1

Esta presentación es propiedad intelectual controlada y producida por la Presidencia de la República.

Gestión del Riesgo
(Articulado Riesgos de Corrupción y de
seguridad digital)
Junio de 2019

Esta presentación es propiedad intelectual controlada y producida por Función Pública

Función Pública

Contenido
01. Alineación con el MIPG y Plan
Anticorrupción y de Atención al
Ciudadano

02. Metodología Propuesta (Riesgos Gestión,

Corrupción y Seguridad Digital)

03. Rol de las líneas de defensa dentro de la

gestión del riesgo

Esta presentación es propiedad intelectual controlada y producida por Función Pública

 Alineación con el MIPG y
01. Plan Anticorrupción y de
Atención al Ciudadano

Esta presentación es propiedad intelectual controlada y producida por Función Pública

Articulación MIPG – Gestión del Riesgo

- FUNCIÓN PÚBLICA -
A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo, se definen los
siguientes aspectos:
 Factores de Riesgo Principales (Análisis Interno y Externo) atendiendo el diagnóstico de capacidades y entornos.
 Planeación Estratégica de la entidad.
 Tabla de Impactos principales por cada uno de los 5 niveles (Acorde con la estrategia y los procesos críticos)
 Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción, estrategias para trámites, rendición
de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información), que pueden facilitar la construcción de acciones
para el mapa de riesgos de corrupción.
Articulación MIPG – Gestión del Riesgo

- FUNCIÓN PÚBLICA -
A partir de la dimensión de “Gestión con Valores para el Resultado” se definen los siguientes aspectos:
 Estructura de Procesos, Procedimientos, Políticas, entre otras herramientas.
 Instrumentos y herramientas relacionadas con las Tecnologías de la Información y las Comunicaciones para la mejora
de los procesos.
Articulación MIPG – Gestión del Riesgo

Esquema de las Líneas de Defensa

Primera línea
de defensa

- FUNCIÓN PÚBLICA -
Componentes: Segunda línea
Línea de defensa
1. Ambiente de control Estratégica
2. Evaluación del riesgo
3. Actividades de control
4. Información y comunicación Tercera línea
de defensa
5. Actividades de monitoreo

A partir de la dimensión de “Control Interno” se definen los siguientes aspectos:

 Esquema de las líneas de Defensa para la definición de los roles y responsabilidades de la gestión del riesgo y
control.
 A través de los componentes del MECI evaluar la efectividad de la estructura de control (diseño y ejecución de
los controles).
 Metodología (Riesgos
02. Gestión, Corrupción y
Seguridad Digital)

Esta presentación es propiedad intelectual controlada y producida por Función Pública

- FUNCIÓN PÚBLICA -
 Antes de Iniciar con la Metodología
Aspectos Esenciales Habilitantes para la incorporación de la Metodología

Insumos Dimensión Insumos Dimensión Gestión con

Direccionamiento Estratégico y Insumos Dimensión Control Interno
Planeación Valores para el Resultado

- FUNCIÓN PÚBLICA -
Estructura de Procesos,  Aprobación Política de
Análisis de Capacidades y Procedimientos, Políticas, entre otras Administración del
Entornos. herramientas. Riesgo.
Caracterización de los grupos de valor  Esquema Líneas de
y sus necesidades Defensa
Instrumentos y herramientas
Priorización de esas necesidades y su relacionadas con las Tecnologías de la
despliegue en las características de los Información y las Comunicaciones para
productos y servicios la mejora de los procesos.

 Planeación Estratégica y su
despliegue hacia los procesos.
 Plan Anticorrupción y de Atención al
ciudadano.
 Política de Administración del Riesgo
 Definiciones Básicas
Riesgo de Corrupción:

Posibilidad de que por acción u

Corrupción omisión, se use el poder para
desviar la gestión de lo público
hacia un beneficio privado.  
- NOMBRE DE LA SECCIÓN -

Gestión del Riesgo

Riesgo de Seguridad Digital:
Combinación de amenazas y
vulnerabilidades en el entorno
Seguridad Digital
digital. Incluye aspectos del
ambiente físico, digital y las
personas.
- FUNCIÓN PÚBLICA -
Activo:
En el contexto de seguridad digital son
elementos tales como aplicaciones de la
organización, servicios web, redes,
Hardware, información física o digital,
recurso humano, entre otros, que utiliza
la organización para funcionar en el
entorno digital

Estratégicos, Riesgo: Riesgo Inherente:. Riesgo Residual:

operativos, financieros, Posibilidad de que suceda Es aquel al que se Nivel de riesgo
de cumplimiento, algún evento que tendrá un enfrenta una entidad en que permanece
impacto sobre el cumplimiento ausencia de acciones de luego de tomar
imagen o reputacional,
de los objetivos. Se expresa en la dirección para medidas de
entre otros
términos de probabilidad y modificar su probabilidad tratamiento del
consecuencias. o impacto. riesgo.
 Definiciones Básicas

Gestión del Riesgo

La gestión de riesgos no es estática. Se integra en el desarrollo de la estrategia, la formulación
de los objetivos de la entidad y la implementación de esos objetivos a través de la toma de
decisiones cotidiana.

- FUNCIÓN PÚBLICA -
Proceso efectuado por la Alta Dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
Paso 1: Política Institucional de
Riesgos
Declaración de la Dirección y las intenciones generales de una organización con respecto a la
gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo establece
lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.

¿Qué debe contener?

¿Quién la establece?
La debe establecer la Alta Dirección en cabeza
del Representante Legal en el marco del
Objetivo: Alineada con los obj institucionales
Alcance: Aplicable a todos los procesos
Niveles de aceptación del Riesgo: Decisión
Frente a los Riesgos de Corrupción
Los riesgos de corrupción no admiten
aceptación del riesgo.

Comité Institucional de Coordinación de Control
Interno
- FUNCIÓN PÚBLICA -
informada de tomar un riesgo particular.
Metodología (Periodicidad,Tabla Impacto, Factores Definir procesos susceptibles de posibles
de Riesgo), entre otros. actos de corrupción.
Tiempo para la revisión de los controles
modificados y los nuevos

Frente a los Riesgos de Seguridad Digital Frente a otros Sistemas de Gestión o

Incorporar Anexo 4 “Lineamientos para la
gestión del riesgo de seguridad digital.
Requerimientos
Seguridad y Salud en el Trabajo, Ambiental u otros
Incorporar lineamientos generales para su manejo en
los procesos que correspondan.
 Paso 2: Identificación
del Riesgo – Análisis de Objetivos

Tanto de orden estratégico como de los procesos.

