Metodología Administración de Riesgos

DEPARTAMENTO DE PLANEACIÓN EJÉRCITO (CEDE5)
DIRECCIÓN GESTIÓN DE CALIDAD

ADMINISTRACIÓN DE RIESGOS
CEDE5 - DIGEC
VERSIÓN 1.0 FECHA 05 01 2019 RESTRINGIDO

AGENDA
1. Objetivos.
2. Marco normativo.
3. Conceptos básico.
4. Metodología Adm. Riesgos.
5. Monitoreo y Revisión.
RESTRINGIDO
VERSIÓN 1.0 FECHA 05 01 2019
1. OBJETIVOS
RESTRINGIDO
• OBJETIVOS ADMINISTRACIÓN DE RIESGOS
Dar a conocer la actualización en la metodología de Administración de

Riesgos.
Difundir los diferentes conceptos que se emplean en la metodología de

administración de riesgos.
Orientar al personal en la construcción de la administración de riesgos.
Divulgar al personal los cambios en administración de riesgos de acuerdo al

Modelo Integrado de Planeación y Gestión (MIPG).
RESTRINGIDO
2. MARCO NORMATIVO
RESTRINGIDO
• MARCO NORMATIVO
Ley 87 de 1993. Artículo 2 Objetivos del Control

Interno. Literal a). Proteger los recursos de la Ley 1474 de 2011. Estatuto Anticorrupción. Artículo
organización, buscando su adecuada administración ante 73 “Plan Anticorrupción y de Atención al Ciudadano”
posibles riesgos que los afectan. que deben elaborar anualmente todas las entidades,
incluyendo el mapa de riesgos de corrupción, las
Literal f). Definir y aplicar medidas para prevenir los medidas concretas para mitigar esos riesgos, las
riesgos, detectar y corregir las desviaciones que se estrategias anti trámites y los mecanismos para
presenten en la organización y que puedan afectar el mejorar la atención al ciudadano.
logro de los objetivos.
Norma ISO 31.000:2018 Gestión del Riesgo y Directiva Estructural No. 01068 del 22 de
Directrices. Noviembre de 2016. Lineamientos Generales para la
Administración de Riesgos en el Ejército Nacional.
RESTRINGIDO
MARCO NORMATIVO
Guía para la Administración del Riesgo de

Decreto 124 de 2016. Por el cual se sustituye el
Gestión, Corrupción y Seguridad Digital y, Diseño
Titulo 4 de la Parte 1 del Libro 2 del Decreto 1081
de Controles en Entidades Públicas.
de 2015, relativo al “Plan Anticorrupción y de
Departamento Administrativo de la Función
Atención al Ciudadano”.
Pública (DAFP). 2018
Decreto 1499 del 2017 Modelo Integrado de

Planeación y Gestión. Versión 2.
Manual Operativo MIPG 2017. Dimensión 7. Control

Interno MIPG. Promueve el mejoramiento continuo de las
entidades, razón por la cual estas deben establecer
acciones, métodos y procedimientos de control y de
gestión del riesgo, así como mecanismos para la
prevención y evaluación de éste. El Control Interno es la
clave para asegurar razonablemente que las demás
dimensiones del MIPG cumpla su propósito.
RESTRINGIDO
3. CONCEPTOS BÁSICOS
RELACIONADOS CON EL
RIESGO
RESTRINGIDO
CONCEPTOS BÁSICOS RELACIONADOS CON EL RIESGO
Riesgo de Seguridad Digital: Combinación de amenazas

y vulnerabilidades en el entono digital. Puede debilitar
Riesgo de Gestión: Posibilidad de que suceda algún
el logro de objetivos económicos y sociales, así como
evento que tendrá un impacto sobre el cumplimiento de
afectar la soberanía nacional, la integridad territorial,
los objetivos. Se expresa en términos de probabilidad y
el orden constitucional y los intereses nacionales.
consecuencias.
Incluye aspectos relacionados con el ambiente físico,
digital y las personas.
Riesgo de Corrupción: Posibilidad de que por acción u Gestión del Riesgo: Proceso efectuado por la alta
omisión, se use el poder para desviar la gestión de lo dirección de la entidad y por todo el personal para
público hacía un beneficio privado. proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
Riesgo Inherente: Es aquel al que se enfrenta una

