FUERZAS MILITARES DE COLOMBIA

EJÉRCITO NACIONAL

Este documento es propiedad del EJERCITO NACIONAL

No esta autorizado su reproducción total o parcial
 Administración del Riesgo y Gestión de Oportunidades

Control de Actualizaciones

Actualización a
Actualización realizada Fecha de emisión
la Versión No.
0 Procedimiento Inicial 2022-02-04

Este documento es propiedad del EJERCITO NACIONAL

No esta autorizado su reproducción total o parcial

Página 2 de 15
 Administración del Riesgo y Gestión de Oportunidades

CONTENIDO

1 OBJETIVO: ............................................................................................ 4
2. ALCANCE: ............................................................................................ 4
3. CONTROL: ............................................................................................ 4
4. DEFINICIONES: .................................................................................... 4
5. FLUJOGRAMA DE ACTIVIDADES ....................................................... 7
6. PRODUCTO DEL PROCEDIMIENTO: ................................................ 14
7. DOCUMENTOS RELACIONADOS ..................................................... 15
8. NORMATIVIDAD APLICABLE............................................................. 15
9. ANEXOS: ............................................................................................ 15

Este documento es propiedad del EJERCITO NACIONAL

No esta autorizado su reproducción total o parcial

Página 3 de 15
 Administración del Riesgo y Gestión de Oportunidades

1 OBJETIVO:

Establecer los lineamientos para la identificación, análisis, valoración, tratamiento,

seguimiento y monitoreo a la administración de riesgos y gestión de
oportunidades.

2. ALCANCE:

Este procedimiento aplica para todos los procesos del Ejército Nacional en el
marco del Sistema Integrado de Gestión y las Unidades Operativas Mayores,
Unidades Operativas Menores, Unidades Operativas Tácticas y Equivalentes.
Inicia con la elaboración del contexto estratégico de Administración del Riesgo y
Gestión de Oportunidades y finaliza con el seguimiento y revisión en la plataforma
utilizada para el respectivo monitoreo.

3. CONTROL:

Verificación por parte de cada líder de proceso con su equipo de trabajo, para
asegurar la aplicación de éste procedimiento y garantizar una adecuada
administración de riesgos y gestión de oportunidades.

El control de la planificación y ejecución se realiza a través de la Suite Visión

Empresarial, módulo planes (Riesgos y Oportunidades), en el nivel estratégico del
Comando del Ejército, Unidades Operativas Mayores, Unidades Operativas
Menores, Escuelas de formación y capacitación (CEMIL-CENAE-ESMIC-EMSUB-
ESPRO y CEMAI) y equivalentes, con el propósito de realizar el seguimiento del
avance de las acciones, verificación de soportes documentales y aprobación por
parte de los líderes de procesos. Así mismo los líderes de procesos tendrá bajo su
responsabilidad la verificación del cargue de las acciones y el monitoreo de los
riesgos y oportunidades en los plazos establecidos, en caso de generar retraso en
alguna unidad donde aplica el proceso deberán elaborar documento recabando el
respectivo cumplimiento.

4. DEFINICIONES:

Apetito de riesgo: Es el nivel de riesgo que la entidad puede aceptar, relacionado

con sus Objetivos.

Causa: todos aquellos factores internos y externos que solos o en combinación

con otros, pueden producir la materialización de un riesgo.
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 4 de 15
 Administración del Riesgo y Gestión de Oportunidades

Consecuencia: los efectos o situaciones resultantes de la materialización del

riesgo que impactan en el proceso.

Control: Medida que permite reducir o mitigar un riesgo.

Causa Inmediata: Circunstancias bajo las cuales se presenta el riesgo, pero no

constituyen la causa principal o base para que se presente el riesgo.

Causa Raíz: Causa principal o básica, corresponde a las razones por la cuales se
puede presentar el riesgo.

Capacidad de riesgo: Es el máximo valor del nivel de riesgo que una Entidad
puede soportar.1

Factores de Riesgo: Son las fuentes generadoras de riesgos.

Impacto: las consecuencias que puede ocasionar a la organización la

materialización del riesgo.

Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad

de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que
este evento traería sobre la capacidad institucional de alcanzar los objetivos.

Oportunidad: Son eventos o circunstancias del entorno potencialmente favorable

para la institución y que puede ser utilizada ventajosamente para alcanzar una
meta o cumplir un objetivo, permitiendo la mejora continua de los procesos. 2

Probabilidad: se entiende la posibilidad de ocurrencia del riesgo.

Estará asociada a la exposición al riesgo del proceso o actividad que se esté
analizando.

Riesgo: Efecto de la incertidumbre que se causa sobre los objetivos de las

entidades, debido a eventos potenciales.

Riesgo de Seguridad de la Información: Posibilidad de que una amenaza

concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un
activo de información.

1
Guía para la administración del riesgo y el diseño de controles en entidades públicas versión 5
(DAFP).
2
Metodología Gestión de Oportunidades
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 5 de 15
 Administración del Riesgo y Gestión de Oportunidades

Riesgo de Corrupción: Posibilidad de que por acción u omisión, se use el poder

para desviar la gestión de lo público hacia un beneficio privado.

Riesgo Inherente: Nivel de riesgo propio de la actividad.

El resultado de combinar la probabilidad con el impacto.

Riesgo Residual: El resultado de aplicar la efectividad de los controles al riesgo

inherente.

Tolerancia del riesgo: Es el valor de la máxima desviación admisible del nivel de

riesgo con respecto al valor del Apetito de riesgo determinado por la entidad.

Vulnerabilidad: Representan la debilidad de un activo o de un control que puede

ser explotada por una o más amenazas.

Este documento es propiedad del EJERCITO NACIONAL

No esta autorizado su reproducción total o parcial

Página 6 de 15
 Administración del Riesgo y Gestión de Oportunidades

5. FLUJOGRAMA DE ACTIVIDADES:

5.1 ADMINISTRACIÓN DEL RIESGO:

Flujograma Descripción de la Actividad Registro Actividad Responsable

Contexto estratégico
INICIO
administración del riesgo
y gestión de
1. Definir el contexto estratégico: Se oportunidades para la Líderes de Proceso y
1. Definir Contexto
estratégico
define le contexto estratégico de riesgo y siguiente vigencia equipo de trabajo.
gestión de oportunidades para la formato FO-CEDE5-
siguiente vigencia. DIGEC-486.

2. Identificar los riesgos: Identificar los Líderes de Proceso y

2. Identificar los riegos con su clasificación probabilidad e Formato FO-CEDE5- equipo de trabajo
riesgos impacto en la matriz estratégica de DIGEC-1440
riesgos FO-CEDE5-DIGEC-1440 y
enviarla a CEDE5-DIGEC.

3. Diligenciar el formato: Diligenciar el Líderes de Proceso y

3. Diligenciar el formato
FO-CEDE5-DIGEC-487 formato FO-CEDE5-DIGEC-487 Formato FO-CEDE5- equipo de trabajo
Administración del riesgo donde DIGEC-487
selecciona el nombre del proceso,
describe el alcance y causa inmediata.

4. Identificar la causa raíz: Identifique Líderes de Proceso y

4. Identificar la causa la causa raíz teniendo en cuenta que es Procedimiento P-JEMPP- equipo de trabajo
raíz la causa principal o básica, corresponde CEDE5-181 Mejora
a las razones por las cuales se puede continua.
presentar el riesgo, son la base para la
definición de controles en la etapa de Documento Metodología
valoración del riesgo, se debe tener en identificación de causas
cuenta las metodologías para la utilizado.
identificación de causas que se
encuentran relacionadas en el
procedimiento P-JEMPP-CEDE5-181
Mejora continua.

5. Seleccionar el área 5. Seleccionar el área de impacto: es

de Impacto la consecuencia económica o
reputacional a la cual se ve expuesta la Líderes de Proceso y
organización en caso de materializarse Formato FO-CEDE5- equipo de trabajo
un riesgo. Los impactos que aplican son: DIGEC-487
A afectación económica (o presupuestal),
reputacional.

