas o más.
total y permanente. recuperación.
*Afecta gravemente
a terceros. La
afectación es a nivel
regional.
Página 27 de 52
POLICÍA NACIONAL
Existen controles de tipo preventivo y correctivo:
TABLA No. 9. TIPOS DE CONTROL PREVENTIVO Y CORRECTIVOS
TIPO DE CONTROL DESCRIPCIÓN

Disminuyen la probabilidad de ocurrencia del riesgo, actuando para eliminar las
causas del mismo, y como su nombre lo indica, ayuda a prevenir la ocurrencia del
riesgo, de acuerdo a las opciones de tratamiento (evitar, reducir, asumir, compartir o
Preventivos transferir) definidas para el riesgo. Ejemplos: Registro a vehículo o a personas,
avisos informativos (Peligro, Alta Tensión, Solo Personal Autorizado), un contrato,
sistemas de claves de acceso, validaciones de datos ingresados a los sistemas de
información, seguridad física como cerraduras, puertas.
Permiten disminuir el impacto causado por el riesgo materializado. Ejemplos: Una
póliza, porque permite disminuir el impacto de una pérdida económica; Un
procedimiento para atención de público cuando no hay sistema de información (plan
Correctivos de contingencia), porque permite disminuir el impacto de pérdida de imagen/clientes
o usuarios insatisfechos, actividades de back up, porque dependiendo de la clase de
información que estén respaldando podrían disminuir el impacto de la interrupción
del servicio, o de clientes insatisfechos, etc.
Nota: Cuando a partir de la ejecución de la medida correctiva, se crean controles correctivos, estos, -de
acuerdo a la concepción e intencionalidad de la gestión del riesgo en una organización-, no podrán asegurar o
garantizar que el “riesgo”, no se vuelva a presentar o materializar, ya que los riesgos, nunca se pueden llevar a
cero (0), sino, hasta que la actividad que lo origina se elimine.
Existe un tercer tipo de controles y es importante tener claridad de su existencia para no confundirlos con los
preventivos ni con los correctivos, estos son los controles detectivos:
TABLA No. 10. TIPOS DE CONTROL DETECTIVOS
TIPO DE DESCRIPCIÓN
CONTROL
Son aquellos que no evitan la ocurrencia del riesgo, sino
que los detecta cuando ocurren. Como herramienta,
permiten medir la efectividad de los controles
preventivos. Hay controles que permiten detectar la
materialización del riesgo y otros que permiten detectar
Detectivos su efecto. Ejemplos de controles que permiten detectar
un riesgo materializado: revisión de inventarios, sistemas
de monitoreo, cámaras de vigilancia, cruce de bases de
datos, auditorias, etc. Ejemplos de controles que
permiten detectar un efecto: quejas, reclamos, multas,
demandas noticias en medios, encuestas de satisfacción,
resultados de indicadores, etc.
Página 28 de 52
POLICÍA NACIONAL
Posteriormente, se deberán valorar los controles correctivos y preventivos respondiendo las siguientes
preguntas, (“Si” en caso afirmativo o “No” en caso negativo).
Controles preventivos: (Disminuyen la probabilidad de ocurrencia de los riesgos al enfocarse en tratar las
causas).
 ¿El control se aplica actualmente y de forma conjunta con el proceso, procedimiento, actividad o tarea,
ejecutada en la unidad?: ¿Se realizan las actividades descritas en el control y son verificables?
Nota: Es necesario tener en cuenta la cobertura de aplicación, por ejemplo, si un control se debe aplicar por 100
supervisores, esto debe poder demostrarse a través de medios verificables.
 ¿El control está documentado mediante manual, guía, instructivo, directiva, circular, resolución, formato
procedimiento, u otro?
 ¿El control es efectivo a la hora de evitar, reducir, compartir o transferir y asumir el riesgo?: Un control
es efectivo si el riesgo no se ha materializado por la causa relacionada con el control o ha contribuido a
disminuir y mantener la probabilidad de ocurrencia.
 ¿Está (n) definido (s) el (os) responsable (s) de la ejecución del control?
 ¿Es adecuada la frecuencia de ejecución del control?
Controles correctivos (disminuyen el impacto de los efectos al materializarse un riesgo):
¿El control está documentado mediante manual, guía, instructivo, directiva, circular, resolución, formato
procedimiento, u otro?
¿Está (n) definido (s) el (os) responsable (s) de la ejecución del control?
¿Hay evidencia de socialización, capacitación, retroalimentación, actualización, inducción o reinducción, a los

responsables de la ejecución del control?
En cualquiera de los dos casos, si no hay controles, escribir “No Hay”.
La evaluación del riesgo es el producto de confrontar los resultados de la calificación del riesgo con los
controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo.
6.2.2. Revisar y ajustar la información
Los Responsables Direccionamiento Estratégico y de Recursos, de acuerdo a los ámbitos de gestión o unidad,
deberán consolidar, revisar y analizar la información diligenciada en el aplicativo, con el fin de generar un solo
“Análisis antes de Controles” y uno solo de “Valoración de Controles” para el proceso en el nivel operacional.
Para realizar esta actividad se debe tener en cuenta que no haya información duplicada (los mismos controles
para una causa), pero se considere toda la información enviada por los Responsables Direccionamiento
Estratégico y de Recursos de los otros niveles.
Página 29 de 52
POLICÍA NACIONAL
Toda la información que se produzca a partir de la aplicación de cada una de las fases de la metodología del
riesgo, deberá ser cargada a la herramienta tecnológica que se utilice para tal fin, donde se aprobará o
desaprobará cada una de las mismas, de acuerdo al cumplimiento en términos de coherencia, suficiencia,
pertinencia, conveniencia y adecuación de la información.
6.2.3. Revisar, analizar y retroalimentar
Los analistas planeación institucional de la Oficina de Planeación, Responsable Direccionamiento Estratégico y

de Recursos, de acuerdo a cada Ámbito de Gestión, deberán analizar la información enviada teniendo en
cuenta lo siguiente:
Riesgos comunes, causas con mayor participación en el consolidado general, causas sin controles, causas con
exceso de controles (para revisar efectividad), efectos sin controles, las opciones de manejo resultantes para
cada riesgo en el análisis después de controles, e identificación de los riesgos institucionales y de los ámbitos
de gestión Misional Policial, Educativo, Bienestar y salud.
En el contexto de esta resolución, entiéndase plan, proyecto y programa para gestionar riesgos, como “plan de
tratamiento de riesgos”.
6.2.4. Realizar Plan de Tratamiento del Riesgo
Los Responsables Direccionamiento Estratégico y de Recursos, de acuerdo a cada Ámbito de Gestión, deberán
diligenciar la información del Plan de Tratamiento de acuerdo con sus necesidades, en el módulo planes de la
herramienta tecnológica dispuesta para tal fin; para hacerlo deberá tener en cuenta lo siguiente:
Las opciones de tratamiento de acuerdo con la ubicación del riesgo después de controles, dentro de la Matriz
de Evaluación del Riesgo (Matriz RAM).
TABLA No. 11. CLASES DE ZONAS DE RIESGO Y OPCIONES DE TRATAMIENTO

ZONA DE RIESGO QUÉ SE REQUIERE
Alto Es obligatorio tomar acciones sobre las actividades que generan riesgo.
Se deberán definir las opciones de tratamiento teniendo en cuenta:
Medio a. Presupuesto disponible después del tratamiento a los riesgos de la
Zona Alta.
b. Disponibilidad de recursos físicos.
Bajo Si no hay excedente de recursos (económicos, humanos, de
infraestructura) no es necesario tomar acciones.
OPCIONES DE DESCRIPCIÓN
TRATAMIENTO
Evitar Dejar de realizar la actividad que genera riesgo y no emprender nuevas
iniciativas que generen riesgo. Intervención urgente.
Establecer límites en cuanto a resultados, mejorar los procesos, generar o
Reducir fortalecer controles preventivos y correctivos. Corregir y adoptar medidas
de control de inmediato. Definir planes de tratamiento cuando no se hayan
establecido controles apropiados.
Página 30 de 52
POLICÍA NACIONAL
Compartir/Transferir Hacer convenios o alianzas para la realización de actividades que pueden

generar riesgos, externalizar la realización de estas actividades, adoptar
seguros contra pérdidas inesperadas, distribuir el riesgo mediante acuerdos
contractuales con proveedores u otras entidades.
Aceptar / Asumir Provisionar las posibles pérdidas, definir planes de contingencia cuando
aplique. Mantener las medidas de control existentes.
 ¿Cuándo NO realizar PLAN DE TRATAMIENTO DE RIESGOS?: Si la calificación/evaluación del riesgo,

lo ubica en zona Baja, -después de haber valorado los controles-, y si los controles son pertinentes y
suficientes, y se mantiene control estricto sobre ellos, se podrá a criterio del Analista Planeación
Institucional, Responsable Direccionamiento Estratégico y de Recursos, junto con el Director, Jefe,
Comandante o Líder del Proceso respectivo, tomar la decisión de no realizar Plan de Tratamiento, sino
mantener y asegurar la ejecución de los controles.
 Se deberán tener en cuenta las fortalezas y oportunidades identificadas en la reunión anual de

identificación de riesgos (DOFA) para proponer acciones que permitan dar tratamiento a los riesgos.
 Un plan de tratamiento de riesgos podría ser considerado un proyecto y programa (aplica programa
ambiental), cuyo fin es, crear controles que permitan disminuir la probabilidad de ocurrencia de uno o
varios riesgos, o que permitan disminuir el impacto de los efectos en caso de materialización del riesgo.
 Las actividades descritas dentro de un plan de tratamiento podrán requerir la participación de diferentes
funcionarios dentro del proceso, en diferentes niveles, o incluso de diferentes procesos.
 El Responsable Direccionamiento Estratégico y de Recursos, podrá coordinar reuniones con quien/es

