guía para la administración del riesgo y el diseño de
TRANSCRIPT
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Co
n los servidores
por los ciudadanosantildeos
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2
D E P A R T A M E N T OA D M I N I S T R A T I V OD E L A F U N C I Oacute NP Uacute B L I C A
B O G O T Aacute C O L O M B I A
O C T U B R E 2 0 1 8
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3
Presidencia de la Repuacuteblica
Ivaacuten Duque Maacuterquez
Presidente de la Repuacuteblica
Martha Luciacutea Ramiacuterez de Rincoacuten
Vicepresidente de la Repuacuteblica
Andreacutes Joseacute Rugeles Pineda
Secretario de Transparencia
Ministerio de las Tecnologiacuteas de la
Informacioacuten y las Comunicaciones
Sylvia Cristina Constaiacuten Rengifo
Ministra TIC
Carlos Eduardo Rozo Bolantildeos
Director de Gobierno Digital
Departamento Administrativo de la
Funcioacuten Puacuteblica
Fernando Antonio Grillo Rubiano
Director
Mariacutea del Pilar Garciacutea Gonzaacutelez
Directora de Gestioacuten y Desempentildeo
Institucional
Equipo de trabajo
Presidencia de la Repuacuteblica - Secretaria de Transparencia
Martha Ligia Ortega Santamariacutea
Ana Paulina Sabbagh Acevedo
Mariacutea Victoria Sepuacutelveda Rincoacuten
Ministerio de las Tecnologiacuteas de la
Informacioacuten y las Comunicaciones
- Grupo Interno de Seguridad y
Privacidad de la Informacioacuten
Juan Carlos Valenzuela Buitrago
Senen Nintildeo Gil
Departamento Administrativo
de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 739 5656 86 - Fax 739 5657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
Aacutengela Janeth Corteacutes Hernaacutendez
Albert Cuesta Goacutemez
Departamento Administrativo de la Funcioacuten
Puacuteblica ndash Direccioacuten de Gestioacuten y Desempentildeo
Institucional Grupo de Anaacutelisis y Poliacutetica
Diana Mariacutea Caldas Gualteros
Dolly Amaya Caballero
Eva Mercedes Rojas Valdeacutes
Myrian Cubillos Benavides
Dorley Enrique Leoacuten Loacutepez
Edwin Arley Giraldo
Edicioacuten
Carolina Mogolloacuten Delgado
Direccioacuten de Gestioacuten del Conocimiento
Disentildeo y diagramacioacuten
Susana Bonilla Guzmaacuten
Oficina Asesora de Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4
ContenidoPresentacioacuten 6
Objetivos 7
Conceptos baacutesicos 8
Antes de iniciar la metodologiacutea 10
Acerca de la metodologiacutea 13
P A S O 1 P O L Iacute T I C A A D M I N I S T R A C I Oacute N D E R I E S G O S 14
P A S O 2 I D E N T I F I C A C I Oacute N D E R I E S G O S 17
21 Establecimiento del contexto 19
211 Contexto interno 16
212 Contexto externo19
213 Contexto del proceso 19
214 Identificacioacuten de activos de seguridad de la informacioacuten 21
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos de gestioacuten y corrupcioacuten 22
221 Teacutecnicas para la redaccioacuten de riesgos 27
222 Tipologiacutea de riesgos 28
P A S O 3 V A L O R A C I Oacute N D E R I E S G O S 36
31 Anaacutelisis de riesgos 37
311 Anaacutelisis de causas 37
312 Caacutelculo de la probabilidad 38
313 Anaacutelisis del impacto (riesgos de gestioacuten y corrupcioacuten) 44
32 Evaluacioacuten de riesgos 48
321 Anaacutelisis preliminar (riesgo inherente) 48
322 Valoracioacuten de los controles (disentildeo de controles) 49
323 Nivel de riesgo (riesgo residual) 66
33 Monitoreo y revisioacuten 75
34 Seguimiento de riesgos de corrupcioacuten 87
Comunicacioacuten y consulta 88
Informacioacuten comunicacioacuten y reporte 90
Referencias 92
Anexos 93
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5
Iacutendice de tablas Tabla 1 Factores para cada categoriacutea del contexto 20
Tabla 2 Criterios para calificar la probabilidad 39
Tabla 3 Criterios para calificar el impacto - riesgos de gestioacuten 40
Tabla 4 Criterios para calificar el impacto - riesgos de seguridad digital 42
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten 46
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los riesgos 60
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del control para la mitigacioacuten del riesgo 61
Tabla 8 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos 66
Iacutendice de esquemas Esquema 1 Conocimiento y anaacutelisis de la entidad 11
Esquema 2 Metodologiacutea para la administracioacuten del riesgo 13
Esquema 3 Estructuracioacuten de la poliacutetica de administracioacuten de riesgos14
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo 18
Esquema 5 Anaacutelisis del contexto externo interno y del proceso 19
Esquema 6 Redaccioacuten del riesgo 27
Esquema 7 Valoracioacuten de riesgos 36
Esquema 8 Anaacutelisis de riesgos37
Esquema 9 Riesgo antes y despueacutes de controles 48
Esquema 10 Pasos para disentildear un control 49
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los riesgos 59
Esquema 12 Solidez del conjunto de controles 64
Esquema 13 Consolidacioacuten del Plan de Tratamiento de Riesgos 81
Esquema 14 Comunicacioacuten y consulta - aspecto transversal 89
Esquema 15 Responsabilidades por liacutenea de defensa para la informacioacuten comunicacioacuten y
reporte 90
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6
PresentacioacutenEl Consejo Asesor del Gobierno nacional en materia de control
interno consideroacute necesario unificar la metodologiacutea existente para la
administracioacuten del riesgo de gestioacuten y corrupcioacuten con el fin de hacer maacutes
sencilla la utilizacioacuten de esta herramienta gerencial para las entidades
puacuteblicas y asiacute evitar duplicidades o reprocesos
Igualmente en respuesta a las conclusiones emitidas por la Contraloriacutea
General de la Repuacuteblica que producto de su labor como ente de control
fiscal durante las uacuteltimas vigencias encontroacute una marcada debilidad en el
ejercicio del control interno efectuado por las entidades puacuteblicas tanto del
orden nacional como territorial Es decir se hizo evidente la importancia
de fortalecer la metodologiacutea para disentildear y aplicar controles que permitan
asegurar el logro de los objetivos
Con de la entrada en vigencia del modelo integrado de planeacioacuten y gestioacuten
(MIPG) que integra los sistemas de gestioacuten de la calidad y de desarrollo
administrativo se crea un uacutenico sistema de gestioacuten articulado con el sistema
de control interno el cual se actualiza y alinea con los mejores estaacutendares
internacionales como son el modelo COSO 2013 COSO ERM 2017 y el
modelo de las tres liacuteneas de defensa Lo anterior con el fin de entregar a
los ciudadanos lo mejor de la gestioacuten y en consecuencia producir cambios
en las condiciones de vida mayor valor puacuteblico en teacuterminos de bienestar
prosperidad general y fortalecer la lucha contra la corrupcioacuten
El Departamento Administrativo de la Funcioacuten Puacuteblica la Secretariacutea
de Transparencia de la Presidencia de la Repuacuteblica y el Ministerio de
Tecnologiacuteas de la Informacioacuten y Comunicaciones presentan la ldquoGuiacutea para
la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
Riesgos de gestioacuten corrupcioacuten y seguridad digital Disentildeo de Controles
en Entidades Puacuteblicasrdquo incluidos sus anexos como una herramienta con
enfoque preventivo vanguardista y proactivo que permitiraacute el manejo del
riesgo asiacute como el control en todos los niveles de la entidad puacuteblica
brindando seguridad razonable frente al logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7
Objetivos Unificar los lineamientos en los aspectos comunes de las
metodologiacuteas para la administracioacuten de todo tipo de riesgos y
fortalecer el enfoque preventivo con el fin de facilitar a las
entidades la identificacioacuten y tratamiento de cada uno de ellos
Suministrar una metodologiacutea que permita a todas las entidades
gestionar de manera efectiva los riesgos que afectan el logro de
los objetivos estrateacutegicos y de proceso
Ofrecer herramientas para identificar analizar evaluar los
riesgos y determinar roles y responsabilidades de cada uno de
los servidores de la entidad (esquema de las liacuteneas de defensa)
en los riesgos de gestioacuten
Suministrar lineamientos basados en una adecuada gestioacuten del
riesgo y control a los mismos que permitan a la alta direccioacuten de
las entidades tener una seguridad razonable en el logro de sus
objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2
D E P A R T A M E N T OA D M I N I S T R A T I V OD E L A F U N C I Oacute NP Uacute B L I C A
B O G O T Aacute C O L O M B I A
O C T U B R E 2 0 1 8
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3
Presidencia de la Repuacuteblica
Ivaacuten Duque Maacuterquez
Presidente de la Repuacuteblica
Martha Luciacutea Ramiacuterez de Rincoacuten
Vicepresidente de la Repuacuteblica
Andreacutes Joseacute Rugeles Pineda
Secretario de Transparencia
Ministerio de las Tecnologiacuteas de la
Informacioacuten y las Comunicaciones
Sylvia Cristina Constaiacuten Rengifo
Ministra TIC
Carlos Eduardo Rozo Bolantildeos
Director de Gobierno Digital
Departamento Administrativo de la
Funcioacuten Puacuteblica
Fernando Antonio Grillo Rubiano
Director
Mariacutea del Pilar Garciacutea Gonzaacutelez
Directora de Gestioacuten y Desempentildeo
Institucional
Equipo de trabajo
Presidencia de la Repuacuteblica - Secretaria de Transparencia
Martha Ligia Ortega Santamariacutea
Ana Paulina Sabbagh Acevedo
Mariacutea Victoria Sepuacutelveda Rincoacuten
Ministerio de las Tecnologiacuteas de la
Informacioacuten y las Comunicaciones
- Grupo Interno de Seguridad y
Privacidad de la Informacioacuten
Juan Carlos Valenzuela Buitrago
Senen Nintildeo Gil
Departamento Administrativo
de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 739 5656 86 - Fax 739 5657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
Aacutengela Janeth Corteacutes Hernaacutendez
Albert Cuesta Goacutemez
Departamento Administrativo de la Funcioacuten
Puacuteblica ndash Direccioacuten de Gestioacuten y Desempentildeo
Institucional Grupo de Anaacutelisis y Poliacutetica
Diana Mariacutea Caldas Gualteros
Dolly Amaya Caballero
Eva Mercedes Rojas Valdeacutes
Myrian Cubillos Benavides
Dorley Enrique Leoacuten Loacutepez
Edwin Arley Giraldo
Edicioacuten
Carolina Mogolloacuten Delgado
Direccioacuten de Gestioacuten del Conocimiento
Disentildeo y diagramacioacuten
Susana Bonilla Guzmaacuten
Oficina Asesora de Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4
ContenidoPresentacioacuten 6
Objetivos 7
Conceptos baacutesicos 8
Antes de iniciar la metodologiacutea 10
Acerca de la metodologiacutea 13
P A S O 1 P O L Iacute T I C A A D M I N I S T R A C I Oacute N D E R I E S G O S 14
P A S O 2 I D E N T I F I C A C I Oacute N D E R I E S G O S 17
21 Establecimiento del contexto 19
211 Contexto interno 16
212 Contexto externo19
213 Contexto del proceso 19
214 Identificacioacuten de activos de seguridad de la informacioacuten 21
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos de gestioacuten y corrupcioacuten 22
221 Teacutecnicas para la redaccioacuten de riesgos 27
222 Tipologiacutea de riesgos 28
P A S O 3 V A L O R A C I Oacute N D E R I E S G O S 36
31 Anaacutelisis de riesgos 37
311 Anaacutelisis de causas 37
312 Caacutelculo de la probabilidad 38
313 Anaacutelisis del impacto (riesgos de gestioacuten y corrupcioacuten) 44
32 Evaluacioacuten de riesgos 48
321 Anaacutelisis preliminar (riesgo inherente) 48
322 Valoracioacuten de los controles (disentildeo de controles) 49
323 Nivel de riesgo (riesgo residual) 66
33 Monitoreo y revisioacuten 75
34 Seguimiento de riesgos de corrupcioacuten 87
Comunicacioacuten y consulta 88
Informacioacuten comunicacioacuten y reporte 90
Referencias 92
Anexos 93
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5
Iacutendice de tablas Tabla 1 Factores para cada categoriacutea del contexto 20
Tabla 2 Criterios para calificar la probabilidad 39
Tabla 3 Criterios para calificar el impacto - riesgos de gestioacuten 40
Tabla 4 Criterios para calificar el impacto - riesgos de seguridad digital 42
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten 46
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los riesgos 60
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del control para la mitigacioacuten del riesgo 61
Tabla 8 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos 66
Iacutendice de esquemas Esquema 1 Conocimiento y anaacutelisis de la entidad 11
Esquema 2 Metodologiacutea para la administracioacuten del riesgo 13
Esquema 3 Estructuracioacuten de la poliacutetica de administracioacuten de riesgos14
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo 18
Esquema 5 Anaacutelisis del contexto externo interno y del proceso 19
Esquema 6 Redaccioacuten del riesgo 27
Esquema 7 Valoracioacuten de riesgos 36
Esquema 8 Anaacutelisis de riesgos37
Esquema 9 Riesgo antes y despueacutes de controles 48
Esquema 10 Pasos para disentildear un control 49
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los riesgos 59
Esquema 12 Solidez del conjunto de controles 64
Esquema 13 Consolidacioacuten del Plan de Tratamiento de Riesgos 81
Esquema 14 Comunicacioacuten y consulta - aspecto transversal 89
Esquema 15 Responsabilidades por liacutenea de defensa para la informacioacuten comunicacioacuten y
reporte 90
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6
PresentacioacutenEl Consejo Asesor del Gobierno nacional en materia de control
interno consideroacute necesario unificar la metodologiacutea existente para la
administracioacuten del riesgo de gestioacuten y corrupcioacuten con el fin de hacer maacutes
sencilla la utilizacioacuten de esta herramienta gerencial para las entidades
puacuteblicas y asiacute evitar duplicidades o reprocesos
Igualmente en respuesta a las conclusiones emitidas por la Contraloriacutea
General de la Repuacuteblica que producto de su labor como ente de control
fiscal durante las uacuteltimas vigencias encontroacute una marcada debilidad en el
ejercicio del control interno efectuado por las entidades puacuteblicas tanto del
orden nacional como territorial Es decir se hizo evidente la importancia
de fortalecer la metodologiacutea para disentildear y aplicar controles que permitan
asegurar el logro de los objetivos
Con de la entrada en vigencia del modelo integrado de planeacioacuten y gestioacuten
(MIPG) que integra los sistemas de gestioacuten de la calidad y de desarrollo
administrativo se crea un uacutenico sistema de gestioacuten articulado con el sistema
de control interno el cual se actualiza y alinea con los mejores estaacutendares
internacionales como son el modelo COSO 2013 COSO ERM 2017 y el
modelo de las tres liacuteneas de defensa Lo anterior con el fin de entregar a
los ciudadanos lo mejor de la gestioacuten y en consecuencia producir cambios
en las condiciones de vida mayor valor puacuteblico en teacuterminos de bienestar
prosperidad general y fortalecer la lucha contra la corrupcioacuten
El Departamento Administrativo de la Funcioacuten Puacuteblica la Secretariacutea
de Transparencia de la Presidencia de la Repuacuteblica y el Ministerio de
Tecnologiacuteas de la Informacioacuten y Comunicaciones presentan la ldquoGuiacutea para
la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
Riesgos de gestioacuten corrupcioacuten y seguridad digital Disentildeo de Controles
en Entidades Puacuteblicasrdquo incluidos sus anexos como una herramienta con
enfoque preventivo vanguardista y proactivo que permitiraacute el manejo del
riesgo asiacute como el control en todos los niveles de la entidad puacuteblica
brindando seguridad razonable frente al logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7
Objetivos Unificar los lineamientos en los aspectos comunes de las
metodologiacuteas para la administracioacuten de todo tipo de riesgos y
fortalecer el enfoque preventivo con el fin de facilitar a las
entidades la identificacioacuten y tratamiento de cada uno de ellos
Suministrar una metodologiacutea que permita a todas las entidades
gestionar de manera efectiva los riesgos que afectan el logro de
los objetivos estrateacutegicos y de proceso
Ofrecer herramientas para identificar analizar evaluar los
riesgos y determinar roles y responsabilidades de cada uno de
los servidores de la entidad (esquema de las liacuteneas de defensa)
en los riesgos de gestioacuten
Suministrar lineamientos basados en una adecuada gestioacuten del
riesgo y control a los mismos que permitan a la alta direccioacuten de
las entidades tener una seguridad razonable en el logro de sus
objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3
Presidencia de la Repuacuteblica
Ivaacuten Duque Maacuterquez
Presidente de la Repuacuteblica
Martha Luciacutea Ramiacuterez de Rincoacuten
Vicepresidente de la Repuacuteblica
Andreacutes Joseacute Rugeles Pineda
Secretario de Transparencia
Ministerio de las Tecnologiacuteas de la
Informacioacuten y las Comunicaciones
Sylvia Cristina Constaiacuten Rengifo
Ministra TIC
Carlos Eduardo Rozo Bolantildeos
Director de Gobierno Digital
Departamento Administrativo de la
Funcioacuten Puacuteblica
Fernando Antonio Grillo Rubiano
Director
Mariacutea del Pilar Garciacutea Gonzaacutelez
Directora de Gestioacuten y Desempentildeo
Institucional
Equipo de trabajo
Presidencia de la Repuacuteblica - Secretaria de Transparencia
Martha Ligia Ortega Santamariacutea
Ana Paulina Sabbagh Acevedo
Mariacutea Victoria Sepuacutelveda Rincoacuten
Ministerio de las Tecnologiacuteas de la
Informacioacuten y las Comunicaciones
- Grupo Interno de Seguridad y
Privacidad de la Informacioacuten
Juan Carlos Valenzuela Buitrago
Senen Nintildeo Gil
Departamento Administrativo
de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 739 5656 86 - Fax 739 5657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
Aacutengela Janeth Corteacutes Hernaacutendez
Albert Cuesta Goacutemez
Departamento Administrativo de la Funcioacuten
Puacuteblica ndash Direccioacuten de Gestioacuten y Desempentildeo
Institucional Grupo de Anaacutelisis y Poliacutetica
Diana Mariacutea Caldas Gualteros
Dolly Amaya Caballero
Eva Mercedes Rojas Valdeacutes
Myrian Cubillos Benavides
Dorley Enrique Leoacuten Loacutepez
Edwin Arley Giraldo
Edicioacuten
Carolina Mogolloacuten Delgado
Direccioacuten de Gestioacuten del Conocimiento
Disentildeo y diagramacioacuten
Susana Bonilla Guzmaacuten
Oficina Asesora de Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4
ContenidoPresentacioacuten 6
Objetivos 7
Conceptos baacutesicos 8
Antes de iniciar la metodologiacutea 10
Acerca de la metodologiacutea 13
P A S O 1 P O L Iacute T I C A A D M I N I S T R A C I Oacute N D E R I E S G O S 14
P A S O 2 I D E N T I F I C A C I Oacute N D E R I E S G O S 17
