Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 

GLOSARIO

Para efectos de la comprensión de los diferentes aspectos que se plasman en el

presenta Manual, se establece el significado de las palabras y expresiones empleadas
en el texto:

Aceptación del Riesgo 1 : Decisión de asumir un riesgo.

Activo: Cualquier cosa que tiene valor para una organización.

Análisis Cualitativo 2 : Utiliza palabras para describir la magnitud de las

consecuencias potenciales y la posibilidad de que ocurran tales consecuencias. Estas
escalas se pueden adaptar o ajustar para satisfacer las circunstancias y se pueden
usar diferentes descripciones para los diferentes riesgos.

Análisis Cuantitativo3: Utiliza valores numéricos (a diferencia de las escalas

descriptivas usadas en los análisis cualitativo y semi-cuantitativo) tanto para las
consecuencias como para la posibilidad, empleando datos provenientes de una
variedad de fuentes. La calidad de los análisis depende de la exactitud y cabalidad de
los valores numéricos y de la validez de los modelos empleados.

Análisis Semi-cuantitativo4: En éste tipo de análisis las escalas cualitativas se dan

en valores. El objetivo es producir una escala de clasificación más amplia que la que
se obtiene usualmente en el análisis cualitativo, sin sugerir valores realistas para
riesgos, como se pretende en el análisis cuantitativo.

Área de impacto: Es todo recurso, bien u oportunidad al cual la organización le ha

asignado un valor y su afectación podría comprometer el cumplimiento de sus
objetivos y metas, por tal motivo debe ser protegida o maximizada.

                                                            
1
 Guía ISO/IEC 73:2002 
2
Norma Técnica Colombiana NTC 5254, numeral 3.4.4. Tipos de Análisis.

3 Ibidem.

4 .Ibidem

Página 2 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
Declaración de Aplicabilidad: Documento que describe los objetos de control y los
controles pertinentes y aplicables en el Subsistema de Gestión del Riesgo.

Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de

tiempo determinado.

Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo
operacional a las entidades. Los eventos de riesgo operacional se clasifican en:

1. Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse

indebidamente de activos de la entidad o incumplir normas o leyes, en los que está
implicado, al menos, un empleado o administrador de la entidad.

2. Fraude Externo: Actos, realizados por una persona externa a la entidad, que
buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir
normas o leyes.

3. Relaciones laborales: Actos que son incompatibles con la legislación laboral,

con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la
materia.

4. Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los

clientes y que impiden satisfacer una obligación profesional frente a éstos.

5. Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos

físicos de la entidad.

6. Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.

7. Ejecución y administración de procesos: Pérdidas derivadas de errores en la

ejecución y administración de los procesos.

Facilitador(a) SIG: Funcionario o contratista de la Dirección de Planeación y Sistemas

de Información – Grupo del Sistema Integrado de Gestión, quien brinda asesoría,
apoyo y acompañamiento en la construcción de los elementos del Sistema Integrado
de Gestión de la Secretaria Distrital de Gobierno, a los líderes de procesos.

Factor de riesgo: Toda característica proveniente del contexto cuya presencia o

comportamiento incide en una mayor o menor probabilidad de materialización de una
o varias causas asociadas a uno o varios riesgos.

Fuente de Riesgo: Corresponde a las fuentes generadoras de eventos en las que se

originan las pérdidas por riesgo operacional. Son fuentes de riesgo el recurso humano,
los procesos, la tecnología, la infraestructura y los acontecimientos externos.

Página 3 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
Fuentes de Riesgo Internas

1. Recurso Humano: Es el conjunto de personas vinculadas directa o

indirectamente con la ejecución de los procesos de la entidad. Se entiende por
vinculación directa, aquella basada en un contrato de trabajo en los términos de la
legislación vigente.

La vinculación indirecta hace referencia a aquellas personas que tienen con la

entidad una relación jurídica de prestación de servicios diferente a aquella que se
origina en un contrato de trabajo.

2. Procesos: Es el conjunto interrelacionado de actividades para la transformación

de elementos de entrada en productos o servicios, para satisfacer una necesidad.

3. Tecnología de Información: Es el conjunto de herramientas empleadas para

soportar los procesos de la entidad. Incluye: hardware, software y
telecomunicaciones.

4. Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de

una organización. Entre otros se incluyen: edificios, espacios de trabajo,
almacenamiento y transporte.

Fuentes de Riesgo Externas: Son eventos asociados a la fuerza de la naturaleza u

ocasionados por terceros, que escapan en cuanto a su causa y origen al control de la
entidad.

Líder del Proceso: Dueño o responsable del Proceso.

Matriz de Riesgos: Documento por cada proceso, en el cual se identifican, evalúan y

valoran los riesgos y sus respectivos controles.

Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo

operacional, así como los gastos derivados de su atención.

Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve

expuesta una entidad.

Riesgo: Probabilidad de ocurrencia de eventos negativos, tanto internos como

externos a la Entidad, que pueden afectar o impedir el logro de sus objetivos
institucionales o el cumplimiento de su función.

Riesgos Inaceptables: Riesgos residuales con “exposición muy alta” de acuerdo con
la escala de valoración acepta por la Entidad.

Página 4 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
Riesgo Inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles. También denominado Riesgo Absoluto.

Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser

sancionada u obligada a indemnizar daños como resultado del incumplimiento de
normas o regulaciones y obligaciones contractuales. El riesgo legal surge también
como consecuencia de fallas en los contratos y transacciones, derivadas de
actuaciones malintencionadas, negligencia o actos involuntarios que afectan la
formalización o ejecución de contratos o transacciones.

Riesgo Operacional (RO): Riesgo en todos los ámbitos de la gestión institucional,

incluyendo los riesgos que impactan directamente en el cumplimiento de la
misionalidad y aquellos que puedan afectar la gestión administrativa en el amplio
contexto del término, tales como riesgos: ambientales, ocupacionales, políticos,
jurídicos, riesgos en el gobierno de las tecnologías de información, el lavado de
activos y financiación del terrorismo , riesgos de fraude y corrupción, riesgos de
reputación, entre otros.

Riesgo Reputacional: Es la posibilidad de pérdida en que incurre una entidad por

desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución.

Riesgo Residual: Nivel resultante del riesgo después de aplicar los controles.
También se refiere al margen o residuo de riesgo que puede darse a pesar de las
medidas de tratamiento tomadas para la administración del riesgo.

Subsistema de Gestión de Riesgo: Subsistema del Sistema del Sistema Integrado

de Gestión (SIG) de la Secretaria Distrital de Gobierno, que tiene como fin gerenciar
el riesgo en todos los ámbitos de la gestión institucional.

Plan de Continuidad del Negocio: Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la
operación, en caso de interrupción.