considere necesario para la formulación del plan de tratamiento. La participación de Jefes, Directores y
Comandantes es obligatoria, si no en la definición del plan, sí en la revisión del mismo.
6.2.4.1. ¿El entregable constituye un control?: Si el entregable de la actividad es un control correctivo o

preventivo, seleccione SI, de lo contrario, seleccione NO.
Nota 1: Cuando se selecciona la opción “No”, el aplicativo, en los cálculos que realiza por configuración, no
afectará la evaluación del riesgo; ósea, que no disminuirá la probabilidad ni el impacto.
Nota 2: Solo se puede seleccionar la opción “Si”, siempre y cuando la (s) tarea (s) y su (s) entregable (s),
corresponden al fortalecimiento o construcción de un control, ya sea preventivo o correctivo.
6.2.5. Socialización y Revisión Técnica de los Planes de Tratamiento
Una vez estén formulados los planes de tratamiento, cada “Líder de Plan” deberá socializarlos tanto con el
Responsable Direccionamiento Estratégico y de Recursos en los demás niveles, como con todos los
involucrados en el desarrollo de las actividades.
Deberán ponerse a disposición de todos por un periodo de 10 días hábiles con el fin de quien lo considere
pertinente haga los comentarios, sugerencias, recomendaciones a que haya lugar. El Responsable
Direccionamiento Estratégico y de Recursos, tiene 5 días hábiles, posterior a estos 10 días para que haga los
ajustes pertinentes.
Página 31 de 52
POLICÍA NACIONAL
Una vez se hayan ajustado los planes (si hubo necesidad de ello), el Responsable Direccionamiento
Estratégico y de Recursos, deberá enviar para pre-aprobación de los analistas planeación institucional de la
Oficina de Planeación, los Planes de Tratamiento de Riesgos y Estimación de Costos y comentarios,
sugerencias y observaciones que haya recibido, incluyendo la determinación de la propuesta con la (s)
unidades donde deben ser masificados, de acuerdo a los criterios establecidos. Los analistas planeación
institucional de la Oficina de Planeación, Responsable Direccionamiento Estratégico y de Recursos por cada
Ámbito de Gestión, según corresponda, deberán revisar la formulación del plan y evaluarlo.
Dentro de la evaluación del plan se deberán tener en cuenta los siguientes aspectos:
 Que las actividades formuladas sean coherentes con las causas identificadas.
 Que las actividades planteadas estén relacionadas con los efectos del riesgo.
 Que las actividades formuladas sean claras e involucren un verbo en su redacción.
 Que el cargo responsable de la realización de la actividad sea quien efectivamente va a ejecutar la

acción.
 Que el entregable o registro de cada actividad sea concreto y verificable.
 Que las fechas de inicio y fin sean apropiadas para la complejidad de la actividad.
 Que la estimación de costos se haya hecho adecuadamente.
 Que la suma de los porcentajes de cada actividad sume un 100 por ciento en el proyecto y que la
asignación de porcentajes sea coherente con el criterio definido.
 Que los entregables que sean controles se identifiquen como tal.
Nota 1: Todos los planes de tratamiento de riesgos, deben ser codificados, de acuerdo al proceso o unidad que
pertenecen, la clase y número del riesgo que va a tratar, el nivel al que corresponden, por último, el nombre del
plan, de acuerdo al tema proyectado. Por ejemplo:
PTR_1DS_OFPLA_000000_IMPLEMENTACIÓN_MODELO_INTEGRADO_DE_PLANEACIÓN_Y_GESTIÓN_M
IPG_PONAL.
Nota 2: Las tareas o actividades que se establezcan en los planes de tratamiento de riesgos, no deben incluirse
en planes de acción y de mejoramiento, de trabajo, entre otros y viceversa.
6.2.6. Aprobación Final de los planes de tratamiento por el Comité de Gestión y Desempeño Institucional
o Comité de Coordinación de Control Interno, o quien haga sus veces o lo represente
Una vez los planes de tratamiento de los riesgos institucionales, masivos por proceso e individuales sean pre-
aprobados por los analistas planeación institucional de la Oficina de Planeación, Responsable Direccionamiento
Estratégico y de Recursos por cada Ámbito de Gestión, según corresponda, deben ser sometidos a revisión y
aprobación por parte del Comité de Gestión y Desempeño Institucional o Comité de Coordinación de Control
Interno, quien basará su respuesta o decisión validando los aspectos de:
Página 32 de 52
POLICÍA NACIONAL
a. Pertinencia de los planes para el cumplimiento de los objetivos de la institución.

b. Viabilidad Económica de los Planes.
c. Viabilidad Jurídica de los Planes.
d. Disponibilidad y pertinencia del líder del plan propuesto.
e. Disponibilidad del personal para la ejecución de las acciones.
Una vez el Comité de Gestión y Desempeño Institucional o Comité de Coordinación de Control Interno, o quien
haga sus veces o lo represente, apruebe los planes, emitirá un documento expresando su aprobación y
oficiando a los Jefes, Directores y Comandantes cuyo personal deba ejecutar acciones, que se requiere dar
inicio a la ejecución de los planes.
Las unidades que conforman el nivel Institucional y cada Ámbito de Gestión que tengan responsabilidad de
realización de los planes de tratamiento, que se constituyan o categoricen como programas, proyectos o
planes, deben tener en cuenta lo establecido en el documento Guía Metodológica para la Formulación y
Gestión de la Estrategia Institucional, en lo concerniente a dicha construcción o estructuración.
Si el Comité de Gestión y Desempeño Institucional o Comité de Coordinación de Control Interno no aprueba el

plan, deberán hacerse los ajustes de acuerdo con las observaciones que se hagan, o si la decisión es no
llevarlo a cabo, deberá documentarse en el acta de la reunión, los motivos que llevaron a dicha decisión.
Nota 1: Las unidades de nivel operacional solo están obligadas a elaborar planes de tratamiento de riesgos,
cuando hayan identificado riesgos individuales y estén aprobados en la herramienta tecnológica utilizada.
Nota 2: Cuando se estructuren planes de tratamiento para la mitigación de riesgos de acuerdo a su clasificación
o tipo, estos deben sistematizarse en el módulo “planes” de la herramienta tecnológica utilizada, teniendo en
cuenta que no se cargue esta información como un “plan de acción”, sino como lo inicialmente expuesto.
Nota 3: Los planes de tratamiento para la mitigación de los riesgos institucionales, masivos por procesos e
individuales serán validados y aprobados por las siguientes instancias, así:
 Plan de tratamiento institucional: Comité de Gestión y Desempeño Institucional o Comité Central de

Coordinación de Control Interno
 Plan de tratamiento masivo por proceso: Líder del Proceso, Director, Comandante o Jefe
 Plan de tratamiento individual: Líder del Proceso, Director, Comandante o Jefe
En este sentido, el Líder de Proceso, Director, Comandante o Jefe, podrá comprometer a una o más unidades
para ampliar el alcance y cobertura del tratamiento del riesgo correspondiente. En caso de no desplegar tareas
mediante los planes de tratamiento institucional, masivo por procesos e individual, se debe demostrar que en
estos, existen las acciones que impactarán de forma progresiva los riesgos identificados o aprobados por su
nivel.
Nota 4: Cuando los planes de tratamiento asociados a riesgos institucionales, masivos por procesos e
individuales, hayan cumplido su finalidad, no es necesario u obligatorio implementar nuevas acciones, siempre
y cuando se pueda demostrar que el control generado a partir de la ejecución del plan, está mitigando el riesgo
en términos de evitarlo y reducirlo.
Página 33 de 52
POLICÍA NACIONAL
Nota 5: Los planes de tratamiento, asociados a la mitigación del riesgo, se cuantificarán individualmente, por
cada riesgo registrado y parametrizado en el aplicativo, no siendo válido, que se presente en un solo plan de
tratamiento las acciones a ejecutar para todos los riesgos del proceso. En este caso, se establece, que por
cada riesgo debe existir un plan de tratamiento, independientemente, que se cumpla para ello con la nota 5 de
este numeral.
Nota 6: Cuando un riesgo individual sea identificado por una dirección u oficina asesora, en un proceso de nivel
estratégico o táctico, las facultades para sugerir el plan de tratamiento correspondiente, serán de la Oficina de
Planeación, caso en el cual, esta última, definirá en conjunto con la unidad o proceso que aprueba el riesgo, los
temas que mitigarán las causas y efectos del mismo.
Punto de control:
QUÉ: Verificar la calificación y valoración de los riesgos institucionales, masivos por proceso e individuales
QUIÉN: Director, Jefe, Comandante, Analista Planeación Institucional, Responsable Direccionamiento
Estratégico y de Recursos
EVIDENCIA 1: Calificación y valoración de los Riesgos identificados e insertados en el módulo riesgos PRO
EVIDENCIA 2: Planes de tratamiento de riesgos identificados e insertados en el módulo riesgos PRO
7. FASE GESTIÓN DE RIESGOS
Esta fase de la metodología comprende la ejecución de los planes de tratamiento de riesgos y el control a la
ejecución de las acciones de esos planes. El control a la ejecución incluye el registro de: cumplimiento de
actividades planificadas y los costos incurridos, riesgos materializados, costos incurridos por riesgos
materializados (correcciones, acciones correctivas, planes de contingencia). También deberá registrarse
cualquier iniciativa que permita generar acciones preventivas que provengan de cualquier fuente: resultado de
la evaluación de quejas, reclamos y sugerencias, análisis de satisfacción del cliente, informe de la
autoevaluación del control y la gestión.
Las responsabilidades de los analistas planeación institucional de la Oficina de Planeación y el Responsable

