guía para la administración del riesgo y el diseño de

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

F U N C I Oacute N P Uacute B L I C A

O C T U B R E 2 0 1 8

V E R S I Oacute N 4

D I R E C C I Oacute N D E G E S T I Oacute N Y D E S E M P E Ntilde O I N S T I T U C I O N A L

R I E S G O S D E G E S T I Oacute N C O R R U P C I Oacute N Y S E G U R I D A D D I G I T A L

Co

n los servidores

por los ciudadanosantildeos

Guiacutea para la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas

VICEPRESIDENCIA

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2

D E P A R T A M E N T OA D M I N I S T R A T I V OD E L A F U N C I Oacute NP Uacute B L I C A

B O G O T Aacute C O L O M B I A

O C T U B R E 2 0 1 8

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3

Presidencia de la Repuacuteblica

Ivaacuten Duque Maacuterquez

Presidente de la Repuacuteblica

Martha Luciacutea Ramiacuterez de Rincoacuten

Vicepresidente de la Repuacuteblica

Andreacutes Joseacute Rugeles Pineda

Secretario de Transparencia

Ministerio de las Tecnologiacuteas de la

Informacioacuten y las Comunicaciones

Sylvia Cristina Constaiacuten Rengifo

Ministra TIC

Carlos Eduardo Rozo Bolantildeos

Director de Gobierno Digital

Departamento Administrativo de la

Funcioacuten Puacuteblica

Fernando Antonio Grillo Rubiano

Director

Mariacutea del Pilar Garciacutea Gonzaacutelez

Directora de Gestioacuten y Desempentildeo

Institucional

Equipo de trabajo

Presidencia de la Repuacuteblica - Secretaria de Transparencia

Martha Ligia Ortega Santamariacutea

Ana Paulina Sabbagh Acevedo

Mariacutea Victoria Sepuacutelveda Rincoacuten



- Grupo Interno de Seguridad y

Privacidad de la Informacioacuten

Juan Carlos Valenzuela Buitrago

Senen Nintildeo Gil

Departamento Administrativo

de la Funcioacuten Puacuteblica

Carrera 6 No 12-62 Bogotaacute DC Colombia

Conmutador 739 5656 86 - Fax 739 5657

Web wwwfuncionpublicagovco

evafuncionpublicagovco

Liacutenea gratuita de atencioacuten al usuario 018000 917770

Bogotaacute DC Colombia

Aacutengela Janeth Corteacutes Hernaacutendez

Albert Cuesta Goacutemez

Departamento Administrativo de la Funcioacuten

Puacuteblica ndash Direccioacuten de Gestioacuten y Desempentildeo

Institucional Grupo de Anaacutelisis y Poliacutetica

Diana Mariacutea Caldas Gualteros

Dolly Amaya Caballero

Eva Mercedes Rojas Valdeacutes

Myrian Cubillos Benavides

Dorley Enrique Leoacuten Loacutepez

Edwin Arley Giraldo

Edicioacuten

Carolina Mogolloacuten Delgado

Direccioacuten de Gestioacuten del Conocimiento

Disentildeo y diagramacioacuten

Susana Bonilla Guzmaacuten

Oficina Asesora de Comunicaciones

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4

ContenidoPresentacioacuten 6

Objetivos 7

Conceptos baacutesicos 8

Antes de iniciar la metodologiacutea 10

Acerca de la metodologiacutea 13

P A S O 1 P O L Iacute T I C A A D M I N I S T R A C I Oacute N D E R I E S G O S 14

P A S O 2 I D E N T I F I C A C I Oacute N D E R I E S G O S 17

21 Establecimiento del contexto 19

211 Contexto interno 16

212 Contexto externo19

213 Contexto del proceso 19

214 Identificacioacuten de activos de seguridad de la informacioacuten 21

22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos de gestioacuten y corrupcioacuten 22