Plan de Contingencia: Conjunto de acciones y recursos para responder a las fallas e

interrupciones específicas de un sistema o proceso.

Stakeholders: Son las personas y las organizaciones quienes pueden ser afectadas,
afectan o perciben que ellos mismos pueden ser afectados por una decisión o
actividad.

Página 5 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
1. SUBSISTEMA DE GESTIÓN DEL RIESGO

1.1. Definición de Riesgo para la Secretaria Distrital de Gobierno

La Secretaria Distrital de Gobierno entiende por riesgo la probabilidad de ocurrencia de

eventos negativos, tanto internos como externos a la Entidad, que puedan afectar
negativamente o impedir el logro de sus objetivos institucionales o el cumplimiento de su
función, la cual es “Formular, agenciar y evaluar las políticas públicas en materia de
derechos humanos, convivencia, seguridad, construcción de ciudadanía, asuntos políticos
y fortalecimiento a la Gestión Local”.

1.2. Subsistema de Gestión del Riesgo

La Secretaria Distrital de Gobierno reconoce el Subsistema de Gestión de Riesgo como

parte del Sistema Integrado de Gestión (SIG), que tiene como fin gerenciar el riesgo en
todos los ámbitos de la gestión institucional, incluyendo los riesgos que impactan
directamente en el cumplimiento de la misionalidad y aquellos que puedan afectar la
gestión administrativa en el amplio contexto del término, tales como riesgos ambientales,
ocupacionales, políticos, jurídicos, riesgos en el gobierno de las tecnologías de
información, el lavado de activos y financiación del terrorismo, riesgos de fraude y
corrupción, riesgos de reputación, entre otros. Los cuales conformaran los riesgos
operacionales de la entidad.

1.3. Objetivo del Subsistema de Gestión del Riesgo

El Subsistema de Gestión del Riesgo de la Secretaria Distrital de Gobierno tiene como

finalidad apoyar el cumplimiento de su función (Misión), sus objetivos, sus metas
estratégicas y operativas, fortalecer el Sistema Integrado de Gestión y mejorar de la
calidad de los servicios institucionales.

Página 6 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 

1.4. Integración del Subsistema de Gestión del Riesgo con el Sistema

Integrado de Gestión de la Secretaria Distrital de Gobierno

El Subsistema de Gestión del Riesgo hace parte de los sistemas de gestión que
conforman el Sistema Integrado de Gestión de la Secretaria Distrital de Gobierno. La
Gestión del Riesgo Empresarial o Enterprise Risk Mangement (ERM), está considerada a
nivel mundial como una mejor práctica, y es una actividad para la cual el modelo COSO
II considera que los riesgos organizacionales están interrelacionados, y que por ello, se
pueden obtener beneficios importantes si su gestión se aborda integralmente, y se enlaza
con actividades de aseguramiento como la Auditoría Interna. Con lo anterior se logra
racionalizar recursos e impactar positivamente la gestión de las organizaciones.

La Secretaria Distrital de Gobierno creó el Sistema de Integrado de Gestión (SIG) como

herramienta de gestión que tiene como finalidad alinear los sistemas de gestión de
manera conjunta, con la dirección estratégica de la entidad. El Sistema Integrado de
Gestión incorpora, desarrolla y complementa los requisitos del Sistema de Gestión de la
Calidad (NTCGP 1000:2009), , Sistema de Control Interno mediante la implementación y
fortalecimiento del Modelo Estándar de Control Interno (MECI 1000:2005), el Sistema de
Gestión del Riesgo (ISO 31000:2009), el Sistema de Gestión Ambiental (ISO
14001:2004), el Sistema de Seguridad y Salud Ocupacional (OHSAS 18001:2007), el
Sistema de Gestión de Seguridad de la Información (27001:2006), entre otros. Todos con
el fin de garantizar la eficiencia, eficacia, transparencia y efectividad en la gestión de la
Secretaria Distrital de Gobierno. Para efectos de armonización de esta integración los
anteriores sistemas de gestión, será denominados subsistemas del Sistema
Integrado de Gestión.

Con el Subsistema de Gestión del Riesgo, la Secretaria Distrital de Gobierno busca, como
su nombre lo indica, gestionar integralmente los riesgos de la Entidad, ordenada por el
Departamento Administrativo de la Función Pública, mediante los Decretos 1537 de 2001
y 1599 de 2005, la cual tiene sin lugar a dudas, énfasis de riesgo operacional.

En concordancia con lo anterior el desarrollo de todos los componentes del Subsistema

de Gestión del Riesgo bajo los lineamientos de la norma técnica ISO 31000:2009,
desarrolla y fortalece a los demás subsistemas de la siguiente manera:

Página 7 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
a. Modelo Estándar de Control Interno (MECI 1000:2005), desarrolla el Componente
de “Administración de Riesgos” del “Subsistema de Control Estratégico”. Ver
gráfica No.1

GRAFICA No. 1 – Modelo Estándar de Control Interno (MECI 1000:2005)

b. Sistema de Gestión de Calidad (NTCGP 1000:2009), desarrolla el Literal g) del

numeral 4.1. “Requisitos Generales”, numeral. 5.6.2 literal h, Información de
entrada para la revisión, num. 7.5.1 literal g, Control de la producción y de la
prestación del servicio.

Página 8 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
c. Sistema de Gestión Ambiental (NTC- ISO 14001:2004), apoya el desarrollo de los
numerales 4.3.1 “Aspectos Ambientales” y 4.4.7 “Preparación y Respuesta ante
Emergencias”.

d. Sistema de Gestión en Seguridad y Salud Ocupacional (NTC- OHSAS

18001:2007), apoya el desarrollo del numeral 4.3.1. “Identificación de peligros,
valoración de riesgos y determinación de controles”.

e. Sistema de Gestión de la Seguridad de la Información (NTC- ISO/IEC

27001:2006), apoya el desarrollo del numeral 4.2.1. “Establecimiento del SGSI”.

1.5. Exclusiones
 

Para el Subsistema de Gestión del Riesgo de la Entidad, riesgo se entiende desde el

contexto de amenaza o vulnerabilidad para la gestión de la Secretaria Distrital de
Gobierno, y no se asumirán las oportunidades como parte de la gestión del riesgo. Estas
últimas se integraran al subsistema, una vez esté presente avances en su modelo de
madurez, por lo que su revisión e incorporación está sujeta a una nueva versión del
presente manual.