Este documento es propiedad del EJERCITO NACIONAL

No esta autorizado su reproducción total o parcial

Página 7 de 15
 Administración del Riesgo y Gestión de Oportunidades

6. Describir el nombre del riesgo: se

6. Describir el nombre describe el nombre del riesgo el cual
del riesgo debe iniciar con posibilidad de, luego Líderes de Proceso y
impacto (el que) más causa inmediata Formato FO-CEDE5- equipo de trabajo
(Cómo) más causa raíz (por qué). Luego DIGEC-487
la descripción del riesgo, la cual debe
contener todos los detalles que sean
necesarios y que sea fácil de entender
tanto para el líder del proceso como para
las personas ajenas al proceso.
Nota 1: Si el riesgo va alineado a los
objetivos estratégicos, se debe
mencionar a que objetivo estratégico
está asociado.

Nota 2: En caso de ser identificado un

riesgo de corrupción se deberá cumplir
con los criterios anteriores, pero
adicional es necesario que dentro de la
redacción se contemplen los siguientes
componentes: Acción u omisión, uso del
poder, desviar la gestión de lo público y
beneficio privado.

7. Seleccionar la 7. Seleccionar la clasificación del

clasificación de riesgo riesgo que aplique:
que aplique Líderes de Proceso y
 Ejecución y administración de Formato FO-CEDE5- equipo de trabajo
procesos. DIGEC-487
 Fallas tecnológicas
 Relaciones laborales
 Usuarios, productos y prácticas
 Daños a activos fijos/ eventos
externos.
 Seguridad de la información
 Fraude externo
 Fraude interno
 Corrupción.
8. Determinar la
frecuencia del proceso
8. Determinar la frecuencia del
Líderes de Proceso y
proceso: Determinar la frecuencia del
Formato FO-CEDE5- equipo de trabajo
proceso que es el número de veces que
DIGEC-487
se ejecuta la actividad en el mes y se
B multiplica por el año, el cual será
identificado por el líder del proceso en el
departamento, esta frecuencia se
registrará en el formato FO-CEDE5-
DIGEC-487. Así mismo cada unidad
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 8 de 15
 Administración del Riesgo y Gestión de Oportunidades

deberá tener internamente la frecuencia

del proceso con la que contribuye a la
B sumatoria total de las actividades.
Nota: El líder del proceso debe tener las
evidencias de como calculó la frecuencia
del proceso.

Líderes de Proceso y
No 9. ¿Se
establece la
9. ¿Se establece la probabilidad de Formato FO-CEDE5- equipo de trabajo
probabilidad
de ocurrencia
ocurrencia del riesgo y sus DIGEC-487
del riesgo y
sus
consecuencias?
consecuencia
s?
SI: seleccionar probabilidad en la tabla
1 de criterios para definir el nivel de
Si probabilidad.

No: Finaliza

11. Seleccionar el valor Líderes de Proceso y

del impacto de la
evaluación del riesgo
11. Seleccionar el valor del impacto Formato FO-CEDE5- equipo de trabajo
de la evaluación del riesgo: ir a tabla DIGEC-487
criterios para definir el nivel de impacto,
teniendo en cuenta en el formato FO-
CEDE5-DIGEC-487 el impacto
seleccionado.
Nota: Para la identificación del impacto
en los riesgos de corrupción se realizará
dando respuesta a las diecinueve (19)
preguntas, se deberá seleccionar en la
tabla criterios para definir el nivel de
impacto.
12. Definir Controles
12. Definir Controles: Definir los Líderes de Proceso y
controles teniendo en cuenta que los Formato FO-CEDE5- equipo de trabajo
controles se definen como la medida que DIGEC-487
permite reducir o mitigar el riesgo.
Tener en cuenta la estructura para la
descripción del control: Responsable de
ejecutar el control, acción y
complemento.
Nota: Por riesgo se deben identificar
mínimo tres (3) controles y seleccionar el
13. Realizar la tipo de control (Detectivo, Correctivo o
evaluación de preventivo).
controles
13. Realizar la evaluación de Líderes de Proceso y
controles: teniendo en cuenta los Formato FO-CEDE5- equipo de trabajo
atributos para el diseño del control, DIGEC-487
C atributos de eficiencia, (afectación, tipo e
implementación)
Atributos informativos (documentación,
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 9 de 15
 Administración del Riesgo y Gestión de Oportunidades