- FUNCIÓN PÚBLICA -
Análisis de Objetivos Estratégicos Análisis de Objetivos de Proceso

La entidad debe analizar los objetivos
estratégicos e identificar los posibles riesgos que
afectan su cumplimiento y que puedan
ocasionar su éxito o fracaso.
Es necesario revisar que los objetivos
estratégicos se encuentren alineados con la
Misión y la Visión Institucional, así como,
analizar su adecuada Formulación
(características SMART)
Los objetivos de proceso deben ser
analizados con base en las características
mínimas explicadas en el punto anterior,
pero además, se debe revisar que los
mismos estén alineados con la Misión y la
Visión, es decir, asegurar que los objetivos
de proceso contribuyan a los objetivos
estratégicos.
 TALLER 1.

Verifique el nombre Verifique el objetivo Redacte nuevamente

del proceso del proceso el objetivo

- FUNCIÓN PÚBLICA -
• Debe ser claro y por • Tenga en cuenta • De forma clara y
si solo debe dar que sea: sencilla que sea
cuenta de lo que se • Específicos entendible para
hace en el • Medibles todos
• Alcanzable
• Realistas
Paso 2: Identificación
del Riesgo – Análisis de Objetivos

La entidad debe analizar los objetivos estratégicos y revisar que se encuentren alineados con la
Misión y la Visión Institucional, así como, analizar su adecuada formulación, es decir, que
contengan las siguientes características mínimas:

- FUNCIÓN PÚBLICA -
Tomado de: https://www.questionpro.com/
Paso 2: Identificación
del Riesgo – Análisis de Objetivos

Tener en cuenta para los Objetivos

Establecer

Un objetivo es un
enunciado que
expresa una acción
por lo tanto debe
iniciarse con un
verbo fuerte
- FUNCIÓN PÚBLICA -
Identificar
Los objetivos deben
ser: Específicos,
Recopilar Medibles,
alcanzable, realistas
y se deben evitar
Investigar frases subjetivas
Buscar

Registrar
Paso 2: Identificación
del Riesgo
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus
causas y sus consecuencias.
Establecimiento del Contexto
Definición de los parámetros internos y
externos que se han de tomar en
consideración para la administración del
riesgo (NTCISO31000, Numeral 2.9).
Se debe establecer el contexto tanto interno
como externo de la entidad, además del
contexto del proceso y sus activos de
seguridad digital.
- FUNCIÓN PÚBLICA -
Identificación del Riesgo
Se determinan las causas fuentes del
riesgo y los eventos con base en el análisis
de contexto para la entidad y del proceso,
que pueden afectar el logro de los
objetivos.
Es importante centrarse en los riesgos más
significativos para la entidad, relacionados
con los objetivos de los procesos.
Paso 2: Identificación
del Riesgo
Tabla ilustrativa 1 - Factores para cada categoría del contexto

- FUNCIÓN PÚBLICA -
Paso 2: Identificación
del Riesgo

Identificar la afectación del cumplimiento del Frente a los Objetivos Estratégicos:

1 Qué puede  La posibilidad de que la estrategia y los objetivos
suceder? objetivo estratégico o del proceso según sea no se alineen con la misión, la visión y los valores
el caso. básicos.
 Los tipos y la cantidad de riesgo que la
Cómo puede organización potencialmente se expone por la
2 Suceder?
Establecer las causas a partir de los factores elección de una estrategia particular.

- FUNCIÓN PÚBLICA -
determinados en el contexto
Cuándo puede
3 suceder?
Determinar de acuerdo al desarrollo del proceso

Qué
4 consecuencias Determinar los posibles efectos por la
tendría su materialización del riesgo
materialización?

Evitar iniciar con palabras negativas como: “No…” “Que no…”, o Pregúntese si el riesgo identificado esta relacionado
con palabras que denoten un factor de riesgo (causa) tales como: directamente con las características del objetivo. Si la
“ausencia de”, “falta de”, “Poco(a)”,“ Escaso(a)”,“Insuficiente”, respuesta es “no” este puede ser la causa o la
“Deficiente”, “Debilidades en consecuencia.
TALLER 2.
Responda las siguientes preguntas frente a su objetivo?

Qué puede
1 suceder? 2 Cómo puede
Suceder?

- FUNCIÓN PÚBLICA -
Qué
3
Cuándo puede 4 consecuencias
suceder?
tendría su
materialización?
Paso 2: Identificación
del Riesgo

Para los riesgos de seguridad digital se requiere como requisito básico la identificación de los
Activos.

1 Pérdida de la confidencialidad

- FUNCIÓN PÚBLICA -
2 Pérdida de la integridad

3 Pérdida de la disponibilidad

Anexo 4 “Lineamientos para la

gestión del riesgo de seguridad
digital en entidades públicas”
encontrarán:
 Tabla 5. Tabla de amenazas
comunes
 Tabla 6. Tabla de amenazas
dirigida por el hombre
 Tabla 7. Tabla de
Vulnerabilidades Comunes
Paso 2: Identificación
del Riesgo

Para los riesgos relacionados con posibles actos de corrupción tomar en cuenta la matriz para la
definición del riesgo de corrupción.

- FUNCIÓN PÚBLICA -
 Los riesgos de corrupción se establecen sobre procesos. El riesgo debe
estar descrito de manera clara y precisa. Su redacción no debe dar lugar
a ambigüedades o confusiones con la causa generadora de los mismos.
 Con el fin de facilitar la identificación de riesgos de corrupción y de evitar
que se presenten confusiones entre un riesgo de gestión y uno de
corrupción, se sugiere la utilización de la Matriz de definición de riesgo
de corrupción, que incorpora cada uno de los componentes de su
definición.