1.6. Política de Gestión del Riesgo

 

“La Secretaria Distrital de Gobierno en el desarrollo de sus

actividades y en cumplimiento de sus fines misionales, está
expuesta a riesgos operacionales que pueden impactar
negativamente el logro de sus objetivos, perjudicar sus resultados
organizacionales, disminuir la calidad en la prestación de servicios
y afectar las relaciones con sus partes interesadas. Por lo tanto, se
compromete a gestionar de manera integral tales riesgos, a través
de la identificación, análisis, evaluación y tratamiento de los
mismos, llevándolos a niveles aceptables de severidad, mediante la
implementación del Subsistema de Gestión del Riesgo, enmarcado
en el Sistema Integrado de Gestión de la Entidad”.

Página 9 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
1.7. Alcance de la Gestión del Riesgo

La Gestión del Riesgo abarcará todos riesgos operacionales potenciales o materializados

que se identifiquen en los procesos incluidos en el Mapa de Procesos de la Secretaria
Distrital de Gobierno, los resultados obtenidos con la implementación de la Política de
Gestión del Riesgo se constituirán en uno de los varios insumos para la formulación de
acciones preventivas, de acciones correctivas y correcciones, cuyo objetivo finalmente, es
el mejoramiento del Sistema de Control Interno de la Entidad y por ende, propende por el
mejoramiento institucional.

Adicionalmente, cuando los riesgos se hayan materializado (Siniestrado), deberán

implementarse acciones correctivas o correcciones, definidas de acuerdo con la Norma
Técnica de Calidad NTCGP 1000:2009.

1.8. Estructura para la Gestión del Riesgo, Roles y Responsabilidades

 

Todos los servidores públicos de la Secretaria Distrital de Gobierno son responsables de

gestionar los riesgos operacionales en sus diferentes procesos y procedimientos, sin
embargo el liderazgo en el diseño y la implementación del Subsistema de Gestión del
Riesgo corresponde a la Dirección de Planeación y Sistemas de Información – Grupo del
Sistema Integrado de Gestión.

Será de obligatorio cumplimento para los servidores públicos de la Entidad participar en

las actividades relacionadas con la gestión del riesgo que se programen, y su actividad
será monitoreada por parte del Comité del Sistema Integrado de Gestión o Comité de
Coordinación de los Sistemas de Control Interno y Calidad.

Los roles y responsabilidades que se asumen en la Gestión del Riesgo, son las
siguientes:

Página 10 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 

1.9. Cultura en materia de Gestión del Riesgo

Es fundamental desarrollar al interior de la Secretaria Distrital de Gobierno la cultura en

materia de gestión del riesgo operacional, para esto la Alta Dirección debe definir y aplicar
estrategias que promuevan la participación de los servidores públicos y colaboradores de
la entidad en la identificación, análisis, evaluación, tratamiento y monitoreo de dichos
riesgos.

Página 11 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
1.10. Ciclo de la Gestión del Riesgos

La Gestión del Riesgo es un proceso dinámico, continuo y sistémico que se desarrollará

en cada uno de los procesos incluidos en el Mapa de Procesos de la Secretaria Distrital
de Gobierno, bajo el acompañamiento de la Dirección de Planeación y Sistemas de
Información en su rol de diseñador del subsistema y representante de la alta dirección, y
de la Oficina de Control Interno desempeñando el rol de asesor y evaluador independiente
de la organización.

El ciclo de la Gestión del Riesgo sigue los lineamientos de la norma internacional ISO
31000:2009, y representa un esquema de mejora continua relacionado con el ciclo PHVA
(Planear, Hacer, Verificar y Actuar), descrito de la siguiente manera:

GRAFICA No. 2 – Ciclo de Gestión del Riesgo

Los Planes de Tratamiento diseñados para mitigar el impacto y/o la probabilidad de los
riesgos, harán parte del Plan de Mejora de Sistema Integrado de Gestión de la Entidad.

Página 12 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
1.11. Desarrollo de las Etapas del Ciclo de Gestión del Riesgo

1.11.1. Establecimiento del Contexto

Antes de iniciar la implementación del Subsistema de Gestión del Riesgo, es fundamental

definir los parámetros básicos dentro de los cuales serán administrados los riesgos y el
alcance de la gestión del Riesgo. Así mismo, es necesario conocer la entidad, entender el
entorno donde opera, identificar sus objetivos y metas, y definir el modelo o el tipo de
estructura de la entidad en donde se va a realizar la gestión de riesgos.

De esta manera, ésta etapa comprende el establecimiento del contexto externo, del
contexto interno y del contexto específico.

a. Establecimiento del Contexto Externo

En primer lugar es necesario establecer el contexto de la entidad a nivel misional,

financiero, legal, político, operacional y tecnológico, identificando los factores de riesgo
externos que se pueden originar. Para esto es posible apoyarse en la revisión de:

• Los análisis estratégicos que se hayan adelantado en el proceso de formulación del

Marco Estratégico Institucional (MEI).

• Las oportunidades y amenazas identificadas para la entidad resultado del análisis

DOFA o similares.

• El marco regulatorio y legal que rige la entidad y la documentación externa en la cual

se establecen las directrices para el funcionamiento de la entidad.

En la Secretaria Distrital del Gobierno está información está disponible en sitio destinado
para el Sistema Integrado de Gestión de la Intranet.

También, dentro de ésta fase es necesario identificar los Stakeholders o partes

interesadas externas y la forma como éstas se relacionan con la entidad. Esta actividad
es importante, porque con ello se puede asegurar que las partes involucradas y sus
objetivos se tienen en cuenta cuando se desarrollan criterios para la gestión de riesgo y
que las amenazas y oportunidades generadas externamente se consideran de forma
adecuada.

Página 13 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
b. Establecimiento del Contexto Interno

De la misma manera, previo a la implementación del subsistema de gestión del riesgo es

necesario comprender el entorno interno de la entidad, y conocer los objetivos
estratégicos, las metas establecidas y las estrategias definidas para alcanzarlas. Este
paso es de gran importancia porque ayuda no sólo a priorizar los objetivos de la gerencia
de riesgos y alinearlos con los objetivos estratégicos, sino también a definir los criterios
para la gestión de riesgos con base en la revisión de los aspectos que no son aceptables
y la consideración de metas que al incumplirlas pueden generar un conjunto de riesgos
adicionales para la entidad.

Por esta razón, en ésta fase es importante conocer y tener claridad sobre los siguientes
aspectos del contexto interno de la entidad:

1. Las metas, objetivos y las estrategias establecidas para lograrlos.

2. El modelo o estructura de procesos de la entidad.

3. El ambiente de control interno.

4. La cultura organizacional.

5. La capacidad de la entidad en términos de recursos tales como personas, sistemas,

procesos.