Riesgo Residual: Nivel de riesgo que permanece luego
entidad en ausencia de acciones de la dirección para
de tomar medidas de tratamiento del riesgo.
modificar su probabilidad o impacto.
RESTRINGIDO
Activo: Es el contexto de seguridad digital con

Causa: Todos aquellos factores internos y externos que elementos tales como aplicaciones de la
solos o en combinación con otros, puedan producir la organización, servicios web, redes. Hardware,
materialización de un riesgo. información física o digital, recurso humano, entre
otros, que utiliza la organización para funcionar en
el entorno digital.
Consecuencia: Los efectos o situaciones resultantes de la

Control: Medida que modifica al riesgo (procesos,
materialización del riesgo que impactan en el proceso, la
políticas, dispositivos, ´prácticas u otras acciones).
entidad, sus grupos de valor y demás partes interesadas.
Amenazas: Causa potencial de un incidente no deseado, Tolerancia al Riesgo: Son los niveles aceptables de
el cuál puede ocasionar daño a un sistema o a una desviación relativa a la consecución de objetivos.
organización. Pueden medirse y a menudo resulta mejor, con las
mismas
RESTRINGIDO
4. METODOLOGÍA
ADMINISTRACIÓN DE RIESGOS
RESTRINGIDO
DEFINICIÓN RIESGO
Definición
Riesgo
Posibilidad de que suceda
algún evento que tendrá un
impacto sobre los objetivos
institucionales o del proceso.
Se expresa en términos de
probabilidad e impacto.
RESTRINGIDO
PROCESO ADMINISTRACIÓN
DEL RIESGO
RESTRINGIDO
PROCESO ADMINISTRACIÓN DE RIESGOS
1. Contexto Estratégico
Comunicación y consulta 2. Identificación del Riesgo
Monitoreo y revisión
3. Análisis del Riesgo
3.1 Evaluación del Riesgo
4. Valoración del Riesgo
5. Tratamiento del Riesgo
Políticas de administración del Riesgo
Fuente: NTC-ISO 31000 “Gestión del Riesgo, Principios y Directrices”, Pág. 3
RESTRINGIDO
POLÍTICA DE CALIDAD
RESTRINGIDO
COMPROMISOS DEL SIG
Política de
Calidad
El Ejército Nacional con la finalidad primordial de defender la soberanía, la
independencia y la integridad territorial, cumple su misión en el marco del desarrollo de
operaciones militares, regido por la Constitución Nacional, el respeto absoluto por los
DD.HH. y acatamiento del DIH, honor militar, disciplina, ética en todas las actuaciones,
compromiso, fe en la causa y persistencia en el empeño, comprometido con el desarrollo
y mejora continua del Sistema Integrado de Gestión (SIG), la administración de los
riesgos de gestión y corrupción, cumpliendo con los requerimientos de las partes
interesadas con un alto nivel de calidad, innovación y competitividad, mediante prácticas
de legalidad y transparencia; garantizando protección a la población, neutralización de
amenazas internas y externas, coadyuvando a la legalidad, el emprendimiento y la
equidad, como la Fuerza eje de acción unificada en operaciones terrestres conjuntas,
coordinadas, interagenciales y multilaterales para alcanzar la unidad de esfuerzo.
RESTRINGIDO
CONTEXTO ESTRATÉGICO
RESTRINGIDO
CONTEXTO ESTRATÉGICO
1. Contexto Estratégico
Se determinan las características o aspectos esenciales del entorno en el cual opera

la entidad. A partir de los factores que se definan es posible establecer las causas de
los riesgos a identificar.
Contexto Externo Contexto Interno
Económicos Financieros
Políticos Personal
Sociales Procesos
Tecnológicos Tecnología
Medio Ambientales Estratégicos
Comunicación Ext Comunicación Int.
RESTRINGIDO
TIPOS DE RIESGO
6. Monitoreo
Tipos de Riesgos
y revisión del riesgo.
Se establece los tipos de riesgo que se va a manejar por proceso, así:
Apoyo: Son aquellos eventos que requieren de acciones

preventivas para que se logre o contribuya a la materialización
y/o producción de un bien o servicio. Estos van relacionados
directamente con los procesos que sirven de soporte del
cumplimiento de los que conforman la cadena de valor de la
entidad.
Corrupción: Posibilidad de que por acción u omisión, se use el

poder para desviar la gestión de lo público hacia un beneficio
privado.
Cumplimiento: Posibilidad de ocurrencia de eventos que