frecuencia y evidencia).
Nota: Se debe realizar la evaluación a
C
cada control teniendo en cuenta los
controles identificados.
Líderes de Proceso y
Formato FO-CEDE5- equipo de trabajo.
14. Realizar 14. Realizar tratamiento al Riesgo: DIGEC-487
Tratamiento al Riesgo Realizar el tratamiento de acuerdo con el
nivel del riesgo (Aceptar, Mitigar, Evitar,
Reducir o Transferir).
Nota: Ningún riesgo de corrupción podrá
ser aceptado. Formato FO-CEDE5- Líderes de Proceso y
DIGEC-487 equipo de trabajo
15. Posibles 15. Posibles materializaciones:
materializaciones
Describir los posibles eventos, los cuales
si llegan a suceder llevarían a la
materialización del riesgo.

16. Definir Acciones 16. Definir Acciones: Describir las

acciones las cuales deben ser
actividades diferentes a las establecidas Formato FO-CEDE5- Líderes de Proceso y
en la caracterización del proceso, DIGEC-487 equipo de trabajo
procedimiento y reglamentación interna
(reglamento, normas, Directivas
permanentes, entre otras). Las cuales
deben tener: Descripción, responsables
(indicar el área y cargo de la persona
responsable de ejecutar las acciones,
evidencia, periodicidad, fecha de inicio,
fecha final y estado (en curso, cerrado).
Nota 1: Se debe identificar mínimo dos
(2) acciones de acuerdo al resultado
obtenido en la matriz de calor del riesgo
residual (Valoración).

Nota 2: Cuando se trata de riesgos de

corrupción se deben identificar mínimo
dos (2) acciones de periodicidad
mensual sin importar el nivel de
severidad en la matriz de calor del riesgo
residual (Valoración) en cada nivel de la
institución (CEDE, DIV, BR y
equivalentes).

Nota 3: Las acciones de riesgos la

fecha inicial y fecha final no debe
superar la vigencia.

Nota 4: Las acciones de proyectos la

D fecha inicial y final podrán ir hasta cuatro
(4) años.
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 10 de 15
 Administración del Riesgo y Gestión de Oportunidades

D
17. Elaborar plan de contingencia
(Plan de mejoramiento FO-CEIGE-165) Plan de mejoramiento Líderes de Proceso y
como si el riesgo se hubiese FO-CEIGE-165 equipo de trabajo
17. Elaborar plan de
contingencia
materializado, el cual será entregado
mediante documento al CEDE5-DIGEC
al inicio de la vigencia y en caso de
presentarse materialización del riesgo
será habilitado y cargado en la
plataforma suite visión empresarial
(SVE) modulo mejoras, informando el
código generado a CEDE5-DIGEC.

18. Desempeño del control: Teniendo

18. Desempeño del en cuenta los controles descritos,
control
coloque el número de frecuencia del
riesgo (Número de veces que se realiza Formato FO-CEDE5- Líderes de Proceso y
la actividad de acuerdo con cada control DIGEC-487 equipo de trabajo
por año), la frecuencia debe ser descrita
por cada Unidad.
Nota: Tenga en cuenta que el número
de eventos es un riesgo materializado,
se pueden considerar incidentes que
generan o que podrían generar pérdidas
a la entidad.

19. Realizar descripción del

19. Realizar descripción
del cumplimiento de la
acción
cumplimiento de la acción: Realizar
una descripción breve del cumplimiento
de la acción por cada periodo,
referenciando el documento soporte de Formato FO-CEDE5- Líderes de Proceso y
la actividad y fecha de cumplimiento. DIGEC-487 equipo de trabajo
Nota: Las unidades Operativas Mayores
deberán incluir el seguimiento de sus
unidades subalternas en el formato
administración del riesgo FO-CEDE5-
DIGEC-487 y cargar los soportes
documentales en la plataforma suite
visión empresarial (SVE), modulo
planes.