Esta información está disponible igualmente en el sitio del Sistema Integrado de Gestión
de la intranet de la entidad.

c. Establecimiento del Contexto Específico

En esta fase se requiere definir a qué nivel o estructura de la organización se va adelantar

la gestión de riesgos, esto con el propósito de separar la organización en componentes
que proporcionen un marco lógico que facilite la identificación y el análisis de los riesgos,
y que tengan un alcance delimitado con lo cual se reduzca el riesgo de omitir algún
componente o duplicar riesgos en diferentes elementos o escenarios.

Existen diferentes estructuras que pueden ser apropiadas y necesarias en la Secretaria

Distrital de Gobierno para adelantar la gestión de riesgos, entre éstas las siguientes:

• Mapa de Procesos

• Grupos de Trabajo, áreas, dependencias o unidades de la estructura organizacional.

Página 14 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
• Activos y recursos.

Sin embargo, acorde con las políticas definidas en una primera etapa se concentran los
esfuerzos en diseñar e implementar un modelo de gestión de riesgos acorde con el
modelo de procesos establecido en el Sistema de Gestión de Calidad de la entidad. Antes
de iniciar la etapa de identificación de riesgos es necesario revisar los siguientes aspectos
para cada uno de los procesos, lo cual se apoyará en la información provista en la
caracterización de los procesos:

• Establecer sus objetivos y metas.

• Definir y delimitar claramente sus entradas y salidas.

• Definir la extensión de las actividades.

• Establecer la interrelación del proceso con otros procesos de la entidad.

• Establecer los recursos requeridos y los registros que deben ser guardados.

• Definir los roles y responsabilidades de los participantes en el proceso.

Esta información está disponible igualmente en el sitio del Sistema Integrados de

Gestión de la intranet de la entidad.

1.11.2. Identificación

Para realizar una adecuada gestión del riesgo operacional, es necesario partir de la
identificación exhaustiva de los diferentes eventos internos y externos que pueden afectar
o impedir el cumplimiento de los objetivos institucionales.

En esta fase, se debe realizar un proceso de conocimiento y exploración de los eventos

potenciales o materializados a los que se puede ver expuesta la Entidad en desarrollo de
sus funciones y actividades. En su estimación no deben tenerse en cuenta los controles
establecidos, razón por la cual son denominados Riesgos Inherentes o Absolutos.

De esta forma, se requiere generar para cada proceso una lista de eventos y sus fuentes
generadoras, realizar una descripción detallada de los mismos, y determinar las posibles
causas y efectos que conlleva su ocurrencia.

El último paso corresponde a la relación de las fuentes y eventos con las áreas de
impacto (consecuencias) identificadas como se ilustra en el gráfico No.3. Esta asociación

Página 15 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
permite establecer con mayor facilidad los posibles eventos que podrían ocurrir si analiza
la forma como la fuente de riesgo puede generar el impacto identificado. Esta metodología
a su vez procura que se omitan riesgos que pueden ser importantes en un proceso.

GRAFICA No. 3 Matriz de Identificación de Riesgos

La identificación de los riesgos se debe realizar a nivel de los procesos, pudiendo

relacionarse los riesgos con los procedimientos y actividades que los componen. De esta
manera, a través del análisis de procedimientos y actividades que se realizan en los
procesos se puede inferir más fácilmente los riesgos.

1.11.3. Análisis y Evaluación

En este aparte se determinarán los criterios de análisis y evaluación de los riesgos

operacionales, los cuales serán aplicados a los riesgos identificados en cada uno de los
procesos de la Entidad. Como resultado de este análisis, se generará una priorización de
los mismos, la cual servirá como insumo para los componentes de valoración y

Página 16 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
tratamiento. El análisis y evaluación del riesgo, consiste en calificar para cada riesgo
operacional identificado, el impacto y la probabilidad de ocurrencia, dentro de una
escala semi-cuantitativa de tres (3) niveles, definida de la siguiente manera:

TABLA No. 1 - Calificación del Impacto

Impacto Valor Descripción

Riesgo cuya materialización DAÑARÍA GRAVEMENTE en el
Catastrófica 20 desarrollo del proceso/procedimiento y el cumplimiento de
sus objetivos, impidiendo que este se LOGRE
Riesgo cuya materialización CAUSARÍA UN DETERIORO en
Moderada 10 el desarrollo del proceso/procedimiento, y DIFICULTANDO O
RETRASANDO el cumplimiento de sus objetivos
Riesgo cuya materialización PODRIA TENER UN PEQUEÑO
Leve O NULO EFECTO en el desarrollo del
5
proceso/procedimiento, y NO AFECTA el cumplimiento de
sus objetivos

TABLA No. 2 – Calificación de la Probabilidad

Probabilidad Valor Descripción

Alta 3 Riesgo cuya probabilidad de ocurrencia es ALTA, es decir, se
tiene entre un valor mayor al 70% y un 90% de seguridad que
el riesgo se presente

Media 2 Riesgo cuya probabilidad de ocurrencia es MEDIA, es decir, se

tiene entre un valor mayor al 31% y un 70% de seguridad que
el riesgo se presente

Baja 1 Riesgo cuya probabilidad de ocurrencia es BAJA, es decir, se

tiene entre un valor mayor al 10% y un 30% de seguridad que
el riesgo se presente

1.11.4. Valoración

Con base en la calificación consolidada de la probabilidad de ocurrencia y el impacto se

determina el nivel de riesgo inherente o absoluto, para cada uno de los riesgos de un
proceso o de la estructura en donde se está realizando la evaluación de los Riesgos. Este

Página 17 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
nivel representa el estado del riesgo sin la aplicación de tratamientos, es decir el peor
escenario de riesgo.

Para la obtención del nivel de riesgo inherente individual se aplicará el producto del
puntaje de impacto y del puntaje de la probabilidad. Finalmente, el riesgo valorado se
ubica en la Matriz de Severidad que se presenta en el Gráfico No 4, la cual representa en
el eje X el nivel de impacto y en el eje Y la probabilidad de ocurrencia. En el intercepto se
registra el valor consolidado del riesgo. Como se observa, el valor mínimo de la matriz es
5 cuando la probabilidad es “Baja” y el impacto “Leve”, y el mayor puntaje es 60 cuando la
probabilidad es “Alta” y el Impacto es “Catastrófico”.

GRAFICA No 4. Matriz de Severidad

ALTA 3 15 30 60

MODERADO IMPORTANTE INACEPTABLE

PROBABILIDAD

MEDIA 2 10 20 40

TOLERABLE MODERADO IMPORTANTE

BAJA 1 5 10 20

ACEPTABLE TOLERABLE MODERADO

5 10 20
LEVE MODERADO CATASTROFICO
IMPACTO

Para efectos de interpretar los resultados se aplicará la Tabla No.3, en donde a partir del
puntaje total obtenido en la valoración del riesgo, se establecen el nivel del mismo en
términos descriptivos, en cinco escalas, y se visualiza la valoración cromática, mediante la

Página 18 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 

aplicación de un código de colores, los cuales constituyen los semáforos de riesgo

absoluto.