Direccionamiento Estratégico y de Recursos, por cada Ámbito de Gestión o unidad, son:
 Registrar información que permita monitorear el desarrollo de los planes de tratamiento de riesgos:
Cumplimiento de actividades planificadas, costos incurridos.
 Registrar la información de eventos ocurridos en el día a día del proceso, validar si estos eventos
constituyen riesgos materializados o no y hacer análisis de causas de los riesgos materializados desde
la perspectiva de tratamiento del riesgo.
 Registrar las iniciativas de cualquier funcionario en relación con los campos de identificación de riesgos
(riesgos, causas, efectos, situaciones de materialización y controles de detección).
Página 34 de 52
POLICÍA NACIONAL
7.2.1. Registro de Seguimiento de Actividades Planificadas
Los analistas planeación institucional de la Oficina de Planeación y el Responsable Direccionamiento

Estratégico y de Recursos, deberán hacer seguimiento a la ejecución de las actividades descritas en el “Plan de
Tratamiento de Riesgos”, institucional, masivo por proceso e individual (de acuerdo a competencia), que existe
en la herramienta tecnológica dispuesta para tal fin, para aquellos planes de responsabilidad de ejecución de
actividades o porque el riesgo afecta su proceso.
7.2.2. Registrar materialización de riesgos en el aplicativo
Registrar las materializaciones de los riesgos, que se encuentran en el sistema, parte del hecho concreto que
se tiene conocimiento de la existencia de estos y de sus diferentes situaciones de materialización, para lo cual
se debe tener en cuenta, seleccionar el “Proceso” y el “Área” a la cual se va a registrar la materialización, aun
cuando no se tenga un riesgo registrado o parametrizado en el aplicativo. En este sentido, es importante
señalar que, las materializaciones registradas en la herramienta, se deben gestionar posteriormente en link
“Realizar Gestión del Riesgo”, para que esta información se vea reflejada en el “Informe de Gestión Integral del
Riesgo”, tanto trimestral como anual.
Para poder determinar si un riesgo se ha materializado, es importante que desde la identificación del mismo se
tenga claro y a través de un análisis exhaustivo, considerando TODAS las fuentes posibles, cómo se podría
materializar y que se tengan definidos e implementados los controles, que, en caso de su materialización,
permitan detectar la ocurrencia de la situación inmediatamente. Para registrar la materialización de riesgos,
consultar el Manual de Usuario del aplicativo.
Definición: Un riesgo materializado es la ocurrencia de un evento que se había identificado como incierto,
cuando esto ocurre, es crítico detectar esta situación lo más pronto posible para que en el proceso se lleven a
cabo las acciones pertinentes sin demora (corrección / plan de contingencia) y medida correctiva.
Nota 1: el registro de las materializaciones, es de carácter obligatorio, por lo que es necesario, se realice de
manera oportuna y dentro del trimestre correspondiente. En todo caso, el registro de las materializaciones y su
posterior gestión, no deberán sobrepasar los 10 días calendarios.
Nota 2: el registro de las materializaciones del riesgo asociado a la corrupción, independiente de su

denominación o nombre, obedecerá siempre a las consideraciones legales y normativas, por lo que, para
realizar tal registro en el aplicativo, debe existir un fallo condenatorio o sancionatorio al respecto. Este registro,
se debe realizar por parte de la unidad donde se emitió el fallo, sin importar si el que cometió los hechos, se
encuentra en otra unidad.
Nota 3: el registro de las materializaciones del riesgo asociado a la corrupción, se debe realizar de acuerdo a
las situaciones, -evidenciadas o no-, plasmadas en dicho riesgo, para lo cual, el registro siempre estará ligado
al proceso, procedimiento, actividad, tarea o ámbito donde se originó la corrupción.
Nota 4: cuando un riesgo se materializa, este debe ser registrado y gestionado en el aplicativo, según el
proceso donde esté se evidenció, independientemente si es o no misional de la unidad. Por lo tanto, los
Responsables Direccionamiento Estratégico y de Recursos deberán realizar dicha actividad con los
funcionarios que manejan o ejecutan el tema en la unidad.
Página 35 de 52
POLICÍA NACIONAL
Los siguientes son Eventos Potenciales a Evaluar, para identificar otras fuentes de materialización de
riesgos, que permitan la mejora continua de la gestión y actualización de riesgos
7.2.2.1 Realizar Gestión del Riesgo a partir de las Metas incumplidas de los Indicadores de Proceso o de
Gestión, como posibles riesgos materializados
Cuando un indicador incumple su meta, no necesariamente se está materializando un riesgo, lo que obliga a
evaluar dicho incumplimiento desde la perspectiva de riesgos, determinando los efectos que hubo en un
proceso o unidad, y de allí, poder decidir si el evento presentado, es considerado como un riesgo y si se
encontraba identificado previamente, debiendo tener en cuenta lo siguiente:
• Si se considera que el incumplimiento de la meta del indicador es un riesgo materializado, se procederá

a continuar con el diligenciamiento de la información en el link “Realizar Gestión del Riesgo –
Indicadores de Gestión”, donde aparecerán datos predeterminados por el aplicativo, para la realización
del ejercicio, tal como se muestra en el Manual de Usuario del aplicativo.
• Si se considera que el incumplimiento de la meta del indicador no es un riesgo materializado, el
ejercicio de realizar gestión del riesgo finaliza, de acuerdo a los parámetros de diligenciamiento
descritos en el Manual de Usuario de la herramienta.
Si un indicador no cumple sus metas, significa que no se cumplió un resultado planificado. Teniendo en cuenta
que el objetivo de la gestión de riesgos es prevenir el impacto de los eventos que afectan el cumplimiento de
los objetivos, el incumplimiento de una meta de los indicadores se constituye como un evento a ser evaluado
en la gestión de riesgos, considerando que los indicadores generalmente son utilizados como controles para
detectar la materialización de los riesgos o de sus efectos.
La información de cuáles son los indicadores, cuál es su meta y cuál es la frecuencia con que se deben
analizar (este análisis debe estar documentado), debe ser tomada de la caracterización de los procesos.
Esta relación entre los indicadores y la gestión de riesgos se cumple cuando los indicadores de gestión se han
formulado de manera que permitan medir el cumplimiento de los objetivos del proceso.
7.2.2.2. Realizar Gestión del Riesgo a partir de las Metas incumplidas de los Indicadores de los Planes,
Proyectos y Programas, como posibles riesgos materializados
El concepto o parámetro para registrar la materialización de un riesgo y gestionarlo, a partir del incumplimiento
de una meta de indicador asociada a un plan, proyecto o programa, es el mismo criterio establecido en el
numeral 7.2.2.1, del presente documento.
Un plan, proyecto o programa, es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o
resultado único.
Tienen un principio y un final definidos. El final del plan, proyecto o programa se alcanza cuando se logran los
objetivos de los mismos o cuando se termina el plan, proyecto o programa, porque sus objetivos no se
cumplirán o no pueden ser cumplidos, o cuando ya no existe la necesidad que le dio origen a estos. En una
organización se espera que estos planes, proyectos o programas contribuyan a mejorar la gestión de sus
procesos y adicionalmente contribuir al logro de los objetivos estratégicos de la Institución.
Página 36 de 52
POLICÍA NACIONAL
En el desarrollo de un plan, proyecto o programa hay muchas variables que se pueden y se deben controlar:
tiempo (cronograma), costo (presupuesto), alcance, entre otras. Los controles que se definan para estos
proyectos deberían traducirse en indicadores que permitan conocer el estado del proyecto mientras que
avanza.
Dicho lo anterior, es claro que el éxito o fracaso de un plan, proyecto o programa afecta el cumplimiento de los
objetivos de un proceso y de la institución y por lo tanto su desempeño y sus resultados deben ser medidos.
El éxito de un plan, proyecto o programa, medido a través de los indicadores que se definan, permitirá
determinar si la gestión de riesgos en esos proyectos ha sido efectiva. Si alguno de estos indicadores no
cumplió la meta, será considerado un evento a evaluar para la actualización de la gestión de riesgos, en el
siguiente periodo.
*Tipo de Proyecto: Plan de Acción, Proyecto de Inversión, etc.
7.2.2.3. Realizar Gestión del Riesgo a partir de los Productos No Conformes, como posibles riesgos
materializados, clasificados por tema o afinidad
El Producto No Conforme es un producto o servicio que no cumple con los requisitos establecidos; las
actividades que permiten identificarlo, controlarlo y evitar su uso o entrega no intencionados se han
documentado por parte la Institución. De acuerdo con lo establecido en este procedimiento, un no conforme
puede llegar a afectar la satisfacción del cliente externo (ciudadanía) y la de la comunidad policial, es
importante entonces analizarlo como “Evento Potencial a Evaluar – EPE”, desde este punto de vista en relación
con el riesgo. Cada proceso deberá tener claridad de si el PNC aplica a su proceso y a su nivel. El registro de
productos/servicios no conformes, su análisis y tratamiento se encuentra en el documento establecido para tal
fin.
Para efectos de la medición de los Resultados de la Gestión Integral del Riesgo, solo se registrarán los
productos no conformes que se deriven de la prestación del servicio misional de acuerdo a su Ámbito de
Gestión, debidamente clasificados por tema o por afinidad. Lo importante no es determinar por cada PNC
(véase nota 1 de este numeral), si hace referencia, o se constituye como evidencia de un riesgo materializado,
sino encontrar mejores controles, a partir de análisis de causas y consecuencias, para prevenir riesgos futuros o
minimizar su impacto.
Nota 1: Los Productos y Servicios No Conformes, se deben analizar como “Eventos Potenciales a Evaluar –
EPE”, teniendo en cuenta su tema o afinidad, e igualmente, cuando sus niveles de ocurrencia o recurrencia se
den de forma continua y sostenidamente, durante un periodo determinado, ya sea del orden semanal, mensual,
bimestral, trimestral, semestral y anual.
Nota 2: Las quejas y reclamos, debidamente clasificados por tema o por afinidad, deben ser evaluados y
analizadas desde la perspectiva de riesgos, con el fin de determinar si tiene relación con un riesgo
materializado y si se tenía o no identificado. En este sentido debe existir un cruce de información periódica entre
la dependencia de atención al ciudadano y planeación de cada unidad policial, para definir, a parte de los
trámites legales, qué se debe hacer desde la metodología del riesgo.
Se debe tener en cuenta el nivel del proceso para determinar si aplica o no el concepto de No Conforme, de
acuerdo a la guía para el control del producto o servicio no conforme en la Policía Nacional.
Página 37 de 52
POLICÍA NACIONAL
7.2.2.4. Realizar Gestión del Riesgo a partir de las No Conformidades o Hallazgos, como posibles
riesgos materializados, debidamente clasificadas por tema o por afinidad
Una no conformidad o hallazgo es el incumplimiento de un requisito; las actividades que permiten identificarlas,
determinar sus causas, determinar e implementar acciones y determinar la eficacia, se han documentado en el
procedimiento establecido para tal fin en la Institución.
Las fuentes establecidas para declarar una no conformidad son: auditorías internas y externas, autoevaluación,
los resultados de cualquiera de las siguientes actividades: evaluación de la rendición de cuentas, evaluación de
quejas, reclamos y sugerencias, satisfacción del cliente, seguimiento a los resultados al cumplimiento del Plan
Estratégico Institucional.
Para efectos del análisis de riesgos, se deberán considerar solo aquellas no conformidades, debidamente
clasificadas por tema o por afinidad, que describan incumplimientos ya presentados sobre el producto o servicio
prestado por la Policía Nacional en sus diferentes ámbitos de gestión.
7.2.2.5. Definición Acción de Contingencia / Plan de Contingencia y Medida (s) Correctiva (s), a partir de
riesgos materializados registrados o parametrizados en el aplicativo
De acuerdo al Ámbito de Gestión de un proceso o unidad, la materialización de un riesgo y su efecto, debe