221 Teacutecnicas para la redaccioacuten de riesgos 27

222 Tipologiacutea de riesgos 28

P A S O 3 V A L O R A C I Oacute N D E R I E S G O S 36

31 Anaacutelisis de riesgos 37

311 Anaacutelisis de causas 37

312 Caacutelculo de la probabilidad 38

313 Anaacutelisis del impacto (riesgos de gestioacuten y corrupcioacuten) 44

32 Evaluacioacuten de riesgos 48

321 Anaacutelisis preliminar (riesgo inherente) 48

322 Valoracioacuten de los controles (disentildeo de controles) 49

323 Nivel de riesgo (riesgo residual) 66

33 Monitoreo y revisioacuten 75

34 Seguimiento de riesgos de corrupcioacuten 87

Comunicacioacuten y consulta 88

Informacioacuten comunicacioacuten y reporte 90

Referencias 92

Anexos 93

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5

Iacutendice de tablas Tabla 1 Factores para cada categoriacutea del contexto 20

Tabla 2 Criterios para calificar la probabilidad 39

Tabla 3 Criterios para calificar el impacto - riesgos de gestioacuten 40

Tabla 4 Criterios para calificar el impacto - riesgos de seguridad digital 42

Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten 46

Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los riesgos 60

Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del control para la mitigacioacuten del riesgo 61

Tabla 8 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos 66

Iacutendice de esquemas Esquema 1 Conocimiento y anaacutelisis de la entidad 11

Esquema 2 Metodologiacutea para la administracioacuten del riesgo 13

Esquema 3 Estructuracioacuten de la poliacutetica de administracioacuten de riesgos14

Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo 18

Esquema 5 Anaacutelisis del contexto externo interno y del proceso 19

Esquema 6 Redaccioacuten del riesgo 27

Esquema 7 Valoracioacuten de riesgos 36

Esquema 8 Anaacutelisis de riesgos37

Esquema 9 Riesgo antes y despueacutes de controles 48

Esquema 10 Pasos para disentildear un control 49

Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los riesgos 59

Esquema 12 Solidez del conjunto de controles 64

Esquema 13 Consolidacioacuten del Plan de Tratamiento de Riesgos 81

Esquema 14 Comunicacioacuten y consulta - aspecto transversal 89

Esquema 15 Responsabilidades por liacutenea de defensa para la informacioacuten comunicacioacuten y

reporte 90

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6

PresentacioacutenEl Consejo Asesor del Gobierno nacional en materia de control

interno consideroacute necesario unificar la metodologiacutea existente para la

administracioacuten del riesgo de gestioacuten y corrupcioacuten con el fin de hacer maacutes

sencilla la utilizacioacuten de esta herramienta gerencial para las entidades

puacuteblicas y asiacute evitar duplicidades o reprocesos

Igualmente en respuesta a las conclusiones emitidas por la Contraloriacutea

General de la Repuacuteblica que producto de su labor como ente de control

fiscal durante las uacuteltimas vigencias encontroacute una marcada debilidad en el

ejercicio del control interno efectuado por las entidades puacuteblicas tanto del

orden nacional como territorial Es decir se hizo evidente la importancia

de fortalecer la metodologiacutea para disentildear y aplicar controles que permitan

asegurar el logro de los objetivos

Con de la entrada en vigencia del modelo integrado de planeacioacuten y gestioacuten

(MIPG) que integra los sistemas de gestioacuten de la calidad y de desarrollo

administrativo se crea un uacutenico sistema de gestioacuten articulado con el sistema

de control interno el cual se actualiza y alinea con los mejores estaacutendares

internacionales como son el modelo COSO 2013 COSO ERM 2017 y el

modelo de las tres liacuteneas de defensa Lo anterior con el fin de entregar a

los ciudadanos lo mejor de la gestioacuten y en consecuencia producir cambios

en las condiciones de vida mayor valor puacuteblico en teacuterminos de bienestar

prosperidad general y fortalecer la lucha contra la corrupcioacuten

El Departamento Administrativo de la Funcioacuten Puacuteblica la Secretariacutea

de Transparencia de la Presidencia de la Repuacuteblica y el Ministerio de

Tecnologiacuteas de la Informacioacuten y Comunicaciones presentan la ldquoGuiacutea para

la administracioacuten del riesgo y el disentildeo de controles en entidades puacuteblicas