21 Establecimiento del contexto 19
211 Contexto interno 16
212 Contexto externo19
213 Contexto del proceso 19
214 Identificacioacuten de activos de seguridad de la informacioacuten 21
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos de gestioacuten y corrupcioacuten 22
221 Teacutecnicas para la redaccioacuten de riesgos 27
222 Tipologiacutea de riesgos 28
P A S O 3 V A L O R A C I Oacute N D E R I E S G O S 36
31 Anaacutelisis de riesgos 37
311 Anaacutelisis de causas 37
312 Caacutelculo de la probabilidad 38
313 Anaacutelisis del impacto (riesgos de gestioacuten y corrupcioacuten) 44
32 Evaluacioacuten de riesgos 48
321 Anaacutelisis preliminar (riesgo inherente) 48
322 Valoracioacuten de los controles (disentildeo de controles) 49
323 Nivel de riesgo (riesgo residual) 66
33 Monitoreo y revisioacuten 75
34 Seguimiento de riesgos de corrupcioacuten 87
Comunicacioacuten y consulta 88
Informacioacuten comunicacioacuten y reporte 90
Referencias 92
Anexos 93
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5
Iacutendice de tablas Tabla 1 Factores para cada categoriacutea del contexto 20
Tabla 2 Criterios para calificar la probabilidad 39
Tabla 3 Criterios para calificar el impacto - riesgos de gestioacuten 40
Tabla 4 Criterios para calificar el impacto - riesgos de seguridad digital 42
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten 46
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los riesgos 60
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del control para la mitigacioacuten del riesgo 61
Tabla 8 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos 66
Iacutendice de esquemas Esquema 1 Conocimiento y anaacutelisis de la entidad 11
Esquema 2 Metodologiacutea para la administracioacuten del riesgo 13
Esquema 3 Estructuracioacuten de la poliacutetica de administracioacuten de riesgos14
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo 18
Esquema 5 Anaacutelisis del contexto externo interno y del proceso 19
Esquema 6 Redaccioacuten del riesgo 27
Esquema 7 Valoracioacuten de riesgos 36
Esquema 8 Anaacutelisis de riesgos37
Esquema 9 Riesgo antes y despueacutes de controles 48
Esquema 10 Pasos para disentildear un control 49
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los riesgos 59
Esquema 12 Solidez del conjunto de controles 64
Esquema 13 Consolidacioacuten del Plan de Tratamiento de Riesgos 81
Esquema 14 Comunicacioacuten y consulta - aspecto transversal 89
Esquema 15 Responsabilidades por liacutenea de defensa para la informacioacuten comunicacioacuten y
reporte 90
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6
PresentacioacutenEl Consejo Asesor del Gobierno nacional en materia de control
interno consideroacute necesario unificar la metodologiacutea existente para la
administracioacuten del riesgo de gestioacuten y corrupcioacuten con el fin de hacer maacutes
sencilla la utilizacioacuten de esta herramienta gerencial para las entidades
puacuteblicas y asiacute evitar duplicidades o reprocesos
Igualmente en respuesta a las conclusiones emitidas por la Contraloriacutea
General de la Repuacuteblica que producto de su labor como ente de control
fiscal durante las uacuteltimas vigencias encontroacute una marcada debilidad en el
ejercicio del control interno efectuado por las entidades puacuteblicas tanto del
orden nacional como territorial Es decir se hizo evidente la importancia
de fortalecer la metodologiacutea para disentildear y aplicar controles que permitan
asegurar el logro de los objetivos
Con de la entrada en vigencia del modelo integrado de planeacioacuten y gestioacuten
(MIPG) que integra los sistemas de gestioacuten de la calidad y de desarrollo
administrativo se crea un uacutenico sistema de gestioacuten articulado con el sistema
de control interno el cual se actualiza y alinea con los mejores estaacutendares
internacionales como son el modelo COSO 2013 COSO ERM 2017 y el
modelo de las tres liacuteneas de defensa Lo anterior con el fin de entregar a
los ciudadanos lo mejor de la gestioacuten y en consecuencia producir cambios
en las condiciones de vida mayor valor puacuteblico en teacuterminos de bienestar
prosperidad general y fortalecer la lucha contra la corrupcioacuten
El Departamento Administrativo de la Funcioacuten Puacuteblica la Secretariacutea
de Transparencia de la Presidencia de la Repuacuteblica y el Ministerio de
Tecnologiacuteas de la Informacioacuten y Comunicaciones presentan la ldquoGuiacutea para
la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
Riesgos de gestioacuten corrupcioacuten y seguridad digital Disentildeo de Controles
en Entidades Puacuteblicasrdquo incluidos sus anexos como una herramienta con
enfoque preventivo vanguardista y proactivo que permitiraacute el manejo del
riesgo asiacute como el control en todos los niveles de la entidad puacuteblica
brindando seguridad razonable frente al logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7
Objetivos Unificar los lineamientos en los aspectos comunes de las
metodologiacuteas para la administracioacuten de todo tipo de riesgos y
fortalecer el enfoque preventivo con el fin de facilitar a las
entidades la identificacioacuten y tratamiento de cada uno de ellos
Suministrar una metodologiacutea que permita a todas las entidades
gestionar de manera efectiva los riesgos que afectan el logro de
los objetivos estrateacutegicos y de proceso
Ofrecer herramientas para identificar analizar evaluar los
riesgos y determinar roles y responsabilidades de cada uno de
los servidores de la entidad (esquema de las liacuteneas de defensa)
en los riesgos de gestioacuten
Suministrar lineamientos basados en una adecuada gestioacuten del
riesgo y control a los mismos que permitan a la alta direccioacuten de
las entidades tener una seguridad razonable en el logro de sus
objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4
ContenidoPresentacioacuten 6
Objetivos 7
Conceptos baacutesicos 8
Antes de iniciar la metodologiacutea 10
Acerca de la metodologiacutea 13
P A S O 1 P O L Iacute T I C A A D M I N I S T R A C I Oacute N D E R I E S G O S 14
P A S O 2 I D E N T I F I C A C I Oacute N D E R I E S G O S 17
21 Establecimiento del contexto 19
211 Contexto interno 16
212 Contexto externo19
213 Contexto del proceso 19
214 Identificacioacuten de activos de seguridad de la informacioacuten 21
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos de gestioacuten y corrupcioacuten 22
221 Teacutecnicas para la redaccioacuten de riesgos 27
222 Tipologiacutea de riesgos 28
P A S O 3 V A L O R A C I Oacute N D E R I E S G O S 36
31 Anaacutelisis de riesgos 37
311 Anaacutelisis de causas 37
312 Caacutelculo de la probabilidad 38
313 Anaacutelisis del impacto (riesgos de gestioacuten y corrupcioacuten) 44
32 Evaluacioacuten de riesgos 48
321 Anaacutelisis preliminar (riesgo inherente) 48
322 Valoracioacuten de los controles (disentildeo de controles) 49
323 Nivel de riesgo (riesgo residual) 66
33 Monitoreo y revisioacuten 75
34 Seguimiento de riesgos de corrupcioacuten 87
Comunicacioacuten y consulta 88
Informacioacuten comunicacioacuten y reporte 90
Referencias 92
Anexos 93
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5
Iacutendice de tablas Tabla 1 Factores para cada categoriacutea del contexto 20
Tabla 2 Criterios para calificar la probabilidad 39
Tabla 3 Criterios para calificar el impacto - riesgos de gestioacuten 40
Tabla 4 Criterios para calificar el impacto - riesgos de seguridad digital 42
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten 46
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los riesgos 60
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del control para la mitigacioacuten del riesgo 61
Tabla 8 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos 66
Iacutendice de esquemas Esquema 1 Conocimiento y anaacutelisis de la entidad 11
Esquema 2 Metodologiacutea para la administracioacuten del riesgo 13
Esquema 3 Estructuracioacuten de la poliacutetica de administracioacuten de riesgos14
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo 18
Esquema 5 Anaacutelisis del contexto externo interno y del proceso 19
Esquema 6 Redaccioacuten del riesgo 27
Esquema 7 Valoracioacuten de riesgos 36
Esquema 8 Anaacutelisis de riesgos37
Esquema 9 Riesgo antes y despueacutes de controles 48
Esquema 10 Pasos para disentildear un control 49
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los riesgos 59
Esquema 12 Solidez del conjunto de controles 64
Esquema 13 Consolidacioacuten del Plan de Tratamiento de Riesgos 81
Esquema 14 Comunicacioacuten y consulta - aspecto transversal 89
Esquema 15 Responsabilidades por liacutenea de defensa para la informacioacuten comunicacioacuten y
reporte 90
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6
PresentacioacutenEl Consejo Asesor del Gobierno nacional en materia de control
interno consideroacute necesario unificar la metodologiacutea existente para la
administracioacuten del riesgo de gestioacuten y corrupcioacuten con el fin de hacer maacutes
sencilla la utilizacioacuten de esta herramienta gerencial para las entidades
puacuteblicas y asiacute evitar duplicidades o reprocesos
Igualmente en respuesta a las conclusiones emitidas por la Contraloriacutea
General de la Repuacuteblica que producto de su labor como ente de control
fiscal durante las uacuteltimas vigencias encontroacute una marcada debilidad en el
ejercicio del control interno efectuado por las entidades puacuteblicas tanto del
orden nacional como territorial Es decir se hizo evidente la importancia
de fortalecer la metodologiacutea para disentildear y aplicar controles que permitan
asegurar el logro de los objetivos
Con de la entrada en vigencia del modelo integrado de planeacioacuten y gestioacuten
(MIPG) que integra los sistemas de gestioacuten de la calidad y de desarrollo
administrativo se crea un uacutenico sistema de gestioacuten articulado con el sistema
de control interno el cual se actualiza y alinea con los mejores estaacutendares
internacionales como son el modelo COSO 2013 COSO ERM 2017 y el
modelo de las tres liacuteneas de defensa Lo anterior con el fin de entregar a
los ciudadanos lo mejor de la gestioacuten y en consecuencia producir cambios
en las condiciones de vida mayor valor puacuteblico en teacuterminos de bienestar
prosperidad general y fortalecer la lucha contra la corrupcioacuten
El Departamento Administrativo de la Funcioacuten Puacuteblica la Secretariacutea
de Transparencia de la Presidencia de la Repuacuteblica y el Ministerio de
Tecnologiacuteas de la Informacioacuten y Comunicaciones presentan la ldquoGuiacutea para
la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
Riesgos de gestioacuten corrupcioacuten y seguridad digital Disentildeo de Controles
en Entidades Puacuteblicasrdquo incluidos sus anexos como una herramienta con
enfoque preventivo vanguardista y proactivo que permitiraacute el manejo del
riesgo asiacute como el control en todos los niveles de la entidad puacuteblica
brindando seguridad razonable frente al logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7
Objetivos Unificar los lineamientos en los aspectos comunes de las
metodologiacuteas para la administracioacuten de todo tipo de riesgos y
fortalecer el enfoque preventivo con el fin de facilitar a las
entidades la identificacioacuten y tratamiento de cada uno de ellos
Suministrar una metodologiacutea que permita a todas las entidades
gestionar de manera efectiva los riesgos que afectan el logro de
los objetivos estrateacutegicos y de proceso
Ofrecer herramientas para identificar analizar evaluar los
riesgos y determinar roles y responsabilidades de cada uno de
los servidores de la entidad (esquema de las liacuteneas de defensa)
en los riesgos de gestioacuten
Suministrar lineamientos basados en una adecuada gestioacuten del
riesgo y control a los mismos que permitan a la alta direccioacuten de
las entidades tener una seguridad razonable en el logro de sus
objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5
Iacutendice de tablas Tabla 1 Factores para cada categoriacutea del contexto 20
Tabla 2 Criterios para calificar la probabilidad 39
Tabla 3 Criterios para calificar el impacto - riesgos de gestioacuten 40
Tabla 4 Criterios para calificar el impacto - riesgos de seguridad digital 42
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten 46
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los riesgos 60
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del control para la mitigacioacuten del riesgo 61
Tabla 8 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos 66
Iacutendice de esquemas Esquema 1 Conocimiento y anaacutelisis de la entidad 11
Esquema 2 Metodologiacutea para la administracioacuten del riesgo 13
Esquema 3 Estructuracioacuten de la poliacutetica de administracioacuten de riesgos14
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo 18
Esquema 5 Anaacutelisis del contexto externo interno y del proceso 19
Esquema 6 Redaccioacuten del riesgo 27
Esquema 7 Valoracioacuten de riesgos 36
Esquema 8 Anaacutelisis de riesgos37
Esquema 9 Riesgo antes y despueacutes de controles 48
Esquema 10 Pasos para disentildear un control 49
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los riesgos 59
Esquema 12 Solidez del conjunto de controles 64
Esquema 13 Consolidacioacuten del Plan de Tratamiento de Riesgos 81
Esquema 14 Comunicacioacuten y consulta - aspecto transversal 89
Esquema 15 Responsabilidades por liacutenea de defensa para la informacioacuten comunicacioacuten y
reporte 90
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6
PresentacioacutenEl Consejo Asesor del Gobierno nacional en materia de control
interno consideroacute necesario unificar la metodologiacutea existente para la
administracioacuten del riesgo de gestioacuten y corrupcioacuten con el fin de hacer maacutes
sencilla la utilizacioacuten de esta herramienta gerencial para las entidades
puacuteblicas y asiacute evitar duplicidades o reprocesos
Igualmente en respuesta a las conclusiones emitidas por la Contraloriacutea
General de la Repuacuteblica que producto de su labor como ente de control
fiscal durante las uacuteltimas vigencias encontroacute una marcada debilidad en el
ejercicio del control interno efectuado por las entidades puacuteblicas tanto del
orden nacional como territorial Es decir se hizo evidente la importancia
de fortalecer la metodologiacutea para disentildear y aplicar controles que permitan
asegurar el logro de los objetivos
Con de la entrada en vigencia del modelo integrado de planeacioacuten y gestioacuten
(MIPG) que integra los sistemas de gestioacuten de la calidad y de desarrollo
administrativo se crea un uacutenico sistema de gestioacuten articulado con el sistema
de control interno el cual se actualiza y alinea con los mejores estaacutendares
internacionales como son el modelo COSO 2013 COSO ERM 2017 y el
modelo de las tres liacuteneas de defensa Lo anterior con el fin de entregar a
los ciudadanos lo mejor de la gestioacuten y en consecuencia producir cambios
en las condiciones de vida mayor valor puacuteblico en teacuterminos de bienestar
prosperidad general y fortalecer la lucha contra la corrupcioacuten
El Departamento Administrativo de la Funcioacuten Puacuteblica la Secretariacutea
de Transparencia de la Presidencia de la Repuacuteblica y el Ministerio de
Tecnologiacuteas de la Informacioacuten y Comunicaciones presentan la ldquoGuiacutea para
la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
Riesgos de gestioacuten corrupcioacuten y seguridad digital Disentildeo de Controles
en Entidades Puacuteblicasrdquo incluidos sus anexos como una herramienta con
enfoque preventivo vanguardista y proactivo que permitiraacute el manejo del
riesgo asiacute como el control en todos los niveles de la entidad puacuteblica
brindando seguridad razonable frente al logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7
Objetivos Unificar los lineamientos en los aspectos comunes de las
metodologiacuteas para la administracioacuten de todo tipo de riesgos y
fortalecer el enfoque preventivo con el fin de facilitar a las
entidades la identificacioacuten y tratamiento de cada uno de ellos
Suministrar una metodologiacutea que permita a todas las entidades
gestionar de manera efectiva los riesgos que afectan el logro de
los objetivos estrateacutegicos y de proceso
Ofrecer herramientas para identificar analizar evaluar los
riesgos y determinar roles y responsabilidades de cada uno de
los servidores de la entidad (esquema de las liacuteneas de defensa)
en los riesgos de gestioacuten
Suministrar lineamientos basados en una adecuada gestioacuten del
riesgo y control a los mismos que permitan a la alta direccioacuten de
las entidades tener una seguridad razonable en el logro de sus
objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6
PresentacioacutenEl Consejo Asesor del Gobierno nacional en materia de control
interno consideroacute necesario unificar la metodologiacutea existente para la
administracioacuten del riesgo de gestioacuten y corrupcioacuten con el fin de hacer maacutes
sencilla la utilizacioacuten de esta herramienta gerencial para las entidades
puacuteblicas y asiacute evitar duplicidades o reprocesos
Igualmente en respuesta a las conclusiones emitidas por la Contraloriacutea
General de la Repuacuteblica que producto de su labor como ente de control
fiscal durante las uacuteltimas vigencias encontroacute una marcada debilidad en el
ejercicio del control interno efectuado por las entidades puacuteblicas tanto del
orden nacional como territorial Es decir se hizo evidente la importancia
de fortalecer la metodologiacutea para disentildear y aplicar controles que permitan
asegurar el logro de los objetivos
Con de la entrada en vigencia del modelo integrado de planeacioacuten y gestioacuten
(MIPG) que integra los sistemas de gestioacuten de la calidad y de desarrollo
administrativo se crea un uacutenico sistema de gestioacuten articulado con el sistema
de control interno el cual se actualiza y alinea con los mejores estaacutendares
internacionales como son el modelo COSO 2013 COSO ERM 2017 y el
modelo de las tres liacuteneas de defensa Lo anterior con el fin de entregar a
los ciudadanos lo mejor de la gestioacuten y en consecuencia producir cambios
en las condiciones de vida mayor valor puacuteblico en teacuterminos de bienestar
prosperidad general y fortalecer la lucha contra la corrupcioacuten
El Departamento Administrativo de la Funcioacuten Puacuteblica la Secretariacutea
de Transparencia de la Presidencia de la Repuacuteblica y el Ministerio de
Tecnologiacuteas de la Informacioacuten y Comunicaciones presentan la ldquoGuiacutea para
