Gestión del Riesgo

(Articulado Riesgos de

- FUNCIÓN PÚBLICA -
Corrupción y de seguridad
digital)
Julio 19 de 2018
 Agenda
1 Objetivos de la Sesión

Alineación con el MIPG y Plan Anticorrupción

2 y de Atención al Ciudadano

3 Metodología

4 Panel Preguntas
1 Objetivos de la Sesión
v
Objetivos

Dar a conocer las actualizaciones y alineación de la Guía de

Administración del Riesgo

Generar lineamientos sobre el tema de riesgos en el marco

del Modelo Integrado de Planeación y Gestión.

Establecer los principales aspectos en relación con el diseño de

controles.
2 Alineación con el MIPG y Plan
Anticorrupción y de Atención
v

al Ciudadano
MIPG

Política de Administración
de Riesgo, por la Línea
Estratégica de Defensa
definida en la Dimensión de
Control Interno
MIPG

A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo,

es viable definir el contexto estratégico así:
 Factores de Riesgo Principales (Análisis Interno y Externo)
 Principales procesos susceptibles de corrupción
 Impactos principales por nivel de riesgo
De igual forma se define el Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción,
estrategias para trámites, rendición de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información.
2 Metodología
v
 Definiciones Básicas Relacionadas con la
Gestión del Riesgo
Riesgo de Gestión: Posibilidad
Riesgo de Corrupción:
de que suceda algún evento que
Posibilidad de que por acción u
tendrá un impacto sobre el
omisión, se use el poder para
cumplimiento de los objetivos. Se
desviar la gestión de lo público
expresa en términos de
hacia un beneficio privado.
probabilidad y consecuencias.
Riesgo Inherente: Es aquel al
Riesgo Residual: Nivel de
que se enfrenta una entidad en
riesgo que permanece luego de
ausencia de acciones de la
tomar medidas de tratamiento del
dirección para modificar su
riesgo.
probabilidad o impacto.
Consecuencia: Los efectos o
Causa: Todos aquellos factores
situaciones resultantes de la
internos y externos que solos o
materialización del riesgo que
en combinación con otros,
impactan en el proceso, la
pueden producir la
entidad, sus grupos de valor y
materialización de un riesgo
demás partes interesadas.
Riesgo de Seguridad Digital: Activo: En el contexto de
Combinación de amenazas y seguridad digital son elementos
vulnerabilidades en el entorno digital.
tales como aplicaciones de la
Puede debilitar el logro de objetivos
organización, servicios web, redes,
económicos y sociales, así como afectar
la soberanía nacional, la integridad Hardware, información física o
digital, recurso humano, entre
territorial, el orden constitucional y los
otros, que utiliza la organización
intereses nacionales. Incluye aspectos
del ambiente físico, digital y las personas. para funcionar en el entorno digital.
Probabilidad: se entiende la
Impacto: se entienden las
posibilidad de ocurrencia del
consecuencias que puede
riesgo, ésta puede ser medida
ocasionar a la organización la
con criterios de Frecuencia o
materialización del riesgo.
Factibilidad.
Plan Anticorrupción y de
Atención al Ciudadano: Plan
Mapa de Riesgos: Documento
que contempla la estrategia de
con la información resultante de
lucha contra la corrupción que
la gestión del riesgo de
debe ser implementada por todas
corrupción.
las entidades del orden nacional,
departamental y municipal.
 Antecedentes Normativos

Modelo Integrado de Planeación y Gestión/Alineado MECI –

2017
- NOMBRE DE LA SECCIÓN -

Dec 1499

- FUNCIÓN PÚBLICA -
2015 Plan Nacional de Desarrollo 2014–2018 – Ley 1753, art. 133

2012 Modelo Integrado de Planeación y Gestión – Dec. 2482 (Derogado)

2005
2014 Modelo Estándar de Control Interno – MECI – Dec 943 (derogado)

2003 Sistema de Gestión de Calidad – Ley 872 (derogada)

1998 Sistema de Desarrollo Administrativo – Ley 489

1993 Sistema de Control Interno – Ley 87

Principios de la Función Administrativa (art. 209)

1991
Mecanismos de Control (art. 269)
 Materialización MECI a través de las dimensiones de
Componente 1. Ambiente de Control
- NOMBRE DE LA SECCIÓN -
Componente 2. Evaluación de riesgos
MECI
Componente 3. Actividades de control
Componente 4. Información y
comunicación
Componente 5. Actividades de
supervisión
Principio 1. Compromiso con la integridad y los valores éticos
Principio 2. Supervisión del Sistema de Control Interno
Principio 3. Establecimiento de estructura, facultades y
responsabilidades
Principio 4. Compromiso con la competencia de los profesionales
- FUNCIÓN PÚBLICA -
Principio 5. Responsabilidad por la rendición de cuentas
Principio 6. Definición de objetivos adecuados
Principio 7. Identificación y análisis de riesgos
Principio 8. Evaluación del riesgo de fraude (corrupción)
Principio 9. Identificación y análisis de cambios significativos
Principio 10. Diseño y desarrollo de actividades de control
Principio 11. Diseño y desarrollo de controles sobre la tecnología
Principio 12. Despliegue de políticas y procedimientos
Principio 13. Utilización de información relevante
Principio 14. Comunicación Interna
Principio 15. Comunicación con el exterior
Principio 16. Evaluaciones continuas y/o separadas
Principio 17. Evaluación y comunicación de deficiencias
14
 MAPAS DE ASEGURAMIENTO