Si en la descripción del riesgo, las casillas son contestadas

todas afirmativamente, se trata de un riesgo de corrupción.
 Taller
Causas y Riesgos

Determine con respecto a los siguientes procesos si el enunciado corresponde a Riesgo, Causa o Consecuencia

PROCESOS ENUNCIADO Marque aquí

- FUNCIÓN PÚBLICA -
GESTIÓN HUMANA Planeación Inadecuada CAUSA
GESTIÓN FINANCIERA Emitir Estados financieros que no reflejen la realidad de la entidad RIESGO
GESTIÓN CONTRACTUAL Pérdida de recursos de la Entidad CONSECUENCIA
PLANEACIÓN INSTITUCIONAL Generación de lineamientos que no contribuye al logro del objetivo institucional RIESGO
Inadecuado funcionamiento de la plataforma tecnológica donde se realiza el seguimiento a la
PLANEACIÓN INSTITUCIONAL CAUSA
planeación
ATENCIÓN AL USUARIO Orientación técnica incompleta (sin fondo) RIESGO
GESTIÓN FINANCIERA Errores en los soportes de pago a proveedores CAUSA
Contratar los bienes, servicios u obras requeridos sin las especificaciones técnicas y de calidad
GESTIÓN CONTRACTUAL RIESGO
necesarias
GESTIÓN HUMANA Errores en la liquidación de nómina, seguridad social y/o parafiscal. RIESGO
ATENCIÓN AL USUARIO No contar con digiturno CAUSA
Paso 2: Identificación
del Riesgo - Causas
La identificación del riesgo se lleva a cabo determinando las
causas con base en el contexto interno, externo y del proceso

p
que pueden afectar el logro de los objetivos.
Políticos: Este apartado se refiere entre otras a políticas gubernamentales,
período gubernamental, elecciones, situación política de la región.

E Económicos: Aquí se puede destacar la inflación, el desempleo, nivel de

endeudamiento, entre otros.

- FUNCIÓN PÚBLICA -
(D) DEBILIDADES
negativos internos)
(factores (O) OPORTUNIDADES (factores
positivos externos)
S Sociales: Abarca aspectos demográficos, población
desplazados, factores étnicos y religiosos, entre otros.
vulnerable,

T
MATRIZ DOFA Tecnológicos: Cubre la tecnología en la industria, la agricultura, los servicios
Identificación de factores y las Tics, adicional las tendencias tecnológicas asociadas con las políticas
de Estado, entre otros.
(F) FORTALEZAS (factores (A) AMENAZAS (factores negativos
positivos internos) externos)

E
Ecológicos: Uso de combustibles fósiles y su influencia en el cambio
climático, la contaminación del aire, suelo, tierra, agua, residuos, reciclaje,
energías renovables, entre otros.

L
Legales: Legislación cambiante, legislación sobre empleo, licencias,
propiedad industrial, entre otros.
Paso 2: Identificación
del Riesgo - Causas Una vez realizado el análisis de Defina porqué se genera el
Contexto riesgo?
CONTEXTO ESTRATÉGICO
PROCESO: GESTIÓN CONTRACTUAL
OBJETIVO: Adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su
continua operación.
FACTORES FACTORES
CAUSAS CAUSAS
EXTERNOS INTERNOS

- FUNCIÓN PÚBLICA -
Nuevas regulaciones y
Carencia de controles en el
Normatividad requerimientos en materia Procedimientos
procedimiento de contratación
contractual.

Insuficiente capacitación del

personal de contratos frente a
Talento humano
cambios en la regulación
contractual.

Normograma -Información desactualizada

Inadecuadas políticas de
Políticas
operación
Paso 2: Identificación
del Riesgo
Análisis de Causas
Nro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom
Los objetivos estratégicos y de proceso se desarrollan a través
de actividades, pero no todas tienen la misma importancia, por 1 Insuficiente capacitación del 10 8 9 7 10 9 53 8,8
tanto se debe establecer cuáles de ellas contribuyen personal de contratos.
mayormente al logro de los objetivos y estas son las actividades
críticas o factores claves de éxito; estos factores se deben tener 2 Fallas en la radicación de 1 6 2 6 5 6 26 4,3

en cuenta al identificar las causas que originan la propuestas

materialización de los riesgos. 3 Mala atención a los 5 3 1 5 4 3 21 3,5

- FUNCIÓN PÚBLICA -
proveedores
4 Inadecuadas políticas de 7 9 7 8 7 10 48 8,0
Priorización de Causas operación
5 Desconocimiento de la 6 4 3 1 2 1 17 2,8
CRITERIOS DE PRIORIZACIÓN normatividad contractual
• En esta matriz se deben incluir todas las debilidades y
6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2
amenazas identificadas en el establecimiento del
contexto 7 Desconocimiento de los 8 7 10 9 8 7 49 8,2
• Cada integrante priorizará en orden de importancia de cambios en la regulación
menor a mayor las causas utilizando una escala donde 1 contractual
es la de menor importancia y «N» la de mayor 8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8
importancia dependiendo del número de causas.
9 Carencia de controles en el 9 10 8 10 9 8 54 9,0
• Un integrante del grupo debe organizar en la tabla las procedimiento de contratación
calificaciones y calcular el promedio aritmético de cada
causa, siendo las de mayor promedio las causas raíz. 10 Normograma desactualizado 4 2 6 3 3 5 23 3,8
Paso 2: Identificación
del Riesgo Ejemplo
Proceso Contratación:
Objetivo “Adquirir con oportunidad y calidad técnica los bienes y
servicios requeridos por la entidad para su continua operación”

RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS

La combinación de factores como, Operativo Carencia de controles en el 1. Demoras en los procesos
idad en la adquisición de los bienes y servicios requeridos por la

insuficientes capacitación del personal de procedimiento de contratación 2. incumplimiento en la entrega de

contratos, cambios en la regulación   bienes y servicios a los grupos de
contractual, inadecuadas políticas de valor
operación y Carencia de controles en el 3. Demandas y demás acciones
procedimiento de contratación pueden Insuficiente capacitación del personal jurídicas
ocasionar la Inoportunidad en la adquisición de de contratos. 4. Detrimento de la imagen de la
los bienes y servicios requeridos por la entidad ante sus grupos de valor
Desconocimiento de los cambios en la
entidad, repercutiendo en la continuidad de la 5. Investigaciones disciplinarias
regulación contractual
operación de la entidad.
 

Inadecuadas políticas de operación

 
Paso 3: valoración del riesgo

Permite establecer la probabilidad de ocurrencia del riesgo y el nivel de

consecuencias o impacto, con el fin de estimar la zona de riesgo inicial (RIESGO
INHERENTE).

Criterios parar calificar la probabilidad

Análisis de la Probabilidad
Nivel Descriptor Descripción Frecuencia
Se analiza qué tan posible es que ocurra el riesgo, se expresa en 5 Casi seguro Se espera que el evento ocurra en la Mas de 1 vez al año.
mayoría de las circunstancias
términos de frecuencia o factibilidad, donde frecuencia implica
4 Probable Es viable que el evento ocurra en la Al menos 1 vez en el
analizar el número de eventos en un periodo determinado, se trata de mayoría de las circunstancias último año.

hechos que se han materializado o se cuenta con un historial de 3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
situaciones o eventos asociados al riesgo, y factibilidad implica
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
analizar la presencia de factores internos y externos que pueden últimos 5 años.

propiciar el riesgo, se trata en este caso de un hecho que no se ha 1 Rara vez El evento puede ocurrir solo en No se ha presentado en
circunstancias excepcionales (poco los últimos 5 años.
comunes o anormales)
presentado pero es posible que suceda.