la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
Riesgos de gestioacuten corrupcioacuten y seguridad digital Disentildeo de Controles
en Entidades Puacuteblicasrdquo incluidos sus anexos como una herramienta con
enfoque preventivo vanguardista y proactivo que permitiraacute el manejo del
riesgo asiacute como el control en todos los niveles de la entidad puacuteblica
brindando seguridad razonable frente al logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7
Objetivos Unificar los lineamientos en los aspectos comunes de las
metodologiacuteas para la administracioacuten de todo tipo de riesgos y
fortalecer el enfoque preventivo con el fin de facilitar a las
entidades la identificacioacuten y tratamiento de cada uno de ellos
Suministrar una metodologiacutea que permita a todas las entidades
gestionar de manera efectiva los riesgos que afectan el logro de
los objetivos estrateacutegicos y de proceso
Ofrecer herramientas para identificar analizar evaluar los
riesgos y determinar roles y responsabilidades de cada uno de
los servidores de la entidad (esquema de las liacuteneas de defensa)
en los riesgos de gestioacuten
Suministrar lineamientos basados en una adecuada gestioacuten del
riesgo y control a los mismos que permitan a la alta direccioacuten de
las entidades tener una seguridad razonable en el logro de sus
objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7
Objetivos Unificar los lineamientos en los aspectos comunes de las
metodologiacuteas para la administracioacuten de todo tipo de riesgos y
fortalecer el enfoque preventivo con el fin de facilitar a las
entidades la identificacioacuten y tratamiento de cada uno de ellos
Suministrar una metodologiacutea que permita a todas las entidades
gestionar de manera efectiva los riesgos que afectan el logro de
los objetivos estrateacutegicos y de proceso
Ofrecer herramientas para identificar analizar evaluar los
riesgos y determinar roles y responsabilidades de cada uno de
los servidores de la entidad (esquema de las liacuteneas de defensa)
en los riesgos de gestioacuten
Suministrar lineamientos basados en una adecuada gestioacuten del
riesgo y control a los mismos que permitan a la alta direccioacuten de
las entidades tener una seguridad razonable en el logro de sus
objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8
Riesgo de gestioacuten
posibilidad de que suceda alguacuten evento que
tendraacute un impacto sobre el cumplimiento
de los objetivos Se expresa en teacuterminos
de probabilidad y consecuencias
Riesgo de corrupcioacuten
posibilidad de que por accioacuten u omisioacuten
se use el poder para desviar la gestioacuten de
lo puacuteblico hacia un beneficio privado
Riesgo de seguridad digital
combinacioacuten de amenazas y vulnerabilidades
en el entorno digital Puede debilitar el logro
de objetivos econoacutemicos y sociales asiacute como
afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses
nacionales Incluye aspectos relacionados con
el ambiente fiacutesico digital y las personas
Riesgo inherente
es aquel al que se enfrenta una entidad en
ausencia de acciones de la direccioacuten para
modificar su probabilidad o impacto
Riesgo residual
nivel de riesgo que permanece luego de tomar
sus correspondientes medidas de tratamiento
Gestioacuten del riesgo
proceso efectuado por la alta direccioacuten
de la entidad y por todo el personal para
proporcionar a la administracioacuten un
aseguramiento razonable con respecto al
logro de los objetivos
Probabilidad
se entiende como la posibilidad de
ocurrencia del riesgo Esta puede ser medida
con criterios de frecuencia o factibilidad
Impacto
se entiende como las consecuencias que
puede ocasionar a la organizacioacuten la
materializacioacuten del riesgoCausa
todos aquellos factores internos y externos
que solos o en combinacioacuten con otros pueden
producir la materializacioacuten de un riesgoConsecuencia
los efectos o situaciones resultantes de la
materializacioacuten del riesgo que impactan
en el proceso la entidad sus grupos de
valor y demaacutes partes interesadas
Mapa de riesgos
documento con la informacioacuten resultante
de la gestioacuten del riesgo
Conceptos baacutesicos relacionados con el riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9
Activo
en el contexto de seguridad digital son
elementos tales como aplicaciones de
la organizacioacuten servicios web redes
hardware informacioacuten fiacutesica o digital
recurso humano entre otros que utiliza la
organizacioacuten para funcionar en el entorno
digital
Control
medida que modifica el riesgo (procesos
poliacuteticas dispositivos praacutecticas u otras
acciones)
Amenazas
situacioacuten potencial de un incidente no
deseado el cual puede ocasionar dantildeo a
un sistema o a una organizacioacuten
Vulnerabilidad
es una debilidad atributo causa o falta de
control que permitiriacutea la explotacioacuten por parte
de una o maacutes amenazas contra los activos
Confidencialidad
propiedad de la informacioacuten que la hace no
disponible es decir divulgada a individuos
entidades o procesos no autorizados
Integridad
propiedad de exactitud y completitud
Disponibilidad
propiedad de ser accesible y utilizable a
demanda por una entidad
Plan Anticorrupcioacuten y de Atencioacuten al
Ciudadano
plan que contempla la estrategia de
lucha contra la corrupcioacuten que debe ser
implementada por todas las entidades del
orden nacional departamental y municipal
Tolerancia al riesgo
son los niveles aceptables de desviacioacuten
relativa a la consecucioacuten de objetivos
Pueden medirse y a menudo resulta
mejor con las mismas unidades que los
objetivos correspondientes Para el riesgo
de corrupcioacuten la tolerancia es inaceptable
Apetito al riesgo
magnitud y tipo de riesgo que una
organizacioacuten estaacute dispuesta a buscar o
retener
Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 0
Antes de iniciar con la metodologiacutea
iquestQUEacute ESTABLECE MIPG
El numeral 221 ldquoPoliacutetica de Planeacioacuten
institucionalrdquo de la dimensioacuten
ldquoDireccionamiento estrateacutegico y
planeacioacutenrdquo menciona que para
responder a la pregunta iquestCuaacuteles son
las prioridades identificadas por la
entidad y sentildealadas en los planes de
desarrollo nacionales y territoriales
se deben formular las metas de largo
plazo tangibles medibles audaces
y coherentes con los problemas y
necesidades que deben atender o
satisfacer evitando proposiciones
geneacutericas que no permitan su
cuantificacioacuten y definiendo los posibles
riesgos asociados al cumplimiento de
las prioridades
De igual forma se menciona en esta
dimensioacuten que para llevar a cabo el
ejercicio de planeacioacuten la entidad
debe documentar dicho ejercicio en
donde se describa la parte conceptual
u orientacioacuten estrateacutegica y la parte
operativa en la que se sentildealen de
forma precisa los objetivos las metas
y resultados a lograr las trayectorias
de implantacioacuten o cursos de accioacuten a
seguir cronogramas responsables
indicadores para monitorear y evaluar
su cumplimiento y los riesgos que
pueden afectar tal cumplimiento y los
controles para su mitigacioacuten
I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM
2017 los planes programas o proyectos deben contemplar
los riesgos para su ejecucioacuten y logro de sus objetivos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 1
Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar
el contexto general de la entidad para establecer su complejidad
procesos planeacioacuten institucional entre otros aspectos lo anterior
para conocer y entender la entidad y su entorno lo que determinaraacute
el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general
Esquema 1 Conocimiento y anaacutelisis de la entidad
MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad
PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada
CONOCIMIENTO DE LA ENTIDAD
MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad
VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten
CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1
OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad
ASPECTOS
CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios
MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 2
I M P O R T A N T EPara los objetivos de los procesos
como punto de partida fundamental
para la identificacioacuten del riesgo
tenga en cuenta lo siguiente
O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para
cumplir la misioacuten y visioacuten Determina el coacutemo
logro la poliacutetica trazada y el aporte que se hace
a los objetivos institucionales Un objetivo es
un enunciado que expresa una accioacuten por lo
tanto debe iniciarse con un verbo fuerte como
establecer identificar recopilar investigar
registrar buscar
Los objetivos deben ser medibles realistas
y se deben evitar frases subjetivas en su
construccioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 3
Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un
anaacutelisis inicial relacionado con el estado actual de la estructura de
riesgos y su gestioacuten en la entidad el conocimiento de esta desde un
punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos
para su desarrollo y de la definicioacuten e implantacioacuten de estrategias
de comunicacioacuten transversales a toda la entidad para que su
efectividad pueda ser evidenciada A continuacioacuten se puede observar
la estructura completa con sus desarrollos baacutesicos
Esquema 2 Metodologiacutea para la administracioacuten del riesgo
METODOLOGIacuteAPARA LA
ADMINISTRACIOacuteNDE RIESGOS
PASO1
2
3
ANTES DEINICIAR CON
LA METODOLOGIacuteA
CONOCIMIENTODE LA ENTIDAD
MODELO DE OPERACIOacuteN POR
PROCESOS
MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional
Anaacutelisis de impacto
321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)
Matriz de responsabilidades
Reportes perioacutedicos
Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados
COMUNICACIOacuteN Y CONSULTA (ASPECTO
TRANSVERSAL)
POLIacuteTICA DEADMINISTRACIOacuteN
DE RIESGOS
Lineamientosde la poliacutetica
IDENTIFICACIOacuteNDE RIESGOS
21 Establecimiento del contexto
211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos
221 Teacutecnicas para la redaccioacuten de riesgos
222 Tipologiacutea de riesgos
22 Identificacioacuten de riesgos
VALORACIOacuteNDE RIESGOS
32 Evaluacioacuten de riesgos
33 Monitoreo y revisioacuten
34 Seguimiento
31 Anaacutelisis de riesgos
PASO
PASO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 4
Paso 1 Poliacutetica de Administracioacuten de Riesgos
iquest Q U I Eacute N L A E S T A B L E C E
iquest Q U Eacute D E B E C O N T E N E R
iquest Q U Eacute E S
iquest Q U Eacute S E D E B E T E N E RE N C U E N T A
ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable
Alcance
La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)
Niveles de aceptacioacuten al riesgo
Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable
Niveles para calificar el impacto
Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)
Tratamientode riesgos
Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)
Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual
La Alta Direccioacuten de la entidad
Con el liderazgo del representante legal
Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno
Objetivos estrateacutegicos de la entidad
Niveles de responsabilidad frente al manejo de riesgos
Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad
Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos
POLIacuteTICA DE ADMINISTRACIOacuteN
DE RIESGOS
Lineamientos de la Poliacutetica de Riesgos
Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de
Riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 5
I M P O R T A N T E
El MIPG establece que esta es una tarea propia del equipo
directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento
estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los
lineamientos precisos para el tratamiento manejo y seguimiento
a los riesgos que afectan el logro de los objetivos institucionales
Adicional a los riesgos operativos es importante identificar los
riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para
la defensa juriacutedica los riesgos de seguridad digital entre otros
La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo
Los riesgos aceptados estaacuten sujetos a monitoreo
Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables
La poliacutetica de administracioacuten del riesgo puede adoptar la forma
de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los
siguientes aspectos
O B J E T I V OEstablece los principios baacutesicos y el marco general de
actuacioacuten para el control y la gestioacuten de los riesgos de toda
naturaleza a los que se enfrenta la entidad
A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual
debe abarcar todos los procesos de la entidad Se sugiere
incluir a todas las seccionales o sedes que la entidad pueda
tener en diferentes ubicaciones geograacuteficas con el fin de
garantizar un adecuado conocimiento y control de los riesgos
en todos los niveles organizacionales
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 6
N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables
T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten
ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos
La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o
herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de
riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto
Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes
Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten
Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo
Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)
Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad
I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 7
Paso 2 identificacioacuten de riesgos
Anaacutelisis y definicioacuten de objetivos
Le corresponde a la segunda liacutenea de defensa el anaacutelisis
de los objetivos de la entidad tanto del orden estrateacutegico
como de procesos
Anaacutelisis de objetivos estrateacutegicos
La entidad debe analizar los objetivos estrateacutegicos
e identificar los posibles riesgos que afectan su
cumplimiento y que puedan ocasionar su eacutexito o
fracaso
Es necesario revisar que los objetivos estrateacutegicos
se encuentren alineados con la Misioacuten y la Visioacuten
Institucional asiacute como analizar su adecuada
formulacioacuten es decir que contengan las siguientes
caracteriacutesticas miacutenimas especiacutefico medible
alcanzable relevante y proyectado en el tiempo
(SMART por sus siglas en ingleacutes)
Anaacutelisis de los objetivos de proceso
Los objetivos de proceso deben ser analizados con
base en las caracteriacutesticas miacutenimas explicadas en
el punto anterior pero ademaacutes se debe revisar
que los mismos esteacuten alineados con la Misioacuten y
la Visioacuten es decir asegurar que los objetivos de
proceso contribuyan a los objetivos estrateacutegicos
A continuacioacuten encontraraacute un ejemplo de
anaacutelisis en el proceso de contratacioacuten
La entidad debe adquirir con oportunidad y
calidad teacutecnica en no menos del 90 los bienes
y servicios requeridos para su continua operacioacuten
Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013
I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara
queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo
Si no estaacuten bien definidos los objetivos no se puede
continuar con la metodologiacutea de gestioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
1 8
Paso 2 identificacioacuten de riesgos
IDENTIFICA CIOacute NDE RIES G O S
iquest E N Q U Eacute C O N S I S T E
E L E M E N T O S Q U E L O D E S A R R O L L A N
En esta etapa se deben establecer las fuentes
o factores de riesgo los eventos o riesgos sus
causas y sus consecuencias Para el anaacutelisis
se pueden involucrar datos histoacutericos anaacutelisis
teoacutericos opiniones informadas y expertas y
las necesidades de las partes involucradas
(NTC ISO31000 Numeral 215)
E S T A B L E C I M I E N T O D E LC O N T E X T O
Definicioacuten de los paraacutemetros internos y
externos que se han de tomar en consideracioacuten
para la administracioacuten del riesgo (NTC
ISO31000 Numeral 29) Se debe establecer
el contexto tanto interno como externo de la
entidad ademaacutes del contexto del proceso y sus
activos de seguridad digital Es posible hacer
uso de herramientas y teacutecnicas (consultar
anexo 2 Teacutecnicas para Establecimiento del
Contexto y Valoracioacuten del Riesgo)
I D E N T I F I C A C I Oacute N D E L R I E S G O
Se determinan las causas fuentes del riesgo y los
eventos con base en el anaacutelisis de contexto para
la entidad y del proceso que pueden afectar el
logro de los objetivos Es importante centrarse
en los riesgos maacutes significativos para la entidad
relacionados con los objetivos de los procesos
y los institucionales en el caso de riesgos de
corrupcioacuten se deben gestionar todos los riesgos
incluyendo los referentes a los traacutemites y servicios
(Ver anexo 3 Protocolo para la identificacioacuten de
riesgos de corrupcioacuten asociados a la prestacioacuten
de traacutemites y servicios)
Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo
I M P O R T A N T EDebe analizarse en cada entidad el contexto particular
al que se enfrentan los procesos ante los riesgos de
corrupcioacuten conforme a la misionalidad Una buena praacutectica
es analizar la gestioacuten de riesgo de entidades semejantes
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
1 9
I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se
sugiere utilizar las caracterizaciones de estos donde es posible contar
con este panorama Si estos documentos estaacuten desactualizados o no
se han elaborado es importante actualizarlos o elaborarlos antes de
continuar con la metodologiacutea de administracioacuten del riesgo
211 ESTABLECIMIENTO DEL CONTEXTO INTERNO
Se determinan las caracteriacutes-
ticas o aspectos esenciales
del ambiente en el cual la
organizacioacuten busca alcanzar
sus objetivos Se pueden con-
siderar factores como
Estructura organizacional
Funciones y responsabilidades
Poliacuteticas objetivos y estrategias
implementadas
Recursos y conocimientos con
que se cuenta (econoacutemicos
personas procesos sistemas
tecnologiacutea informacioacuten)
Relaciones con las partes invo-
lucradas
Cultura organizacional
212 ESTABLECIMIENTO DEL CONTEXTO
EXTERNOSe determinan las caracteriacutesticas o
aspectos esenciales del entorno en el cual
opera la entidad Se pueden considerar
factores como
Poliacuteticos
Econoacutemicos y financieros
Sociales y culturales
Tecnoloacutegicos
Ambientales