Fuente: Instituto de auditores internos de España, Guía práctica “Marco de relaciones de Auditoría Interna con otras funciones de aseguramiento”, 2013.
 OPERATIVIDAD TRES LÍNEAS DE DEFENSA
LÍNEA ESTRATÉGICA
Define el marco general para la gestión del riesgo y el control
A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno
- NOMBRE DE LA SECCIÓN -

1ª. Línea de Defensa 2ª. Línea de Defensa 3ª. Línea de Defensa

• Controles de Gerencia Operativa (Líderes de
proceso y sus equipos).
• La gestión operacional se encarga del
mantenimiento efectivo de controles internos,
ejecutar procedimientos de riesgo y el control
sobre una base del día a día. La gestión
operacional identifica, evalúa, controla y
mitiga los riesgos.
• Media y Alta Gerencia (Líderes de Proceso,
Coordinadores, responsables de proyectos,
entre otros).
• Asegura que los controles y procesos de
gestión del riesgo de la 1ª Línea de Defensa
sean apropiados y funcionen correctamente.
- FUNCIÓN PÚBLICA -
• A cargo de la Oficina de Control Interno,
Auditoría Interna o quién haga sus veces
• Proporciona Información sobre la
efectividad del SCI., la operación de la
• 1ª y 2ª Línea de defensa con un enfoque
basado en riesgos

Evaluación
Autocontrol Autoevaluación Independiente
 Antes de Iniciar con la Metodología

1 Direccionamiento Estratégico

DIRECCIONAMIENTO ESTRATÉGICO Y PLANEACIÓN

Act. 2 Act. 4. Act. 6.

Analizar marco Revisar la Establecer la Caracterizar los Definir Objetivos

Analizar
normativo de la Misión Visión grupos de valor Institucionales
diagnóstico de
entidad (Quehacer (que busca la (estrategicos)
capacidades
Institucional) entidad a futuro) como propósitos
o logros alcanzar
.

Act 1 Act. 3 Act. 5

 Antes de Iniciar con la Metodología
2 Modelo de Operación por Procesos
Misión
Por qué existimos

GESTIÓN CON VALORES PARA EL RESULTADO

Visión
Qué queremos ser

Valores Fundamentales – Código de Integridad

En qué creemos

Estrategia - Objetivos Estratégicos

Nuestras Directrices

Objetivos de los Procesos

Qué necesito hacer en mi proceso
METAS PROGRAMAS PROYECTOS

La mayoría de dificultades en la identificación

del riesgo, parte de una inconsistente
identificación o estructura de los objetivos de los
procesos.
 Análisis de Objetivos
Estratégicos
Análisis de Objetivos del
Proceso

La entidad debe analizar los

objetivos estratégicos y revisar que
se encuentren alineados con la
Los objetivos de proceso deben
Misión y la Visión Institucional, así
estar alineados con la Misión y la
como, analizar su adecuada
Visión, es decir, asegurar que los
formulación, es decir, que
objetivos de proceso contribuyan a
contengan las siguientes
los objetivos estratégicos.
características mínimas: específico,
Ejemplo proceso Contratación:
medible, alcanzable, relevante y
“Adquirir con oportunidad y calidad
proyectado en el tiempo (SMART por
técnica los bienes y servicios
sus siglas en ingles).
requeridos por la entidad para su
continua operación”
Paso 1: Política Institucional
de Riesgos
Declaración de la Dirección y las intenciones generales de una organización con respecto a
la gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo
establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.

¿Quién la establece? ¿Qué debe contener? Frente a los Riesgos de Corrupción

La debe establecer la Alta Dirección en cabeza
del Representante Legal en el marco del
Comité Institucional de Coordinación de Control
Interno
Objetivo: Alineada con los obj institucionales
Alcance: Aplicable a todos los procesos
Los riesgos de corrupción no admiten
Niveles de aceptación del Riesgo: Decisión
informada de tomar un riesgo particular.
aceptación del riesgo.
Periodicidad para el seguimiento y sus responsables
Tabla Impacto, Factores de Riesgo, entre otros.
Paso 2: Identificación
del Riesgo
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus
causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis
teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas. (NTC
ISO31000, Numeral 2.15).

ESTABLECIMIENTO DEL CONTEXTO

Definición de los parámetros internos y externos
que se han de tomar en consideración para la
administración del riesgo. (NTC ISO31000,
Numeral 2.9).

Contexto Externo Contexto Interno Contexto del Proceso

Se determinan las
Se determinan las
Se determinan las características o aspectos
características o aspectos
características o aspectos esenciales del ambiente
esenciales del proceso y
esenciales del entorno en en el cual la organización
sus interrelaciones. Se
el cual opera la entidad. busca alcanzar sus
pueden considerar
Se pueden considerar objetivos. Se pueden
factores como: Objetivo,
factores como: Legales, considerar factores como:
alcance, interrelación con
Políticos, Sociales, Talento Humano,
otros procesos,
Tecnológicos, Financieros, Infraestructura,
procedimientos,
Sectoriales. Planeación, Recursos
responsables.
financieros.
Paso 2: Identificación
del Riesgo
 Paso 2: Identificación
del Riesgo

Identificar la afectación del cumplimiento del Identificación Riesgo de Corrupción

1 Qué puede
objetivo estratégico o del proceso según sea
suceder?
el caso.

Cómo puede
2 Suceder?
Establecer las causas a partir de los factores
determinados en el contexto
Los riesgos de corrupción se establecen sobre procesos. El riesgo debe
Cuándo puede Determinar de acuerdo al desarrollo del proceso estar descrito de manera clara y precisa. Su redacción no debe dar lugar
3 suceder? a ambigüedades o confusiones con la causa generadora de los mismos.