20. Observaciones del desempeño de

20. Observaciones del
desempeño de los los controles: Describir detalladamente Formato FO-CEDE5- Líderes de Proceso y
controles el desempeño de los controles y si se DIGEC-487 equipo de trabajo
registra materialización del riesgo.

FIN 1

Este documento es propiedad del EJERCITO NACIONAL

No esta autorizado su reproducción total o parcial

Página 11 de 15
 Administración del Riesgo y Gestión de Oportunidades

5.2 GESTIÓN DE OPORTUNIDADES:

Flujograma Descripción de la Actividad Registro Actividad Responsable

INICIO

1. Definir el contexto estratégico: Contexto estratégico

Definir el contexto estratégico de riesgo administración del riesgo
y gestión de oportunidades para la y gestión de Líderes de Proceso y
1. Definir Contexto
siguiente vigencia. oportunidades para la equipo de trabajo
estratégico
siguiente vigencia
formato FO-CEDE5-
2. Identificar las oportunidades: DIGEC-486.
Identificar las oportunidades de acuerdo
con el análisis realizado y definido en el
Contexto estratégico, relacionarlas en el
2. Identificar las formato FO-CEDE5-DIGEC-1547
oportunidades evaluando la probabilidad e impacto (De Formato FO-CEDE5- Líderes de Proceso y
acuerdo con las tablas establecidas) y DIGEC-1547 equipo de trabajo
enviarla a CEDE5-DIGEC.
Nota: Es necesario que los líderes de
procesos evalúen la viabilidad de la
oportunidad antes de ser validada por
CEDE5-DIGEC.

3. Realizar priorización de
3. Realizar oportunidades: Realizar la priorización Formato FO-CEDE5- Líderes de Proceso y
priorización de 1 equipo de trabajo
oportunidades de las oportunidades teniendo en cuenta DIGEC-1547
la capacidad del proceso para
desarrollarla en la vigencia.

4. Validar y consolidar oportunidades:

Validar y consolidar las oportunidades Formato FO-CEDE5- Oficial de Desarrollo
4. Validar y consolidar enviadas por los líderes de los procesos DIGEC-1547 (DIGEC)
oportunidades
en el formato FO-CEDE5-DIGEC-1547.

A
Formato FO-CEDE5- Líderes de Proceso y
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 12 de 15
 Administración del Riesgo y Gestión de Oportunidades

5. ¿Fueron validadas las DIGEC-1547 equipo de trabajo

No
oportunidades por parte del
1
Departamento de Planeación CEDE5-
DIGEC?
5. ¿Fueron
validadas las
oportunidades
SI: Continuar actividad No.6
por parte del
Departamento
No: Devolver a la actividad No.3 priorizar
de Planeación
CEDE5-
de nuevo las oportunidades.
DIGEC?

Correo institucional Líderes de Proceso y

Si
6. Enviar oportunidades
consolidadas y validadas
7. Diligenciar formato FO-
CEDE5-DIGEC-1317
6. Enviar oportunidades consolidadas Formato FO-CEDE5- equipo de trabajo
y validadas: Enviar a los líderes de DIGEC-1547
procesos las oportunidades
consolidadas y validadas en el formato
FO-CEDE5-DIGEC-1547.
Líderes de Proceso y
Formato FO-CEDE5- equipo de trabajo
7. Diligenciar Formato FO-CEDE5- DIGEC-1317
DIGEC-1317: Realizar el
diligenciamiento del formato FO-CEDE5-
DIGEC-1317 incluyendo oportunidad,
descripción, causas asociadas, efectos,
probabilidad e impacto.

8. Definir acciones para abordar Formato FO-CEDE5- Líderes de Proceso y

8. Definir acciones para
abordar oportunidades
equipo de trabajo
oportunidades: Definir acciones para DIGEC-1317
abordar las oportunidades que incluyan
responsables, periodicidad, fecha de
inicio, fecha final y evidencia.
Nota: Es necesario que los líderes de
los procesos realicen una adecuada
planeación de las acciones con el fin de
dar cumplimiento a las fechas
establecidas en las mismas.