Legales y reglamentarios
213 ESTABLECIMIENTO DEL CONTEXTO DEL
PROCESOSe determinan las
caracteriacutesticas o aspectos esenciales del proceso
y sus interrelaciones Se pueden considerar
factores como
Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
21 Establecimiento del contexto
Definicioacuten de los paraacutemetros internos y externos que se han de tomar
en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)
A partir de los factores que se definan es posible establecer las
causas de los riesgos a identificar
Esquema 5 Anaacutelisis del contexto externo interno y del proceso
ESTABLECIMIE NTODE L CONTE XTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 0
Tabla 1 Factores para cada categoriacutea del contexto
C O N T E X T O E X T E R N O
POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten
ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia
SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico
TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea
AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible
LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)
C O N T E X T O I N T E R N O
FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada
PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional
PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento
TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten
ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo
COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones
C O N T E X T O D E L
P R O C E S O
DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso
INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes
TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad
PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos
RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso
COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 1
I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe
analizar los que considere de acuerdo con su complejidad y
al sector en el que se desenvuelve entre otros aspectos e
incluirlos como aspectos clave dentro de los lineamientos
de la poliacutetica de administracioacuten del riesgo
214 Identificacioacuten de activos de seguridad de la informacioacuten
I D E N T I F I C A C I Oacute ND E A C T I V O S
Le corresponde a la primera liacutenea
de defensa identificar los activos
en cada proceso
Anaacutelisis de los objetivos estrateacutegicos
Un activo es cualquier elemento que tenga
valor para la organizacioacuten sin embargo en
el contexto de seguridad digital son activos
elementos que utiliza la organizacioacuten para
funcionar en el entorno digital tales como
aplicaciones de la organizacioacuten servicios web
redes informacioacuten fiacutesica o digital tecnologiacuteas
de informacioacuten -TI tecnologiacuteas de operacioacuten
-TO
Anaacutelisis de los objetivos de proceso
De esta manera se puede determinar queacute
es lo maacutes importante que cada entidad y
sus procesos poseen (sean bases de datos
unos archivos servidores web o aplicaciones
claves para que la entidad pueda prestar
sus servicios) Asiacute la entidad puede saber
queacute es lo que debe proteger para garantizar
tanto su funcionamiento interno como
su funcionamiento de cara al ciudadano
aumentando asiacute su confianza en el uso del
entorno digital
I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 2
I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados
con seguridad digital) deberaacute remitirse a la seccioacuten 416
del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicasrdquo que hace parte
de la presente guiacutea
iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S
Paso 1Listar los
activos por cada proceso
Paso 2Identificar el duentildeo de los
activos
Paso 3Clasificar
los activos
Paso 4Clasificar
lainformacioacuten
Paso 5Determinar la criticidad del
activo
Paso 6Identificar
si existe infraes-tructura criacutetica
ciberneacutetica
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
I D E N T I F I C A C I Oacute N D E R I E S G O S
La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo
A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos
Las preguntas claves para la identificacioacuten del riesgo permiten determinar
iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 3
I M P O R T A N T EEn la descripcioacuten del riesgo se deben
tener en cuenta las respuestas a las
preguntas arriba mencionadas
R I E S G O D E C O R R U P C I Oacute N
Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)
Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute
A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O
Preguntas clave para la identificacioacuten de riesgos
iquestQUEacute PUEDE SUCEDER
iquestCOacuteMO PUEDE SUCEDER
iquestCUAacuteNDO PUEDE SUCEDER
iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN
22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 4
Los riesgos de corrupcioacuten se establecen sobre procesos
El riesgo debe estar descrito de manera clara y precisa Su
redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la
causa generadora de los mismos
Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y
evitar que se presenten confusiones entre un riesgo de gestioacuten
y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de
definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de
los componentes de su definicioacuten
De acuerdo con la siguiente matriz si se marca con una X en la
descripcioacuten del riesgo que aparece en cada casilla quiere decir que
se trata de un riesgo de corrupcioacuten
M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N
Descripcioacuten del riesgo
Accioacuten u omisioacuten
Uso del poder
Desviar la gestioacuten de lo
puacuteblico
Beneficio privado
Posibilidad de recibir o solicitar cualquier daacutediva
o beneficio a nombre propio o de terceros con
el fin de celebrar un contrato
X X X X
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Generalidades acerca de los riesgos de corrupcioacuten
Entidades encargadas de gestionar el riesgo lo deben adelantar
las entidades del orden nacional departamental y municipal
Se elabora anualmente por cada responsable de los procesos al
interior de las entidades junto con su equipo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 5
Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a
la de dependencia encargada de gestionar el riesgo le corresponde
liderar el proceso de administracioacuten de estos Adicionalmente
esta misma oficina seraacute la encargada de consolidar el mapa de
riesgos de corrupcioacuten
Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar
en la paacutegina web de la entidad en la seccioacuten de transparencia
y acceso a la informacioacuten puacuteblica que establece el artiacuteculo
211214 del Decreto 1081 de 2015 o en un medio de faacutecil
acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo
La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del
iacutendice deinformacioacuten clasificada y reservada En dicho instrumento
la entidad debe establecer las condiciones de reserva y clasificacioacuten
de algunos de los elementos constitutivos del mapa de riesgos en
los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014
En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte
clasificada o reservada aunque se elabora no se hace visible en la
publicacioacuten
Recuerde que las excepciones solo pueden estar establecidas en la
ley un decreto con fuerza de ley o un tratado internacional ratificado
por el Congreso o en la Constitucioacuten
Socializacioacuten Los servidores puacuteblicos y contratistas de la
entidad deben conocer el mapa de riesgos de corrupcioacuten antes de
su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten
o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear
y poner en marcha las actividades o mecanismos necesarios para
que los funcionarios y contratistas conozcan debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de
riesgos de corrupcioacuten
Asiacute mismo dicha oficina adelantaraacute las acciones para que la
ciudadaniacutea y los interesados externos conozcan y manifiesten
sus consideraciones y sugerencias sobre el proyecto del mapa de
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 6
riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de
socializacioacuten y publicarse sus resultados
Ajustes y modificaciones se podraacuten llevar a cabo los ajustes
y modificaciones necesarias orientadas a mejorar el mapa de
riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el
respectivo antildeo de vigencia En este caso deberaacuten dejarse por
escrito los ajustes modificaciones o inclusiones realizadas
Monitoreo en concordancia con la cultura del autocontrol al
interior de la entidad los liacutederes de los procesos junto con su
equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten
de riesgos de corrupcioacuten
Seguimiento el jefe de control interno o quien haga sus veces
debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten
En este sentido es necesario que en sus procesos de auditoriacutea
interna analice las causas los riesgos de corrupcioacuten y la
efectividad de los controles incorporados en el mapa de riesgos
de corrupcioacuten
E J E M P L O
Informacioacuten anonimizada
I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la
ley un decreto con fuerza de ley o convenio internacional ratificado por
el Congreso o en la Constitucioacuten
Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada
Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual
Opcioacuten de
Manejo
Actividad de
Control
1
Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip
CorrupcioacutenFalta
dehellipProbable Catastroacutefico Catastroacutefico Evitar
Informacioacuten
anonimizada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 7
22 Identificacioacuten de riesgos
E J E M P L O
221 Teacutecnicas para la redaccioacuten de riesgos
Esquema 6 Redaccioacuten del riesgo
R E D A C C I Oacute N D E L
R I E S G O
Evitar iniciar con palabras negativas
como ldquoNohelliprdquo ldquoQue nohelliprdquo o con
palabras que denoten un factor
de riesgo (causa) tales como
ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo
ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo
ldquodebilidades enhelliprdquo
Objetivo del proceso si el objetivo del
proceso es ldquoadquirir con oportunidad y
calidad teacutecnica los bienes y servicios
requeridos por la entidad para su
continua operacioacutenrdquo un riesgo puede
ser ldquoInoportunidad en la adquisicioacuten
de los bienes y servicios requeridos
por la entidadrdquo
Ejemplo de riesgo de corrupcioacuten
posibilidad de recibir o solicitar
cualquier daacutediva o beneficio a nombre
propio o de terceros con el fin de
celebrar un contrato
Generar en el lector o escucha
la imagen del evento como si ya
estuviera sucediendo
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
2 8
Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten
los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan
toda la entidad
TIP
OL
OG
IacuteA D
E R
IES
GO
S
Riesgos operativos posibilidad de ocurrencia de eventos que afecten los
procesos misionales de la entidad
Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales yo la alta direccioacuten
Riesgos financieros posibilidad de ocurrencia de eventos que afecten
los estados financieros y todas aquellas aacutereas involucradas con el proceso
financiero como presupuesto tesoreriacutea contabilidad cartera central de
cuentas costos etc
Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten
la totalidad o parte de la infraestructura tecnoloacutegica (hardware software
redes etc) de una entidad
Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la
situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento
o desacato a la normatividad legal y las obligaciones contractuales
Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento
que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante
sus clientes y partes interesadas
Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el
poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado
Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y
vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos
econoacutemicos y sociales afectar la soberaniacutea nacional la integridad
territorial el orden constitucional y los intereses nacionales Incluye
aspectos relacionados con el ambiente fiacutesico digital y las personas
222 Tipologiacutea de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
2 9
C R E D I T I C I O
R I E S G O S E G U R I D A D
F Iacute S I C A
P E L I G R OP A R A
H U M A N O S
D EM E R C A D O
A M B I E N T A LR I E S G O S
I N F O R M Aacute T I C O S
S E G U R I D A DA L I M E N T A R I A
D E L I Q U I D E Z
S A T I S F A C C I O N D E L C L I E N T E
O T R A ST I P O L O G Iacute A S D E R I E S G O S
E J E M P L O
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 0
Ejemplos de descripcioacuten del riesgo
Formato de descripcioacuten del riesgo de gestioacuten
R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Inop
ortu
nida
d en
la
adqu
isic
ioacuten
de l
os b
iene
s y
serv
icio
s
requ
erid
os p
or l
a en
tida
d
La combinacioacuten de
factores como insu-
ficiente capacitacioacuten
del personal de con-
tratos cambios en la
regulacioacuten contractual
inadecuadas poliacuteticas
de operacioacuten y caren-
cia de controles en
el procedimiento de
contratacioacuten pueden
ocasionar inoportunidad
en la adquisicioacuten de
los bienes y servicios
requeridos por la enti-
dad y en consecuencia
afectar la continuidad
de su operacioacuten
Operativo
Carencia de controles
en el procedimiento
de contratacioacuten
Insuficiente capacita-
cioacuten del personal de
contratos
Desconocimiento de
los cambios en la re-
gulacioacuten contractual
Inadecuadas poliacuteticas
de operacioacuten
1 Paraacutelisis en los
procesos
2 I n c u m p l i m i e n t o
en la entrega de
bienes y servicios a
los grupos de valor
3 Demandas y demaacutes
acciones juriacutedicas
4 Detrimento de
la imagen de la
entidad ante sus
grupos de valor
5 I n v e s t i g a c i o n e s
disciplinarias
I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis
Fuente Departamento Administrativo de la Funcioacuten Puacuteblica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 1
Formato de descripcioacuten del riesgo de corrupcioacuten
RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S
Pos
ibili
dad
de r
ecib
ir o
sol
icit
ar c
ualq
uier
daacuted
iva
o be
nefi
cio
a no
mbr
e
prop
io o
de
terc
eros
con
el
fin
cele
brar
un
cont
rato
Situaciones como
debilidades en la etapa
de la planeacioacuten del
contrato la excesiva
discrecionalidad las
presiones indebidas la
carencia de controles
la falta de conocimiento
yo experiencia sumados
a la falta de integridad
pueden generar un
riesgo de corrupcioacuten en
la contratacioacuten como
por ejemplo ldquoexigencias
de condiciones en los
procesos de seleccioacuten
que solo cumple un
determinado proponenterdquo
Corrupcioacuten
Debilidades en la etapa de
planeacioacuten que faciliten la
inclusioacuten en los estudios
previos yo en los pliegos
de condiciones de requisitos
orientados a favorecer a un
proponente
1 Peacuterdida de la imagen
institucional
2 Demandas contra el
Estado
3 Peacuterdida de confianza en
lo puacuteblico
4 Investigaciones penales
disciplinarias y fiscales
5 Detrimento patrimonial
6 Obras inconclusas
7 Mala calidad de las obras
8 Enriquecimiento iliacutecito
de contratistas yo
servidores puacuteblicos
Presiones indebidas
Carencia de controles
en el procedimiento de
contratacioacuten
Falta de conocimiento yo
experiencia del personal
que maneja la contratacioacuten
Excesiva discrecionalidad
Adendas que modifican las
condiciones generales del
proceso de contratacioacuten
para favorecer a un
proponente
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 2
Procesos procedimientos o actividades susceptibles de riesgos
de corrupcioacuten
A manera de ilustracioacuten se sentildealan algunas actividades susceptibles
de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute
incluir otros que considere pertinentes
Direccionamiento estrateacutegico (alta direccioacuten)
Concentracioacuten de autoridad o exceso de poder
Extralimitacioacuten de funciones
Ausencia de canales de comunicacioacuten
Amiguismo y clientelismo
Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)
Inclusioacuten de gastos no autorizados
Inversiones de dineros puacuteblicos en entidades de dudosa solidez
financiera a cambio de beneficios indebidos para servidores
puacuteblicos encargados de su administracioacuten
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversioacuten
Inexistencia de archivos contables
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribucioacuten econoacutemica
De contratacioacuten (como proceso o bien los procedimientos ligados a este)
Estudios previos o de factibilidad deficientes
Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratacioacuten (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma
en particular)
Disposiciones establecidas en los pliegos de condiciones que
dirigen los procesos hacia un grupo en particular (Ej media
geomeacutetrica)
Visitas obligatorias establecidas en el pliego de condiciones
que restringen la participacioacuten
Adendas que cambian condiciones generales del proceso para
favorecer a grupos determinados
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 3
Urgencia manifiesta inexistente
Otorgar labores de supervisioacuten a personal sin conocimiento para ello
Concentrar las labores de supervisioacuten en poco personal
Contratar con compantildeiacuteas de papel que no cuentan con
experiencia
De informacioacuten y documentacioacuten
Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes
Concentracioacuten de informacioacuten de determinadas actividades o
procesos en una persona
Ausencia de sistemas de informacioacuten
Ocultar la informacioacuten considerada puacuteblica para los usuarios
Ausencia o debilidad de canales de comunicacioacuten
Incumplimiento de la Ley 1712 de 2014
De investigacioacuten y sancioacuten
Ausencia o debilidad de canales de comunicacioacuten
Dilatar el proceso para lograr el vencimiento de teacuterminos o la
prescripcioacuten del mismo
Desconocimiento de la ley mediante interpretaciones subjetivas
de las normas vigentes para evitar o postergar su aplicacioacuten
Exceder las facultades legales en los fallos
De traacutemites yo servicios internos y externos
Cobros asociados al traacutemite
Influencia de tramitadores
Traacutefico de influencias (amiguismo persona influyente)
Demorar su realizacioacuten
De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)