Riesgos de gestioacuten corrupcioacuten y seguridad digital Disentildeo de Controles

en Entidades Puacuteblicasrdquo incluidos sus anexos como una herramienta con

enfoque preventivo vanguardista y proactivo que permitiraacute el manejo del

riesgo asiacute como el control en todos los niveles de la entidad puacuteblica

brindando seguridad razonable frente al logro de sus objetivos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7

Objetivos Unificar los lineamientos en los aspectos comunes de las

metodologiacuteas para la administracioacuten de todo tipo de riesgos y

fortalecer el enfoque preventivo con el fin de facilitar a las

entidades la identificacioacuten y tratamiento de cada uno de ellos

Suministrar una metodologiacutea que permita a todas las entidades

gestionar de manera efectiva los riesgos que afectan el logro de

los objetivos estrateacutegicos y de proceso

Ofrecer herramientas para identificar analizar evaluar los

riesgos y determinar roles y responsabilidades de cada uno de

los servidores de la entidad (esquema de las liacuteneas de defensa)

en los riesgos de gestioacuten

Suministrar lineamientos basados en una adecuada gestioacuten del

riesgo y control a los mismos que permitan a la alta direccioacuten de

las entidades tener una seguridad razonable en el logro de sus

objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8

Riesgo de gestioacuten

posibilidad de que suceda alguacuten evento que

tendraacute un impacto sobre el cumplimiento

de los objetivos Se expresa en teacuterminos

de probabilidad y consecuencias

Riesgo de corrupcioacuten

posibilidad de que por accioacuten u omisioacuten

se use el poder para desviar la gestioacuten de

lo puacuteblico hacia un beneficio privado

Riesgo de seguridad digital

combinacioacuten de amenazas y vulnerabilidades

en el entorno digital Puede debilitar el logro

de objetivos econoacutemicos y sociales asiacute como

afectar la soberaniacutea nacional la integridad

territorial el orden constitucional y los intereses

nacionales Incluye aspectos relacionados con

el ambiente fiacutesico digital y las personas

Riesgo inherente

es aquel al que se enfrenta una entidad en

ausencia de acciones de la direccioacuten para

modificar su probabilidad o impacto

Riesgo residual

nivel de riesgo que permanece luego de tomar

sus correspondientes medidas de tratamiento

Gestioacuten del riesgo

proceso efectuado por la alta direccioacuten

de la entidad y por todo el personal para

proporcionar a la administracioacuten un

aseguramiento razonable con respecto al

logro de los objetivos

Probabilidad

se entiende como la posibilidad de

ocurrencia del riesgo Esta puede ser medida

con criterios de frecuencia o factibilidad

Impacto

se entiende como las consecuencias que

puede ocasionar a la organizacioacuten la

materializacioacuten del riesgoCausa

todos aquellos factores internos y externos

que solos o en combinacioacuten con otros pueden

producir la materializacioacuten de un riesgoConsecuencia

los efectos o situaciones resultantes de la

materializacioacuten del riesgo que impactan

en el proceso la entidad sus grupos de

valor y demaacutes partes interesadas

Mapa de riesgos

documento con la informacioacuten resultante

de la gestioacuten del riesgo

Conceptos baacutesicos relacionados con el riesgo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo

en el contexto de seguridad digital son

elementos tales como aplicaciones de

la organizacioacuten servicios web redes

hardware informacioacuten fiacutesica o digital

recurso humano entre otros que utiliza la

organizacioacuten para funcionar en el entorno

digital

Control

medida que modifica el riesgo (procesos

poliacuteticas dispositivos praacutecticas u otras

acciones)