TABLA No.3 – Nivel del Riesgo y Semaforización

VALORACIÓN ESTADO
5 Aceptable
10 Tolerable
15 Moderado
20 Moderado
30 Importante
40 Importante
60 Inaceptable

De esta manera, el nivel de riesgo individual puede clasificarse en 5 niveles: Aceptable,

cuando el puntaje es mayor a 0 y menor o igual a 5 puntos, Tolerable cuando es mayor a
5 y menor o igual a 10 puntos, Moderado, cuando es mayor a 10 y menor o igual a 20
puntos, Importante cuando el puntaje es mayor a 20 y menor o igual a 40 puntos e
Inaceptable cuando el puntaje es mayor a 40 puntos y menor o igual a 60 puntos.

1.11.5. Control y Planes de Tratamiento

Con el objetivo de realizar un diagnóstico sobre las medidas de protección establecidas

en la Secretaria Distrital de Gobierno para mitigar los riesgos inherentes, se hace
necesario en primera medida adelantar una fase de identificación y documentación de los
controles o salvaguardas existentes en los procesos de la entidad.

Los controles son acciones o mecanismos definidos para prevenir o reducir el impacto o
probabilidad de ocurrencia de los eventos que ponen en riesgo la adecuada ejecución de
las actividades y tareas requeridas para el logro de objetivos de los procesos de una
Entidad.

Como es posible que se tengan implementados diferentes mecanismos de control en un

mismo proceso, es necesario identificar y documentar todos los controles existentes, así
como sus atributos; de tal forma que a partir de estas características se realice la
valoración de la efectividad de los mismos. De esta manera es posible determinar si son

Página 19 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
insuficientes, suficientes o redundantes para cubrir o mitigar los riesgos potenciales o
materializados identificados.

También es necesario en esta fase efectuar una clasificación del control a partir de la lista
estándar de controles y determinar si el control contribuye a mitigar la probabilidad de
ocurrencia del riesgo o la consecuencia para posteriormente realizar la medición de la
efectividad y la eficacia en forma independiente.

La identificación de los controles y su evaluación será registrada en la matriz de riesgos

de cada uno de los procesos de la Entidad. Tal como lo muestra la siguiente gráfica.

GRAFICA No. 5 – Registro de la identificación y evaluación de los controles

1.11.5.1. Efectividad de los Controles

Se evaluará la efectividad de los controles, para lo cual se analizará si cumplen o no los

criterios del Diseño del Control. Estos criterios de análisis se detallan a continuación.

(a) Documentación del Control

Se deberá verificar su oficialización es decir, que el control este descrito en los procesos
y/o procedimientos contenidos en el mapa de procesos o manual de operaciones de la
Secretaria Distrital de Gobierno. En caso afirmativo el control recibirá una calificación de
10 puntos en la evaluación.

Página 20 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
(b) Oportunidad en la aplicación del Control

Se deberá calificar la oportunidad de la aplicación del control, teniendo en cuenta la

siguiente tabla:

TABLA No. 4 – Oportunidad de los controles

TIPO DE
VALOR DESCRIPCIÓN
CONTROL

Controles claves que actúan antes o al inicio de una

PREVENTIVO
actividad
50
Controles claves que actúan durante la actividad y permiten
DETECTIVO
corregir las deficiencias
30
Controles claves que actúan una vez se haya terminado la
CORRECTIVO actividad y se detecte una deficiencia (Materialización del
10 riesgo)

(c) Periodicidad en la aplicación del Control

Se deberá calificar la periodicidad en la aplicación del control, teniendo en cuenta la

siguiente tabla:

TABLA No. 5 – Periodicidad de los controles

TIPO DE
VALOR DESCRIPCIÓN
CONTROL

Controles claves aplicados durante toda la actividad, es

PERMANENTE
decir, en cada operación
20
Controles claves aplicados en forma constante sólo cuando
PERIÓDICO
ha transcurrido un espacio específico de tiempo
10
Controles claves que se aplican sólo en forma ocasional en
OCASIONAL
una actividad
5

Página 21 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
(d) Automatización en la aplicación del Control

Se deberá calificar la Automatización en la aplicación del control, teniendo en cuenta la

siguiente tabla:

TABLA No. 6 – Automatización de los controles

TIPO DE CONTROL VALOR DESCRIPCIÓN

Controles claves incorporados en la actividad cuya
aplicación es completamente computarizada o
AUTOMÁTICO
automática. Están incorporados en las Tecnologías de
20 Información (TIC`s)
Controles claves incorporados en la actividad cuya
SEMIAUTOMÁTICO
aplicación es parcialmente computarizada.
10
Controles claves incorporados en la actividad cuya
MANUAL/VISUAL
aplicación se realiza en forma manual y/o visual..
5

(2) Efectividad del Control

Una vez calificados los controles de acuerdo con los criterios descritos anteriormente, se
valorará la efectividad de los mismos, tal como se demuestra en la siguiente tabla:

Página 22 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
TABLA No.7 – Efectividad de los controles
CARACTERISTICAS DEL DISEÑO CONTROL CLASIFICACIÓN VALOR DEL
DISEÑO DEL DISEÑO
CONTROL DEL
OFICIALIZACIÓN VALOR PERIODICIDAD VALOR OPORTUNIDAD VALOR AUTOMATIZACIÓN VALOR CONTROL