Qué Con el fin de facilitar la identificación de riesgos de corrupción y de evitar

4 consecuencias Determinar los posibles efectos por la
que se presenten confusiones entre un riesgo de gestión y uno de
corrupción, se sugiere la utilización de la Matriz de definición de riesgo de
tendría su materialización del riesgo corrupción, que incorpora cada uno de los componentes de su definición.
Si en la descripción del riesgo, las casillas son contestadas todas
materialización? afirmativamente, se trata de un riesgo de corrupción.

Evitar iniciar con palabras negativas como: “No…” “Que Pregúntese si el riesgo identificado esta relacionado
no…”, o con palabras que denoten un factor de riesgo directamente con las características del objetivo. Si la
(causa) tales como: “ausencia de”, “falta de”, “Poco(a)”,“ respuesta es “no” este puede ser la causa o la
Escaso(a)”,“Insuficiente”, “Deficiente”, “Debilidades en consecuencia.
Paso 2: Identificación
del Riesgo

Identificación Riesgos de Seguridad Digital

Todo lo que no IDENTIFICACIÓN DE ACTIVOS

esta plenamente
identificado, no Elementos tales como: Aplicaciones de la organización, Servicios Web,
está debidamente Redes, Hardware, Información física o digital, Recurso Humano, entre
asegurado. otros, que utiliza la organización para funcionar en el entorno digital.

De esta manera se puede determinar que es lo más importante que cada

entidad y sus procesos poseen (Sean bases de datos, unos archivos,
servidores web o aplicaciones claves para que la entidad pueda
prestar sus servicios).

Los riesgos de seguridad digital se basan en la afectación de 3 criterios

en un activo: Anexo: “Lineamientos
“Pérdida de la integridad, confidencialidad o la disponibilidad”, la para la gestión del riesgo
variación serán las amenazas y vulnerabilidades que puedan causar de seguridad digital en
que dichos riesgos se materialicen (catálogos de amenazas y entidades públicas”
vulnerabilidades comunes)
Paso 2: Identificación
del Riesgo
Análisis de Causas
Nro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom
Los objetivos estratégicos y de proceso se desarrollan a
través de actividades, pero no todas tienen la misma 1 Insuficiente capacitación del 10 8 9 7 10 9 53 8,8
importancia, por tanto se debe establecer cuáles de ellas personal de contratos.
contribuyen mayormente al logro de los objetivos y estas
2 Fallas en la radicación de 1 6 2 6 5 6 26 4,3
son las actividades críticas o factores claves de éxito; estos
factores se deben tener en cuenta al identificar las causas propuestas
que originan la materialización de los riesgos. 3 Mala atención a los 5 3 1 5 4 3 21 3,5
proveedores
4 Inadecuadas políticas de 7 9 7 8 7 10 48 8,0
Priorización de Causas operación
5 Desconocimiento de la 6 4 3 1 2 1 17 2,8
CRITERIOS DE PRIORIZACIÓN normatividad contractual
• En esta matriz se deben incluir todas las debilidades y
6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2
amenazas identificadas en el establecimiento del
contexto 7 Desconocimiento de los 8 7 10 9 8 7 49 8,2
• Cada integrante priorizará en orden de importancia de cambios en la regulación
menor a mayor las causas utilizando una escala donde 1 contractual
es la de menor importancia y «N» la de mayor 8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8
importancia dependiendo del número de causas.
9 Carencia de controles en el 9 10 8 10 9 8 54 9,0
• Un integrante del grupo debe organizar en la tabla las
procedimiento de contratación
calificaciones y calcular el promedio aritmético de cada
causa, siendo las de mayor promedio las causas raíz. 10 Normograma desactualizado 4 2 6 3 3 5 23 3,8
Paso 2: Identificación
del Riesgo Ejemplo
Proceso Contratación:
Objetivo “Adquirir con oportunidad y calidad técnica los bienes
y servicios requeridos por la entidad para su continua
operación”
RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS
La combinación de factores como, Operativo Carencia de controles en el 1. Demoras en los procesos
“Inoportunidad en la adquisición de los bienes y

insuficientes capacitación del personal de procedimiento de contratación 2. incumplimiento en la entrega de

contratos, cambios en la regulación bienes y servicios a los grupos de
contractual, inadecuadas políticas de valor
operación y Carencia de controles en el 3. Demandas y demás acciones
procedimiento de contratación pueden Insuficiente capacitación del personal jurídicas
servicios requeridos por la entidad

ocasionar la Inoportunidad en la adquisición de contratos. 4. Detrimento de la imagen de la

de los bienes y servicios requeridos por la Desconocimiento de los cambios en la entidad ante sus grupos de valor
entidad, repercutiendo en la continuidad de la regulación contractual 5. Investigaciones disciplinarias
operación de la entidad.