Amenazas

situacioacuten potencial de un incidente no

deseado el cual puede ocasionar dantildeo a

un sistema o a una organizacioacuten

Vulnerabilidad

es una debilidad atributo causa o falta de

control que permitiriacutea la explotacioacuten por parte

de una o maacutes amenazas contra los activos

Confidencialidad

propiedad de la informacioacuten que la hace no

disponible es decir divulgada a individuos

entidades o procesos no autorizados

Integridad

propiedad de exactitud y completitud

Disponibilidad

propiedad de ser accesible y utilizable a

demanda por una entidad

Plan Anticorrupcioacuten y de Atencioacuten al

Ciudadano

plan que contempla la estrategia de

lucha contra la corrupcioacuten que debe ser

implementada por todas las entidades del

orden nacional departamental y municipal

Tolerancia al riesgo

son los niveles aceptables de desviacioacuten

relativa a la consecucioacuten de objetivos

Pueden medirse y a menudo resulta

mejor con las mismas unidades que los

objetivos correspondientes Para el riesgo

de corrupcioacuten la tolerancia es inaceptable

Apetito al riesgo

magnitud y tipo de riesgo que una

organizacioacuten estaacute dispuesta a buscar o

retener

Fuente ICONTEC INTERNACIONAL (2016) NORMA TEacuteCNICA COLOMBIANA NTCISO-IEC 27000 Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten (ICONTEC) CONPES 3854 de 2016Intosai guiacutea para las normas de control interno del sector puacuteblico httpwwwIntosaiorgPresidencia de la Repuacuteblica Departamento Nacional de Planeacioacuten Departamento Administrativo de la Funcioacuten Puacuteblica Estrategias para la construccioacuten del plan anticorrupcioacuten y atencioacuten al ciudadano Bogotaacute 2016 P 8

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0

Antes de iniciar con la metodologiacutea

iquestQUEacute ESTABLECE MIPG

El numeral 221 ldquoPoliacutetica de Planeacioacuten

institucionalrdquo de la dimensioacuten

ldquoDireccionamiento estrateacutegico y

planeacioacutenrdquo menciona que para

responder a la pregunta iquestCuaacuteles son

las prioridades identificadas por la

entidad y sentildealadas en los planes de

desarrollo nacionales y territoriales

se deben formular las metas de largo

plazo tangibles medibles audaces

y coherentes con los problemas y

necesidades que deben atender o

satisfacer evitando proposiciones

geneacutericas que no permitan su

cuantificacioacuten y definiendo los posibles

riesgos asociados al cumplimiento de

las prioridades

De igual forma se menciona en esta

dimensioacuten que para llevar a cabo el

ejercicio de planeacioacuten la entidad

debe documentar dicho ejercicio en

donde se describa la parte conceptual

u orientacioacuten estrateacutegica y la parte

operativa en la que se sentildealen de

forma precisa los objetivos las metas

y resultados a lograr las trayectorias

de implantacioacuten o cursos de accioacuten a

seguir cronogramas responsables

indicadores para monitorear y evaluar

su cumplimiento y los riesgos que

pueden afectar tal cumplimiento y los

controles para su mitigacioacuten

I M P O R T A N T EEn atencioacuten a lo que establece COSO 2013 y COSO ERM

2017 los planes programas o proyectos deben contemplar

los riesgos para su ejecucioacuten y logro de sus objetivos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1

Antes de iniciar con la metodologiacuteaUna vez determinados estos lineamientos baacutesicos es preciso analizar

el contexto general de la entidad para establecer su complejidad

procesos planeacioacuten institucional entre otros aspectos lo anterior

para conocer y entender la entidad y su entorno lo que determinaraacute

el anaacutelisis de riesgos y la aplicacioacuten de la metodologiacutea en general

Esquema 1 Conocimiento y anaacutelisis de la entidad

MODELO DE OPERACIOacuteN POR PROCESOSEl modelo de operacioacuten por procesos es el estaacutendar organizacional que soporta la ope-racioacuten de la entidad puacuteblica integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y progra-mas necesarios para el cumplimiento de su misioacuten visioacuten y objetivos institucionales Pre-tende determinar la mejor y maacutes eficiente for-ma de ejecutar las operaciones de la entidad

PLANEACIOacuteN INSTITUCIONALLas estrategias de la entidad generalmente se definen por parte de la alta direccioacuten y obedecen a la razoacuten de ser que desarrolla la misma a los planes sectoriales las poliacuteticas especiacuteficas que define el Gobierno nacional departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo En este contexto la entidad define su planeacioacuten institucionalLa planeacioacuten institucional hace uso de los procesos estrateacutegicos misionales de apoyo y evaluacioacuten para materializarla o ejecutarla por lo tanto la administracioacuten del riesgo no puede verse de forma aislada