Importante
El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la
disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de
no contar con datos históricos, se trabajará de acuerdo con la experiencia de los
funcionarios que desarrollan el proceso y de sus factores internos y externos.
(Revisar matriz de análisis de priorización de probabilidad).
Paso 3: valoración del riesgo
Criterios para calificar el Impacto – Riesgos de Gestión
Nivel Impacto (consecuencias) Cuantitativo
- Impacto que afecte la ejecución presupuestal en un valor ≥50%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.
CATASTRÓFICO
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥50%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥20%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥20%
MAYOR
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥5%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
MODERADO
de la entidad en un valor ≥5%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥1%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
MENOR
de la entidad en un valor ≥1%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%
INSIGNIFICANTE
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥0,5%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
Impacto (consecuencias) Cualitativo
- Interrupción de las operaciones de la Entidad por más de cinco (5) días.
- Intervención por parte de un ente de control u otro ente regulador.
- Pérdida de Información crítica para la entidad que no se puede recuperar.
- Incumplimiento en las metas y objetivos institucionales afectando de forma grave la
ejecución presupuestal.
- Imagen institucional afectada en el orden nacional o regional por actos o hechos de
corrupción comprobados.
- Interrupción de las operaciones de la Entidad por más de dos (2) días.
- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
- FUNCIÓN PÚBLICA -
- Sanción por parte del ente de control u otro ente regulador.
- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las
metas de gobierno.
- Imagen institucional afectada en el orden nacional o regional por incumplimientos en la
prestación del servicio a los usuarios o ciudadanos.
- Interrupción de las operaciones de la Entidad por un (1) día.
- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes
reguladores o una demanda de largo alcance para la entidad.
- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.
- Reproceso de actividades y aumento de carga operativa.
- Imagen institucional afectada en el orden nacional o regional por retrasos en la
prestación del servicio a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
- Interrupción de las operaciones de la Entidad por algunas horas.
- Reclamaciones o quejas de los usuarios que implican investigaciones internas
disciplinarias.
- Imagen institucional afectada localmente por retrasos en la prestación del servicio a los
usuarios o ciudadanos.
- No hay interrupción de las operaciones de la entidad.
- No se generan sanciones económicas o administrativas.
- No se afecta la imagen institucional de forma significativa.
Paso 3: valoración del riesgo
Para los riesgos de seguridad digital los criterios para calificar el impacto son:

CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL

VALOR DEL
NIVEL
IMPACTO Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

Afectación ≥X% de la población Sin afectación de la integridad

INSIGNIFICANTE 1 Afectación ≥X% del presupuesto anual de la entidad Sin afectación de la disponibilidad
No hay Afectación medioambiental Sin afectación de la confidencialidad
Afectación ≥X% de la población
Afectación leve de la integridad

- FUNCIÓN PÚBLICA -
Afectación ≥X% del presupuesto anual de la entidad
MENOR 2 Afectación leve de la disponibilidad
Afectación leve del Medio Ambiente requiere de ≥X días de
Afectación leve de la confidencialidad
recuperación
Afectación moderada de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación ≥X% de la población
Afectación moderada de la disponibilidad de la información
Afectación ≥X% del presupuesto anual de la entidad
MODERADO 3 debido al interés particular de los empleados y terceros
Afectación leve del Medio Ambiente requiere de ≥X
Afectación moderada de la confidencialidad de la
semanas de recuperación
información debido al interés particular de los empleados y
terceros
Afectación grave de la integridad de la información debido al
Afectación ≥X% de la población
interés particular de los empleados y terceros
Afectación ≥X% del presupuesto anual de la entidad
Afectación grave de la disponibilidad de la información
MAYOR 4 Afectación importante del Medio Ambiente que requiere de
debido al interés particular de los empleados y terceros
≥X meses de recuperación
Afectación grave de la confidencialidad de la información
 
debido al interés particular de los empleados y terceros
Afectación muy grave de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación ≥X% de la población
Afectación muy grave de la disponibilidad de la información
CATASTRÓFICO 5 Afectación ≥X% del presupuesto anual de la entidad
debido al interés particular de los empleados y terceros
Afectación muy grave del Medio Ambiente que requiere de
Afectación muy grave confidencialidad de la información
≥X años de recuperación
debido al interés particular de los empleados y terceros

FUENTE: Ministerio de Tecnologías de la Información y las Comunicaciones

 Nro PREGUNTA: Respuest
Valoración del riesgo – Análisis Si el riesgo de corrupción se materializa podría... a
de Riesgo SI NO

Para los riesgos de corrupción los

Criterios para calificar el Impacto – Riesgos de Corrupción

1 ¿Afectar al grupo de funcionarios del proceso? X
criterios para calificar el impacto
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X
son:
3 ¿Afectar el cumplimiento de misión de la Entidad? X
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? X
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X
6 ¿Generar pérdida de recursos económicos? X
7 ¿Afectar la generación de los productos o la prestación de servicios? X

- FUNCIÓN PÚBLICA -
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida X
del bien o servicios o los recursos públicos?
9 ¿Generar pérdida de información de la Entidad? X
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X
11 ¿Dar lugar a procesos sancionatorios? X
12 ¿Dar lugar a procesos disciplinarios? X
13 ¿Dar lugar a procesos fiscales? X
Nivel de
14 ¿Dar lugar a procesos penales? Impacto X
15 ¿Generar pérdida de credibilidad del sector? MAYOR X
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X
17 ¿Afectar la imagen regional? X
Importante 18 ¿Afectar la imagen nacional? X
Se debe diligenciar una tabla de estas por 19 ¿Genera daño ambiental X
cada riesgo de corrupción identificado. Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado.
10
Los niveles de impacto Insignificante y Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.
Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.
Menor no aplica para riesgos de
MODERADO Genera medianas consecuencias sobre la entidad
corrupción.
MAYOR Genera altas consecuencias sobre la entidad.
Paso 3: valoración del riesgo

Análisis del Impacto Mapa de calor (Riesgo inherente)

El impacto se debe analizar y calificar a partir de las consecuencias identificadas

en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el
impacto fue identificado como mayor por cuanto genera interrupción de las
operaciones.