Inadecuadas políticas de operación

Paso 2: Identificación Ejemplo
de Riesgo de Corrupción
Proceso Contratación: “Adquirir con oportunidad y calidad
técnica los bienes y servicios requeridos por la entidad para su
continua operación”
RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS
Adendas que cambian condiciones generales del Corrupción Intereses personales 1. Demandas contra el estado
Direccionamiento de contratación a favor de un

proceso de contratación para favorecer a un 2. Perdida de confianza en lo público

proponente 3. Investigaciones disciplinarias
4. Detrimento patrimonial
Presiones indebidas 5. Declaración de nulidad del proceso
- inoportunidad en la entrega de los
Injerencia de externos sobre la entidad bienes
para favorecer intereses particulares 6. Enriquecimiento ilícito de
contratistas y/o servidores públicos

Carencia de controles en el
procedimiento de contratación
tercero

Importante
En la descripción de los riesgos de corrupción deben concurrir TODOS los
componentes de su definición:
Acción u omisión + uso del poder + desviación de la gestión
de lo público + el beneficio privado.
Paso 3: valoración del
riesgo
Permite establecer la probabilidad de ocurrencia del riesgo y el nivel de
consecuencias o impacto, con el fin de estimar la zona de riesgo inicial
(RIESGO INHERENTE).

Criterios parar calificar la probabilidad

Análisis de la Probabilidad
Nivel Descriptor Descripción Frecuencia
Se analiza qué tan posible es que ocurra el riesgo, se expresa en 5 Casi seguro Se espera que el evento ocurra en la Mas de 1 vez al año.
mayoría de las circunstancias
términos de frecuencia o factibilidad, donde frecuencia implica
4 Probable Es viable que el evento ocurra en la Al menos 1 vez en el
analizar el número de eventos en un periodo determinado, se trata de mayoría de las circunstancias último año.

hechos que se han materializado o se cuenta con un historial de 3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
situaciones o eventos asociados al riesgo, y factibilidad implica
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
analizar la presencia de factores internos y externos que pueden últimos 5 años.

propiciar el riesgo, se trata en este caso de un hecho que no se ha 1 Rara vez El evento puede ocurrir solo en No se ha presentado en
circunstancias excepcionales (poco los últimos 5 años.
presentado pero es posible que suceda. comunes o anormales)

Importante
El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la
disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de
no contar con datos históricos, se trabajará de acuerdo con la experiencia de los
funcionarios que desarrollan el proceso y de sus factores internos y externos.
(Revisar matriz de análisis de priorización de probabilidad).
Paso 3: valoración del
riesgo
Criterios para calificar el Impacto – Riesgos de Gestión
Nivel Impacto (consecuencias) Cuantitativo
CATASTRÓFICO - Impacto que afecte la ejecución presupuestal en un valor ≥50%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥50%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥20%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
MAYOR
de la entidad en un valor ≥20%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥5%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.
MODERADO
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥5%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥1%
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.
MENOR
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥1%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%
INSIGNIFICANTE
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total
de la entidad en un valor ≥0,5%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
Impacto (consecuencias) Cualitativo
- Interrupción de las operaciones de la Entidad por más de cinco (5) días.
- Intervención por parte de un ente de control u otro ente regulador.
- Pérdida de Información crítica para la entidad que no se puede recuperar.
- Incumplimiento en las metas y objetivos institucionales afectando de forma grave la
ejecución presupuestal.
- Imagen institucional afectada en el orden nacional o regional por actos o hechos de
corrupción comprobados.
- Interrupción de las operaciones de la Entidad por más de dos (2) días.
- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
- Sanción por parte del ente de control u otro ente regulador.
- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en
las metas de gobierno.
- Imagen institucional afectada en el orden nacional o regional por incumplimientos en la
prestación del servicio a los usuarios o ciudadanos.
- Interrupción de las operaciones de la Entidad por un (1) día.
- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los
entes reguladores o una demanda de largo alcance para la entidad.
- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.
- Reproceso de actividades y aumento de carga operativa.
- Imagen institucional afectada en el orden nacional o regional por retrasos en la
prestación del servicio a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
- Interrupción de las operaciones de la Entidad por algunas horas.
- Reclamaciones o quejas de los usuarios que implican investigaciones internas
disciplinarias.
- Imagen institucional afectada localmente por retrasos en la prestación del servicio a los
usuarios o ciudadanos.
- No hay interrupción de las operaciones de la entidad.
- No se generan sanciones económicas o administrativas.
- No se afecta la imagen institucional de forma significativa.
Paso 3: valoración del
riesgo

Análisis del Impacto Mapa de calor (Riesgo inherente)

El impacto se debe analizar y calificar a partir de las consecuencias identificadas
en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el
impacto fue identificado como mayor por cuanto genera interrupción de las
operaciones.

Mapa de Calor
Se toma la calificación de probabilidad (resultante de la tabla Matriz de
priorización de probabilidad), en el ejemplo: probable y la calificación de
impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en
la fila y la de impacto en la columnas correspondientes, establezca el punto de
cruce de las dos y este punto corresponderá al nivel de riesgo, que para el
ejemplo es nivel extremo – color rojo R1 determinando así el riesgo
inherente..
 Paso 3: valoración del Nro PREGUNTA:
Si el riesgo de corrupción se materializa podría...
Respuesta

riesgo SI NO
1 ¿Afectar al grupo de funcionarios del proceso? X

Criterios para calificar el Impacto – Riesgos de Corrupción

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X
3 ¿Afectar el cumplimiento de misión de la Entidad? X
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? X
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X
6 ¿Generar pérdida de recursos económicos? X
7 ¿Afectar la generación de los productos o la prestación de servicios? X
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida X
del bien o servicios o los recursos públicos?
9 ¿Generar pérdida de información de la Entidad? X
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X
11 ¿Dar lugar a procesos sancionatorios? X
12 ¿Dar lugar a procesos disciplinarios? X
13 ¿Dar lugar a procesos fiscales? X
14 ¿Dar lugar a procesos penales? Nivel de X
15 ¿Generar pérdida de credibilidad del sector? Impacto X
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? MAYOR X
17 ¿Afectar la imagen regional? X
18 ¿Afectar la imagen nacional? X
Importante
Se debe diligenciar una tabla de estas por Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado. 10
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.
cada riesgo de corrupción identificado. Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.
Los niveles de impacto Insignificante y
MODERADO Genera medianas consecuencias sobre la entidad
Menor no aplica para riesgos de
MAYOR Genera altas consecuencias sobre la entidad.
corrupción.
CATASTROFICO Genera consecuencias desastrosas para la entidad
Paso 3: valoración del
riesgo

Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente)

Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en
cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos
riesgos siempre serán significativos; en este orden de ideas, no aplican los
niveles de impacto insignificante y menor, que si aplican para los demás
riesgos.
De acuerdo a la tabla de criterios para calificar el impacto de la página anterior,
Aplica para
los riesgos
nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los
de
riesgos de corrupción se califica con los mismos cinco niveles de los demás
corrupción
riesgos .
Por ultimo ubique en el mapa de calor el punto de cruce resultante de la
probabilidad y el impacto para establecer el nivel del riego inherente, para el
ejemplo corresponde a: EXTREMO R1

Importante
Aunque se utilice el mismo mapa de calor , para los riesgos de gestión y de
corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,
Mayor y Catastrófico.
Paso 4: Tratamiento del
riesgo

Es la respuesta establecida por la Primer Línea de Defensa para la

mitigación de los diferentes riesgos. Ningún riesgo de corrupción podrá ser
aceptado.

Aceptar el Riesgo Reducir el Riesgo

- FUNCIÓN PÚBLICA -
No se adopta ninguna Se adoptan medidas para
medida que afecte la reducir la probabilidad o el
probabilidad o el impacto impacto del riesgo, o ambos;
del riesgo. por lo general conlleva a la
implementación de controles.
OPCIONES DE
TRATAMIENTO

Evitar el Riesgo Compartir el Riesgo

Se abandonan las actividades Se reduce la probabilidad o el
que dan lugar al riesgo, impacto del riesgo,
decidiendo no iniciar o no transfiriendo o compartiendo
continuar con la actividad que una parte del riesgo.
causa el riesgo.
 Aceptar el Riesgo

Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto debería
aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.

RIESGO MEDIDA DE TRATAMIENTO RIESGO

ANTES DE DESPUES DE
MEDIDAS DE MEDIDA DE

- FUNCIÓN PÚBLICA -
TRATAMIENTO TRATAMIENTO

ACEPTAR

No se adopta ninguna medida que afecte la

probabilidad o el impacto del riesgo.

La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también
pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el
riesgo. En ambos escenarios debe existirun seguimiento continuo del riesgo.
 Evitar el Riesgo

Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la
cancelación de una actividad o conjunto de actividades.

RIESGO MEDIDA DE TRATAMIENTO

ANTES DE
MEDIDA DE

- FUNCIÓN PÚBLICA -
TRATAMIENTO

EVITAR

Se abandonan las actividades que dan lugar al

riesgo, decidiendo no iniciar o no continuar con la
actividad que causa el riesgo.

NO HAY RIESGOS
DESPUES DE
MEDIDA DE
TRATAMIENTO

Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos
arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo
tanto hay situaciones donde no es una opción.
 Compartir el Riesgo

Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser
compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del
riesgo.
RIESGO
MEDIDA DE TRATAMIENTO
ANTES DE
MEDIDA DE

- FUNCIÓN PÚBLICA -
TRATAMIENTO

COMPARTIR RIESGO
DESPUES DE
Se reduce la probabilidad o el impacto del riesgo, MEDIDA DE
transfiriendo o compartiendo una parte del riesgo. TRATAMIENTO

Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y
tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un
acuerdo contractual.
 Reducir el Riesgo

El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo
aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.

RIESGO
MEDIDA DE TRATAMIENTO
ANTES DE
MEDIDA DE

- FUNCIÓN PÚBLICA -
TRATAMIENTO
REDUCIR

Se adoptan medidas para reducir la probabilidad o

el impacto del riesgo, o ambos; esto conlleva a la
implementación de controles. RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO

Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo
que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.
Paso 4: Tratamiento del riesgo – Rol 1ª Línea
de Defensa

Son las acciones establecidas a través de políticas y procedimientos que

¿Qué son las Actividades de contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección
Control? para mitigar los riesgos que inciden en el cumplimiento de los objetivos.

- FUNCIÓN PÚBLICA -
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN

Políticas Procedimientos

Una política por si sola Los controles se despliegan a

no es un control. través de los procedimientos
documentados.

La actividad de control debe por si sola mitigar o

tratar la causa del riesgo y ejecutarse como parte
del día a día de las operaciones.
Paso 4: Tratamiento del riesgo – Rol 1ª Línea
de Defensa

CLASIFICACIÓN DE LAS
ACTIVIDADES DE
CONTROL

CONTROLES PREVENTIVOS
Controles que están diseñados para evitar un evento no
deseado en el momento en que se produce. Este tipo de
controles intentan evitar la ocurrencia de los riesgos que puedan
afectar el cumplimiento de los objetivos.
- FUNCIÓN PÚBLICA -
CONTROLES DETECTIVOS
Controles que están diseñados para identificar un evento o
resultado no previsto después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se
tomen las acciones correspondientes.

Revisión al cumplimiento de los requisitos Realizar una conciliación bancaria, para

contractuales, en el proceso de selección verificar que los saldos en libros corresponden
del contratista o proveedor. con los saldos en Bancos.
Diseño de Controles
PASO Debe tener definido el responsable de realizar la actividad de
1 control.