afectan la situación jurídica o contractual de la organización
debido a su incumplimiento o desacato a la normatividad legal
y las obligaciones contractuales.
RESTRINGIDO
TIPOS DE RIESGO
6. Monitoreo
Tipos de Riesgo
Estratégico: Posibilidad de ocurrencia de eventos que afecten

los objetivos estratégicos de la organización pública y por tanto
impactan toda la entidad.
Evaluación: Incluyen aquellos procesos necesarios para medir y

recopilar datos destinados a realizar el análisis del desempeño y
la mejora de la eficacia y la eficiencia y son una parte integral
de los procesos estratégicos, misionales y de apoyo.
Financiero: Posibilidad de ocurrencia de eventos que afecten

los estados financieros y todas aquellas áreas involucradas con
el proceso financiero como presupuesto, tesorería,
contabilidad, cartera, central de cuentas, costos, etc.
Operativos: Posibilidad de ocurrencia de eventos que afecten

los procesos misionales de la entidad.
RESTRINGIDO
TIPOS DE RIESGO
6. Monitoreo
Tipos de Riesgo
Imagen o Reputacional: Posibilidad de ocurrencia de un evento

que afecte la imagen, buen nombre o reputación de una
organización, ante sus clientes y partes interesadas.
Tecnológico: Posibilidad de ocurrencia de eventos que afecten

la totalidad o parte de la infraestructura tecnológica
(hardware, software, redes, etc) de una entidad.
Seguridad de la Información: Posibilidad de que por una

amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un
evento y sus consecuencias.
RESTRINGIDO
IDENTIFICACIÓN DEL
RIESGO
.
RESTRINGIDO
IDENTIFICACIÓN DEL RIESGO

2. Identificación del Riesgo
El objetivo de esta fase de la administración de riesgos es generar una

lista detallada de los posibles riesgos que pueden afectar el correcto
funcionamiento de las actividades del proceso, para ello se deben
determinar de la siguiente manera:
Identificación del proceso: Determinar cuál es el proceso al

que se le determina el riesgo.
Objetivo del proceso: Tener presente el objetivo de acuerdo a

la caracterización del proceso.
Identificar los riesgos: Se identifica el riesgo que podría

afectar el cumplimiento del objetivo del proceso y/o misión
Institucional.
Establecer las causas: Descripción de los factores internos y/o
externos que generan los riesgos.
Determinar los efectos o consecuencias: Consecuencias que

puede dejar la ocurrencia del evento sobre la organización.
RESTRINGIDO
IDENTIFICACIÓN DEL RIESGO

2. Identificación del Riesgo de corrupción
El riesgo de corrupción debe estar descrito de manera clara y precisa. Su

redacción no debe dar lugar a ambigüedades o confusiones con la causa
generadora de los mismos.
Es necesario que en la descripción del riesgo concurran los componentes
de su definición; si los siguientes componentes al verificarlo con la
descripción del riesgo son contestadas todas afirmativamente, se trata de
un riesgo de corrupción.
Acción u omisión
Uso del poder
Desviación de la gestión de lo público
Beneficio privado
Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital. Pág. 23
RESTRINGIDO
ANÁLISIS DEL RIESGO
RESTRINGIDO
ANÁLISIS DEL RIESGO

3. Análisis del Riesgo
En esta etapa se busca el desarrollo y la comprensión del riesgo, tomando como

entrada la información obtenida de la identificación del riesgo. Dos aspectos
fundamentales se deben definir dentro de este proceso:
Probabilidad: Posibilidad de ocurrencia del riesgo.
Impacto: Las consecuencias que puede ocasionar a la

organización la materialización del riesgo.
RESTRINGIDO
TABLA DE PROBABILIDAD
DESCRIPTOR NIVEL DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir solo en No se ha presentado en

Rara vez 1
circunstancias excepcionales. los últimos 5 años.
El evento puede ocurrir en algún Al menos 1 vez en los
Improbable 2
momento. últimos 5 años.
El evento podría ocurrir en Al menos 1 vez en los
Posible 3
algún momento. últimos 2 años.
El evento probablemente
Al menos 1 vez en el
Probable 4 ocurrirá en la mayoría de las
último año.
circunstancias.
Se espera que el evento ocurra