Mapa de Calor
Se toma la calificación de probabilidad (resultante de la tabla Matriz de
priorización de probabilidad), en el ejemplo: probable y la calificación de impacto,
para nuestro ejemplo: mayor; ubique la calificación de probabilidad en la fila y la
de impacto en la columnas correspondientes, establezca el punto de cruce de
las dos y este punto corresponderá al nivel de riesgo, que para el ejemplo es
nivel extremo – color rojo R1así el riesgo inherente..
determinando
Paso 3: valoración del riesgo

Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente)

Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en

cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos
riesgos siempre serán significativos; en este orden de ideas, no aplican los
niveles de impacto insignificante y menor, que si aplican para los demás
riesgos.
Aplica para
De acuerdo a la tabla de criterios para calificar el impacto de la página anterior,
los riesgos
nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los
de
riesgos de corrupción se califica con los mismos cinco niveles de los demás
corrupción
riesgos .
Por ultimo ubique en el mapa de calor el punto de cruce resultante de la
probabilidad y el impacto para establecer el nivel del riego inherente, para el
ejemplo corresponde a: EXTREMO R1

Importante
Aunque se utilice el mismo mapa de calor , para los riesgos de gestión y de
corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,
Mayor y Catastrófico.
Tratamiento del riesgo
Es la respuesta establecida por la Primer Línea de Defensa para la mitigación de
los diferentes riesgos. Ningún riesgo de corrupción podrá ser aceptado.

Aceptar el Riesgo Reducir el Riesgo

No se adopta ninguna Se adoptan medidas para

reducir la probabilidad o el

- FUNCIÓN PÚBLICA -
medida que afecte la
probabilidad o el impacto impacto del riesgo, o ambos;
del riesgo. por lo general conlleva a la
implementación de controles.
OPCIONES DE
TRATAMIENTO

Evitar el Riesgo Compartir el Riesgo

Se abandonan las actividades Se reduce la probabilidad o el
que dan lugar al riesgo, impacto del riesgo,
decidiendo no iniciar o no transfiriendo o compartiendo
continuar con la actividad que una parte del riesgo.
causa el riesgo.
 Aceptar el Riesgo

Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto
debería aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.

RIESGO MEDIDA DE TRATAMIENTO RIESGO

ANTES DE DESPUES DE
MEDIDAS DE MEDIDA DE
TRATAMIENTO TRATAMIENTO

- FUNCIÓN PÚBLICA -
ACEPTAR
 
No se adopta ninguna medida que afecte la
probabilidad o el impacto del riesgo.

La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también
pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el
riesgo. En ambos escenarios debe existir un seguimiento continuo del riesgo.
 Evitar el Riesgo

Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la
cancelación de una actividad o conjunto de actividades.

RIESGO MEDIDA DE TRATAMIENTO

ANTES DE
MEDIDA DE
TRATAMIENTO

- FUNCIÓN PÚBLICA -
EVITAR
 
Se abandonan las actividades que dan lugar al riesgo,
decidiendo no iniciar o no continuar con la actividad
que causa el riesgo.

NO HAY RIESGOS
DESPUES DE
MEDIDA DE
TRATAMIENTO

Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos
arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo
tanto hay situaciones donde no es una opción.
 Compartir el Riesgo

Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser
compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del
riesgo.
RIESGO MEDIDA DE TRATAMIENTO
ANTES DE
MEDIDA DE
TRATAMIENTO

- FUNCIÓN PÚBLICA -
COMPARTIR RIESGO
  DESPUES DE
Se reduce la probabilidad o el impacto del riesgo, MEDIDA DE
transfiriendo o compartiendo una parte del riesgo. TRATAMIENTO

Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y
tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un
acuerdo contractual.
 Reducir el Riesgo

El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como
algo aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.

RIESGO MEDIDA DE TRATAMIENTO

ANTES DE
MEDIDA DE
TRATAMIENTO

- FUNCIÓN PÚBLICA -
REDUCIR
 
Se adoptan medidas para reducir la probabilidad o el
impacto del riesgo, o ambos; esto conlleva a la
implementación de controles. RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO

Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo
que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.
 Taller 3
Valoración del Riesgo – Evaluación Controles

- FUNCIÓN PÚBLICA -
Paso 3: Valoración del riesgo – Tratamiento del
Riesgo

Son las acciones establecidas a través de políticas y procedimientos que

¿Qué son las Actividades de contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección
Control? para mitigar los riesgos que inciden en el cumplimiento de los objetivos.

- FUNCIÓN PÚBLICA -
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN

Políticas Procedimientos

Una política por si sola Los controles se despliegan a

no es un control. través de los procedimientos
documentados.

La actividad de control debe por si sola mitigar o tratar

la causa del riesgo y ejecutarse como parte del día a
día de las operaciones.
Tratamiento del riesgo – Rol 1ª Línea de
Defensa

CLASIFICACIÓN DE LAS
ACTIVIDADES DE CONTROL

- FUNCIÓN PÚBLICA -
CONTROLES PREVENTIVOS CONTROLES DETECTIVOS

Controles que están diseñados para identificar un evento o

Este tipo de controles intentan evitar la ocurrencia de los riesgos resultado no previsto después de que se haya producido.
que puedan afectar el cumplimiento de los objetivos. Buscan detectar la situación no deseada para que se corrija y se
tomen las acciones correspondientes.

Revisión al cumplimiento de los requisitos Realizar una conciliación bancaria, para verificar
contractuales, en el proceso de selección del EJEMPLO que los saldos en libros corresponden con los
contratista o proveedor. saldos en Bancos.
Diseño de Controles PASO
Debe tener definido el responsable de realizar la actividad de
control.
1

PASO
Debe tener una periodicidad definida para su ejecución.
2

- FUNCIÓN PÚBLICA -
PASO
VARIABLES A EVALUAR Debe indicar cuál es el propósito del control.
PARA EL ADECUADO 3

DISEÑO DE PASO
CONTROLES Debe establecer el cómo se realiza la actividad de control.
4

PASO
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
5

PASO
Debe dejar evidencia de la ejecución del control.
6
PASO
Debe tener definido el responsable de realizar la actividad de
control.
1

- FUNCIÓN PÚBLICA -
Cuando un control se hace de manera manual (ejecutado por Cuando el control lo hace un sistema o una aplicación de manera
personas) es importante establecer el cargo responsable de su automática a través de un sistema programado, es importante

realización. establecer como responsable de ejecutar el control, el sistema o

aplicación.