CONOCIMIENTO DE LA ENTIDAD

MISIOacuteNConstituye la razoacuten de ser de la entidad sintetiza los principales propoacutesitos estrateacutegicos y los va-lores esenciales que deben ser conocidos comprendidos y com-partidos por todas las personas que hacen parte de la entidad

VISIOacuteNEs la proyeccioacuten de la entidad a largo plazo que permite establecer su rumbo las metas y lograr su desarrollo Debe ser construida y desarrollada por la Alta Direccioacuten de manera participativa clara amplia positiva coherente con-vincente comunicada y compar-tida por todos los miembros de la organizacioacuten

CARACTERIZACIOacuteN DE LOS PROCESOSEstructura que permite identificar los rasgos distintivos de los procesos Es-tablece su objetivo la relacioacuten con los demaacutes procesos los insumos los acti-vos su transformacioacuten a traveacutes de las actividades que desarrolla y las salidas del proceso se identifican los proveedo-res y clientes o usuarios que pueden ser internos o externos Ver formato sugeri-do en el Anexo 1

OBJETIVOS ESTRATEacuteGICOSIdentifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada entidad Estos objetivos institucionales se materializan a traveacutes de la ejecucioacuten de la planeacioacuten anual de cada entidad

ASPECTOS

CADENA DE VALOREs la interrelacioacuten de los pro-cesos dirigidos a satisfacer las necesidades y requisitos de los usuarios

MAPA O RED DE PROCESOSEs la representacioacuten graacutefica de los procesos estrateacutegicos misionales de apoyo de evalua-cioacuten y sus interacciones

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2

I M P O R T A N T EPara los objetivos de los procesos

como punto de partida fundamental

para la identificacioacuten del riesgo

tenga en cuenta lo siguiente

O B J E T I V O D E L P R O C E S OSon los resultados que se espera lograr para

cumplir la misioacuten y visioacuten Determina el coacutemo

logro la poliacutetica trazada y el aporte que se hace

a los objetivos institucionales Un objetivo es

un enunciado que expresa una accioacuten por lo

tanto debe iniciarse con un verbo fuerte como

establecer identificar recopilar investigar

registrar buscar

Los objetivos deben ser medibles realistas

y se deben evitar frases subjetivas en su

construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3

Acerca de la metodologiacuteaLa metodologiacutea para la administracioacuten del riesgo requiere de un

anaacutelisis inicial relacionado con el estado actual de la estructura de

riesgos y su gestioacuten en la entidad el conocimiento de esta desde un

punto de vista estrateacutegico de la aplicacioacuten de tres (3) pasos baacutesicos

para su desarrollo y de la definicioacuten e implantacioacuten de estrategias

de comunicacioacuten transversales a toda la entidad para que su

efectividad pueda ser evidenciada A continuacioacuten se puede observar

la estructura completa con sus desarrollos baacutesicos

Esquema 2 Metodologiacutea para la administracioacuten del riesgo

METODOLOGIacuteAPARA LA

ADMINISTRACIOacuteNDE RIESGOS

PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA

CONOCIMIENTODE LA ENTIDAD

MODELO DE OPERACIOacuteN POR

PROCESOS

MisioacutenVisioacutenObjetivos estrateacutegicosPlaneacioacuten institucional

Anaacutelisis de impacto

321 Anaacutelisis preliminar (riesgo inherente)322 Valoracioacuten de los controles323 Nivel de riesgo (riesgo residual)

Matriz de responsabilidades

Reportes perioacutedicos

Caracterizaciones de los procesos Objetivos de los procesosPlanes programas o proyectos asociados

COMUNICACIOacuteN Y CONSULTA (ASPECTO

TRANSVERSAL)