Documentado 10 Preventivo 50 Permanente 20 Automático 20 Excelente 100

Documentado 10 Preventivo 50 Permanente 20 Semiautomático 10 Bueno 90
Documentado 10 Preventivo 50 Permanente 20 Manual/Visual 5 Bueno 85
Documentado 10 Preventivo 50 Periódico 10 Automático 20 Bueno 90
Documentado 10 Preventivo 50 Periódico 10 Semiautomático 10 Bueno 80
Documentado 10 Preventivo 50 Periódico 10 Manual/Visual 5 Bueno 75
Documentado 10 Preventivo 50 Ocasional 5 Automático 20 Bueno 85
Documentado 10 Preventivo 50 Ocasional 5 Semiautomático 10 Bueno 75
Documentado 10 Preventivo 50 Ocasional 5 Manual/Visual 5 Bueno 70
Documentado 10 Detectivo 30 Permanente 20 Automático 20 Bueno 80
Documentado 10 Detectivo 30 Permanente 20 Semiautomático 10 Bueno 70
Documentado 10 Detectivo 30 Permanente 20 Manual/Visual 5 Bueno 65
Documentado 10 Detectivo 30 Periódico 10 Automático 20 Bueno 70
Documentado 10 Detectivo 30 Periódico 10 Semiautomático 10 Deficiente 60
Documentado 10 Detectivo 30 Periódico 10 Manual/Visual 5 Deficiente 55
Documentado 10 Detectivo 30 Ocasional 5 Automático 20 Bueno 65
Documentado 10 Detectivo 30 Ocasional 5 Semiautomático 10 Deficiente 55
Documentado 10 Detectivo 30 Ocasional 5 Manual/Visual 5 Deficiente 50
Documentado 10 Correctivo 10 Permanente 20 Automático 20 Deficiente 60
Documentado 10 Correctivo 10 Permanente 20 Semiautomático 10 Deficiente 50
Documentado 10 Correctivo 10 Permanente 20 Manual/Visual 5 Deficiente 45
Documentado 10 Correctivo 10 Periódico 10 Automático 20 Deficiente 50
Documentado 10 Correctivo 10 Periódico 10 Semiautomático 10 Deficiente 40
Documentado 10 Correctivo 10 Periódico 10 Manual/Visual 5 Deficiente 35
Documentado 10 Correctivo 10 Ocasional 5 Automático 20 Deficiente 45
Documentado 10 Correctivo 10 Ocasional 5 Semiautomático 10 Deficiente 35
Documentado 10 Correctivo 10 Ocasional 5 Manual/Visual 5 Malo 30
No documentado 0 Preventivo 50 Permanente 20 Automático 20 Bueno 90
No documentado 0 Preventivo 50 Permanente 20 Semiautomático 10 Bueno 80
No documentado 0 Preventivo 50 Permanente 20 Manual/Visual 5 Bueno 75
No documentado 0 Preventivo 50 Periódico 10 Automático 20 Bueno 80
No documentado 0 Preventivo 50 Periódico 10 Semiautomático 10 Bueno 70
No documentado 0 Preventivo 50 Periódico 10 Manual/Visual 5 Bueno 65
No documentado 0 Preventivo 50 Ocasional 5 Automático 20 Bueno 75
No documentado 0 Preventivo 50 Ocasional 5 Semiautomático 10 Bueno 65
No documentado 0 Preventivo 50 Ocasional 5 Manual/Visual 5 Deficiente 60
No documentado 0 Detectivo 30 Permanente 20 Automático 20 Bueno 70
No documentado 0 Detectivo 30 Permanente 20 Semiautomático 10 Deficiente 60
No documentado 0 Detectivo 30 Permanente 20 Manual/Visual 5 Deficiente 55
No documentado 0 Detectivo 30 Periódico 10 Automático 20 Deficiente 60
No documentado 0 Detectivo 30 Periódico 10 Semiautomático 10 Deficiente 50
No documentado 0 Detectivo 30 Periódico 10 Manual/Visual 5 Deficiente 45
No documentado 0 Detectivo 30 Ocasional 5 Automático 20 Deficiente 55
No documentado 0 Detectivo 30 Ocasional 5 Semiautomático 10 Deficiente 45
No documentado 0 Detectivo 30 Ocasional 5 Manual/Visual 5 Deficiente 40
No documentado 0 Correctivo 10 Permanente 20 Automático 20 Deficiente 50
No documentado 0 Correctivo 10 Permanente 20 Semiautomático 10 Deficiente 40
No documentado 0 Correctivo 10 Permanente 20 Manual/Visual 5 Deficiente 35
No documentado 0 Correctivo 10 Periódico 10 Automático 20 Deficiente 40
No documentado 0 Correctivo 10 Periódico 10 Semiautomático 10 Malo 30
No documentado 0 Correctivo 10 Periódico 10 Manual/Visual 5 Malo 25
No documentado 0 Correctivo 10 Ocasional 5 Automático 20 Deficiente 35
No documentado 0 Correctivo 10 Ocasional 5 Semiautomático 10 Malo 25
No documentado 0 Correctivo 10 Ocasional 5 Manual/Visual 5 Malo 20
Inexistente 0 Inexistente 0 Inexistente 0 Inexistente 0 Inexistente 0

Página 23 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
1.11.5.2. Clasificación de los Niveles de Exposición del Riesgo Residual

La Secretaria Distrital de Gobierno valorará los riesgos de acuerdo con el nivel de

exposición del riesgo residual, el cual permite cuantificar la efectividad de los controles en
relación con la severidad de los riesgos inherentes. Para este efecto se aplicarán las
siguientes fórmulas:

1) RIESGO CONTROLADO = Severidad del Riesgo Inherente * % promedio de la

efectividad de los controles

En donde:

Severidad del Riesgo Inherente = Impacto por Probabilidad

% Promedio de la efectividad de los controles = (Promedio ∑Efectividad del diseño

del control) /100

2) NIVEL DE EXPOSICIÒN DEL RIESGO RESIDUAL = Severidad del Riesgo

Inherente – Riesgo Controlado

En donde:

Severidad del Riesgo Inherente = Impacto por Probabilidad.

Riesgo Controlado = Calculado mediante la fórmula 1).

Una vez se obtiene el valor del nivel de exposición del riesgo residual, se aplicarán los
criterios de la matriz de severidad utilizada en la valoración del riesgo inherente.

1.11.5.3. Nivel de Tolerancia al Riesgo

La Secretaria Distrital de Gobierno está dispuesta a aceptar unos niveles máximos de

riesgo en la operación normal de sus actividades, lo cual es conocido como Nivel de
Tolerancia al Riesgo. Teniendo en cuenta que la definición y aprobación de la tolerancia
al riesgo es una decisión y competencia exclusiva de la Alta Gerencia, se incluye en este
documento los rangos aprobados.

La tolerancia al riesgo representa un nivel de variación aceptable para la Entidad en el

logro de su misión, visión y objetivos corporativos, esta tolerancia está asociada con la
estrategia organizacional. Por lo anterior, se establece que los eventos de riesgos

Página 24 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
residuales con EXPOSICIÓN MUY ALTA AL RIESGO son INACEPTABLES para la
Secretaria Distrital de Gobierno, razón por la cual serán tratados de manera INMEDIATA
con la intención de incluir o ajustar controles que permitan disminuir su probabilidad de
ocurrencia y/o impacto para la organización.