 El Profesional de Contratación
 El Auxiliar de Cartera.
 El Coordinador de Operaciones.
 La Coordinadora de Nomina.
 El aplicativo de nomina.
EJEMPLO  El aplicativo de contratación.
 El aplicativo de activos fijos
PASO
Debe tener una periodicidad definida para su ejecución.
2

El control debe tener una periodicidad especifica para su ejecución (diario, mensual,
trimestral, anual) .

- FUNCIÓN PÚBLICA -
Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si
con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo

 El Profesional de Contratación cada vez que se va a

realizar un contrato con un proveedor de servicios.
 El Auxiliar de Cartera mensualmente.
 El Coordinador de Operaciones diariamente
 La Coordinadora de Nomina quincenalmente

EJEMPLO
PASO
Debe indicar cuál es el propósito del control.
3

Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,
detectar)

 El profesional de Contratación cada vez que se va a

- FUNCIÓN PÚBLICA -
realizar un contrato verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación.

PASO
Debe establecer el cómo se realiza la actividad de control.
4

Cómo se realiza el control? permite evaluar si la fuente u origen de la información que

sirve para ejecutar el control, es confiable para la mitigación del riesgo.

 El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.
PASO
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
5

Si como resultado de un control preventivo se observan diferencias o aspectos que no se

cumplen, la actividad no debería continuarse hasta que se subsane la situación.

Si es un control que detecta una posible materialización de un riesgo, debería gestionarse

- FUNCIÓN PÚBLICA -
de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u
observaciones.

 El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación.

Si el responsable de ejecutar el control no realiza ninguna

actividad de seguimiento a las observaciones o desviaciones,
o la actividad continúa a pesar de indicar esas observaciones o
desviaciones, el control tendría problemas de diseño.
PASO
Debe dejar evidencia de la ejecución del control.
6

Esta evidencia ayuda a que se pueda revisar la misma información por parte de un
tercero y llegue a la misma conclusión de quien ejecutó el control.

Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros
establecidos en el diseño.

- FUNCIÓN PÚBLICA -
 El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo diligenciada
con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique.
Paso 3: Valoración del riesgo – Diseño de Controles

Evaluación de los controles

para la mitigación de los
riesgos.

- FUNCIÓN PÚBLICA -
DISEÑO EJECUCIÓN

Que cumpla con los 6 aspectos El control se ejecuta como fue diseñado y
explicados de manera consistente.

Para la adecuada mitigación de los riesgos, no basta con que

un control este bien diseñado, el control debe ejecutarse por
parte de los responsables tal como se diseño. Por que un
control que no se ejecute, o un control que se ejecute y este
mal diseñado, no va a contribuir a la mitigación del riesgo
Análisis y Evaluación de los Controles para
la Mitigación de los Riesgos

Criterio de Evaluación Aspecto a Evaluar en el Diseño del Control Opción de Respuesta

¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado
1. Responsable ¿El responsable tiene la autoridad y adecuada segregación de
Adecuado Inadecuado
funciones en la ejecución del control?

- FUNCIÓN PÚBLICA -
¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación
2. Periodicidad Oportuna Inoportuna
del riesgo o a detectar la materialización del riesgo de manera oportuna?
¿Las actividades que se desarrollan en el control realmente buscan por si
Prevenir
3. Propósito sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo No es un control
Detectar
Verificar, Validar Cotejar, Comparar, Revisar (…)?
4. Cómo se realiza la actividad de ¿La fuente de información que se utiliza en el desarrollo del control es
Confiable No confiable
control información confiable que permita mitigar el riesgo.
No se investigan ni
¿Las observaciones , desviaciones o diferencias identificadas como Se investigan y
5. Qué pasa con las observaciones o se resuelven
resultados de la ejecución del control son investigadas y resueltas de manera resuelven
desviaciones oportunamente
oportuna? oportunamente

¿Se deja evidencia o rastro de la ejecución del control, que permita a

6. Evidencia de Ejecución del Control Completa Incompleta
cualquier tercero con la evidencia, llegar a la misma conclusión?
 Tabla de Valoración Controles (Diseño y Ejecución)
Peso en la Evaluación del Diseño
Criterio de Evaluación Opción de Respuesta al Criterio de Evaluación
Diseño del control
Rango
1. Asignación del Asignado 15 Opción de Respuesta al Criterio de
Calificación del
Responsable Evaluación
No asignado 0 Diseño

2. Segregación y Adecuado 15 Fuerte Calificación entre 95 y 100

autoridad del responsable Inadecuado 0 Moderado Calificación entre 86 y 94
Oportuna 15 Calificación entre 0 y 85
2. Periodicidad Débil

- FUNCIÓN PÚBLICA -
Inoportuna 0
Prevenir 15
3. Propósito Detectar 10
No es un control 0
Ejecución
4. Cómo se realiza la Confiable 15
actividad de control Rango
No Confiable 0 Opción de Respuesta al Criterio de
Calificación de la
Evaluación
5. Qué pasa con las Se investigan y resuelven oportunamente 15 Ejecución
observaciones o
desviaciones No se investigan ni resuelven oportunamente 0 El control se ejecuta de manera
Fuerte consistente por parte del
Completa 10 responsable
6. Evidencia de Ejecución El control se ejecuta algunas veces
Incompleta 5 Moderado
del Control por parte del responsable
No Existe 0 El control no se ejecuta por parte del
Débil
responsable
 Diseño
EJEMPLO Criterio de Evaluación
Opción de Respuesta al Criterio de
Evaluación
Peso en la Evaluación
del Diseño del control
Asignado (Califica 15) 15 
1. Asignación del Responsable
No asignado (Califica 0)  
Adecuado (Califica 15) 15 
2. Segregación y autoridad del
responsable Inadecuado (Califica 0)  
El profesional de Contratación cada vez que se va a 2. Periodicidad
Oportuna (Califica 15) 15 
realizar un contrato, verifica que la información Inoportuna (Califica 0)  
Prevenir (Califica 15) 15 
suministrada por el proveedor corresponda con los Detectar (Califica 10)  
3. Propósito
requisitos establecidos de contratación, a través de No es un control (Califica 0)  