tener un respaldo, que garantice la continuidad del negocio o prestación del servicio a la población objetivo, del
respectivo Ámbito de Gestión, por lo que necesariamente, se debe estructurar la acción o plan de contingencia,
teniendo en cuenta los siguientes conceptos:
 Acción / Plan de Contingencia, son todas aquellas actividades que se encuentran estructuradas,
socializadas, concienciadas, aprobadas y validadas por las diferentes partes intervinientes o
involucradas en la reacción y posición a asumir, ante un evento que afecte la prestación del servicio, ya
sea en el ámbito administrativo u operativo. Por lo anterior, se debe realizar la evaluación o análisis de
la necesidad de estructurar la acción / plan de contingencia, en atención al impacto de los riesgos,
cuando estos se materialicen.
 La Acción / Plan de Contingencia, debe evidenciarse, registrarse, establecerse y documentarse, en un
medio, canal o soporte, que contenga explícitamente las acciones a ejecutar para cuando se presente
el evento.
 Deben existir registros o evidencias de socialización, simulacros, instrucciones, actualización,
retroalimentación o capacitación, sobre el conocimiento y aplicación de la “Acción / Plan de
Contingencia.
 La Acción / Plan de Contingencia, es un instrumento diferente al Plan de Tratamiento de Riesgos, por lo
que se debe hacer las gestiones pertinentes para que los funcionarios no confundan el uno con el otro.
En cuanto a la Medida Correctiva, esta se debe ejecutar de acuerdo a los parámetros institucionales,
considerando en dicho desarrollo, lo siguiente:
 Una vez realizado el análisis de causa raíz, con el método seleccionado (espina de pescado, cinco por
qué, paretto, entre otros), las actividades que se proyecten para subsanar el evento presentado, deben
ser insertadas en el Plan de Tratamiento asociado al riesgo materializado, a modo de actualización del
mencionado plan, lo que significa, a la postre, la toma de la medida correctiva referida anteriormente.
Página 38 de 52
POLICÍA NACIONAL
En este sentido no se diligencia el formato plan de mejoramiento, sin importar en que medio, canal o
ambiente este se encuentre.
 La Medida Correctiva, supone la creación o ajuste de controles existentes, por lo que, al materializarse
un riesgo, realizar la gestión de dicha materialización, y programar la medida correctiva, se debe
determinar, si esta, modifica o actualiza un control preventivo, caso en el cual, este deja de ser
preventivo y se convierte en correctivo, puesto que su intención u objetivo de prevenir se pierde.
 Cuando la (s) causa (s) que originó la ocurrencia del riesgo, sea obvia, no será necesario ejecutar el
procedimiento de “Medida Correctiva” para el análisis de causa raíz, debiéndose establecer
inmediatamente en el plan de tratamiento, las acciones a implementar para la mitigación del riesgo, las
cuales deben ser aprobadas por el Líder de Proceso, Comandante, Director o Jefe, según el Ámbito de
Gestión e instancia facultada para hacerlo.
Nota: Si el riesgo materializado no se encuentra identificado, ósea, no está registrado en el sistema, siempre se
deberá ejecutar el procedimiento de “Medida Correctiva”, establecido para tal fin. (aplica cuando se evidencian
riesgos a partir de los Eventos Potenciales a Evaluar – EPE). En todo caso, las acciones que se deriven de este
ejercicio, deben automatizarse o insertarse en el “Plan de Tratamiento” correspondiente al riesgo identificado.
Punto de control:
QUÉ 1: Verificar el cumplimiento de las tareas de los planes de tratamiento asociados a los riesgos
institucionales, masivos por proceso e individuales
QUÉ 2: Verificar el registro y gestión de las materializaciones de los riesgos institucionales, masivos por
proceso e individuales a partir de los Eventos Potenciales a Evaluar - EPE
EVIDENCIA 1: registros y entregables en el módulo riesgos PRO
8. FASE MEDICIÓN DE LOS RESULTADOS DE LA GESTIÓN
Esta fase se desarrolla a partir de los insumos derivados de “Registrar Materialización de Riesgos” y “Realizar
Gestión del Riesgo”, (Véase numerales del 7.2.2.1. al 7.2.2.5., de la fase gestión de riesgos), lo que está
relacionado directamente con la materialización de los riesgos que se encuentran registrados o parametrizados
en el aplicativo, al igual que con aquellos “Eventos Potenciales a Evaluar - EPE”, que se gestionaron y se
tomaron como riesgos o que actualizaron una parte de estos (descripción).
Es importante que los Responsables Direccionamiento Estratégico y de Recursos, de acuerdo al Ámbito de

Gestión del proceso y unidad, tengan en cuenta los siguientes criterios, para realizar una excelente medición
de resultados de la gestión del riesgo, tanto trimestral como anualmente, basándose en las tres (3) secciones
que integran el informe, lo cual corresponde a la configuración del mismo en el aplicativo, así:
 Sección 1. Variación del Nivel de Riesgos del Proceso: esta sección contiene los aspectos relacionados
con la fluctuación de la probabilidad y el impacto, lo cual toma como base los datos capturados al inicio
de cada periodo y el movimiento o desplazamiento de estas variables, al final del mismo, tomando
como referencia:
Página 39 de 52
POLICÍA NACIONAL
a. Modificaciones en la descripción de riesgos por: 1. Propuestas/ Sugerencias. 2. Como resultado del

Análisis de Riesgos Materializados – RM: la modificación en la “descripción del riesgo”, inicialmente
hace alusión a cambios o ajustes que se requiera en los factores de riesgos, agentes generadores,
causas, situaciones de materialización, controles existentes y planes de tratamiento de riesgos.
Estos cambios o ajustes, (actualización de la descripción del riesgo), pueden ser producto del
Análisis de los Riesgo Materializados – RM2. Igualmente, los riesgos se pueden actualizar, por
propuestas o sugerencias realizadas por parte de los funcionarios de la unidad o proceso.
b. Modificaciones en la valoración de controles por: 1. Como resultado de los RM. 2. Como resultado
de la generación de controles en el período: la modificación en la valoración de los controles
(véase numeral 6.2.1.1.5), afectan la variación del nivel de riesgo, ya que, si hubo riesgos
materializados1, posiblemente fue por fallas en los controles existentes, relacionados con las
causas e impactos, lo que automáticamente, cuestiona la valoración del control dada inicialmente.
También, modifica la valoración de los controles, la generación de nuevos controles y el ajuste de
alguno de ellos, a partir del cumplimiento de los planes de tratamiento.
c. Conclusiones: En este apartado, del informe de medición de los resultados de la gestión del riesgo,
se concluye groso modo, por qué hubo variación en el nivel del riesgo, en los términos expresados
anteriormente, sin olvidar, que en esta sección 1, siempre se debe hacer referencia, al aumento,
disminución o igualdad de la probabilidad y el impacto durante un trimestre o el año.
Nota 1: El informe de medición de los resultados de la gestión del riesgo, se elabora en términos del proceso o
de un riesgo institucional. Esto es que, la probabilidad y el impacto al inicio y final del periodo, corresponde al
proceso y no a un riesgo en especial, excepto si se trata de un riesgo institucional.
 Sección 2. Riesgos Materializados (RM): en esta sección, el aplicativo trae la información