PASO
Debe tener una periodicidad definida para su ejecución.
2

- FUNCIÓN PÚBLICA -
VARIABLES A PASO
Debe indicar cuál es el propósito del control.
3
EVALUAR PARA EL
ADECUADO DISEÑO DE
PASO
CONTROLES 4
Debe establecer el cómo se realiza la actividad de control.

PASO Debe indicar qué pasa con las observaciones o desviaciones

5 resultantes de ejecutar el control.

PASO
Debe dejar evidencia de la ejecución del control.
6
PASO Debe tener definido el responsable de realizar la actividad de
1 control.

- FUNCIÓN PÚBLICA -
Cuando un control se hace de manera manual (ejecutado por Cuando el control lo hace un sistema o una aplicación de manera
personas) es importante establecer el cargo responsable de su automática a través de un sistema programado, es importante

realización. establecer como responsable de ejecutar el control, el sistema o

aplicación.

 El Profesional de Contratación
 El Auxiliar de Cartera.  El aplicativo de nomina.
 El Coordinador de Operaciones.  El aplicativo de contratación.
 La Coordinadora de Nomina.  El aplicativo de activos fijos
PASO
Debe tener una periodicidad definida para su ejecución.
2

El control debe tener una periodicidad especifica para su ejecución (diario, mensual,
trimestral, anual) .

- FUNCIÓN PÚBLICA -
Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si
con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo

 El Profesional de Contratación cada vez que se va a

realizar un contrato con un proveedor de servicios.
 El Auxiliar de Cartera mensualmente.
 El Coordinador de Operaciones diariamente
 La Coordinadora de Nomina quincenalmente
PASO
Debe indicar cuál es el propósito del control.
3

Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,
detectar)

- FUNCIÓN PÚBLICA -
 El profesional de Contratación cada vez que se va a
realizar un contrato verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación.

PASO
Debe establecer el cómo se realiza la actividad de control.
4

Cómo se realiza el control? permite evaluar si la fuente u origen de la información que

sirve para ejecutar el control, es confiable para la mitigación del riesgo.

 El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.
PASO Debe indicar qué pasa con las observaciones o desviaciones
5 resultantes de ejecutar el control.

Si como resultado de un control preventivo se observan diferencias o aspectos que no se

cumplen, la actividad no debería continuarse hasta que se subsane la situación.

- FUNCIÓN PÚBLICA -
Si es un control que detecta una posible materialización de un riesgo, debería gestionarse
de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u
observaciones.

 El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación.

Si el responsable de ejecutar el control no realiza ninguna

actividad de seguimiento a las observaciones o
desviaciones, o la actividad continúa a pesar de indicar
esas observaciones o desviaciones, el control tendría
problemas de diseño.
PASO
Debe dejar evidencia de la ejecución del control.
6

Esta evidencia ayuda a que se pueda revisar la misma información por parte de un
tercero y llegue a la misma conclusión de quien ejecutó el control.

Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros

- FUNCIÓN PÚBLICA -
establecidos en el diseño.

 El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo
diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en
los casos que aplique.
Paso 4: Tratamiento del riesgo – Rol 1ª Línea
de Defensa

Evaluación de los controles

para la mitigación de los
riesgos.

- FUNCIÓN PÚBLICA -
DISEÑO EJECUCIÓN

Que cumpla con los 6 aspectos El control se ejecuta como fue

explicados diseñado y de manera consistente.

Para la adecuada mitigación de los riesgos, no basta con

que un control este bien diseñado, el control debe
ejecutarse por parte de los responsables tal como se
diseño. Por que un control que no se ejecute, o un control
que se ejecute y este mal diseñado, no va a contribuir a la
mitigación del riesgo
Análisis y Evaluación de los Controles para
la Mitigación de los Riesgos

Criterio de Evaluación Aspecto a Evaluar en el Diseño del Control Opción de Respuesta

¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado
1. Responsable ¿El responsable tiene la autoridad y adecuada segregación de

- FUNCIÓN PÚBLICA -
Adecuado Inadecuado
funciones en la ejecución del control?
¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación
2. Periodicidad Oportuna Inoportuna
del riesgo o a detectar la materialización del riesgo de manera oportuna?
¿Las actividades que se desarrollan en el control realmente buscan por si
Prevenir
3. Propósito sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo No es un control
Detectar
Verificar, Validar Cotejar, Comparar, Revisar (…)?
4. Cómo se realiza la actividad de ¿La fuente de información que se utiliza en el desarrollo del control es
Confiable No confiable
control información confiable que permita mitigar el riesgo.
No se investigan ni
¿Las observaciones , desviaciones o diferencias identificadas como Se investigan y
5. Qué pasa con las observaciones o se resuelven
resultados de la ejecución del control son investigadas y resueltas de manera resuelven
desviaciones oportunamente
oportuna? oportunamente

¿Se deja evidencia o rastro de la ejecución del control, que permita a

6. Evidencia de Ejecución del Control Completa Incompleta
cualquier tercero con la evidencia, llegar a la misma conclusión?
Tabla de Valoración Controles (Diseño y Ejecución)
Criterio de Evaluación Opción de Respuesta al Criterio de Evaluación
Peso en la Evaluación del Diseño
Diseño del control
Rango
Asignado 15 Opción de Respuesta al Criterio
1.1. Asignación del Calificación del
de Evaluación
Responsable No asignado 0 Diseño