- FUNCIÓN PÚBLICA -
una lista de chequeo donde están los requisitos de
4. Cómo se realiza la actividad de Confiable (Califica 15) 15 
información y la revisión con la información física control No Confiable (Califica 0)  
suministrada por el proveedor. En caso de encontrar
Se investigan y resuelven oportunamente 15 
información faltante, requiere al proveedor a través de 5. Qué pasa con las observaciones o (Califica 15)
correo para el suministro de la información y poder desviaciones No se investigan ni resuelven
 
continuar con el proceso de contratación. Como oportunamente (Califica 0)
evidencia deja Lista de Chequeo diligenciada con la Completa (Califica 10) 10 
información de la carpeta del cliente, y correos 6. Evidencia de Ejecución del Control Incompleta (Califica 5)  
No Existe (Califica 0)  
solicitando la información faltante en los casos que TOTAL  
aplique. Evaluación Final del Control   100
 

Tipo Control: Preventivo Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación
Directamente ataca probabilidad de Fuerte Calificación entre 96 y 100
ocurrencia del riesgo e indirectamente Moderado Calificación entre 86 y 95
ataca el impacto Débil Calificación entre 0 y 85
EJEMPLO

Ejecución
El profesional de Contratación cada vez que se va a
Rango Calificación de la
realizar un contrato, verifica que la información Ejecución
Opción de Respuesta al Criterio de Evaluación
suministrada por el proveedor corresponda con los El control se ejecuta de manera consistente por
requisitos establecidos de contratación, a través de Fuerte
parte del responsable

- FUNCIÓN PÚBLICA -
una lista de chequeo donde están los requisitos de El control se ejecuta algunas veces por parte del
Moderado
información y la revisión con la información física responsable
suministrada por el proveedor. En caso de encontrar Débil El control no se ejecuta por parte del responsable
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con la
información de la carpeta del cliente, y correos
solicitando la información faltante en los casos que
aplique.
 Solidez del Control Integralmente (Diseño y Ejecución)
Peso del diseño individual El Control se ejecuta de manera
o promedio de los consistente por los responsables.
Controles. (DISEÑO) (EJECUCION)
Fuerte (Siempre se ejecuta)
Fuerte Moderado ( Algunas veces)
Calificación Entre 96 y 100 Débil (No se ejecuta)
Fuerte (Siempre se ejecuta)
Moderado Moderado (Algunas veces)
Calificación Entre 86 y 95
Débil (No se ejecuta)
Fuerte (Siempre se ejecuta)
Débil
Entre 0 y 85 Moderado (Algunas veces)
Débil (No se ejecuta)
Solidez individual de cada control Aplica acciones para
Fuerte:100 Moderado:50 fortalecer el Control
Debil:0 Si / NO
Fuerte + Fuerte = Fuerte NO
Fuerte + Moderado = Moderado SI
- FUNCIÓN PÚBLICA -
Fuerte + Débil = Débil SI
Moderado + Fuerte = Moderado SI
Moderado + Moderado = Moderado SI
Moderado + Débil = Débil SI
Débil + Fuerte = Débil SI
Débil + Moderado = Débil SI
Débil + Débil = Débil SI
EJEMPLO
Solidez del Control Integralmente (Diseño y Ejecución)
Peso del diseño
Solidez individual de cada
individual o El Control se ejecuta de manera
control Fuerte:100
El profesional de Contratación cada vez que se va a promedio de los consistente por los responsables.
Moderado:50
Controles. (EJECUCION)
realizar un contrato, verifica que la información Debil:0
(DISEÑO)
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte

- FUNCIÓN PÚBLICA -
 
una lista de chequeo donde están los requisitos de Moderado ( Algunas veces)
Fuerte Fuerte + Moderado =
información y la revisión con la información física Calificación Entre Moderado
suministrada por el proveedor. En caso de encontrar 95 y 100 Débil (No se ejecuta) Fuerte + Débil = Débil
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder Fuerte (Siempre se ejecuta) Moderado + Fuerte =
continuar con el proceso de contratación. Como Moderado
evidencia deja Lista de Chequeo diligenciada con la Moderado
Calificación Entre Moderado (Algunas veces) Moderado + Moderado =
información de la carpeta del cliente, y correos
86 y 94 Moderado
solicitando la información faltante en los casos que
Débil (No se ejecuta) Moderado + Débil = Débil
aplique.
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil
Débil
Entre 0 y 85 Moderado (Algunas veces) Débil + Moderado = Débil
Débil (No se ejecuta) Débil + Débil = Débil
Solidez del Control Integralmente (Diseño y Ejecución)

Solidez Individual Solidez del

Diseño del Ejecución del Control Conjunto de
Riesgos Causas o Fallas Controles
Control del Control Controles
Control 1 Fuerte Fuerte Fuerte (100) ¿Como
Causa 1 evaluamos la
Control 2 Fuerte Moderado Moderado (50)
Riesgo 1 solidez del
conjunto de los

- FUNCIÓN PÚBLICA -
Causa 2 Control 3 Débil Fuerte Débil (0) controles?

Calificación de la Solidez del Conjunto de Controles

El promedio de la solidez individual de cada control al
Fuerte
sumarlos y ponderarlos es igual a 100.
El promedio de la solidez individual de cada control al
Moderado
sumarlos y ponderarlos la calificación está entre 50 y 99
El promedio de la solidez individual de cada control al
Débil
sumarlos y ponderarlos la calificación es menor a 50.
 Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
# Columnas en la # Columnas en la matriz
Solidez del Controles ayudan a
Controles ayudan a matriz de riesgo que se de riesgo que se
conjunto de los disminuir la
disminuir Impacto desplaza en el eje de desplaza en el eje de
controles. probabilidad
la Probabilidad Impacto
Fuerte Directamente Directamente 2 2
Riesgos de
Fuerte Directamente Indirectamente 2 1 corrupción
Fuerte Directamente No Disminuye 2 0

- FUNCIÓN PÚBLICA -
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Riesgos de
Moderado No disminuye Directamente 0 1 corrupción

Si la solidez del conjunto de los controles es Débil, este no

disminuirá ningún cuadrante de impacto o probabilidad
asociado al riesgo.
 Tipo Control: Preventivo
EJEMPLO Directamente ataca probabilidad de
ocurrencia del riesgo e indirectamente
ataca el impacto

Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual

# Columnas en la # Columnas en la matriz
Solidez del Controles ayudan a
Controles ayudan a matriz de riesgo que se de riesgo que se
conjunto de los disminuir la

- FUNCIÓN PÚBLICA -
disminuir Impacto desplaza en el eje de desplaza en el eje de
controles. probabilidad
la Probabilidad Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
 Resultados del Mapa de Riesgo Residual.
Una vez realizado el análisis y evaluación de los controles para la mitigación de los
riesgos, procedemos a la elaboración del mapa de riesgo residual (después de los
controles ).