Falta de procedimientos claros para el traacutemite
Imposibilitar el otorgamiento de una licencia o permiso
Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o
para amantildear la misma
Traacutefico de influencias (amiguismo persona influyente)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 4
Formato de descripcioacuten del riesgo de seguridad digital
Los riesgos de seguridad digital se basan en la afectacioacuten de tres
criterios en un activo o un grupo de activos dentro del proceso
ldquoIntegridad confidencialidad o disponibilidadrdquo
Para el riesgo identificado se deben asociar el grupo de activos
o activos especiacuteficos del proceso y conjuntamente analizar las
posibles amenazas y vulnerabilidades que podriacutean causar su
materializacioacuten
R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O
C A U S A S V U L N E R A -B I L I D A D E S
C O N S E C U E N C I A S
Base de
datos de
noacutemina
Peacuterdida
de la
integridad
La falta de poliacuteticas
de seguridad digital
ausencia de poliacuteti-
cas de control de
acceso contrasentildeas
sin proteccioacuten y
mecanismos de
autenticacioacuten deacutebil
pueden facilitar una
modificacioacuten no
autorizada lo cual
causariacutea la peacuterdida
de la integridad de
la base de datos de
noacutemina
Modificacioacuten
no
autorizada
Seguridad
digital
Falta de
poliacuteticas de
seguridad
digital
Posibles
consecuencias que
pueda enfrentar
la entidad o el
proceso a causa de
la materializacioacuten
del riesgo(legales
econoacutemicas sociales
reputacionales
confianza en el
ciudadano)
Ej posible retraso en
el pago de noacutemina
Ausencia de
poliacuteticas de
control de
acceso
Contrasentildeas
sin proteccioacuten
Autenticacioacuten
deacutebil
Seleccionar las vulnerabilidades
asociadas a la amenaza identificada
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 5
I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad
peacuterdida de la integridad y peacuterdida de la disponibilidad de los
activos Para cada tipo de riesgo se podraacuten seleccionar las
amenazas y las vulnerabilidades que puedan causar que
dicho riesgo se materialice
Los cataacutelogos de amenazas y vulnerabilidades comunes se
encuentran en la seccioacuten 417 del anexo ldquoLineamientos
para la gestioacuten del riesgo de seguridad digital en
entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea
NOTA 1 tener en cuenta que la agrupacioacuten de activos debe
ser del mismo tipo por ejemplo analizar conjuntamente
activos tipo hardware software informacioacuten entre otros
para determinar amenazas y vulnerabilidades comunes que
puedan afectar a dicho grupo
NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo
los procesos y procedimientos establecidos en esta guiacutea
Aquellas entidades que ya esteacuten adelantando procesos
relacionados con la gestioacuten de este tipo de riesgo y que
incorporen al menos lo dispuesto en estas guiacuteas podraacuten
continuar bajo sus procedimientos Si alguno de los aspectos
contenidos en esta guiacutea no estaacute contemplado deberaacute ser
agregado a los que manejan actualmente
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 6
Paso 3 valoracioacuten de riesgos
V A L O R A C I Oacute N D E R I E S G O S
Establecer la probabilidad de
ocurrencia del riesgo y el nivel de
consecuencia o impacto con el
fin de estimar la zona de riesgo
inicial (RIESGO INHERENTE)
Se busca confrontar los resultados
del anaacutelisis de riesgo inicial frente a
los controles establecidos con el fin
de determinar la zona de riesgo final
(RIESGO RESIDUAL)
Se busca establecer la probabilidad
de ocurrencia del riesgo y sus
consecuencias o impacto con el fin
de estimar la zona de riesgo inicial
(RIESGO INHERENTE)
iquest E N Q U Eacute C O N S I S T E
ELEMENTOS QUE LO DESARROLLAN
Elaboracioacuten del mapa de riesgos
Anaacutelisis y evaluacioacuten
de controles
Para el anaacutelisis de los
controles se sugiere el uso
de la matriz desarrollada
para su calificacioacuten (ver
Tabla Ilustrativa 6 p 67)
3 1 A N Aacute L I S I S D E R I E S G O S
Aspectos a tener en cuenta
3 2 E V A L U A C I Oacute N D E R I E S G O S
Esquema 7 Valoracioacuten del riesgo
Tablas (s) para determinar el impacto
o consecuencias (de acuerdo con la
poliacutetica de riesgos institucional)
Tabla para determinar probabilidad
Matriz de evaluacioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 7
PASOS C L AV ES PARA E L ANAacuteLIS IS
DE R IESGO
Bajo el criterio de
FRECUENCIA se analizan
el nuacutemero de eventos en
un periodo determinado
se trata de hechos que
se han materializado o se
cuenta con un historial
de situaciones o eventos
asociados al riesgo
Bajo el criterio de
FACTIBILIDAD se analiza
la presencia de factores
internos y externos que
pueden propiciar el
riesgo se trata en este
caso de un hecho que no
se ha presentado pero
es posible que se deacute
Para su determinacioacuten
se utiliza la tabla
de probabilidad (ver
Tabla Ilustrativa 2 - por
Criterios para calificar
la probabilidad que se
encuentra en la paacutegina
39)
31 Anaacutelisis de riesgos
En este punto se busca establecer la probabilidad de ocurrencia del
riesgo y sus consecuencias o impacto con el fin de estimar la zona
de riesgo inicial (RIESGO INHERENTE)
Esquema 8 Anaacutelisis de riesgos
311 ANAacuteLISIS DE CAUSAS
Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes
de actividades pero no todas tienen la misma importancia por lo
tanto se debe establecer cuaacuteles de ellas contribuyen mayormente
al logro de los objetivos y estas son las actividades criacuteticas o
factores claves de eacutexito estos factores se deben tener en cuenta
al identificar las causas que originan la materializacioacuten de los
riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)
Por PROBABILIDAD se entiende la
posibilidad de ocurrencia del riesgo
esta puede ser medida con criterios
de frecuencia o factibilidad
312 DETERMINAR PROBABILIDAD
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
3 8
PASOS CLAVES PARA EL ANAacuteLIS IS
DE R IESGO
Se tienen en cuenta las
consecuencias potenciales
establecidas en el paso
2 de identificacioacuten del
riesgo
Para su determinacioacuten se
utiliza la tabla de niveles de
impacto establecida en la
Poliacutetica de Riesgos (ver Tabla
Ilustrativa 3 paacutegina 40)
Por IMPACTO se entienden las consecuencias
que puede ocasionar a la organizacioacuten la
materializacioacuten del riesgo
Se logra a traveacutes de la determinacioacuten de la
probabilidad y el impacto que puede causar la
materializacioacuten del riesgo teniendo en cuenta
las tablas establecidas en cada caso
313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE
Para su determinacioacuten se utiliza la
matriz de calificacioacuten del riesgo
312 Caacutelculo de la probabilidad e impacto
Anaacutelisis de la probabilidad
Se analiza queacute tan posible es que ocurra el riesgo se expresa en
teacuterminos de frecuencia o factibilidad donde frecuencia implica
analizar el nuacutemero de eventos en un periodo determinado se trata
de hechos que se han materializado o se cuenta con un historial
de situaciones o eventos asociados al riesgo factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda
Esquema 8 Anaacutelisis de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
3 9
Tabla 2 Criterios parar calificar la probabilidad
NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A
5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias
Maacutes de 1 vez al antildeo
4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias
Al menos 1 vez en el uacuteltimo antildeo
3 PosibleEl evento podraacute ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 2 antildeos
2 ImprobableEl evento puede ocurrir en alguacuten
momentoAl menos 1 vez en los
uacuteltimos 5 antildeos
1 Rara vezEl evento puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los uacuteltimos 5 antildeos
Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM
1
Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos
por la entidad
Se espera que el even-to ocurra en la mayoriacutea de las circunstancias
5 4 3 5 3 4 244
PROBABLE
2Otros riesgos identificados
Es viable que el evento ocurra en la mayoriacutea de las circunstancias
3 Otros riesgosEl evento podraacute ocurrir
en alguacuten momento
Convenciones
Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio
En caso de que la entidad no cuente con datos histoacutericos sobre el
nuacutemero de eventos que se hayan materializado en un periodo de
tiempo los integrantes del equipo de trabajo deben calificar en
privado el nivel de probabilidad en teacuterminos de factibilidad utilizando
la siguiente matriz de priorizacioacuten de probabilidad
Matriz de priorizacioacuten de probabilidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 0
I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso
y de la disponibilidad de datos histoacutericos sobre el evento o riesgo
identificado En caso de no contar con datos histoacutericos se trabajaraacute
de acuerdo con la experiencia de los responsables que desarrollan
el proceso y de sus factores internos y externos
Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge50
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge50
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge50
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge50 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de cinco (5) diacuteas
- Intervencioacuten por parte de un ente de control u
otro ente regulador
- Peacuterdida de informacioacuten criacutetica para la entidad
que no se puede recuperar
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecucioacuten presupuestal
- Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupcioacuten comprobados
MAY
OR
- Impacto que afecte la ejecucioacuten presu-
puestal en un valor ge20
- Peacuterdida de cobertura en la prestacioacuten de
los servicios de la entidad ge20
- Pago de indemnizaciones a terceros por
acciones legales que pueden afectar el
presupuesto total de la entidad en un va-
lor ge20
- Pago de sanciones econoacutemicas por incum-
plimiento en la normatividad aplicable
ante un ente regulador las cuales afectan
en un valor ge20 del presupuesto general
de la entidad
- Interrupcioacuten de las operaciones de la entidad
por maacutes de dos (2) diacuteas
- Peacuterdida de informacioacuten criacutetica que puede ser
recuperada de forma parcial o incompleta
- Sancioacuten por parte del ente de control u otro
ente regulador
- Incumplimiento en las metas y objetivos ins-
titucionales afectando el cumplimiento en las
metas de gobierno
- Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestacioacuten del servicio a los usuarios o ciuda-
danos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 1
NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
MO
DE
RA
DO
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5
- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea
- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad
- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios
- Reproceso de actividades y aumento de carga operativa
- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
- Investigaciones penales fiscales o disciplinarias
ME
NO
R
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge1
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge5
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge1
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad
- Interrupcioacuten de las operaciones de la entidad por algunas horas
- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias
- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge05
- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge1
- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05
- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge05 del presupuesto general de la entidad
- No hay interrupcioacuten de las operaciones de la entidad
- No se generan sanciones econoacutemicas o admi-nistrativas
- No se afecta la imagen institucional de forma significativa
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 2
Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad
digital
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
INSI
GN
IFIC
AN
TE
1
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
No hay afectacioacuten medioambiental
Sin afectacioacuten de la integridad
Sin afectacioacuten de la disponibilidad
Sin afectacioacuten de la confidencialidad
ME
NO
R
2
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX diacuteas de recuperacioacuten
Afectacioacuten leve de la integridad
Afectacioacuten leve de la disponibilidad
Afectacioacuten leve de la confidencialidad
MO
DE
RA
DO
3
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten leve del medio ambiente
requiere de geX semanas de recupera-
cioacuten
Afectacioacuten moderada de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten moderada de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten moderada de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
MAY
OR
4
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten importante del medio
ambiente que requiere de geX meses
de recuperacioacuten
Afectacioacuten grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la disponibilidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten grave de la confidencialidad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 3
Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017
NIVELVALOR
DELIMPACTO
C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L
I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O
I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O
CAT
AST
ROacute
FIC
O
5
Afectacioacuten geX de la poblacioacuten
Afectacioacuten geX del presupuesto
anual de la entidad
Afectacioacuten muy grave del medio
ambiente que requiere de geX antildeos de
recuperacioacuten
Afectacioacuten muy grave de la integridad de la
informacioacuten debido al intereacutes particular de
los empleados y terceros
Afectacioacuten muy grave de la disponibilidad de
la informacioacuten debido al intereacutes particular
de los empleados y terceros
Afectacioacuten muy grave de la confidencialidad
de la informacioacuten debido al intereacutes particu-
lar de los empleados y terceros
I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo
Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con
el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno
Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones
La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo
de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a
las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma
pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados
Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto
La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido
a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la
ejecucioacuten presupuestal
La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente
por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser
utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna
eventualidad puede existir afectacioacuten ambiental
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 4
RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O
Z O N A D E
R I E S G O
Peacuterdida
de la
confiden-
cialidad
Base de datos
de noacutemina
Modificacioacuten
no
autorizada
Ausencia de
poliacuteticas de control
de acceso
4-Probable 4- Mayor Extrema
Contrasentildeas sin
proteccioacuten
Ausencia de
mecanismos de
identificacioacuten y
autenticacioacuten de
usuarios
Ausencia de bloqueo
de sesioacuten
Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004
I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades
313 Anaacutelisis del impacto
El impacto se debe analizar y calificar a partir de las consecuencias
identificadas en la fase de descripcioacuten del riesgo Para el ejemplo
que venimos explicando el impacto fue identificado como mayor por
cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas
Mapa de calor
Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz
de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la
probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de
Extremo
Alto Moderado
Bajo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 5
Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017
I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto
Mapa de calor
Extremo
Alto Moderado
Bajo
impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la
fila y la de impacto en las columnas correspondientes establezca el
punto de interseccioacuten de las dos y este punto corresponderaacute al nivel
de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute
se podraacute determinar el riesgo inherente
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 6
NdegP R E G U N TA
S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A
RESPUESTA
S Iacute N O
1 iquestAfectar al grupo de funcionarios del proceso X
2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X
3 iquestAfectar el cumplimiento de misioacuten de la entidad X
4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X
5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X
6 iquestGenerar peacuterdida de recursos econoacutemicos X
7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X
8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien
servicios o recursos puacuteblicosX
9 iquestGenerar peacuterdida de informacioacuten de la entidad X
10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X
1 1 iquestDar lugar a procesos sancionatorios X
12 iquestDar lugar a procesos disciplinarios X
13 iquestDar lugar a procesos fiscales X
14 iquestDar lugar a procesos penales X
15 iquestGenerar peacuterdida de credibilidad del sector X
16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X
17 iquestAfectar la imagen regional X
18 iquestAfectar la imagen nacional X
19 iquestGenerar dantildeo ambiental X
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad
CATASTROacuteFICO Genera consecuencias desastrosas para la entidad
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten
Nivel de impacto MAYOR
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 7
Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica
I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas
I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico
313 Anaacutelisis del impacto en riesgos de corrupcioacuten
Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute
teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y
ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en
este orden de ideas no aplican los niveles de impacto insignificante y
menor que siacute aplican para los demaacutes riesgos