Adecuado 15 Fuerte Calificación entre 96 y 100

1.2. Segregación y
autoridad del responsable Inadecuado 0 Moderado Calificación entre 86 y 95

- FUNCIÓN PÚBLICA -
Oportuna 15 Calificación entre 0 y 85
Débil
2. Periodicidad
Inoportuna 0
Prevenir 15
3. Propósito Detectar 10
No es un control 0 Ejecución
4. Cómo se realiza la Confiable 15 Rango
actividad de control Opción de Respuesta al Criterio
No Confiable 0 Calificación de la
de Evaluación
ejecución
5. Qué pasa con las Se investigan y resuelven oportunamente 15
observaciones o El control se ejecuta de manera
desviaciones No se investigan ni resuelven oportunamente 0 Fuerte consistente por parte del
responsable
Completa 10
El control se ejecuta algunas veces
6. Evidencia de Ejecución Moderado
Incompleta 5 por parte del responsable
del Control
El control no se ejecuta por parte del
No Existe 0 Débil
responsable
Solidez del Control Integralmente (Diseño y Ejecución)
Peso del diseño El Control se ejecuta de manera
individual o promedio de consistente por los responsables.
los Controles. (DISEÑO) (EJECUCION)
Fuerte (Siempre se ejecuta)
Fuerte Moderado ( Algunas veces)
Calificación Entre 96 y 100 Débil (No se ejecuta)
Fuerte (Siempre se ejecuta)
Moderado Moderado (Algunas veces)
Calificación Entre 86 y 95
Débil (No se ejecuta)
Fuerte (Siempre se ejecuta)
Débil
Entre 0 y 85 Moderado (Algunas veces)
Débil (No se ejecuta)
Solidez individual de cada control Aplica acciones para
Fuerte:100 Moderado:50 fortalecer el Control
Debil:0 Si / NO
Fuerte + Fuerte = Fuerte NO
- FUNCIÓN PÚBLICA -
Fuerte + Moderado = Moderado SI
Fuerte + Débil = Débil SI
Moderado + Fuerte = Moderado SI
Moderado + Moderado = Moderado SI
Moderado + Débil = Débil SI
Débil + Fuerte = Débil SI
Débil + Moderado = Débil SI
Débil + Débil = Débil SI
Solidez del Control Integralmente (Diseño y Ejecución)

Solidez Solidez del

Diseño del Ejecución Individual del Conjunto de
Riesgos Causas o Fallas Controles
Control del Control Control Controles
Control 1 Fuerte Fuerte Fuerte (100) ¿Como
Causa 1 evaluamos la
Control 2 Fuerte Moderado Moderado (50)
Riesgo 1 solidez del

- FUNCIÓN PÚBLICA -
conjunto de los
Causa 2 Control 3 Débil Fuerte Débil (0) controles?

Calificación de la Solidez del Conjunto de Controles

El promedio de la solidez individual de cada control al
Fuerte
sumarlos y ponderarlos es igual a 100.
El promedio de la solidez individual de cada control al
Moderado
sumarlos y ponderarlos la calificación está entre 50 y 99
El promedio de la solidez individual de cada control al
Débil
sumarlos y ponderarlos la calificación es menor a 50.
Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
# Columnas en la # Columnas en la matriz
Solidez del Controles ayudan
Controles ayudan a matriz de riesgo que de riesgo que se
conjunto de los a disminuir la
disminuir Impacto se desplaza en el eje desplaza en el eje de
controles. probabilidad
de la Probabilidad Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1

- FUNCIÓN PÚBLICA -
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1

Si la solidez del conjunto de los controles es Débil, este no

disminuirá ningún cuadrante de impacto o probabilidad
asociado al riesgo.
Resultados del Mapa de Riesgo Residual.
Una vez realizado el análisis y evaluación de los controles para la mitigación de los riesgos, procedemos
a la elaboración del mapa de riesgo residual (después de los controles ).

Riesgo 1 – Inoportunidad en la adquisición de los

bienes y servicios requeridos por la entidad.
Con una calificación de riesgo inherente de

- FUNCIÓN PÚBLICA -
probabilidad e impacto como se muestra en la siguiente
gráfica:

Control - Fuerte (bien diseñados y que siempre se

ejecutan), disminuyen de manera directa la probabilidad
e indirectamente el Impacto.
En nuestro ejemplo disminuiría dos cuadrantes de
probabilidad, pasa de probable a improbable y un
cuadrante de impacto, pasa de mayor a moderado.
Mapa de Riesgos (Gestión y Corrupción)

Formato Mapa y Plan de Tratamiento de Riesgos.

Nro Riesgo Clasific Causas Probabilidad Impacto Riesgo Opción Actividad de Control Soporte Responsable Tiempo
ación Residual Manejo
1 Carencia de controles en Reducir Diseñar e implementar Procedimiento e Lista de Profesional de Siempre
Inoportunidad en la adquisición de los bienes y servicios requeridos por la

instrumentos de contratación (lista de Chequeo Contratación que se

el procedimiento de chequeo) diligenciada realice un
contratación con la contrato
Para cada contrato, verificar que la información
información suministrada por el de la carpeta
proveedor corresponda con los del cliente, y
requisitos establecidos de contratación, correos
a través de una lista de chequeo donde solicitando la
están los requisitos de información y la información
revisión con la información física faltante en
suministrada por el proveedor los casos que

Improbable

Moderado

Moderado
Operativo
entidad

aplique

Inadecuadas políticas de
operación
Mapa de Riesgos (Gestión y Corrupción)

Formato Mapa y Plan de Tratamiento de Riesgos.