POLIacuteTICA DEADMINISTRACIOacuteN

DE RIESGOS

Lineamientosde la poliacutetica

IDENTIFICACIOacuteNDE RIESGOS

21 Establecimiento del contexto

211 Contexto interno 212 Contexto externo213 Contexto del proceso214 Identificacioacuten de activos

221 Teacutecnicas para la redaccioacuten de riesgos

222 Tipologiacutea de riesgos

22 Identificacioacuten de riesgos

VALORACIOacuteNDE RIESGOS

32 Evaluacioacuten de riesgos

33 Monitoreo y revisioacuten

34 Seguimiento

31 Anaacutelisis de riesgos

PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4

Paso 1 Poliacutetica de Administracioacuten de Riesgos

iquest Q U I Eacute N L A E S T A B L E C E

iquest Q U Eacute D E B E C O N T E N E R

iquest Q U Eacute E S

iquest Q U Eacute S E D E B E T E N E RE N C U E N T A

ObjetivoSe debe establecer su alineacioacuten con los objetivos estrateacutegicos de la entidad y gestionar los riesgos a un nivel aceptable

Alcance

La administracioacuten de riesgos debe ser extensible y aplicable a todos los procesos de la entidad En el caso de los riesgos de seguridad digital estos se de-ben gestionar de acuerdo con los criterios diferencia-les descritos en el modelo de seguridad y privacidad de la informacioacuten (ver caja de herramientas)

Niveles de aceptacioacuten al riesgo

Decisioacuten informada de tomar un riesgo particular (NTC GTC137 Numeral 3716) Para riesgo de co-rrupcioacuten es inaceptable

Niveles para calificar el impacto

Esta tabla de anaacutelisis variaraacute de acuerdo con la com-plejidad de cada entidad seraacute necesario coniderar el sector al que pertenece (riesgo de la operacioacuten los recursos humanos y fiacutesicos con los que cuenta su ca-pacidad financiera usuarios a los que atiende entre otros aspectos)

Tratamientode riesgos

Proceso para modificar el riesgo (NTC GTC137 Nu-meral 381)

Periodicidad para el seguimiento de acuerdo con el nivel de riesgo residual

La Alta Direccioacuten de la entidad

Con el liderazgo del representante legal

Con la participacioacuten del Comiteacute Institucional de Coordinacioacuten de Control Interno

Objetivos estrateacutegicos de la entidad

Niveles de responsabilidad frente al manejo de riesgos

Mecanismos de comunicacioacuten utilizados para dar a conocer la poliacutetica de riesgos en todos los niveles de la entidad

Declaracioacuten de la direccioacuten y las intenciones generales de una organizacioacuten con respecto a la gestioacuten del riesgo (NTC ISO31000 Numeral 24) La gestioacuten o administracioacuten del riesgo establece lineamientos precisos acerca del tratamiento manejo y seguimiento a los riesgos

POLIacuteTICA DE ADMINISTRACIOacuteN

DE RIESGOS

Lineamientos de la Poliacutetica de Riesgos

Esquema 3 Estructuracioacuten de la Poliacutetica de Administracioacuten de

Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E

El MIPG establece que esta es una tarea propia del equipo

directivo y se debe hacer desde el ejercicio de ldquoDireccionamiento

estrateacutegico y de planeacioacutenrdquo En este punto se deben emitir los

lineamientos precisos para el tratamiento manejo y seguimiento

a los riesgos que afectan el logro de los objetivos institucionales

Adicional a los riesgos operativos es importante identificar los

riesgos de corrupcioacuten los riesgos de contratacioacuten los riesgos para

la defensa juriacutedica los riesgos de seguridad digital entre otros

La aceptacioacuten del riesgo puede ocurrir sin tratamiento del riesgo

Los riesgos aceptados estaacuten sujetos a monitoreo

Tenga en cuenta que los riesgos de corrupcioacuten son inaceptables

La poliacutetica de administracioacuten del riesgo puede adoptar la forma

de un manual o guiacutea de riesgos donde se deben incluir miacutenimo los

siguientes aspectos

O B J E T I V OEstablece los principios baacutesicos y el marco general de

actuacioacuten para el control y la gestioacuten de los riesgos de toda

naturaleza a los que se enfrenta la entidad

A L C A N C EEstablece el aacutembito de aplicacioacuten de los lineamientos el cual

debe abarcar todos los procesos de la entidad Se sugiere

incluir a todas las seccionales o sedes que la entidad pueda

tener en diferentes ubicaciones geograacuteficas con el fin de

garantizar un adecuado conocimiento y control de los riesgos

en todos los niveles organizacionales

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6

N I V E L E S D E A C E P T A C I Oacute N D E L R I E S G O O T O L E R A N C I A A L R I E S G OEstablece ldquolos niveles aceptables de desviacioacuten relativa a la consecucioacuten de los objetivosrdquo (NTC GTC 137 Numeral 3716) los mismos estaacuten asociados a la estrategia de la entidad y pueden considerarse para cada uno de los procesos Los riesgos de corrupcioacuten son inaceptables