De acuerdo con la tabla de criterios para calificar el impacto de la
paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La
probabilidad de los riesgos de corrupcioacuten se califica con los mismos
cinco niveles de los demaacutes riesgos
Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten
resultante de la probabilidad y el impacto para establecer el nivel del
riesgo inherente para el ejemplo corresponde a EXTREMO R1
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
4 8
Se identifican los riesgos inherentes o subyacentes que pueden afectar el
cumplimiento de los objetivos estrateacutegicos
y de proceso
Se identifican las causas o fallas que pueden dar
origen a la materializacioacuten del riesgo
Para cada causa se identifica el control o
controles
Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan
como fueron disentildeados
32 Evaluacioacuten de riesgos
321 Riesgo antes y despueacutes de controles
Esquema 9 Riesgo antes y despueacutes de controles
Al momento de definir las actividades de control por parte de la
primera liacutenea de defensa es importante considerar que los controles
esteacuten bien disentildeados es decir que efectivamente estos mitigan las
causas que hacen que el riesgo se materialice
RIES G O AN TESDE C ON T ROLES
C AUSAS OFA LLAS
CO NTROLES
R IESGO DESPUEacuteS DE CONTR O LES
I M P O R T A N T E Para cada causa debe existir un control
Las causas se deben trabajar de manera separada (no
se deben combinar en una misma columna o rengloacuten)
Un control puede ser tan eficiente que me ayude
a mitigar varias causas en estos casos se repite
el control asociado de manera independiente a la
causa especiacutefica
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
4 9
Debe tener definido el responsable de llevar a cabo la actividad de control
Debe indicar cuaacutel es el propoacutesito del control
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
Debe tener una periodicidad definida para su ejecucioacuten
Debe establecer el coacutemo se realiza la actividad de control
Debe dejar evidencia de la ejecucioacuten del control
322 Valoracioacuten de los controles ndash disentildeo de controles
Antes de valorar los controles es necesario conocer coacutemo se disentildea un
control para lo cual daremos respuesta a las siguientes interrogantes
iquestCoacutemo defino o establezco un control para que en su disentildeo
mitigue de manera adecuada el riesgo
Al momento de definir si un control o los controles mitigan de
manera adecuada el riesgo se deben considerar desde la redaccioacuten
del mismo las siguientes variables
Esquema 10 Pasos para disentildear un control
VARIA B LES
A EVALUA R PARA EL
AD EC UAD O DISENtildeO
D E C ON TROLES
I M P O R T A N T ELas acciones de tratamiento se agrupan en
Disminuir la probabilidad acciones encaminadas a gestionar las
causas del riesgo
Disminuir el impacto acciones encaminadas a disminuir las
consecuencias del riesgo
P A S O 1
P A S O 3
P A S O 5
P A S O 2
P A S O 4
P A S O 6
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 0
El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina
El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos
Debe tener definido el responsable de llevar a cabo la actividad de control
VA RIABL ES
A EVA LUAR PAR A
EL A DEC UAD O
DIS ENtilde O
DE C ON T ROL E S
P A S O 1
R E S P O N S A B L E
E J E M P L O
Persona asignada para ejecutar el control Debe tener la autoridad
competencias y conocimientos para ejecutar el control dentro del
proceso y sus responsabilidades deben ser adecuadamente segregadas
o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de
error o de actuaciones irregulares o fraudulentas Si ese responsable
quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta
es que cumple con esto quiere decir que el control estaacute bien disentildeado si la
respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar
el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten
Cuando un control se hace de mane-
ra manual (ejecutado por personas)
es importante establecer el cargo
responsable de su realizacioacuten
Cuando el control lo hace un sistema o
una aplicacioacuten de manera automaacutetica a
traveacutes de un sistema programado es im-
portante establecer como responsable de
ejecutar el control al sistema o aplicacioacuten
Debe tener definido el responsable de realizar la actividad de control
P A S O 1
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 1
I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten
Evitar asignar aacutereas de manera general o nombres de personas
El control debe estar asignado a un cargo especiacutefico
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe tener una periodicidad definida para su ejecucioacuten
VA RIABL ES
A EVALUA R PARA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROLES
P A S O 2
P E R I O D I C I D A D
E J E M P L O
El control debe tener una periodicidad especiacutefica para su realizacioacuten
(diario mensual trimestral anual etc) y su ejecucioacuten debe ser
consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la
periodicidad se debe evaluar si este previene o se detecta de manera
oportuna el riesgo Una vez definido el paso 1 - responsable del control
debe establecerse la periodicidad de su ejecucioacuten
Cada vez que se releva un control debemos preguntarnos si la
periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo
de manera oportuna Si la respuesta es SIacute entonces la periodicidad del
control estaacute bien disentildeada
Hay controles que no tienen una periodicidad especiacutefica como por
ejemplo los controles que se ejecutan en el proceso de contratacioacuten
de proveedores solo se ejecutan cuando se contratan proveedores La
periodicidad debe quedar redactada de tal forma que indique que cada
vez que se desarrolla la actividad se ejecuta el control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 2
I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-
da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos
un problema en el disentildeo del control
De igual forma hay controles au-
tomaacuteticos que son programados
para que se ejecuten en un tiempo
especiacutefico estos controles tam-
bieacuten tienen una periodicidad
Debe tener una periodicidad definida para su ejecucioacutenP A S O 2
El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios
El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se
va a realizar un pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 3
E J E M P L O
Al momento de identificar los controles para mitigar el riesgo debe-
mos preguntarnos si es una actividad o un control y para diferenciarlo
es importante tener en cuenta que el control (verifica valida concilia
coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-
portante que pensemos primero en tener controles preventivos antes
que detectivos
VA RIABL ES
A E VALUA R PA RA
EL AD EC UADO
DIS ENtilde O
DE C ON T ROLES
P R O P Oacute S I T O
El control debe tener un propoacutesito que indique para queacute se realiza y que ese
propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar
validar conciliar comparar revisar cotejar) o detectar la materializacioacuten
del riesgo con el objetivo de llevar acabo los ajustes y correctivos en
el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un
procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o
detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las
variables a considerar en la evaluacioacuten del disentildeo de control revisadas
veamos algunos ejemplos de coacutemo se deben redactar los controles
incluyendo el propoacutesito del control es decir lo que este busca
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Debe indicar cuaacutel es el propoacutesito del controlP A S O 3
Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 4
VARIA BL ES
A E VA LUAR PARA
E L A DEC UADO
DIS ENtilde O
DE C ON T ROLES
C Oacute M O S E R E A L I Z A
El control debe indicar el coacutemo se realiza de tal forma que se pueda
evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el
control es confiable para la mitigacioacuten del riesgo
Cuando estemos evaluando el control debemos preguntarnos si la fuente
de informacioacuten utilizada es confiable
Ej para verificar los requisitos que debe cumplir un proveedor en el
momento de ser contratado es mejor utilizar una lista de chequeo que
hacerlo de memoria dado que se nos puede quedar alguacuten requisito por
fuera
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo
Esto tambieacuten aplica para controles que son
realizados de manera automaacutetica a traveacutes de un
sistema programado
I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-
dar cotejar comparar revisar etc) para mitigar
la causa de la materializacioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 5
Debe establecer el coacutemo se realiza la actividad de controlP A S O 4
E J E M P L O
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor
El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 6
E J E M P L O
VA RIABL ES
A EVALUA R PA RA
EL A DEC UADO
DIS ENtilde O
DE C ON T ROL E S
Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S
El control debe indicar queacute pasa con las observaciones o desviaciones
como resultado de ejecutar el control Al momento de evaluar si un control
estaacute bien disentildeado para mitigar el riesgo si como resultado de un control
preventivo se observan diferencias o aspectos que no se cumplen la
actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es
un control que detecta una posible materializacioacuten de un riesgo deberiacutean
gestionarse de manera oportuna los correctivos o aclaraciones a las
diferencias presentadas u observaciones Sigamos con nuestros ejemplos
praacutecticos de ayuda para la interiorizacioacuten de estos conceptos
Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control
P A S O 5
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se deben considerar desde la redaccioacuten del
mismo las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten
El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 7
I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna
actividad de seguimiento a las observaciones o desviaciones
o la actividad continuacutea a pesar de indicar esas observaciones
o desviaciones el control tendriacutea problemas en su disentildeo
E J E M P L O
VA RIABL ES
A E VALUA R PA RA
E L AD EC UADO
D IS ENtilde O
D E C ON T ROLES
E V I D E N C I A
El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda
a que se pueda revisar la misma informacioacuten por parte de un tercero
y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda
evaluar que el control realmente fue ejecutado de acuerdo con los
paraacutemetros establecidos y descritos anteriormente
1 Fue realizado por el responsable que se definioacute
2 Se realizoacute de acuerdo a la periodicidad definida
3 Se cumplioacute con el propoacutesito del control
4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten
5 Hay explicacioacuten a las observaciones o desviaciones resultantes de
ejecutar el control
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
iquestCoacutemo defino o establezco un control que mitigue el riesgo
Al momento de definir si un control o controles mitigan de manera
adecuada el riesgo se debe considerar desde la redaccioacuten del mismo
las siguientes variables
Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
5 8
Debe dejar evidencia de la ejecucioacuten del controlP A S O 6
El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario
Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas
E J E M P L O
Hay controles en los que su evidencia queda en un flujo a
traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo
y otros en los que la evidencia es la configuracioacuten y
programacioacuten de la aplicacioacuten cuando es un control
automaacutetico
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
5 9
322 Valoracioacuten de los controles
Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los
riesgos
V A L O R A C I Oacute N D E L O S
C O N T R O L E S P A R A L A
M I T I G A C I Oacute N D E L O S R I E S G O S
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR LA
PROBABILIDAD DE QUE EL RIESGO
SE MATERIALICE
EL CONTROL ESTAacute DISENtildeADO Y
SE EJECUTA PARA MITIGAR EL
IMPACTO DEL RIESGO UNA VEZ SE
MATERIALICE
EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO
EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE
I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con
que un control esteacute bien disentildeado el control debe ejecu-
tarse por parte de los responsables tal como se disentildeoacute
Porque un control que no se ejecute o un control que
se ejecute y esteacute mal disentildeado no va a contribuir a la
mitigacioacuten del riesgo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 0
Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de
los riesgos
Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis
(6) variables establecidas
C R I T E R I O D E E V A L U A C I Oacute N
A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L
O P C I O N E SD E R E S P U E S T A
1 Responsable
iquestExiste un responsable asignado a la ejecu-
cioacuten del controlAsignado No asignado
iquestEl responsable tiene la autoridad y adecua-
da segregacioacuten de funciones en la ejecucioacuten
del control
Adecuado Inadecuado
2 Periodicidad
iquestLa oportunidad en que se ejecuta el control
ayuda a prevenir la mitigacioacuten del riesgo o a
detectar la materializacioacuten del riesgo de ma-
nera oportuna
Oportuna Inoportuna
3 Propoacutesito
iquestLas actividades que se desarrollan en el
control realmente buscan por si sola prevenir
o detectar las causas que pueden dar origen
al riesgo Ej verificar validar cotejar compa-
rar revisar etc
Prevenir
o detectar No es un control
4 Coacutemo se realiza
la actividad de
control
iquestLa fuente de informacioacuten que se utiliza en el
desarrollo del control es informacioacuten confia-
ble que permita mitigar el riesgo
Confiable No confiable
5 Queacute pasa con las
observaciones o
desviaciones
iquestLas observaciones desviaciones o dife-
rencias identificadas como resultados de la
ejecucioacuten del control son investigadas y re-
sueltas de manera oportuna
Se investigan y
resuelven
oportunamente
No se investigan
y resuelven
oportunamente
6 Evidencia de la
ejecucioacuten del
control
iquestSe deja evidencia o rastro de la ejecucioacuten del
control que permita a cualquier tercero con la
evidencia llegar a la misma conclusioacuten
CompletaIncompleta no
existe
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 1
Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del
control para la mitigacioacuten del riesgo
C R I T E R I O D E E V A L U A C I Oacute N
O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N
P E S OE N L A E V A L U A C I Oacute N
D E L D I S E Ntilde OD E L C O N T R O L
11 Asignacioacuten del
responsable
Asignado 15
No Asignado 0
12 Segregacioacuten y
autoridad del
responsable
Adecuado 15
Inadecuado 0
2 PeriodicidadOportuna 15
Inoportuna 0
3 Propoacutesito
Prevenir 15
Detectar 10
No es un control 0
4 Coacutemo se realiza
la actividad de
control
Confiable 15
No confiable 0
5 Queacute pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan y resuelven oportunamente 0
6 Evidencia de la
ejecucioacuten del
control
Completa 10
Incompleta 5
No existe 0
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 2
Resultados de la evaluacioacuten del disentildeo del control
El resultado de cada variable de disentildeo a excepcioacuten de la evidencia
va a afectar la calificacioacuten del disentildeo del control ya que deben
cumplirse todas las variables para que un control se evaluacutee como
bien disentildeado
Resultados de la evaluacioacuten de la ejecucioacuten del control
Aunque un control esteacute bien disentildeado este debe ejecutarse de manera
consistente de tal forma que se pueda mitigar el riesgo No basta
solo con tener controles bien disentildeados debe asegurarse por parte
de la primera liacutenea de defensa que el control se ejecute Al momento
de determinar si el control se ejecuta inicialmente el responsable
del proceso debe llevar a cabo una confirmacioacuten posteriormente se
confirma con las actividades de evaluacioacuten realizadas por auditoriacutea
interna o control interno
Si el resultado de las calificaciones del control o el promedio en el disentildeo de los
controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita
tener un control o controles bien disentildeados
R A N G O D E C A L I F I C A C I Oacute N
D E L D I S E Ntilde O
R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L
C O N T R O L
Fuerte Calificacioacuten entre 96 y 100
Moderado Calificacioacuten entre 86 y 95
Deacutebil Calificacioacuten entre 0 y 85
R A N G O D EC A L I F I C A C I Oacute N D E
L A E J E C U C I Oacute N
R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Deacutebil El control no se ejecuta por parte del responsable
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 3
Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los
riesgos
Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea
al riesgo y no a cada causa hay que consolidar el conjunto de los
controles asociados a las causas para evaluar si estos de manera
individual y en conjunto siacute ayudan al tratamiento de los riesgos
considerando tanto el disentildeo ejecucioacuten individual y promedio de los
controles
En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos
variables son importantes y significativas en el tratamiento de los
riesgos y sus causas por lo que siempre la calificacioacuten de la solidez
de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con
menor calificacioacuten entre fuerte moderado y deacutebil tal como se
detalla en la siguiente tabla
P E S O D E LD I S E Ntilde O
D E C A D A C O N T R O L
P E S O D E L AE J E C U C I Oacute N D E C A D A
C O N T R O L
S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L
F U E R T E 1 0 0M O D E R A D O 5 0
D Eacute B I L 0
D E B E E S T A B L E C E R
A C C I O N E S P A R A F O R T A L E C E R E L
C O N T R O LS Iacute N O
fuerte
calificacioacuten
entre 96 y 100rdquo
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Siacute
deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute
moderado
calificacioacuten
entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute
moderado (algunas veces) moderado + moderado = moderado Siacute
deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute
deacutebil
calificacioacuten entre
0 y 85
fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute
moderado (algunas veces) deacutebil + moderado = deacutebil Siacute
deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 4
Solidez del conjunto de controles para la adecuada mitigacioacuten
del riesgo
Dado que un riesgo puede tener varias causas a su vez varios
controles y la calificacioacuten se realiza al riesgo es importante evaluar
el conjunto de controles asociados al riesgo
Esquema 12 Solidez del conjunto de controles
RIE S G O
C A U S A 1
CONTROL 1
CONTROL 2
CONTROL 3C A U S A 2
Fuerte
iquestCoacutemo evaluamos
la solidez del conjunto de los
controles
Riesgos Causas o fallas ControlesDisentildeo del
controlEjecucioacuten
del control
Solidez individual
del control
Solidez del conjunto
de controles
Fuerte
Deacutebil
Fuerte
Moderado
Fuerte
Fuerte
Moderado
Deacutebil
I M P O R T A N T ELa solidez del conjunto de con-
troles se obtiene calculando el
promedio aritmeacutetico simple de
los controles por cada riesgo
S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S
C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S
FuerteEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es igual a 100
ModeradoEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos estaacute entre 50 y 99
DeacutebilEl promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 5
Disminucioacuten de probabilidad e impacto
La mayoriacutea de los controles que se disentildean son para disminuir la
probabilidad de que ocurra una causa o evento que pueda llevar a
la materializacioacuten del riesgo y muy pocos son dirigidos al impacto
E J E M P L O
Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten
Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado
Generalmente se encuentran maacutes controles que
disminuyen directamente la probabilidad que el impacto
Si no existieran controles para disminuir la probabilidad
del riesgo el impacto de un riesgo por el nuacutemero de
eventos que se llegariacutean a materializar seriacutea mayor en
nuestro ejemplo si no existiera el control ldquoverificar que la
informacioacuten suministrada por el proveedor corresponda
con los requisitos establecidos de contratacioacuten para
poder asignar un contratordquo el nuacutemero de contratos que
se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos
de la elaboracioacuten de la matriz al momento de evaluar
si los controles ayudan a disminuir el impacto o la
probabilidad estos controles se calificaraacuten teniendo en
cuenta que de manera indirecta disminuyen tambieacuten el
impacto
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 6
323 Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo
residual
Dado que ninguacuten riesgo con una medida de tratamiento se evita o
elimina el desplazamiento de un riesgo inherente en su probabilidad
o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo
con la siguiente tabla
Tabla 8 Resultados de los posibles desplazamientos de la
probabilidad y del impacto de los riesgos
I M P O R T A N T ESi la solidez del conjunto de los
controles es deacutebil este no dismi-
nuiraacute ninguacuten cuadrante de impacto
o probabilidad asociado al riesgo
I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten
uacutenicamente hay disminucioacuten de pro-
babilidad Es decir para el impacto
no opera el desplazamiento
S O L I D E Z D E L C O N J U N T O
D E L O S C O N -T R O L E S
C O N T R O L E SA Y U D A N
A D I S M I N U I R L A P R O B A B I L I D A D
C O N T R O L E S A Y U D A N
A D I S M I N U I R I M P A C T O
C O L U M N A SE N L A M A T R I Z
D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A
P R O B A B I L I D A D
C O L U M N A S E N L A M A T R I Z D E
R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O
fuerte directamente directamente 2 2
fuerte directamente indirectamente 2 1
fuerte directamente no disminuye 2 0
fuerte no disminuye directamente 0 2
moderado directamente directamente 1 1
moderado directamente Indirectamente 1 0
moderado directamente no disminuye 1 0
moderado no disminuye directamente 0 1
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 7
Resultados del mapa de riesgo residual
Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la
mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de
riesgo residual (despueacutes de los controles)
Tenemos el riesgo 1 con una calificacioacuten de
riesgo inherente de probabilidad e impacto
como se muestra en la siguiente graacutefica
Como podemos observar es probable que el
riesgo suceda y en caso de materializarse
tiene un impacto mayor para la entidad
Ahora supongamos que existen controles
bien disentildeados que siempre se ejecutan y
que estos controles disminuyen de manera
directa la probabilidad
En nuestro ejemplo disminuiriacutea dos
cuadrantes de probabilidad pasa de
probable a improbable y un cuadrante de
impacto pasa de mayor a moderado
Extremo
Alto Moderado
Bajo
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
6 8
Tratamiento del riesgo
iquestQueacute es tratamiento del riesgo
Es la respuesta establecida por la primera liacutenea de defensa para la
mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados
con la corrupcioacuten A la hora de evaluar las opciones existentes en
materia de tratamiento del riesgo y partiendo de lo que establezca
la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos
tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto
que puede tener sobre la entidad la probabilidad e impacto de este
y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en
caso de que una respuesta ante el riesgo derive en un riesgo residual
que supere los niveles aceptables para la direccioacuten se deberaacute volver
a analizar y revisar dicho tratamiento En todos los casos para los
riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir
el riesgo El tratamiento o respuesta dada al riesgo se enmarca en
las siguientes categoriacuteas
TRATAMIENTO
DEL RIESGO
Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)
Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad
Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles
A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O
E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
6 9
A C E P T A R E L R I E S G O
Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo
no es necesario poner controles y este puede ser aceptado Esto
deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de
riesgo bajo
I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que
afecte la probabilidad o el impacto
del riesgo
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad
para los riesgos bajos pero tambieacuten pueden existir escenarios de
riesgos a los que no se les puedan aplicar controles y por ende se
acepta el riesgo En ambos escenarios debe existir un seguimiento
continuo del riesgo
MEDIDA DE TRATAMIENTO
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 0
E V I T A R E L R I E S G O
Cuando los escenarios de riesgo identificado se consideran
demasiado extremos se puede tomar una decisioacuten para evitar el
riesgo mediante la cancelacioacuten de una actividad o un conjunto de
actividades
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
EVITAR
Se abandonan las actividades que
dan lugar al riesgo y se decide
no iniciar o no continuar con las
actividades que lo causanNO HAY RIESGOS
DESPUEacuteS DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones
este tratamiento es simple la menos arriesgada y menos costosa
pero es un obstaacuteculo para el desarrollo de las actividades de la
entidad y por lo tanto hay situaciones donde no es una opcioacuten
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 1
C O M P A R T I R E L R I E S G O
Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel
aceptable o se carece de conocimientos necesarios para gestionarlo
este puede ser compartido con otra parte interesada que pueda
gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es
posible transferir la responsabilidad del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el
impacto del riesgo y se transfiere
o comparte una parte de este
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Los dos principales meacutetodos de compartir o transferir parte del riesgo
son seguros y tercerizacioacuten Estos mecanismos de transferencia
de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo
contractual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 2
R E D U C I R E L R I E S G O
El nivel de riesgo deberiacutea ser administrado mediante el establecimiento
de controles de modo que el riesgo residual se pueda reevaluar
como algo aceptable para la entidad Estos controles disminuyen
normalmente la probabilidad yo el impacto del riesgo
RIESGO ANTES
DE MEDIDAS DE
TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir
la probabilidad o el impacto del
riesgo o ambos esto conlleva a la
implementacioacuten de controles
RIESGO DESPUEacuteS
DE MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
Deberiacutean seleccionarse controles apropiados y con una adecuada
segregacioacuten de funciones de manera que el tratamiento al riesgo
adoptado logre la reduccioacuten prevista sobre este
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 3
Tratamiento del riesgo ndash rol de la primera liacutenea de defensa
Como medio para propiciar el logro de los objetivos las actividades
de control se orientan a prevenir y detectar la materializacioacuten de los
riesgos Por consiguiente su efectividad depende de queacute tanto se
estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad
Le corresponde a la primera liacutenea de defensa el establecimiento de
actividades de control
Las poliacuteticas establecen
las liacuteneas generales del
control interno
Los procedimientos son
los que llevan dichas
poliacuteticas a la praacutectica
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Son las acciones establecidas a traveacutes de
poliacuteticas y procedimientos que contribuyen
a garantizar que se lleven a cabo las
instrucciones de la direccioacuten para mitigar
los riesgos que inciden en el cumplimiento
de los objetivos
iquestQUEacute SO N ACTIV IDADES
DE CONTR O L
P O L Iacute T I C A S P R O C E D I M I E N T O S
I M P O R T A N T E Una poliacutetica por siacute sola no es un control
Los controles se despliegan a traveacutes de los procedimientos documentados
La actividad de control debe por siacute sola mitigar o tratar la causa
del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones
Para mitigartratar los riesgos de seguridad digital se deben emplear
como miacutenimo los controles del Anexo A de la ISOIEC 270012013
estos tambieacuten se encuentran en el anexo 3 ldquoLineamientos para la
gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea
1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 4
E J E M P L O
La poliacutetica establece que para los contratos de bienes y servicios
se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten
que valide que la poliacutetica se estaacute cumpliendo dejando claras las
actividades y responsabilidades que asume el personal que lleva a
cabo la actividad de control y asegura que existan las tres cotizaciones
Tanto la poliacutetica como el procedimiento deben estar documentados
Esto contribuye a que las actividades de control sean parte del diacutea a
diacutea de las operaciones de la entidad
Las actividades de control independientemente de la tipologiacutea de
riesgo a tratar deben tener una adecuada combinacioacuten para prevenir
que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten
de riesgos se presente esta debe ser detectada de manera oportuna
Controles que estaacuten disentildeados para identificar
un evento o resultado no previsto despueacutes de
que se haya producido Buscan detectar la
situacioacuten no deseada para que se corrija y se
tomen las acciones correspondientes
Controles que estaacuten disentildeados para evitar un
evento no deseado en el momento en que se
produce Este tipo de controles intentan evitar
la ocurrencia de los riesgos que puedan afectar
el cumplimiento de los objetivos
CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL
Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor
Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos
E J E M P L O
I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos
C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 5
33 Monitoreo y revisioacuten
iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos
Porque la entidad debe asegurar el logro de sus objetivos
anticipaacutendose a los eventos negativos relacionados con la gestioacuten
de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en
la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de
defensa la responsabilidad de la gestioacuten del riesgo y control
iquestCoacutemo se define el modelo de las liacuteneas de defensa
Es un modelo de control que establece los roles y responsabilidades
de todos los actores del riesgo y control en una entidad este
proporciona aseguramiento de la gestioacuten y previene la materializacioacuten
de los riesgos en todos sus aacutembitos
iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten
de riesgos y cuaacuteles son sus roles
El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la
dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el
MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y
roles el cual se distribuye en diversos servidores de la entidad como
sigue
Define el marco general para la gestioacuten del
riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute
institucional de coordinacioacuten de control interno
L Iacute N E A E S T R A T Eacute G I C A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 6
1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos
a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y
acciones de mejora
Asegura que los controles y los procesos de gestioacuten
de riesgos implementados por la primera liacutenea de
defensa esteacuten disentildeados apropiadamente y funcionen como se
pretende
Proporciona informacioacuten sobre la efectividad del
SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y
segunda liacutenea de defensa
A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y
proyectos de la entidadRol principal disentildear
implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea
a diacutea los riesgos de la entidad
Asiacute mismo orientar el desarrollo e
implementacioacuten de poliacuteticas y
procedimientos internos y asegurar que sean compatibles con las
metas y objetivos de la entidad y emprender
las acciones de mejoramiento para su
logro
A cargo de los servidores que tienen
responsabilidades directas en el monitoreo
y evaluacioacuten de los controles y la gestioacuten
del riesgo jefes de planeacioacuten supervisores
e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de
riesgos (donde existan) comiteacutes de contratacioacuten
entre otros
Rol principal monitorear la gestioacuten de riesgo y
control ejecutada por la primera liacutenea de defensa
complementando su trabajo
A cargo de la oficina de control interno auditoriacutea interna o quien haga sus
veces
El rol principal proporcionar un aseguramiento basado
en el maacutes alto nivel de independencia y objetividad
sobre la efectividad del SCI
El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre
todos los componentes del SCI
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 7
Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos
y actividades de control
L Iacute N E A E S T R A T Eacute G I C A
Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento
estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno
Actividades de monitoreo
y revisioacuten a realizar
La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados
Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos
Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
7 8
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
1 ordf L Iacute N E A D E D E F E N S A
Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-
cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes
puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso
Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos
Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos
Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
7 9
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
2 ordf L Iacute N E A D E D E F E N S A
Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los
riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos
incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en
el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo
independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por
los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-
neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de
gestioacuten etc)
Actividades de monitoreo
y revisioacuten a realizar
Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad
Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos
Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 0
Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los
riesgos y actividades de control
3 ordf L Iacute N E A D E D E F E N S A
Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema
de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa
cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de
los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de
defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna
Actividades de monitoreo
y revisioacuten a realizar
La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente
Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables
Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten
Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos
Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas
para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 1
Monitoreo de riesgos de corrupcioacuten
Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con
sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten
de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de
defensa) Le corresponde igualmente a la oficina de planeacioacuten
adelantar el monitoreo (segunda liacutenea de defensa) para este
propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en
los tiempos que determine la entidad
Su importancia radica en la necesidad de llevar a cabo un seguimiento
constante a la gestioacuten del riesgo y a la efectividad de los controles
establecidos Teniendo en cuenta que la corrupcioacuten es por sus
propias caracteriacutesticas una actividad difiacutecil de detectar
Para tal efecto deben atender a los lineamientos y las actividades
descritas en la primera y segunda liacutenea de defensa de este documento
Reporte del Plan de Tratamiento de Riesgos
Consolidar informacioacuten para la gestioacuten del riesgo
Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos
Una vez analizado el nivel de riesgo residual y definido
el tratamiento a implementar con el establecimiento
de controles preventivos y detectivos es necesario
generar un reporte que consolide la informacioacuten
clave del proceso de gestioacuten del riesgo
En el formato de mapa y plan de tratamiento de riesgos se inicia
con el registro del riesgo identificado luego se especifica la clase
de riesgo se transcriben las causas raiacutez o causas priorizadas
asiacute como la probabilidad e impacto que quedaron despueacutes de
valorar los controles para determinar el riesgo residual
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 2
A partir de alliacute se deben analizar las estrategias
DO y FA o estrategias de supervivencia
formuladas en la etapa de establecimiento del
contexto que contrarresten las causas raiacutez
para incluirlas en las actividades de control
del formato y con base en su contenido se
establezca la opcioacuten de tratamiento a la que
corresponden
Luego se relaciona el soporte con el que se
evidenciaraacute el cumplimiento de cada actividad el
responsable de adelantarla (relacionando el cargo y
no el nombre) el tiempo especiacutefico para cumplir con
la actividad o la periodicidad de ejecucioacuten
Al final de todas las actividades de control establecidas para
atacar las causas del riesgo se debe relacionar la accioacuten de
contingencia a implementar una vez el riesgo se materialice
para ello se deben analizar las estrategias DA o estrategias
de fuga provenientes de la matriz DOFA seleccionando
la(s) maacutes apropiada(s) para el riesgo identificado
No olvidar colocar el soporte responsable y
tiempo de ejecucioacuten teniendo en cuenta que este
tipo de acciones son de aplicacioacuten inmediata y
a corto plazo para restablecer cuanto antes la
normalidad de las actividades para el logro de los
objetivos del proceso o la estrategia
Por uacuteltimo se formulan los indicadores clave de
riesgo (KRI por sus siglas en ingleacutes) que permitan
monitorear el cumplimiento (eficacia) e impacto
(efectividad) de las actividades de control siempre
y cuando conduzcan a la toma de decisiones (por
riesgo identificado en los procesos)
continuacioacuten esquema 13
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 3
Reporte de la gestioacuten del riesgo
La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado
de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten
de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de
defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UA
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
1
Des
abas
teci
mie
nto
de b
iene
s y
serv
icio
s re
quer
idos
por
la
enti
dad
Fina
ncie
ro
Desactuali-zacioacuten de la
base de datos
Impr
obab
le
May
or
Mod
erad
o
Red
ucir D2O1 Adquirir software para
mantener actualizada la base de datos de proveedores y el registro de contrataciones
Contrato y factura software
Directorde TIy jefe
contratos
Primer trimestrede 2018
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades cumplidas de actividades programadas)
x 100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= (( de casos de desabas-tecimiento
presentados periodo actual - de casos de
desabasteci-miento presen-tados periodo
anterior) de casos de desa-bastecimiento presentados
periodoanterior) x 100
Insuficiente capacitacioacuten R
educ
ir D1O2 Realizar convenios con entidades educativas
para capacitar al personal de contratos
Convenios firmados
Director financiero
Trimestral-mente
Del 01012018al 31122018
Cambios en la regulacioacuten
contable y presupuestal
Red
ucir
F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal
ante los cambios normativos contables
Circular interna
Directortalentohumano
Del 01012018al 31012018
Red
ucir F2A1 Realizar reinducciones
para actualizar al personal ante los cambios normativos
contables
Actasreinduccioacuten
Jefe cartera
Trimestral-mente
Del 01012018 al 31122018
Hackeo
Red
ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten
para detectar posibles incursiones
Reporte cumplimien to Firewall fortalecido
Directorde TI
Del 01022018 al 28022018
Acc
ioacuten
de c
ontin
genc
ia
D12A12 D12A12 Convocar en forma
extraordinaria un comiteacute Institucional de coordinacioacuten
de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el
reabastecimiento inmediato de bienes y servicios
Acta de comiteacute de coordina-
cioacuten institu-cional
de control internofirmada
Director financiero
1 semana una vez el
riesgo se materialice
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 4
Reporte de la gestioacuten del riesgo de corrupcioacuten
De igual forma se debe reportar en el mapa y plan de tratamiento de
riesgos los riesgos de corrupcioacuten de tal manera que se comunique
toda la informacioacuten necesaria para su comprensioacuten y tratamiento
adecuado
Formato mapa y plan de tratamiento de riesgos
N
RIES
GO
CLAS
IFIC
ACIOacute
N
CAUSAS
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN M
ANEJ
OACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Pos
ibil
idad
de
reci
bir
o so
lici
tar
cual
quie
r daacute
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e te
rcer
os p
ara
cele
brar
un
cont
rato
Cor
rupc
ioacuten
Debilidades en la etapa de
planeacioacuten
Pro
babl
e
Cat
astr
oacutefic
o
Ext
rem
o
Red
ucir
Manual de contratacioacuten
implementado con paraacutemetros
teacutecnicos y financieros para
cada tipo de contratacioacuten
formalizado en procedimiento
Man
ual d
e co
ntra
taci
oacuten
Jefe
de
cont
rato
s
Primertrimestre dehellip
EFICACIA Iacutendice de
cumplimiento actividades= ( de actividades
cumplidas de activida-des programa-
das) x 100
EFECTIVIDADEfectividad del plan de manejo de riesgos= ((
de casos de favorecimiento a proponentes presentados
periodo actual - de casos de favorecimiento a proponentes presentados
periodo anterior) de casos de
favorecimiento a proponentes pre-sentados periodo anterior ) x 100
Presiones indebidas
Red
ucir
Comiteacute de contratacioacuten A
cto
adm
inis
trat
ivo
conf
orm
ando
co
miteacute
Jefe
de
cont
rato
s
Trimestralmente
Carencia de controles en el procedimiento
de contratacioacuten Red
ucir
Difusioacuten y capacitacioacuten a todos los
funcionarios del proceso
Act
as d
e ca
paci
taci
oacuten
Dire
ctor
tale
nto
hum
ano
Del (diacutea mesantildeo) al (diacutea
mesantildeo)
Excesiva discrecionalidad
Acc
ioacuten
de C
onti
ngen
cia
Iniciar la investigacioacuten disciplinaria
fiscal o remitir a las instancias
correspondientes para el proceso
penal
Com
unic
acioacute
n in
icia
ndo
o re
mit
iend
o in
vest
iga-
cioacuten
Jefe
con
trol
dis
cipl
inar
io
inte
rno 1 semana una
vez el riesgo de iliquidez se
materialice
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 5
Reporte de la gestioacuten del riesgo de seguridad digital
Asiacute mismo en el caso de los riesgos de seguridad digital se debe
reportar en el mapa y planes de tratamiento El responsable de
seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de
defensa tanto para el reporte como para la gestioacuten y el tratamiento
de estos riesgos
Formato mapa y plan de tratamiento de riesgos de seguridad digital
En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso
N
RIES
GO
ACTI
VO
TIPO
AMEN
AZAS
TIPO
PROB
ABIL
IDAD
IMPA
CTO
RIES
GO R
ESID
UAL
OPCI
OacuteN T
RATA
MIE
NTO
ACTIVIDAD DE
CONTROL SOPORTE
RESP
ONSA
BLE
TIEMPO INDICADOR
2
Peacuter
dida
de
la in
tegr
idad
Bas
e de
dat
os d
e noacute
min
a
Seg
urid
ad d
igit
al
Mod
ific
acioacute
n no
aut
oriz
ada
Ausencia de poliacuteticas de control de
acceso
Pro
babl
e
Men
or
Mod
erad
o
Red
ucir
A911 Poliacutetica de control de acceso
Pol
iacutetic
a cr
eada
y co
mun
icad
a
Ofic
ina
TI Tercer trimestre de 2018
EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x
100
EFECTIVIDADEfectividad del plan de manejo
de riesgos= ( de modificaciones no
autorizadas)
Contrasentildeas sin proteccioacuten
Red
ucir A943 Sistema
de gestioacuten de contrasentildeas
Pro
cedi
mie
ntos
pa
ra l
a ge
stioacute
n y
prot
ecci
oacuten d
e co
ntra
sentildea
s
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de mecanismos
de identificacioacuten
y autenticacioacuten de usuarios
Red
ucir A 942
Procedimiento de ingreso seguro
Pro
cedi
mie
nto
para
ingr
eso
seg
uro
Ofic
ina
TI Tercer trimestre de 2018
Ausencia de bloqueo
Red
ucir A1128 Equipos
deusuario
desatendidos
Con
figu
raci
ones
pa
ra b
loqu
eo
auto
maacutet
ico
de
sesi
oacuten
Ofic
ina
TI Tercer trimestre de 2018
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 6
Indicadores - gestioacuten del riesgo de seguridad digital
Igualmente en el caso de los riesgos de seguridad digital se deben generar
indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la
efectividad de los planes de tratamiento implementados
La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO
de la siguiente manera
1 indicador de eficacia que indique el cumplimiento de las
actividades para la gestioacuten del riesgo de seguridad digital en
cada PROCESO de la entidad
1 indicador de efectividad para cada riesgo o la suma de todos
los riesgos de seguridad digital (peacuterdida de confidencialidad de
integridad de disponibilidad)
I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta
que pueden generarse un sinnuacutemero de indicadores lo que
hariacutea que la gestioacuten y seguimiento se conviertan en algo
muy complejo para la entidad
E J E M P L O S
E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100
E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la
confidencialidad de alguacuten activo del proceso)
Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =
(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad
en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100
Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 7
34 Seguimiento de riesgos de corrupcioacuten
GESTION RIESGOS DE CORRUPCIOacuteN
Seguimiento El Jefe de Control Interno o quien haga sus veces
debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten
En este sentido es necesario que adelante seguimiento a la
gestioacuten del riesgo verificando la efectividad de los controles
Primer seguimiento Con corte al 30 de abril En esa medida
la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de mayo
Segundo seguimiento Con corte al 31 de agosto La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de septiembre
Tercer seguimiento Con corte al 31 de diciembre La
publicacioacuten deberaacute surtirse dentro de los diez (10) primeros
diacuteas del mes de enero
El seguimiento adelantado por la Oficina de Control Interno se
deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil
acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los
riesgos de corrupcioacuten)
En especial deberaacute adelantar las siguientes actividades
Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en
la paacutegina web de la entidad
Seguimiento a la gestioacuten del riesgo
Revisioacuten de los riesgos y su evolucioacuten
Asegurar que los controles sean efectivos le apunten al riesgo
y esteacuten funcionando en forma adecuada
Acciones a seguir en caso de materializacioacuten de riesgos de
corrupcioacuten
En el evento de materializarse un riesgo de corrupcioacuten es necesario
realizar los ajustes necesarios con acciones tales como
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
8 8
1) Informar a las autoridades de la ocurrencia del hecho de
corrupcioacuten
2) Revisar el mapa de riesgos de corrupcioacuten en particular las
causas riesgos y controles
3) Verificar si se tomaron las acciones y se actualizoacute el mapa de
riesgos de corrupcioacuten
4) Llevar a cabo un monitoreo permanente
La Oficina de Control Interno debe asegurar que los controles
sean efectivos le apunten al riesgo y esteacuten funcionando en forma
oportuna y efectiva
Las acciones adelantadas se refieren a
Determinar la efectividad de los controles
Mejorar la valoracioacuten de los riesgos
Mejorar los controles
Analizar el disentildeo e idoneidad de los controles y si son adecuados
para prevenir o mitigar los riesgos de corrupcioacuten
Determinar si se adelantaron acciones de monitoreo
Revisar las acciones del monitoreo
Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto
internas como externas deberiacutea tener lugar durante todas las etapas
del proceso para la gestioacuten del riesgo12
12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
8 9
Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades
de los usuarios o ciudadanos de modo tal que los riesgos
identificados permitan encontrar puntos criacuteticos para la mejora en
la prestacioacuten de los servicios Es preciso promover la participacioacuten
de los funcionarios con mayor experticia con el fin de que aporten
su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo
Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal
U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E
Ayudar a establecer correctamente el contexto para
los procesos
Garantizar que se toman en consideracioacuten las necesi-
dades de los usuarios
Ayudar a garantizar que los riesgos esteacuten correcta-
mente identificados
Reunir diferentes aacutereas de experticia para el anaacutelisis
de los riesgos
Garantizar que los diferentes puntos de vista se
toman en consideracioacuten adecuadamente durante todo
el proceso
Fomentar la administracioacuten del riesgo como una acti-
vidad inherente al proceso de planeacioacuten estrateacutegica
Se constituye en un elemento transversal a todo
el proceso al involucrar a todos los funcionarios
para el levantamiento de los mapas de riesgos
Estrategias de Comunicacioacuten
Trabajo en equipo
Conocimiento y anaacutelisis de la
complejidad de cada uno de los
procesos
C O M U N I C A C I Oacute N Y C O N S U L T A
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 0
Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten
comunicacioacuten y reporte
L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y
Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten
de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse
de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de
tal forma que se conozcan claramente los niveles de responsabilidad y
autoridad que posee cada una de las tres liacuteneas de defensa frente a la
gestioacuten del riesgo
P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)
asegurarse de implementar esta metodologiacutea para mitigar los riesgos en
la operacioacuten reportando a la segunda liacutenea sus avances y dificultades
S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de
defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de
los planes de tratamiento de riesgo identificados en todos los niveles de
la entidad de tal forma que se asegure su implementacioacuten
T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten
(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad
catalogaacutendola como una unidad auditable maacutes dentro de su universo de
auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan
Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten
de la gestioacuten del riesgo
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 1
La comunicacioacuten de la informacioacuten y el reporte debe garantizar que
se tienen en cuenta las necesidades de los usuarios o ciudadanos
de modo tal que los riesgos identificados permitan encontrar puntos
criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso
promover la participacioacuten de los funcionarios con mayor experticia
con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis
y valoracioacuten del riesgo
Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten
capacitacioacuten yo entrenamiento de todos y cada uno de los pasos
que componen la metodologiacutea de la administracioacuten del riesgo
asegurando que permee a la totalidad de la organizacioacuten puacuteblica
I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-
macioacuten y reporte de la administracioacuten del riesgo en todas sus
etapas
Adicionalmente los riesgos de seguridad digital deberaacuten
ser reportados a las autoridades o instancias respectivas
que el gobierno disponga
-
DO
CU
ME
NT
O
OF
IC
IA
L
-
9 2
ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio
Graacutefico Ltda
COSO Committee of Sponsoring Organizations of the Treadway
Commission (2017) Enterprise Risk Management Integrating with
Strategy and Performance Durham Association of International
Certified Professional Accountants
COSO Committee of Sponsoring Organizations of the Treadway
Commission PwC Instituto de Auditores Internos de Espantildea
(2013) Control Interno - Marco Integrado Marco y Apeacutendices
Instituto de Auditores Internos de Espantildea
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC
137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute
DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten
(ICONTEC)
ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC
ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y
DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas
y Certificacioacuten (ICONTEC)
ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA
NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE
VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de
Normas Teacutecnicas y Certificacioacuten (ICONTEC)
Instituto de Auditores Internos de Colombia (2017) MARCO
INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA
AUDITORIacuteA INTERNA Bogotaacute DC
Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7
Mejores Ejemplos de Objetivos SMART
h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -
objetivos-smart-o-inteligentes-para-empresas
-
FU
NC
IOacute
N
PUacute
BL
IC
A
-
9 3
Anexos
1 Formato de caracterizacioacuten de procesos
2 Teacutecnicas para establecimiento del contexto y
valoracioacuten del riesgo
3 Protocolo para la identificacioacuten de riesgos
de corrupcioacuten asociados a la prestacioacuten de
traacutemites y servicios
4 Lineamientos para la gestioacuten del riesgo de
seguridad digital en entidades puacuteblicas
5 Anaacutelisis y priorizacioacuten de causas
6 Matriz de seguimiento riesgos de corrupcioacuten
Departamento Administrativo de la Funcioacuten Puacuteblica
Carrera 6 No 12-62 Bogotaacute DC Colombia
Conmutador 7395656 Fax 7395657
Web wwwfuncionpublicagovco
evafuncionpublicagovco
Liacutenea gratuita de atencioacuten al usuario 018000 917770
Bogotaacute DC Colombia
V I S Iacute T A N O S O E S C R Iacute B E N O S
F U N C I Oacute N P Uacute B L I C A
O C T U B R E 2 0 1 8
V E R S I Oacute N 4
D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L
R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L
Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas
VICEPRESIDENCIA