predeterminada, de acuerdo al registro de los riesgos materializados (véase numeral 7.2.2), y la
gestión del riesgo realizada a partir de los “Eventos Potenciales a Evaluar” (Véase numerales del
7.2.2.1. al 7.2.2.5., de la fase gestión de riesgos), y que producto de ello, se consideraron como
“Eventos a Evaluar”, ósea, se identificaron nuevos riesgos o se actualizaron los previamente
identificados.
a. Aspectos a Fortalecer en la Gestión de Riesgos: En este campo, se debe insertar el compromiso

de fortalecer los aspectos donde hubo posibles fallas en la aplicación de la metodología del riesgo,
lo que a la postre, significará, la toma de medidas y decisiones, que aseguren el 100% la aplicación
de los criterios de la Gestión Integral del Riesgo, en los diferentes ámbitos de gestión, procesos y
unidades. (véase las notas 3 y 4) de este numeral.
El Responsable Direccionamiento Estratégico y de Recursos deberá analizar esta información para

que con juicio crítico y conociendo su proceso, por cada Ámbito de Gestión o unidad, documente el
análisis. El análisis deberá dar información con respecto a lo siguiente:
- En qué parte de la gestión de riesgos se concentran las mayores debilidades: en la

identificación de riesgos, en la identificación de causas, en la definición de acciones, en la
ejecución de acciones; por qué y qué se va a hacer al respecto.
- En los casos en los que se requería plan de contingencia, que tan efectivo fue este y por qué.
- Un resumen ejecutivo de los riesgos materializados, indicando cual/es tuvo/tuvieron más
impacto o trascendencia.
Página 40 de 52
POLICÍA NACIONAL
- Cualquier otro aspecto que el Responsable Direccionamiento Estratégico y de Recursos

considere que se debe mencionar con base en su criterio.
Las conclusiones deben referirse específicamente a la administración de riesgos, no deben ser una
copia del análisis de causa raíz de cada uno de los aspectos incumplidos.
IR (Identificación de Riesgos): Este indicador muestra, del total de riesgos materializados, cuantos
se generaron porque no se habían identificado.
IC (Identificación de Causas): Este indicador muestra, del total de riesgos materializados, cuantos
se generaron porque la causa que ocasionó el evento no se había identificado.
MR (Mitigación de Riesgo): Este indicador muestra, del total de riesgos materializados, cuantos se
generaron por dificultades en la ejecución de las acciones definidas en los planes de mitigación
(acciones). Para analizar esta información, es útil revisar los resultados parciales que lo conforman
y que se encuentran en la Evaluación Consolidada en el link “Consultar Gestión del Riesgo” del
aplicativo, donde se muestra la información de MR3, MR4 y MR5.
La suma de los eventos de IR, IC y MR dan el 100% de los eventos.
b. Situación Acciones de Contingencia: las consideraciones a tener en cuenta en este aparte, se

relacionan directamente con la aplicación o no de una acción / plan de contingencia, desde el punto
de vista, -si era necesaria su creación e implementación-. (Véase numeral 7.2.2.5).
CT1, CT2, CT3 Y CT4. (Contingencia): Estos datos muestran si para el evento específico analizado
se requería una acción de contingencia o no, y en los casos en que sí, evalúa la calidad de esas
acciones.
Para analizar esta información, es útil revisar los resultados parciales que lo conforman y que se
encuentran en el Consolidado de Resultados.
 Sección 3. Desempeño de Planes de Tratamientos: en esta sección, se muestran dos medidas,

(indicadores que miden el índice de desempeño del costo e índice de desempeño del cronograma),
que permiten ver cómo ha sido el desempeño de los planes de tratamiento, en atención a las
actividades programas ejecutadas y los costos programados ejecutados, a partir de los cuales, se
crearán nuevos controles o actualizarán los ya existentes.
Los dos indicadores relacionados a continuación, deberán ser evaluados y analizados por cada plan de
tratamiento de riesgos cargado en el aplicativo, tomando como base para ello, los resultados
mostrados en la herramienta, de acuerdo al trimestre a medir en la gestión del riesgo, realizada en un
proceso, por cada Ámbito de Gestión o unidad.
a. CPI: Índice de Desempeño del Costo: el Índice de Desempeño del Costo, (por sus siglas en inglés);
este indicador, mide como se han administrado los costos del plan, proyecto o programa, qué tan
bien se planificaron los recursos para la ejecución de las actividades.
b. SPI: Índice de Desempeño del Cronograma: el Índice de Desempeño del Cronograma, (por sus
siglas en inglés); este indicador, mide el avance logrado en un plan, proyecto o programa en
comparación con el avance planificado.
Página 41 de 52
POLICÍA NACIONAL
Los resultados se deben interpretar de acuerdo con la siguiente tabla:
TABLA No. 12. INTERPRETACIÓN RESULTADOS DEL CPI Y SPI
CUANDO SIGNIFICA
CPI > 1 Que los costos incurridos son inferiores con respecto al
desempeño a la fecha de la evaluación.
CPI < 1 Que hay un sobrecosto en relación con el trabajo completado.
CPI = 1 Que los costos incurridos son iguales a los planificados para el
trabajo ejecutado.
SPI > 1 Que la cantidad de trabajo efectuada es mayor a la prevista.
SPI < 1 Que la cantidad de trabajo efectuada es menor que la prevista.
SPI = 1 Que el trabajo efectuado es el que se había planificado.
Nota 2: para ilustración sobre la formulación de los indicadores CPI y SPI, véase Manual de Usuario del
aplicativo.
Fecha de finalización de la aprobación de los informes trimestrales: 10 primeros días de los meses de abril,
julio, octubre y enero.
Fecha de finalización de la aprobación del informe anual: 15 de enero de cada año.
Nota 3: Con el informe de medición de los resultados de la gestión del riesgo, se pretende, evaluar desde las
diferentes perspectivas de la metodología, tanto cualitativa como cuantitativamente, el porcentaje de aplicación
de los criterios y conceptos definidos en este acto administrativo, donde se analiza si el ámbito, proceso o
unidad, aplicó correctamente cada uno de ellos, lo que se debe interpretar, como fallas presentadas en la
aplicación o la evidencia de que los “Eventos Potenciales a Evaluar – EPE”, no fueron tenidos en cuenta, ni
para identificar, ni para actualizar los riesgos registrados o parametrizados en el aplicativo.
Nota 4: Los porcentajes que se presenten por cada ítem de las secciones relacionadas anteriormente (sección
2), deben ser leídos e interpretados de manera inversamente proporcional, ya que un porcentaje de cero (0)
significa que los conceptos de la metodología fueron bien aplicados, mientras que, al obtener un porcentaje
mayor a cero (0), representa que, hubo algún tipo de falla o no se aplicaron de forma correcta los criterios
metodológicos.
El objetivo de esta fase es determinar el nivel de efectividad de la gestión realizada, es decir, si las actividades
ejecutadas en las fases anteriores han dado los resultados que se esperan.
Que un proceso tenga una gestión adecuada, significa:
 Que pudo cumplir su objetivo.

 Que pudo llevar a cabo con éxito los planes, proyectos o programas con los que esperaba
contribuir a los objetivos estratégicos de la Institución para cumplir su misionalidad.
Página 42 de 52
POLICÍA NACIONAL
 Que los riesgos que identificó no se hayan materializado y si se materializaron que el

impacto haya sido controlado por las acciones de contingencia.
 Que no se presentaron productos / servicios no conformes y si se presentaron hayan sido
adecuadamente tratados.
 Que no se hayan identificado no conformidades al proceso en relación con su

misionalidad, y si se presentaron hayan sido adecuadamente tratadas.
Punto de control:
QUÉ 1: Verificar los informes de gestión integral del riesgo de cada proceso
CUANDO: Trimestralmente
EVIDENCIA 1: Informes aprobados en el módulo riesgos PRO
9. FASE CIERRE DE LA GESTIÓN DE RIESGOS
El objetivo de esta fase es organizar de manera sistemática las experiencias (positivas y negativas),
conocimientos y resultados de la gestión de riesgos, con el fin de generar lecciones aprendidas que permitan a
la Institución obtener mejores resultados en el futuro a través de la réplica de los aciertos y de la no repetición
de los desaciertos.
Las tareas de los Responsables Direccionamiento Estratégico y de Recursos son:
 Diligenciar el Informe Anual de Gestión de Riesgos.
 Documentar Situaciones Relevantes.
Los analistas planeación institucional de la Oficina de Planeación deberán:
 Consolidar y analizar informes anuales y situaciones relevantes, para la realización del informe general
anual de gestión del riesgo.
 Proponer lecciones aprendidas.
 Preparar la información para el Comité de Gestión y Desempeño Institucional o Comité de Coordinación

de Control Interno, en lo que aplique.
 Retroalimentar a los Responsable Direccionamiento Estratégico y de Recursos.
9.2.1. Diligenciamiento del Informe Anual de Gestión de Riesgos
El informe anual se alimenta de los Informes Trimestrales de Gestión de Riesgos de cada proceso, que se
elaboran en la Fase de Medición de Resultados de la Gestión.
Página 43 de 52
POLICÍA NACIONAL
9.2.2. Preparación de Información para los comités e instancias pertinentes
Los funcionarios de la Oficina de Planeación deberán preparar la información de carácter gerencial, el