Casi seguro 5 en la mayoría de las Más de 1 vez al año.
circunstancias.
RESTRINGIDO
TABLA DE IMPACTO
DESCRIPTOR NIVEL DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría

Insignificante 1 consecuencias o efectos mínimos sobre la
entidad.
Si el hecho llegara a presentarse, tendría bajo
Menor 2
impacto o efecto sobre la entidad.
Moderado 3 medianas consecuencias o efectos sobre la
entidad.
Si el hecho llegara a presentarse, tendría altas
Mayor 4
consecuencias o efectos sobre la entidad.
Catastrófico 5 desastrosas consecuencias o efectos sobre la
entidad.
Fuente: Guía para la Administración del Riesgos DAFP. Pág. 28.
RESTRINGIDO
EVALUACIÓN IMPACTO RIESGO DE CORRUPCIÓN

IMPACTO DE LOS RIESGOS DE CORRUPCIÓN
Respuesta
Si el riesgo de corrupción se materializa podría...
SI NO
1. ¿Afectar al grupo de funcionarios del proceso?
2. ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3. ¿Afectar el cumplimiento de misión de la Entidad?
4. ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?
5. ¿Generar pérdida de confianza de la Entidad, afectando su reputación?
6. ¿Generar pérdida de recursos económicos?
7. ¿Afectar la generación de los productos o la prestación de servicios?
8. ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien
o servicios o los recursos públicos?
9. ¿Generar pérdida de información de la Entidad?
10. ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente?
11. ¿Dar lugar a procesos sancionatorios?
12. ¿Dar lugar a procesos disciplinarios?
13. ¿Dar lugar a procesos fiscales?
14. ¿Generar pérdida de credibilidad del sector?
15. ¿Generar pérdida de credibilidad de la entidad?
16. ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17. ¿Afectar la imagen regional?
18. ¿Afectar la imagen nacional?
CALIFICACIÓN DE RIESGO DE CORRUPCIÓN IMPACTO

Respuestas Descripción Nivel
Entre 1-5 Moderado 0
Entre 6-11 Mayor 1
Entre 12-18 Catastrófico 2
RESTRINGIDO
EVALUACIÓN DEL RIESGO

3.1. Evaluación del riesgo
Permite comparar los resultados de su calificación en

términos de probabilidad y impacto, para tener un primer
resultado cuantitativo y cualitativo del estado actual del
riesgo sin haber tomado acción alguna para su manejo y
así posteriormente poder tomar decisiones y definir los
controles a ejecutar.
RESTRINGIDO
TRATAMIENTO DEL RIESGO

Tratamiento del Riesgo
Aceptar el riesgo: No se adopta ninguna medida que afecte la probabilidad o el

impacto del riesgo.
Reducir el riesgo: Se adoptan medidas para reducir la probabilidad o el impacto

del riesgo, o ambos; por lo general conlleva a la implementación de controles.
Evitar el riesgo: Se abandonan las actividades que dan lugar al riesgo,

decidiendo no iniciar o no continuar con la actividad que causa el riesgo.
Compartir el riesgo: Se reduce la probabilidad o el impacto del riesgo,

transfiriendo o compartiendo una parte del riesgo.
Los dos principales métodos de compartir o transferir parte del riesgo son por
ejemplo: seguros y tercerización. Estos mecanismos de transferencia de riesgos
deberían estar formalizados a través de un acuerdo contractual.
Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág 41
RESTRINGIDO
CONTROLES
Medida que modifica al riesgo (Procesos, políticas, dispositivos, prácticas u otras
Controles: acciones).
Son las acciones establecidas a través

de políticas y procedimientos que
contribuyen a garantizar que se lleven a
Qué son cabo las instrucciones de la dirección
para mitigar los riesgo que inciden en el
actividades de cumplimiento de los objetivos.
control?:
La actividad de control debe por si
sola mitigar o tratar la causa del
riesgo y ejecutarse como parte del día
a día de las operaciones.
Actividades de control documentadas en:
POLÍTICAS PROCEDIMIENTOS
Las políticas establecen las líneas generales Los procedimientos son los que llevan dichas
del control interno. políticas a la práctica.
RESTRINGIDO
CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL

CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL:
CONTROLES PREVENTIVOS:
Controles que están diseñados para evitar un evento no deseado en el momento en que
se produce. Este tipo de controles intentan evitar la ocurrencia de los riesgos que
puedan afectar el cumplimiento de los objetivos.
CONTROLES DETECTIVOS:
Controles que están diseñados para identificar un evento o resultado no previsto

después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se tomen las acciones
correspondientes.
NOTA 1: Se deben seleccionar actividades de control preventivas y detectivas que por

sí solas ayuden a la mitigación de las causas que originan los riesgos.
NOTA 2: El evento no deseado esta identificado en las causas que originan el

riesgo.
RESTRINGIDO
CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL

CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL:
CONTROLES PREVENTIVOS:
Controles que están diseñados para evitar un evento no deseado en el momento en que
se produce. Este tipo de controles intentan evitar la ocurrencia de los riesgos que
puedan afectar el cumplimiento de los objetivos.
CONTROLES DETECTIVOS:
Controles que están diseñados para identificar un evento o resultado no previsto

después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se tomen las acciones
correspondientes.
NOTA 1: Se deben seleccionar actividades de control preventivas y detectivas que por

sí solas ayuden a la mitigación de las causas que originan los riesgos.
NOTA 2: El evento no deseado esta identificado en las causas que originan el

riesgo.
RESTRINGIDO
ANÁLISIS PRELIMINAR (RIESGO INHERENTE)

Análisis preliminar
Al momento de definir las actividades de control por parte de los lideres

de los procesos y su equipo de trabajo, es importante considerar estén
bien diseñados, es decir, que mitigan las causas que hacen que el riesgo
se materialice.
Riesgo antes de controles: Se identifican los riesgos inherentes

o subyacentes que pueden afectar el cumplimiento de los
objetivos estratégicos y de proceso.
Causas o fallas: Se identifican las causas o fallas que pueden

dar origen a la materialización del riesgo.
Controles: Para cada causa se identifica el control o controles.
Riesgos después de controles: Evaluar si los controles están

bien diseñados para mitigar el riesgo y si estos se ejecutan
como fueron diseñados.
RESTRINGIDO
DISEÑO DE LOS CONTROLES

Diseño de Controles
Al momento de definir si un control o los controles mitigan de manera

adecuada el riesgo, se debe considerar desde la redacción del mismo, las
siguientes variables:
PASO 1
Debe tener definido el responsable de realizar la actividad de
control.
PASO 2 Debe tener una periodicidad definida para su ejecución.
PASO 3 Debe indicar cuál es el propósito del control.
PASO 4 Debe establecer el cómo se realiza la actividad de control.
PASO 5
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
PASO 6 Debe dejar evidencia de la ejecución del control.
RESTRINGIDO
PESO O PARTICIPACIÓN DE CADA VARIABLE EN EL

DISEÑO DEL CONTROL PARA LA MITIGACIÓN DEL
RIESGO
Opción de respuesta al criterio de Peso en la evaluación del
Criterio de evaluación.
evaluación diseño del control
Asignado 15
1.1 Asignación del responsable
No Asignado 0
1.2 Segregación y Autoridad del Adecuado 15

Responsable. Inadecuado 0
Oportuna 15
2. Periodicidad
Inoportuna 0
Prevenir 15
3. Propósito
Detectar 10
4. Como se realiza la actividad Confiable 15

de control. No confiable 0
5. Que pasa con las Se investigan y resuelven oportunamente 15

observaciones o No se investigan y resuelven
desviaciones 0
oportunamente
Completa 10
6. Evidencia de la ejecución del
Incompleta 5
control.
No existe 0
RESTRINGIDO
NIVEL DE RIESGO (RIESGO RESIDUAL)

Desplazamiento del riesgo Inherente para calcular el Riesgo Residual: Dado que ningún
riesgo con una medida de tratamiento se evita o se elimina, el desplazamiento de un
riesgo inherente en su probabilidad o impacto para el calculo del riesgo residual, se
realizará de acuerdo a la siguiente tabla:
Resultados de los posibles desplazamientos de la probabilidad

y del impacto de los riesgos.
Controles ayudan a # Columnas en la matriz de # Columnas en la matriz de
Solidez del conjunto Controles ayudan a
disminuirla riesgo que se desplaza en el riesgo que se desplaza en
de los controles. disminuir Impacto
probabilidad eje de la Probabilidad el eje de Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente NoDisminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente NoDisminuye 1 0
Moderado No disminuye Directamente 0 1
Nota: Si la solidez del conjunto de los controles es Débil, este no disminuirá ningún cuadrante del impacto o
probabilidad asociado al riesgo.
RESTRINGIDO
ACCIONES Y SEGUIMIENTO RIESGOS