La tolerancia al riesgo en la Secretaria Distrital de Gobierno se define a partir de los

valores establecidos en la siguiente tabla:

TABLA No.8 – Valores de Tolerancia o Apetito al Riesgo

INDICADOR DE
EXPOSICIÒN AL VALOR DEL RIESGO
RIESGO RESIDUAL ESTADO
MUY ALTA 40 <X>= 60 Inaceptable
ALTA 20 <X>= 40 Importante
MEDIA 10 <X>= 20 Moderado
BAJA 5 <X>=10 Tolerable
INSIGNIFICANTE X>=5 Aceptable

1.11.5.4. Tratamiento
 

Para la adopción de la política de Gestión del Riesgo se tendrá en cuenta los resultados
obtenidos en cada uno de los elementos de la gestión del riesgo, a fin de dotar a la
Entidad de los parámetros que establezcan medidas de respuesta oportuna para aplicar el
ERCA (Evitar, Reducir, Compartir o Aceptar) a los mismos.

La prioridad en el tratamiento de los riesgos operacionales de la Secretaria Distrital de

Gobierno está dada por el nivel de exposición del riego residual, de acuerdo con la
siguiente tabla:

Página 25 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
TABLA No.9 – Prioridad en el tratamiento del Riesgo

INDICADOR DE PRIORIDAD DE
EXPOSICIÒN AL TRATAMIENTO
RIESGO VALOR ESTADO
MUY ALTA 40 <X>= 60 Inaceptable PRIMERO
ALTA 20 <X>= 40 Importante SEGUNDO
MEDIA 10 <X>= 20 Moderado TERCERO
BAJA 5 <X>=10 Tolerable CUARTO
INSIGNIFICANTE X>=5 Aceptable NO APLICA

Para el nivel de exposición al riesgo Aceptable, la Secretaria Distrital de Gobierno

Asume el Riesgo, pero debe hacerse una labor de monitoreo y seguimiento periódico de
estos riesgos por parte de los líderes de procesos y de la Dirección de Planeación y
Sistemas de Información. En los casos en que las circunstancias impulsen un cambio en
la severidad de los mismos, se deben valorar nuevamente la efectividad de los controles y
calcular el riesgo residual con el fin de encontrar cambios o confirmar su nivel de
exposición al riesgo.

1.11.5.5. Declaración de Aplicabilidad

Una vez la elabore los planes de tratamiento y sus respectivos controles

complementarios, se deberá elaborar y aprobar por parte del Comité del Sistema
Integrado de Gestión o Comité de Coordinación de los Sistemas de Control Interno y
Calidad, una Declaración de Aplicabilidad, la cual debe contener:

a) Los objetivos de control (Riesgos identificados) y los controles seleccionados, para

el tratamiento de los riesgos, justificando las razones para su selección.

b) Los objetivos de control y los controles seleccionados, implementados

actualmente.

c) La exclusión de cualquier objetivo de control y controles y la justificación para su

exclusión.

Página 26 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
1.11.5.6. Monitoreo

En razón que tanto la estructura organizacional, los objetivos, los procesos internos y las
actividades de la Secretaria Distrital de Gobierno pueden sufrir modificaciones
introduciendo o transformando los riesgos ya identificados, y que los controles mismos
pueden llegar a ser ineficaces, se hace necesario establecer o integrar procedimientos de
monitoreo que permitan evaluar la efectividad del Subsistema de Gestión del Riesgo de la
Entidad y detectar y corregir sus deficiencias o debilidades.

De esta manera, el monitoreo es esencial para asegurar que las medidas y controles se
están llevando a cabo y evaluar la eficiencia en su implementación, adelantando
revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que
pueden estar influyendo en la aplicación de las acciones preventivas.

El monitoreo debe ser permanente y estar integrado a las operaciones normales de la

Entidad, de tal manera, que a diferencia de las evaluaciones independientes realizadas
por la Oficina de Control Interno y que tienen lugar después de los hechos, éste se realice
en tiempo real, realizando una gestión dinámica sobre el ciclo de gestión de riesgos.

En la Secretaria Distrital de Gobierno se ejecutarán las siguientes actividades de

monitoreo y seguimiento al Subsistema de Gestión del Riesgo:

a. Auto-evaluación de los riesgos identificados y verificación de la aplicación de los

controles implementados.

b. Monitoreo al perfil de riesgos de la entidad y a las exposiciones a pérdidas.

c. Medición y Seguimiento a Indicadores Claves de Riesgos

d. Registro y Seguimiento de Eventos de Riesgo Operacionales.

a) Auto‐Evaluación 

Los líderes o responsables de proceso, en cumplimiento de la política de Gestión del

riesgo efectuarán un permanente seguimiento sobre los riesgos potenciales y
materializados identificados y verificarán la aplicación y eficiencia de los controles dentro
de su proceso. Así mismo, evaluarán la forma en que los cambios que se presenten en
los objetivos, procedimientos, actividades y en la estructura organizacional de su proceso
afectan el perfil de riesgos de su mismo proceso o el de la Entidad. Así mismo, el
responsable de proceso, efectuará el monitoreo y auto-seguimiento al Plan de
Tratamiento de Riesgos.

Página 27 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
Para lo anterior, el Responsable de Proceso podrá apoyarse en las siguientes
herramientas:

• Indicadores de Gestión e Indicadores Claves de Riesgo.

• Informe de cumplimiento de planes, programas y proyectos.
• Reuniones con sus Grupos de Trabajo.
• Estadísticas de Operación.
• Reportes y estadísticas de eventos de riesgo operativo.
• Informes de Auditorías internas y externas.

De esta manera, los responsables de proceso tendrán la obligación de revisar y efectuar

ajustes en sus mapas de riesgos cuando se presente alguna circunstancia de las
mencionadas.

 b) Monitoreo al Perfil de Riesgos y a las Exposiciones a Pérdidas 

En forma semestral, La Dirección de Planeación y Sistemas de Información a través del

Grupo del Sistema Integrado de Gestión efectuará un monitoreo sobre la protección
existente y sobre los riesgos residuales, para lo cual se podrá apoyar en:

• La aplicación de guías de monitoreo de controles

• Los resultados y conclusiones de los informes de evaluación independiente
realizados por la auditoría interna y externa.
• Los informes de revisión y seguimiento de los elementos del Subsistema de
Gestión en Calidad: Indicadores de gestión, Productos no Conformes, Quejas y
Reclamos.
• Análisis del Contexto estratégico de la Entidad.
• Informes y auditorías de organismos de vigilancia y control.

Así mismo, con base en los informes proferidos por la auditoría interna evaluará la
eficacia de los controles y el cumplimiento y efectividad de los planes de tratamiento de
riesgos implementados.

A partir de esta evaluación se puede identificar debilidades potenciales del Subsistema de

Gestión del Riesgo y recomendar a la Alta Dirección acciones y alternativas para su
mejoramiento. Estas recomendaciones y conclusiones podrán derivar cambios tanto en la
probabilidad de ocurrencia e impacto de los riesgos potenciales; así como la protección
ofrecida por los controles. Como soporte de las evaluaciones, el Grupo del Sistema
Integrado de Gestión producirá un informe dirigido a la alta gerencia.