contenido de este informe deberá ser concreto y deberá mostrar solo aspectos relevantes para la Institución.
Deberán presentarse los siguientes tres (3) aspectos:
9.2.2.1. Informe General Anual de Gestión del Riesgo
La Oficina de Planeación, debe elaborar un informe general anual de gestión del riesgo, para toda la Institución,
donde se presente el análisis de los resultados alcanzados con base a la aplicación de la metodología,
mostrando los aspectos más relevantes que llevaron a esos resultados, de acuerdo a los riesgos identificados y
actualizados, la efectividad en su mitigación, en atención a opción de manejo, al igual que, la variación de la
probabilidad o impacto.
Nota 1: El informe al que se hace referencia en este numeral, solo debe ser realizado por la Oficina de
Planeación, quien tomará los insumos para el mismo, de los informes anuales de gestión integral del riesgo,
asociados a los “riesgos institucionales”.
Nota 2: El informe general anual de gestión del riesgo, debe ser enviado a la Dirección y Subdirección General,
y ser explicado de ser necesario, para la toma de decisiones de carácter estratégico.
Nota 3: En el informe general anual de gestión del riesgo, debe establecerse, las posibles lecciones aprendidas
a documentar, lo cual debe ser de conocimiento, por parte de la dependencia responsable de estructurar o
direccionar la estructuración de las mismas.
9.2.2.2. Retroalimentación de los resultados de la Gestión
Los analistas planeación institucional de la Oficina de Planeación, así como los Responsables
Direccionamiento Estratégico y de Recursos de los diferentes procesos, ámbitos de gestión y unidad, deberán
retroalimentar a todos los Responsables Direccionamiento Estratégico y de Recursos, de su respectivo nivel
desconcentrado y proceso de despliegue, con la siguiente información:
 Información presentada en el Comité de Gestión y Desempeño Institucional o instancia pertinente.
 Conclusiones del Comité de Gestión y Desempeño Institucional o instancia pertinente.
 Recomendaciones, sugerencias, instrucciones especiales.
Todos los productos resultantes de esta fase son insumos que deben tenerse en cuenta para la identificación /
actualización de los riesgos de su respectivo Ámbito de Gestión, proceso o unidad, en el siguiente periodo.
9.2.2.3. Consulta de los Informes de Resultados de Gestión del Riesgo trimestral y anual
Los “informes de gestión del riesgo” generados a partir de la ejecución de las fases de medición de los
resultados de la gestión y cierre, respectivamente, serán considerados independientes de la información
reflejada en otros informes, pero sí podrá ser insumo para estos, en caso de que se estime conveniente. Por tal
Página 44 de 52
POLICÍA NACIONAL
razón en dichos informes, deberá aparecer la información de la siguiente manera: “Resultados de la gestión del
riesgo” (esta información debe ser consultada en la herramienta utilizada para tal fin, en link “reporte”,
“resultados de la gestión de riesgos”. En este aparte, se hace referencia, al “Informe de Autoevaluación de la
Gestión y el Control”, su equivalente o documento o forma que lo adopte.
Nota: Siempre y en la medida de lo posible, los resultados de gestión del riesgo, tanto trimestral como anual, no
deben imprimirse ya que los mismos son consultables en cualquier momento y las veces que se quiera en el
sistema o herramienta utilizada para tal fin.
Punto de control:
QUÉ 1: Verificar los informes de gestión integral del riesgo de cada proceso
CUANDO: Anualmente
EVIDENCIA 1: Informes aprobados en el módulo riesgos PRO
Referencia documental
 Constitución Política de Colombia. (CPC). Artículos 209, 218, 219 y 269.
 Ley 87 de 1993. “Por la cual se establecen normas para el ejercicio del control interno en las entidades
y organismos del Estado y se dictan otras disposiciones".
 Ley 489 de 1998. “Estatuto Básico de Organización y Funcionamiento de la Gestión Pública”.
 Decreto 2145 de 1999. “Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de
las entidades y organismos de la Gestión Pública del orden nacional y territorial y se dictan otras
disposiciones”. Modificado parcialmente por el Decreto 2593 de 2000.
 Decreto 1537 de 2001. “Por el cual se reglamenta parcialmente la Ley 87 de 1993, en cuanto a
elementos técnicos y administrativos que fortalezcan el Sistema de Control Interno en las entidades y
organismos del Estado”.
 Decreto 2641 de 2012 “Por medio del cual se reglamentan los artículos 73 y 76 de la Ley 1474 de 2011
“Estatuto Anticorrupción”.
 Decreto 1083 de 2015. “Por medio del cual se expide el Decreto Único Reglamentario del Sector de
Función Pública”.
 Decreto 124 de 2016 “Por el cual se sustituye el Título 4 de la Parte 1 del Libro 2 del Decreto 1081 de
2015, relativo al Plan Anticorrupción y de Atención al Ciudadano”.
 Decreto 1499 de 2017. “Por medio del cual se modifica el Decreto número 1083 de 2015, Decreto Único
Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en
el artículo 133 de la Ley 1753 de 2015”.
 Guía de Riesgo del Departamento Administrativo de la Función Pública DAFP 2009.

Página 45 de 52
POLICÍA NACIONAL
 Norma Técnica NTC-ISO 31000 Gestión Integral del Riesgo. Principios y Directrices.
 Norma Técnica Colombiana NTC-ISO/IEC 27001, 27002. Sistema de Gestión de la Seguridad de la

Información. Requisitos y Código de buenas prácticas para la gestión de seguridad de la información.
 Norma Técnica Colombiana NTC OHSAS 18001. Sistemas de gestión en seguridad y salud
ocupacional. Requisitos.
 Norma Técnica Colombiana NTC ISO 14001. Sistemas de gestión ambiental. Requisitos.
 Norma Técnica Colombiana NTC 5722 Gestión de la continuidad de negocio. Requisitos.
 Guía Técnica Colombiana GTC 176 Manual para la gestión de la continuidad de negocio.
 Guía Técnica Colombiana GTC 45 Guía para la identificación y la valoración de los riesgos en
seguridad y salud ocupacional.
 Guía Técnica Colombiana GTC 104 Guía gestión del riesgo ambiental.
 Guía Técnica Colombiana GTC 137 Gestión Integral del Riesgo.
 Guía para la Gestión del Riesgo de Corrupción.
 Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano.

Página 46 de 52
POLICÍA NACIONAL
Formatos y/o Anexos
Los formatos de apoyo a la ejecución de la Gestión Integral del Riesgo, se encuentran en el módulo de
documentos como “herramientas operacionales de apoyo”, con el código 1DE-FR-0050, por lo que se hace
necesario su consulta y uso de acuerdo a la última versión que genere dicho módulo, así:
1DE-FR-0050 HERRAMIENTAS OPERACIONALES DE APOYO PARA LA GESTIÓN INTEGRAL DEL

RIESGO
Este documento y sus diferentes formatos deberán reposar de forma digital sin que haya necesidad de
imprimirse.
Glosario
10. TÉRMINOS Y DEFINICIONES
10.1 TÉRMINOS RELATIVOS AL PLAN INICIAL DE IDENTIFICACIÓN / FASE DE IDENTIFICACIÓN.
Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de
riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad
de originar un riesgo. (Guía de Admón. De Riesgos DAFP septiembre 2011).
Efecto: Desviación de aquello que se espera, sea positivo, negativo o ambos.
Incertidumbre: Es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o

el conocimiento de un evento, su consecuencia o posibilidad.
Riesgo: Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o
del proceso. (Guía de Admón. De Riesgos DAFP septiembre 2011).
Riesgo: Algo que podría suceder y afectar el logro de los objetivos organizacionales. (GTC 176)
Riesgo: Efecto de la incertidumbre sobre los objetivos. (GTC137: 2011) (ISO 31000:2009
Identificación del Riesgo: Proceso para encontrar, reconocer y describir el riesgo. (GTC137: 2011).
Descripción del Riesgo: Se refiere a las características generales o las formas en que se observa o
manifiesta el riesgo identificado. (Guía de Admón. De Riesgos DAFP septiembre 2011).
Descripción del Riesgo: Declaración estructurada del riesgo que usualmente contiene cuatro elementos:
fuentes, eventos, causas y consecuencias. (GTC137:2011).
Fuente de un Riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un
Página 47 de 52
POLICÍA NACIONAL
riesgo. (GTC137:2011). Puede ser tangible o intangible.
Evento: Ocurrencia o cambio de un conjunto partículas de circunstancias. (GTC137:2011) en algunas

ocasiones se hace referencia a un evento como un “incidente” o “accidente”.
Propietario del Riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para
gestionar un riesgo. (GTC137:2011). En la Policía Nacional el concepto aplica para procesos con la
responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo, decidir las estrategias de
mitigación del riesgo, aceptar el riesgo, aprobar los presupuestos para mitigación de riesgos y ejecutar los
planes de tratamiento.
Riesgos Transversales: En la Policía Nacional, con este término se designarán los eventos que aunque
tienen como propietario a un solo proceso, pueden ser causa o efecto de otros eventos de riesgo para los
demás procesos de la Institución:
Ejemplo: “Que el personal no cuente con las competencias apropiadas para desempeñar un cargo”, para el
proceso de Administración del Talento Humano identifiquen, será un agente generador, no un riesgo. Ningún
proceso que no sea el de Administración del Talento Humano podrá relacionarlo como riesgo, porque solo
este proceso (Talento Humano) tiene la autoridad para gestionarlo y la responsabilidad de rendir cuentas.
Nota 1: Generalmente los procesos propietarios de los riesgos transversales son los de Soporte.
Análisis de Contexto: Son las condiciones internas y del entorno, que pueden generar eventos que originan
oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución. Las
situaciones del entorno o externas pueden ser de carácter social, cultural, económico, tecnológico, político y
legal, bien sea internacional, nacional o regional según sea el caso de análisis. Las situaciones internas
están relacionadas con la estructura, cultura organizacional, el modelo de operación, el cumplimiento de los
planes y programas, los sistemas de información, los procesos y procedimientos y los recursos humanos y
económicos con los que cuenta una entidad.
Responsable Direccionamiento Estratégico y de Recursos de Dirección, Oficina Asesora, Región de