ACCIONES:
En esta parte de la metodología se definen las acciones que se van a tomar para mitigar el
riesgo, así:
Actividades concretas, de acuerdo con las opciones de manejo, para prevenir la ocurrencia
del riesgo identificado. (deben ser medibles y orientarse en un horizonte definido en
el tiempo).
NOTA 1: En caso que el control en su evaluación del diseño de

FUERTE, se deberá colocar el control redactado como acción (Inicia
verbo infinitivo) para realizar el seguimiento.
NOTA 2: Si el control en la evaluación del diseño da DÉBIL ó

MODERADO, se deberá documentar más acciones para fortalecer el
control.
RESTRINGIDO
5. MONITOREO Y REVISIÓN
RESTRINGIDO
COMUNICACIÓN Y CONSULTA
Procesos continuos y reiterativos que una organización lleva a cabo para

suministrar, compartir u obtener información e involucrarse en un
diálogo con las partes involucradas con respecto a la gestión del riesgo.
Este análisis debe garantizar que se tienen en cuenta las necesidades de
los usuarios o ciudadanos.
Comunicación y consulta
Elaborar y difundir documentos para la administración de riesgos.
Informes periódicos del seguimiento de los riesgos.
Informe final administración de riesgos.
Los Departamentos establecen los riesgos que van a ser estandarizados

a los procesos de las Unidades
Los Departamentos que estandarizan riesgos a las Unidades, serán los

directamente responsables del seguimiento y si se materializa,
documentarán solicitud de acción correctiva de acuerdo al
procedimiento de mejora continua.
RESTRINGIDO
MONITOREO Y REVISIÓN
Monitoreo y Revisión
La entidad debe asegurar el logro de los objetivos, anticipándose a los eventos

negativos relacionados con la gestión de la entidad.
Teniendo en cuenta las líneas de defensa se define como un modelo de control

que establece los roles y responsabilidades de todos los actores del riesgo y
control en una entidad, proporcionando aseguramiento de la gestión y
previniendo la materialización de los riesgos en todos los ámbitos.
Monitoreo: Esta a cargo de los lideres de los procesos y sus equipos quienes
deben revisar periódicamente la administración de riesgos y si es el caso
ajustarlo, informando a CEDE5 mediante documento.
Administración de Riesgos - seguimiento: Permite llevar un control a los

resultados obtenidos en cada periodo de tiempo evaluado de acuerdo al
cumplimiento de las acciones y porcentaje de avance del proceso dado en la
suite visión empresarial modulo gestión del riesgo.
RESTRINGIDO
ACLARACIONES
A tener en cuenta.
En cada uno de los riesgos identificados, se debe tener presente que los
indicadores que van a medir la gestión son los del Informe de Gestión Plan de
Acción.
Cuando un riesgo es materializado se deberá informar al Departamento

mediante oficio y enviar el plan de mejoramiento, quien será el responsable de
validarlo y aprobarlo e informar al Departamento de Planeación (CEDE5).
Por cada riesgo se deben identificar mínimo tres (03) controles y estar
redactados de acuerdo al diseño de controles.
Los análisis de riesgos se continúan elaborando trimestralmente y final:

Los Departamentos consolidan la información de su proceso de las Unidades
Operativas Mayores y elaboran un informe, teniendo en cuenta la eficacia de
las acciones en la suite visión empresarial modulo gestión del riesgo.
El responsable de Control Interno o quien haga sus veces en las Unidades
Operativas Mayores consolida la información de los procesos y de acuerdo a su
seguimiento elabora el análisis de riesgos de la Unidad Operativa Mayor.
RESTRINGIDO
Reporte de riesgos por clase

Agrupar por: Toda la organización
Proceso:
Consolidado organizacional
Cantida
Clase de riesgo %
d
Riesgo Estratégico 20 13,16 %
Riesgo Financiero 7 4,61 %
Riesgo Operativo 4 2,63 %
Riesgo de Apoyo 62 40,79 %
Riesgo de Corrupción 40 26,32 %
Riesgo de Cumplimiento 2 1,32 %
Riesgo de Evaluación 7 4,61 %
Riesgo de Imagen o
5 3,29 %
Reputacional
Riesgo de Seguridad de
3 1,97 %
la Información
Riesgo de Tecnología 2 1,32 %
Total 152 100,00 %
Suite VISIÓN EMPRESARIAL®