Riesgo 1 – Inoportunidad en la adquisición de los

bienes y servicios requeridos por la entidad.
Con una calificación de riesgo inherente de probabilidad

- FUNCIÓN PÚBLICA -
e impacto como se muestra en la siguiente gráfica:

Control - Fuerte (bien diseñados y que siempre se

ejecutan), disminuyen de manera directa la probabilidad
e indirectamente el Impacto.
En nuestro ejemplo disminuiría dos cuadrantes de
probabilidad, pasa de probable a improbable y un
cuadrante de impacto, pasa de mayor a moderado.
Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)

Formato Mapa y Plan de Tratamiento de Riesgos.

Nro Riesgo Clasifi Causas Probabilida Impact Riesgo Opción Actividad de Control Soporte Responsable Tiempo
cación d o Residu Manejo
al
1 Carencia de controles en Reducir Procedimiento e instrumentos de Lista de Profesional de Siempre
contratación (lista de chequeo) Chequeo Contratación que se
el procedimiento de
Inoportunidad en la adquisición de los bienes y servicios requeridos por la entidad

diligenciad realice un
contratación Para cada contrato, verifica que la a con la contrato
información suministrada por el informació
  proveedor corresponda con los n de la

- FUNCIÓN PÚBLICA -
requisitos establecidos de carpeta
contratación, a través de una lista de del cliente,
chequeo donde están los requisitos y correos
de información y la revisión con la solicitando
información física suministrada por el la
proveedor informació
n faltante

Improbable
en los

Moderado
Moderado
Operativo

casos que
aplique

Inadecuadas políticas de
operación

 
03. Rol de las líneas de defensa
dentro de la gestión del riesgo

Esta presentación es propiedad intelectual controlada y producida por Función Pública

 Monitoreo y Revisión – Rol de las Líneas de
Defensa.

El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través
de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:

LÍNEA ESTRATÉGICA
A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno
Este nivel analiza los riesgos y amenazas institucionales al cumplimiento de los planes estratégicos, tendrá la responsabilidad de definir
el marco general para la gestión del riesgo (política de administración del riesgo) y garantiza el cumplimiento de los planes de la entidad.

1ª. Línea de Defensa
• Media y Alta Gerencia: Jefes de planeación o
• Controles de Gerencia Operativa
(Líderes de proceso y sus equipos).
• La gestión operacional se encarga del
mantenimiento efectivo de controles
internos, ejecutar procedimientos de
• independiente sobre la eficacia de
riesgo y el control sobre una base del día
a día. La gestión operacional identifica,
evalúa, controla y mitiga los riesgos.
- FUNCIÓN PÚBLICA -
2ª. Línea de Defensa 3ª. Línea de Defensa
• A cargo de la Oficina de Control Interno,
quienes hagan sus veces, coordinadores de
Auditoría Interna o quién haga sus veces
equipos de trabajo, comités de riesgos (donde
existan), comité de contratación, áreas
• La función de la auditoría interna, a través
financieras, de TIC, entre otros que generen
de un enfoque basado en el riesgo,
información para el Aseguramiento de la
proporcionará aseguramiento objetivo e
operación.
Asegura que los controles y procesos de
gobierno, gestión de riesgos y control
gestión del riesgo de la 1ª Línea de Defensa
interno a la alta dirección de la entidad,
sean apropiados y funcionen correctamente,
incluidas las maneras en que funciona la
supervisan la implementación de prácticas de
primera y segunda línea de defensa.
gestión de riesgo eficaces.
Línea Estratégica
Formular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar los niveles de la aceptación o tolerancia al riesgo.
Generar lineamientos y dar a conocer cambios en el entorno (interno y externo) que puedan afectar el logro de los objetivos.
Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base para llevar a cabo la identificación de los
riesgos.
1a Línea de defensa
Conforme a lo establecido en la política de
administración del riesgo Identificar y dar
tratamiento a los riesgos que afectan los objetivos
operacionales de su proceso; definir y diseñar los
controles a los riesgos; elaborar, hacer seguimiento
y actualizar el mapa de riesgos de su proceso.
Oficinas de Planeación o quienes hacen sus
veces:
Definir mecanismos que permitan dar a conocer y
profundizar en los servidores la política de
riesgos, su metodología y correcta aplicación.
Asesorar a los líderes de los procesos y sus
equipos en la identificación de riesgos a los
procesos, acorde con la política de riesgos
establecida.
Trabajar de forma coordinada con la OCI de la
entidad para la incorporación de mejoras a la
gestión del riesgo en la entidad.
2a Línea de defensa
Oficinas de Planeación o quienes hacen sus veces:
Monitorear el seguimiento a los riesgos institucionales y generar
reportes que permitan incorporar mejoras, tanto a los riesgos
identificados como a los controles aplicados.
Elaborar informes consolidados acorde con los estándares de
reporte definidos por la Alta Dirección en los temas clave
establecidos, con especial énfasis la gestión del riesgo y su
impacto frente al logro de los objetivos.
Monitorear los riesgos definidos como aceptables en la Política
de Riesgos Institucional y generar las alertas al Comité
Institucional de Coordinación de Control Interno sobre posibles
cambios en los factores de riesgo analizados.
Líderes de Proceso
Generar reportes a la Oficina Asesora de Planeación, así como
a la OCI en relación con materializaciones de riesgo, a fin de
tomar las acciones correspondientes.
Informar oportunamente a la Oficina Asesora de Planeación
sobre cambios en los factores internos o externos que afecten la
identificación de riesgos del proceso.
3a Línea de defensa
Oficinas de CI o quienes hagan sus veces
Realizar evaluación independiente al
cumplimiento y efectividad de la Política de
Administración del Riesgo, los mecanismos de
- FUNCIÓN PÚBLICA -
evaluación del riesgo y la efectividad de los
controles, en cumplimiento de su rol “Evaluación
de la Gestión del Riesgo”.
Alertar sobre la probabilidad de riesgo de fraude
o corrupción en las áreas auditadas
Evaluar la efectividad y la aplicación de
controles, planes de contingencia y actividades
de monitoreo vinculadas a los cambios que
pueden afectar el Sistema de Control Interno
para el cumplimiento de los objetivos.
¡Gracias!

Carrera 6 No 12-62, Bogotá D.C., Colombia

 7395656 Fax: 7395657
 Línea gratuita de atención al usuario: 018000 917770
 www.funcionpublica.gov.co
 eva@funcionpublica.gov.co