Policía, Metropolitana, Departamento, Escuela, Colegio, Centro Vacacional, Centro Social, Seccional
(unidad): es el funcionario designado para ocupar el cargo de Responsable Direccionamiento Estratégico y
de Recursos de la unidad, siendo el encargado de aplicar la metodología en la misma, a partir de los criterios
definidos en la Política de Gestión Integral del Riesgo en la Policía Nacional y sus documentos
complementarios.
Responsable Direccionamiento Estratégico y de Recursos de Proceso Estratégico, Táctico u

Operacional: es el funcionario al cual se le asigna el rol de Responsable Direccionamiento Estratégico y de
Recursos en un proceso determinado (apoyo en la gestión integral del riesgo), con el fin de apoyar
técnicamente al Responsable Direccionamiento Estratégico y de Recursos de la unidad, respecto de los
conceptos y criterios propios y específicos del proceso, al igual que en todo lo referente a gestionar la
información insertada en el módulo de riesgos PRO y Planes de la herramienta tecnológica definida para tal
fin.
10.2 TÉRMINOS RELATIVOS A LA FASE DEFINICIÓN DE LA GESTIÓN
Alcance de un Proyecto: Trabajo que debe realizarse para entregar un producto, servicio o resultado con
las características y funciones especificadas (PMBOK, 4ta. Edición).
Página 48 de 52
POLICÍA NACIONAL
Control: Medida o acción que modifica el riesgo mediante la afectación ya sea de la probabilidad o del
impacto. (GTC137:2011).
Consecuencia: Resultado de un evento que afecta a los objetivos. (GTC137:2011)
Evaluación del Riesgo: Proceso de comparación de los resultados del análisis del riesgo (probabilidad e
impacto antes de controles), con los criterios del riesgo (valoración de controles) para determinar si el riesgo,
su magnitud o ambos, son aceptables o tolerables. (GTC137:2011)
Exposición: Extensión hasta la cual una organización, una parte involucrada o ambas están sujetas a un
evento. (GTC137:2011).
Frecuencia: Número de eventos o efectos por unidad de tiempo definida. (GTC137:2011)
Matriz de Valoración de Riesgos: Herramienta para la evaluación de los riesgos y su clasificación.
También se le dice matriz RAM por sus siglas en ingles. (Matriz Risk Assessment Matrix). La matriz permite
calificar y evaluar los riesgos en términos de impacto y probabilidad.
Nivel de Riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la

combinación de las consecuencias y su posibilidad. Sumatoria de la multiplicación de la probabilidad por el
impacto de todos los riesgos de un proceso o de la Institución. (GTC137:2011).
Posibilidad: Oportunidad de que algo suceda. (Likehood). (GTC137:2011).
Probabilidad: Posibilidad de que algo ocurra bien sea que se haya definido, medido, o estimado objetiva o
subjetivamente, o en términos de los descriptores generales (tales como raro, improbable, probable, casi
cierto). La probabilidad puede expresarse cuantitativa o cualitativamente).
Proyecto: Es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único.
Programa: Un programa es una unidad lógica organizada y coherente de actividades orientada a un

propósito superior.
Plan: Los planes son instrumentos de operacionalización macro, mediante los cuales la Institución ordena y
organiza programas, proyectos.
Por su naturaleza temporal, tienen un principio y un final definidos. (PMBOK, 4ta. Edición).
Riesgo Inherente: riesgo al cual se enfrenta una entidad en ausencia de acciones para modificar su
probabilidad o impacto.
Riesgo Residual: Remanente después del Tratamiento del Riesgo. (GTC137:2011). Es aquel que
permanece aún después de desarrolladas las acciones de tratamiento del riesgo. Capacidad total de riesgo
que una organización está dispuesta a aceptar, tolerar o asumir en cualquier momento dado.
Riesgo Institucional (RIN): Es aquel riesgo que afecta directamente la misionalidad de la Institución,
siendo del fuero de la alta dirección para su mitigación y tratamiento.
Página 49 de 52
POLICÍA NACIONAL
Riesgo Masivo (RM): Es aquel riesgo que aplica en todos los ámbitos de gestión y niveles institucionales,
cuyas características pueden variar de acuerdo al entorno o contexto a donde fue masificado por el nivel
superior donde se identificó. Esta categoría de riesgo, afecta los procesos inicialmente y de acuerdo a su
comportamiento puede afectar a la Institución.
Riesgo Individual (RI): Es aquel riesgo que se identifica a las actividades especiales, adicionales, únicas o
particulares desarrolladas por cada Ámbito de Gestión, proceso o nivel institucional determinado.
Tratamiento del Riesgo: Proceso para modificar el riesgo (GTC137:2011). Conjunto de acciones que
permiten a través de la creación, fortalecimiento o implementación de controles, modificar la probabilidad o
el impacto de un riesgo. (Un plan de tratamiento del riesgo, puede derivar o constituirse en un proyecto o
programa de acuerdo al tema a mitigar o mejorar).
10.3 TÉRMINOS RELATIVOS A LA FASE GESTIÓN DE RIESGOS
Eventos Potenciales a Evaluar: Son aquellas situaciones ocurridas en un proceso que podrían llegar a ser
clasificadas como riesgos materializados, pero se debe hacer un análisis previo para llegar a esa
conclusión.
Eventos a Evaluar: Son aquellas situaciones que después de realizar el análisis como un evento potencial
a evaluar, se consideran como riesgos materializados.
Plan de Contingencia: Las acciones o planes de contingencia garantizan que la Institución tiene la
capacidad de seguir prestando sus servicios sin interrupciones o con periodos mínimos de interrupción, ante
eventos inesperados como terremotos, fallas de sistemas de información, cortes del suministro de servicios
públicos, inundaciones, terrorismo, atentados a funcionarios e instalaciones, entre otros. Deben estar
previamente elaborados, socializados y aprobados para su ejecución. Estos no cuentan con un
procedimiento, formato o guía para su elaboración.
Proyecto: Proceso único consistente en un conjunto de actividades coordinadas y controladas con fechas
de inicio y de finalización, llevadas a cabo para lograr un objetivo conforme con requisitos específicos,
incluyendo las limitaciones de tiempo, costo y recursos.
NOTA 1: Un proyecto individual puede formar parte de la estructura de un proyecto mayor.
NOTA 2: En algunos proyectos, los objetivos se afinan y las características del producto se definen
progresivamente según evolucione el proyecto.
NOTA 3: El resultado de un proyecto puede ser una o varias unidades de producto.
Queja: Es la manifestación verbal o escrita de protesta, censura, descontento e inconformidad que eleva un
ciudadano ante la insatisfacción que le causa la prestación del servicio de uno o varios de sus funcionarios.
Reclamo: Es el derecho que tiene toda persona de exigir, reivindicar o demandar una solución o respuesta
relacionada con la prestación indebida de un servicio propio de la Policía.
Registro: Tipo de documento que da evidencia del cumplimiento de un requisito o de la realización de una
actividad. Ejemplo: acta de reunión, informe de auditoría, etc.
Página 50 de 52
POLICÍA NACIONAL
Riesgo Materializado (RM): Ocurrencia de un evento que se había identificado como incierto.
Satisfacción del Cliente: Percepción que el cliente tiene sobre el grado en que se han cumplido sus
requisitos.
Sugerencia: Es la opinión o insinuación que eleva una persona para adecuar o mejorar un proceso o la
prestación de un servicio policial.
10.4 TÉRMINOS RELATIVOS A LA FASE MEDICIÓN DE LA GESTIÓN
Causa Raíz: Es el origen de una falla o incumplimiento.
Control: Medida o acción que modifica el riesgo mediante la afectación ya sea de la probabilidad o del
impacto. (GTC137:2011).
Plan de Tratamiento: Conjunto de acciones que se planean y se ejecutan con el fin de generar controles
que eviten la materialización de un riesgo o disminuyan su impacto en caso de que ocurra. (GTC137:2011).
10.5 TÉRMINOS RELATIVOS A LA FASE DE CIERRE
Aciertos: Experiencias exitosas, aspectos que pueden ser replicables, fortalezas, logros, cumplimiento de
los objetivos trazados en términos institucionales. (Lecciones Aprendidas en la Policía Nacional).
Desaciertos: Acciones / planes que no arrojaron los resultados esperados, deficiencias en la planeación,
fracasos.
Lección Aprendida: Conocimiento adquirido a través de la experiencia organizacional, que analizado y

difundido apropiadamente puede convertirse en acciones que lleven a la Institución a obtener mejores
resultados, no repitiendo las acciones erróneas y replicando las que condujeron al éxito, considerando en
todo momento un contexto de seguridad en constante transformación. (Lecciones Aprendidas en la Policía
Nacional).
10.5 TÉRMINOS RELATIVOS A LA SEGURIDAD DE LA INFORMACIÓN.
Activo: Es todo aquello que posea valor para la Policía Nacional. Ejemplo: información en formato físico o
digital; el software; el hardware; los servicios de información, de comunicaciones, de almacenamiento, etc.;
las personas y otros.
Agente Generador: Elemento que puede producir un riesgo.
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la
organización (ISO 27000).
Confidencialidad: Propiedad que determina que la información sea accesible sólo por quienes están
autorizados.
Página 51 de 52
POLICÍA NACIONAL
Control: Medio para mantener el riesgo en un nivel aceptable. Los controles pueden ser administrativos,
técnicos o legales y pueden materializarse en políticas, procedimientos, guías, lineamientos, prácticas y
estructuras organizacionales.
Custodio: Es una parte designada de Policía Nacional la cual puede ser un cargo, un proceso o un grupo de
trabajo, quien se encuentra encargado de administrar y hacer efectivos los controles de seguridad que el
propietario del activo haya definido, tales como copias de seguridad, asignación privilegios de acceso,
modificación y borrado.
Disponibilidad: Propiedad de la información que define que los usuarios autorizados tengan acceso a la
misma y a sus recursos asociados cuando se requiera.
Factor: Tipos de afectaciones que pueden afectar a la institución en sus diferentes niveles.
Imparcialidad: Se asegura la participación equilibrada de las partes interesadas en la definición de sus