Versión 8.0.4-5-20190315.
Copyright ©1995 - 2019.
Pensemos S.A.
Todos los derechos reservados.
RESTRINGIDO

Metodología Administración de Riesgos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Metodología Administración de Riesgos

Cargado por

Copyright:

Formatos disponibles

DEPARTAMENTO DE PLANEACIÓN EJÉRCITO (CEDE5)

DIRECCIÓN GESTIÓN DE CALIDAD

VERSIÓN 1.0 FECHA 05 01 2019 RESTRINGIDO

4. Metodología Adm. Riesgos.

• OBJETIVOS ADMINISTRACIÓN DE RIESGOS

Dar a conocer la actualización en la metodología de Administración de

Difundir los diferentes conceptos que se emplean en la metodología de

Orientar al personal en la construcción de la administración de riesgos.

Divulgar al personal los cambios en administración de riesgos de acuerdo al

Ley 87 de 1993. Artículo 2 Objetivos del Control

Guía para la Administración del Riesgo de

Decreto 1499 del 2017 Modelo Integrado de

Manual Operativo MIPG 2017. Dimensión 7. Control

CONCEPTOS BÁSICOS RELACIONADOS CON EL RIESGO

Riesgo de Seguridad Digital: Combinación de amenazas

Riesgo Inherente: Es aquel al que se enfrenta una

Activo: Es el contexto de seguridad digital con

Consecuencia: Los efectos o situaciones resultantes de la

PROCESO ADMINISTRACIÓN DE RIESGOS

Comunicación y consulta 2. Identificación del Riesgo

4. Valoración del Riesgo

5. Tratamiento del Riesgo

Políticas de administración del Riesgo

Fuente: NTC-ISO 31000 “Gestión del Riesgo, Principios y Directrices”, Pág. 3

COMPROMISOS DEL SIG

Se determinan las características o aspectos esenciales del entorno en el cual opera

Contexto Externo Contexto Interno

Medio Ambientales Estratégicos

Comunicación Ext Comunicación Int.

Se establece los tipos de riesgo que se va a manejar por proceso, así:

Apoyo: Son aquellos eventos que requieren de acciones

Corrupción: Posibilidad de que por acción u omisión, se use el

Cumplimiento: Posibilidad de ocurrencia de eventos que

Estratégico: Posibilidad de ocurrencia de eventos que afecten

Evaluación: Incluyen aquellos procesos necesarios para medir y

Financiero: Posibilidad de ocurrencia de eventos que afecten

Operativos: Posibilidad de ocurrencia de eventos que afecten

Imagen o Reputacional: Posibilidad de ocurrencia de un evento

Tecnológico: Posibilidad de ocurrencia de eventos que afecten

Seguridad de la Información: Posibilidad de que por una

IDENTIFICACIÓN DEL RIESGO

El objetivo de esta fase de la administración de riesgos es generar una

Identificación del proceso: Determinar cuál es el proceso al

Objetivo del proceso: Tener presente el objetivo de acuerdo a

Identificar los riesgos: Se identifica el riesgo que podría

Determinar los efectos o consecuencias: Consecuencias que

IDENTIFICACIÓN DEL RIESGO

El riesgo de corrupción debe estar descrito de manera clara y precisa. Su

Uso del poder

Desviación de la gestión de lo público

ANÁLISIS DEL RIESGO

En esta etapa se busca el desarrollo y la comprensión del riesgo, tomando como

Probabilidad: Posibilidad de ocurrencia del riesgo.

Impacto: Las consecuencias que puede ocasionar a la

El evento puede ocurrir solo en No se ha presentado en

Se espera que el evento ocurra

Si el hecho llegara a presentarse, tendría

Fuente: Guía para la Administración del Riesgos DAFP. Pág. 28.

EVALUACIÓN IMPACTO RIESGO DE CORRUPCIÓN

CALIFICACIÓN DE RIESGO DE CORRUPCIÓN IMPACTO

EVALUACIÓN DEL RIESGO

Permite comparar los resultados de su calificación en

TRATAMIENTO DEL RIESGO

Aceptar el riesgo: No se adopta ninguna medida que afecte la probabilidad o el