Página 28 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
 

 c) Medición y Seguimiento a Indicadores Claves de Riesgos 

Los Indicadores Claves de Riesgo constituyen una herramienta adicional para el

monitoreo de los riesgos, los cuales son medidas cuantitativas o variables que
proporcionan un mayor conocimiento sobre los riesgos potenciales y que permiten alertar
sobre la ocurrencia de eventos de pérdida.

Dada su utilidad, se deberán determinar las operaciones críticas de la Entidad y/o los
factores de riesgos que más inciden en la probabilidad de ocurrencia o en la
consecuencia de los riesgos; y sobre éstos diseñar e implementar indicadores de riesgo,
definir los umbrales o niveles de tolerancia, así como los responsables de medición y la
periodicidad de los mismos.

El monitoreo a los indicadores de riesgo lo realizará mensualmente el Grupo del Sistema

Integrado de Gestión, el cual reportará a la alta Gerencia en caso de que identifique la
existencia de condiciones que puedan originar algún acontecimiento que afecte la
Entidad.

 d) Registro y Seguimiento de Eventos de Riesgo Operativo 

La medición de los riesgos operacionales bajo las metodologías propuestas se apoya en

técnicas cualitativas, donde a partir de la experiencia del personal de la entidad se valora
la probabilidad de ocurrencia de los riesgos y se estima el impacto para la Entidad. Puesto
que esta metodología se apoya en juicios subjetivos que realizan los expertos y que estos
pueden llegar a subestimar la incertidumbre es posible que se ocasione un sesgo en la
valoración de los riesgos reduciendo los niveles de confianza en las estimaciones.

Esta situación podría corregirse mediante el uso de datos empíricos generados

internamente correspondientes a eventos anteriores observados, los cuales proporcionan
mayor objetividad en las mediciones.

De esta manera, con el propósito de mejorar las técnicas de medición, mediante la

formulación de modelos probabilísticos, se hace necesario construir un registro de
eventos de riesgo operacional. Estos eventos de riesgo se definen como “incidentes que
generan pérdidas por riesgo operacional en la entidades”, los cuales pueden ser
generados por el recurso humano, los procesos, la tecnología, la infraestructura y los
factores externos.

A la vez la conformación de un repositorio de datos sobre eventos con pérdidas en el

pasado, son una fuente útil de información para identificar tendencias y analizar las
causas de los eventos recurrentes permitiendo establecer acciones y mejoras a fin de

Página 29 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
prevenir eventos futuros. Así mismo, la cuantificación de la exposición permitirá focalizar
los recursos para la gestión de los riesgos.

2. RESOLUCIÓN DE CONTROVERSIAS Y CONFLICTOS DE INTERÉS

La Alta Dirección de la Secretaria Distrital de Gobierno debe definir los mecanismos

necesarios que permitan la prevención y resolución de conflictos de interés en la
recolección de información en las diferentes etapas del Subsistema de Gestión del
Riesgo, y especialmente en el registro de eventos de pérdida.

El Comité del Sistema Integrado de Gestión o Comité de Coordinación de los Sistemas de

Control Interno y Calidad es la instancia encargada en la entidad de analizar y decidir
sobre las controversias y conflictos de interés que se presenten en el proceso de
implementación y recolección de información de las diferentes etapas del ciclo de gestión
del riesgo, especialmente para el registro de eventos de riesgo operacionales. En caso
que se requiera el Comité del Sistema Integrado de Gestión Comité de Coordinación de
los Sistemas de Control Interno y Calidad podrá solicitar conceptos externos.

Las situaciones de controversia y/o conflicto de interés que surjan deben ser canalizados
por los líderes o responsables de proceso a través del Grupo del Sistema Integrado
Gestión, quien tiene la responsabilidad de presentar las mismas al Comité del Sistema
Integrado de Gestión Comité de Coordinación de los Sistemas de Control Interno y
Calidad y de notificar a los interesados sobre la decisión adoptada.

3. INCUMPLIMIENTO DEL SUBSISTEMA DE GESTIÓN DEL RIESGO

En la Secretaria Distrital de Gobierno velará por el cumplimiento del Subsistema de

Gestión del Riesgo, a través de la Alta Gerencia, los Líderes y responsables de los
procesos y El Comité del Sistema Integrado de Gestión Comité de Coordinación de los
Sistemas de Control Interno y Calidad; instancias que definirán los mecanismos que se
establecerán en la entidad para promover y procurar su cumplimiento.

La Oficina de Control Interno debe incorporar en sus programas de auditoría interna de

gestión y de cumplimiento la verificación del cumplimiento de los lineamientos y
obligaciones establecidas en el Subsistema de Gestión del Riesgo y notificará
formalmente los resultados de estas evaluaciones.

Página 30 de 31 
 
 Código: M‐116302‐02 

MANUAL DE GESTIÓN DEL RIESGO  Versión: 1 
Vigencia desde:  
  01 de diciembre de 2010 
 
El Grupo del Sistema Integrado de Gestión a través de la Dirección de Planeación y
Sistemas de Información debe informar oportunamente a la Alta Gerencia cuando se
presenten incumplimientos de las responsabilidades y obligaciones establecidas en el
Subsistema de Gestión del Riesgo por parte de los responsables de proceso y sus
equipos de trabajo.

El incumplimiento total o parcial por parte colaboradores de la Secretaria Distrital de

Gobierno de las políticas, lineamientos y obligaciones establecidas sobre el Subsistema
de Gestión del Riesgo, se considerará como “Falta”, en los términos del Código
Disciplinario Único, independiente de la responsabilidad penal, civil, administrativa a que
haya lugar.

Se precisa que en términos de artículo 27 de la Ley 734 de 2002, las faltas disciplinarias
se realizan por acción o por omisión en cumplimiento de los deberes propios del cargo o
función, o con ocasión de ellos, al igual que cuando se tiene el deber de impedir un
resultado, no evitarlo, pudiendo hacerlo, equivalente a producirlo.

4. RECURSOS PARA EL SUBSISTEMA DE GESTIÓN DEL RIESGO

La Alta Dirección de la Secretaria Distrital de Gobierno manifiesta su voluntad de apropiar

y asignar los recursos financieros, humanos y tecnológicos, necesarios para gestionar los
riesgos operacionales, de acuerdo con los criterios presentados en el presente manual.
Sin embargo, en algunos casos, principalmente cuando la gestión del riesgo implique
erogaciones financieras significativas para la Entidad, la asignación de recursos estará
condicionada a la disponibilidad presupuestal de la vigencia actual y de las vigencias
siguientes.

Página 31 de 31