9. Realizar descripción de las Líderes de Proceso y

9. Realizar descripción de
la acciones
B deberán incluir el seguimiento de sus
acciones: Realizar una descripción Formato FO-CEDE5- equipo de trabajo
breve del cumplimiento de las acciones DIGEC-1317
en el formato FO-CEDE5-DIGEC-1317 Plataforma Suite Visión
por cada periodo, referenciando el Empresarial (SVE)
documento soporte de la actividad y
fecha de cumplimiento.
Nota: Las unidades Operativas Mayores
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 13 de 15
 Administración del Riesgo y Gestión de Oportunidades

unidades subalternas en el formato

B gestión de oportunidades FO-CEDE5-
DIGEC-1317 y cargar los soportes
documentales en la plataforma suite
visión empresarial (SVE), modulo
planes.

10. Realizar análisis: Realizar el Líderes de Proceso y

análisis trimestral FO-CEDE5-DIGEC- Formato FO-CEDE5- equipo de trabajo
10. Realizar análisis 1627 y análisis anual formato FO- DIGEC-1627
CEDE5-DIGEC-1626 de las
oportunidades y enviarlos al Formato FO-CEDE5-
Departamento de Planeación (CEDE5) DIGEC-1626
Dirección de Gestión de Calidad
(DIGEC).

11. Realizar informe trimestral y Oficial de Desarrollo

11. Realizar informe anual: Realizar informe trimestral y Informes (DIGEC)
trimestral y anual
anual de acuerdo con el seguimiento
realizado en la plataforma suite visión
empresarial (SVE) modulo planes y al
análisis enviado por los líderes de
procesos.
Líderes de Proceso y
12. Realizar Plan de Mejoramiento: Plan de mejoramiento equipo de trabajo
Realizar Plan de mejoramiento FO- FO-CEIGE-165
12. Realizar Plan de CEIGE-165 en caso de que la
mejoramiento
oportunidad no se allá desarrollado en
su totalidad durante la vigencia, el cual
será entregado mediante documento al
CEDE5-DIGEC al inicio de la vigencia y
será habilitado y cargado en la
FIN plataforma suite visión empresarial
(SVE) modelo mejoras, informando el
código generado a CEDE5-DIGEC.

6. PRODUCTO DEL PROCEDIMIENTO:

 Metodología de Gestión de Oportunidades

 Metodología Administración de Riesgos
Este documento es propiedad del EJERCITO NACIONAL
No esta autorizado su reproducción total o parcial

Página 14 de 15
 Administración del Riesgo y Gestión de Oportunidades

 Matriz Estratégica de Administración de Riesgos FO-CEDE5-DIGEC-1440

 Consolidado Gestión de Oportunidades FO-CEDE5-DIGEC-1547
 Administración del Riesgo FO-CEDE5-DIGEC-487
 Gestión de oportunidades FO-CEDE5-DIGEC-1317

7. DOCUMENTOS RELACIONADOS:

 Formato Matriz Estratégica de riesgos FO-CEDE5-DIGEC-1440

 Formato Administración del Riesgo FO-CEDE5-DIGEC-487
 Procedimiento P-JEMPP-CEDE5-181 Mejora continua.
 Plan de mejoramiento FO-CEIGE-165
 Formato Consolidado Gestión de oportunidades FO-CEDE5-DIGEC-1547
 Formato Gestión de Oportunidades FO-CEDE5-DIGEC-1317
 Formato Análisis trimestral gestión de oportunidades FO-CEDE5-DIGEC-
1627
 Formato Análisis Anual gestión de oportunidades FO-CEDE5-DIGEC-1626

8. NORMATIVIDAD APLICABLE:

ISO 9001:2015 Norma de Calidad

ISO 31000:2018 Norma Gestión de Riesgos
Modelo Integrado de Planeación y Gestión (MIPG)

9. ANEXOS:

No aplica.

Este documento es propiedad del EJERCITO NACIONAL

No esta autorizado su reproducción total o parcial

Página 15 de 15