Nro Riesgo Clasificación Causas Probabilidad Impacto Riesgo Opción Actividad de Control Soporte Responsable Tiempo
Residual Manejo
2 Manipulación técnica Reducir Manual de contratación Manual de Jefe de Primer
o financiera de Implementado con parámetros contratación Contratos trimestre de
los estudios previos. técnicos y financieros para cada tipo 2018
de contratación, formalizado en
Favorecimiento a uno o más proponentes específicos.

procedimiento.

Pliegos que establecen Reducir Conformar un comité técnico Acto Jefe de Trimestralme
reglas, fórmulas multidisciplinario. administrativo Contratos nte
matemáticas, condiciones conformando
o requisitos comité

Catastrófico
Corrupción

Probable
para favorecer a

Mayor
determinados proponentes.

Pliegos que restringen Reducir Difusión y capacitación Actas de Director Del

la participación a todos los capacitación Talento 01012018 al
o pluralidad de funcionarios del Humano 31032018
ofertas. proceso.
Acción de Iniciar la investigación disciplinaria, Comunicación Jefe Control 1 semana
Contingenci fiscal o remitir a las instancias iniciando o Disciplinario una vez el
a correspondientes para el proceso remitiendo Interno riesgo de
penal. investigación iliquidez se
materialice
Monitoreo y Revisión – Rol de las Líneas de
Defensa.

El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través
de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:

LÍNEA ESTRATÉGICA
Define el marco general para la gestión del riesgo y el control
A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno

- FUNCIÓN PÚBLICA -
1ª. Línea de Defensa 2ª. Línea de Defensa 3ª. Línea de Defensa
• Controles de Gerencia Operativa (Líderes de
• Media y Alta Gerencia (Líderes de Proceso, • A cargo de la Oficina de Control Interno,
proceso y sus equipos).
Coordinadores, responsables de proyectos, Auditoría Interna o quién haga sus veces
entre otros).
• La gestión operacional se encarga del
• Proporciona Información sobre la
mantenimiento efectivo de controles internos,
• Asegura que los controles y procesos de efectividad del SCI., la operación de la
ejecutar procedimientos de riesgo y el control
gestión del riesgo de la 1ª Línea de Defensa • 1ª y 2ª Línea de defensa con un enfoque
sobre una base del día a día. La gestión
sean apropiados y funcionen correctamente. basado en riesgos
operacional identifica, evalúa, controla y
mitiga los riesgos.

Evaluación
Autocontrol Autoevaluación Independiente
Línea Estratégica
Formular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar los niveles de la aceptación o tolerancia al riesgo.
Generar lineamientos y dar a conocer cambios en el entorno (interno y externo) que puedan afectar el logro de los objetivos.
Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base para llevar a cabo la identificación de los
riesgos.
1a Línea de defensa
Conforme a lo establecido en la política de
administración del riesgo Identificar y dar
tratamiento a los riesgos que afectan los objetivos
operacionales de su proceso; definir y diseñar los
controles a los riesgos; elaborar, hacer seguimiento
y actualizar el mapa de riesgos de su proceso.
Oficinas de Planeación o quienes hacen sus
veces:
Definir mecanismos que permitan dar a conocer y
profundizar en los servidores la política de
riesgos, su metodología y correcta aplicación.
Asesorar a los líderes de los procesos y sus
equipos en la identificación de riesgos a los
procesos, acorde con la política de riesgos
establecida.
Trabajar de forma coordinada con la OCI de la
entidad para la incorporación de mejoras a la
gestión del riesgo en la entidad.
2a Línea de defensa
Oficinas de Planeación o quienes hacen sus veces:
Monitorear el seguimiento a los riesgos institucionales y generar
reportes que permitan incorporar mejoras, tanto a los riesgos
identificados como a los controles aplicados.
Elaborar informes consolidados acorde con los estándares de
reporte definidos por la Alta Dirección en los temas clave
establecidos, con especial énfasis la gestión del riesgo y su
impacto frente al logro de los objetivos.
Monitorear los riesgos definidos como aceptables en la Política
de Riesgos Institucional y generar las alertas al Comité
Institucional de Coordinación de Control Interno sobre posibles
cambios en los factores de riesgo analizados.
Líderes de Proceso
Generar reportes a la Oficina Asesora de Planeación, así como
a la OCI en relación con materializaciones de riesgo, a fin de
tomar las acciones correspondientes.
Informar oportunamente a la Oficina Asesora de Planeación
sobre cambios en los factores internos o externos que afecten la
identificación de riesgos del proceso.
3a Línea de defensa
Oficinas de CI o quienes hagan sus veces
Realizar evaluación independiente al
cumplimiento y efectividad de la Política de
Administración del Riesgo, los mecanismos de
evaluación del riesgo y la efectividad de los
controles, en cumplimiento de su rol “Evaluación
de la Gestión del Riesgo”.
Alertar sobre la probabilidad de riesgo de fraude
o corrupción en las áreas auditadas
Evaluar la efectividad y la aplicación de
controles, planes de contingencia y actividades
de monitoreo vinculadas a los cambios que
pueden afectar el Sistema de Control Interno
para el cumplimiento de los objetivos.
Dirección de Gestión y Desempeño Institucional

- FUNCIÓN PÚBLICA -
eva@funcionpublica.gov.co
Tel: 7395656 exts. 610 hasta 620
Secretaria de Transparencia
Teléfono: 562 9300

www.funcionpublica.gov.co/ eva/mipg/.