políticas y en el gobierno de sus asuntos institucionales; mantiene una actuación neutral, no discriminatoria
frente a quienes solicitan los servicios acreditados, “Emisión de certificados Digitales para funcionarios de la
Policía Nacional, Emisión de certificados Digitales de firma de correo electrónico, Estampado cronológico de
tiempo, Emisión de certificados Digitales de Servidor Seguro (SSL), Emisión de certificados Digitales de
firma de código (Code Sign)”, dándoles el mismo trato y excluyendo los riesgos de injerencia en las
decisiones sobre acreditación por fuera de sus reglas y procedimientos referente a la Entidad de
Certificación Digital Cerrada, EDC.
Información: Datos relacionados que tienen significado para la Policía Nacional. La información es un activo
que, como otros activos importantes del negocio, es esencial para las actividades de la organización y, en
consecuencia, necesita una protección adecuada.
Integridad: Propiedad que permite salvaguardar la exactitud y completitud de la información y sus métodos
de procesamiento.
Seguridad de la Información: La seguridad de la información es la protección de la información contra una

gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo y
maximizar el retorno de inversiones y oportunidades de negocio.
Causas: Debilidad de un activo o control, que puede ser explotada por una o más amenazas.
10.6 TÉRMINOS RELATIVOS A LA GESTIÓN AMBIENTAL.
Aspecto Ambiental: elemento de las actividades, productos o servicios de una organización que puede
interactuar con el medio ambiente. (GTC 104:2009).
Cobertura: se refiere al área de influencia del impacto en relación con el entorno donde se genera.
Desarrollo Sostenible: desarrollo que conduzca al crecimiento económico, la elevación de la calidad de

vida y al bienestar, sin agotar la base de recursos naturales renovables en que se sustenta, ni deteriorar el
medio ambiente o el derecho de las generaciones futuras a utilizarlo para la satisfacción de sus propias
necesidades. (Tomado de la Ley 99 de 1993).
Desempeño Ambiental: resultados mensurables del sistema de gestión ambiental, relacionados con el
control que ejerce una organización de sus aspectos ambientales, objetivos y metas ambientales. (GTC
104:2009).
Página 52 de 52
POLICÍA NACIONAL
Impacto Ambiental: cualquier cambio en el ambiente, adverso o benéfico, como resultado parcial o total de
las actividades, productos o servicios de una organización. (GTC 104:2009).
Instalaciones – complejos: son bienes inmuebles en los cuales se desarrollan actividades administrativas,
operativas, académicas o de servicios, por dos o más unidades policiales.
Medio Ambiente: entorno en el cual opera una organización, incluidos el aire, el agua, la tierra, los recursos
naturales, la flora, la fauna, los seres humanos y sus interrelaciones. (GTC 104:2009).
Recuperabilidad: Se refiere a la posibilidad de recuperación del recurso afectado.
Remediación: eliminación o minimización de la contaminación/degradación ambiental que ya ha ocurrido.

(GTC 104:2009).
Sistema de Gestión Ambiental: parte del sistema de gestión total que incluye la estructura organizacional,
planeación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos para el
desarrollo, la implementación, el logro, la revisión y el mantenimiento de la política ambiental.
Severidad: es la que describe el tipo de cambio sobre el recurso natural generado por el impacto ambiental.
Temporalidad: Hace referencia a las actividades tales como proyectos de obra en infraestructura,
mantenimientos esporádicos de instalaciones, cuyas actividades no excedan la ejecución durante la vigencia
(6 meses).
Valoración del Riesgo Ecológico: conjunto de métodos científicos formales para estimar las posibilidades
y magnitudes de los efectos de valor ecológico en plantas, animales y ecosistemas, que se producen por la
liberación de sustancias químicas, otras actividades humanas o incidentes naturales. (GTC 104:2009
modificado de la EC, 1994).
Revisó:
Aprobó:
Elaboró:
ST. ANGIE CAROLINA RAMIREZ RUBIANO

Analista Planeación Institucional
IT. MANUEL SALVADOR GALLEGO POLO

Analista Planeación Institucional
BG. RAMIRO ALBERTO RIVEROS ARÉVALO
CR. LUIS ALBERTO ARIAS PARRA
Jefe Oficina de Planeación
Jefe Grupo Direccionamiento Estratégico y de
Recursos
Fecha: 07/06/2018 Fecha: 14/06/2018 Fecha: 15/06/2018

1de-Gu-0007 Guía Técnica Policial para La Gestión Integral Del Riesgo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1de-Gu-0007 Guía Técnica Policial para La Gestión Integral Del Riesgo

Cargado por

Copyright:

Formatos disponibles

Página 1 de 52

A partir de la Política de Gestión Integral del Riesgo establecida en la Institución, la operacionalización de la

1.3. Hacer seguimiento a la ejecución de las acciones planificadas y revisar su eficacia.

3. EJECUCIÓN DE LAS FASES DE LA GESTIÓN INTEGRAL DEL RIESGO

Medición de Resultados de la Gestión: Con base en la información registrada en resultados de gestión de

Ciclo PHVA de las Fases para la Gestión Integral del Riesgo

Planear y actuar Planear Hacer Verificar Verificar

4. FASE DE IDENTIFICACIÓN DE RIESGOS INSTITUCIONALES E INHERENTES A LOS PROCESOS CON

4.1 OBJETIVO DE LA FASE

4.2. DESCRIPCIÓN DE ACTIVIDADES

4.2.1. Identificación de Riesgos Institucionales

El análisis de contexto es la fuente primaria para la identificación de riesgos institucionales o corporativos, y su

4.2.2. Identificación de riesgos por proceso o ámbitos de gestión

Para la identificación de riesgos se deben tener en cuenta los siguientes aspectos:

4.2.2.1. Fuente de identificación de riesgos: Objetivo del proceso

NIVEL CARACTER ACTIVIDAD GENERAL

Direccionar, dar lineamientos de carácter estratégico del

Dan lineamientos de Carácter Estratégico – Táctico: con

4.2.2.2. Fuente de identificación de riesgos: Indicadores del proceso

4.2.2.3. Fuente de identificación de riesgos: Actividades de riesgo en los procedimientos

 ¿La actividad analizada genera impactos ambientales?

4.2.2.4 Fuente de identificación de riesgos: Inventario de activos de información

 El impacto que para la institución supone la pérdida de Confidencialidad, Integridad o Disponibilidad de

 El tipo de información que maneja.

 Sus productores y consumidores.

 La identificación de activos de información se hace teniendo en cuenta la importancia que cada

Para identificar activos de información es recomendable partir de la documentación de Procesos existente en la

4.2.2.4.1 Categorización de los activos de información

TABLA No. 0. CATEGORIZACIÓN DE ACTIVOS DE INFORMACIÓN

TIPO DE ACTIVO DESCRICIÓN

El objetivo de utilizar estas categorías obedece a la simplificación en la detección de riesgos y al mayor

Cuando un grupo de activos de información tienen características similares y se determina que

Cuando un activo de información es importante dentro del proceso, subproceso o procedimiento

4.2.2.4.3 Calificación y valoración de activos de información

4.2.2.4.4 Criterios para calificar los activos de información

Se ha definido el principio básico de seguridad “Confidencialidad” como la garantía de que la

Se ha definido el principio básico de seguridad “Integridad” como la protección de la exactitud y

Se ha definido el principio básico de seguridad “Disponibilidad” como la garantía de que los

4.2.2.4.5 Criterios para valorar el impacto o consecuencia de la afectación del activo

TABLA No. 1. VALORACIÓN Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

Esta información contiene dato

cuyo conocimiento o divulgación puede

PÚBLICA CLASIFICADA- PRIVADA:

Esta información contiene Dato privado. Es

4.2.2.4.6 Gestión del Riesgo en Seguridad de la Información por tipos de activos

Los riesgos asociados a la afectación de la “Seguridad de la Información”, se estandarizarán de acuerdo a los

 Pérdida de la confidencialidad de los activos de información.

4.2.2.5. Fuente de identificación de riesgos: Aspectos e Impactos Ambientales

4.2.2.5.1. Evaluación de Aspectos e Impactos Ambientales

TABLA No. 2. EVALUACIÓN DE ASPECTOS E IMPACTOS AMBIENTALES

CONDICIÓN ORIGEN CARÁCTER

Actividad Externa Influenciable

Significativo por Actividad

4.2.2.5.2. Gestión del Riesgo Ambiental y Ecológico

4.2.2.6 Codificación de riesgos y planes de tratamiento

Otros ejemplos de codificación de riesgos y planes:

 Riesgo masivo por proceso: “RM_2BS_DIRAF_003_Que se pierda dinero de la Institución”.

TABLA No. 3. CLASES DE FACTORES Y AGENTES GENERADORES

El personal no es consciente de la pertinencia e importancia de las

4.2.4. Situaciones de materialización y controles para su detección.

 Permite comprobar que el riesgo está bien identificado. (Fase de Identificación).

 Facilita determinar si un riesgo se ha materializado o no. (Fase de Gestión de Riesgos).

El análisis de situaciones de materialización en la fase de identificación debe ser exhaustivo, tomando en