T Eacute R M I N O S Y D E F I N I C I O N E SAquellos relacionados con la administracioacuten del riesgo y con los temas que el manual o guiacutea desarrollen y sean relevantes para que todos los funcionarios entiendan su contenido y aplicacioacuten

ESTRUCTURA PAR A LA GESTIOacuteN DE L R IESGODetermina los siguientes aspectos

La metodologiacutea a utilizar En caso de que la entidad haya dispuesto un software o

herramienta para su desarrollo deberaacute explicarse su manejo Incluir los aspectos relevantes sobre los factores de

riesgo estrateacutegicos para la entidad a partir de los cuales todos los procesos podraacuten iniciar con los anaacutelisis para el establecimiento del contexto

Incluir todos aquellos lineamientos que en cada paso de la metodologiacutea sean necesarios para que todos los procesos puedan iniciar con los anaacutelisis correspondientes

Incluir la periodicidad para el monitoreo y revisioacuten de los riesgos asiacute como el seguimiento de los riesgos de corrupcioacuten

Incluir los niveles de riesgo aceptados para la entidad y su forma de manejo

Incluir la tabla de impactos institucional (ver tabla ilustrativa 3 Niveles para calificar el impacto o consecuencias p 31)

Otros aspectos que la entidad considere necesarios deberaacuten ser incluidos con el fin de generar orientaciones claras y precisas para todos los funcionarios de modo tal que la gestioacuten del riesgo sea efectiva y esteacute articulada con la estrategia de la entidad

I M P O R T A N T ELos riesgos de corrupcioacuten no admiten aceptacioacuten del riesgo siempre deben conducir a un tratamientoEn todos los procesos se pueden presentar riegos de corrupcioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7

Paso 2 identificacioacuten de riesgos

Anaacutelisis y definicioacuten de objetivos

Le corresponde a la segunda liacutenea de defensa el anaacutelisis

de los objetivos de la entidad tanto del orden estrateacutegico

como de procesos

Anaacutelisis de objetivos estrateacutegicos

La entidad debe analizar los objetivos estrateacutegicos

e identificar los posibles riesgos que afectan su

cumplimiento y que puedan ocasionar su eacutexito o

fracaso

Es necesario revisar que los objetivos estrateacutegicos

se encuentren alineados con la Misioacuten y la Visioacuten

Institucional asiacute como analizar su adecuada

formulacioacuten es decir que contengan las siguientes

caracteriacutesticas miacutenimas especiacutefico medible

alcanzable relevante y proyectado en el tiempo

(SMART por sus siglas en ingleacutes)

Anaacutelisis de los objetivos de proceso

Los objetivos de proceso deben ser analizados con

base en las caracteriacutesticas miacutenimas explicadas en

el punto anterior pero ademaacutes se debe revisar

que los mismos esteacuten alineados con la Misioacuten y

la Visioacuten es decir asegurar que los objetivos de

proceso contribuyan a los objetivos estrateacutegicos

A continuacioacuten encontraraacute un ejemplo de

anaacutelisis en el proceso de contratacioacuten

La entidad debe adquirir con oportunidad y

calidad teacutecnica en no menos del 90 los bienes

y servicios requeridos para su continua operacioacuten

Fuente Comitte of Sponsoring Orgizations of the Treadway Commission COSO Marco Integrado Componente Evaluacioacuten de Riesgos Principio p 73 2013

I M P O R T A N T ELos objetivos deben incluir el ldquoqueacuterdquo ldquocoacutemordquo ldquopara

queacuterdquo ldquocuaacutendordquo ldquocuaacutentordquo

Si no estaacuten bien definidos los objetivos no se puede

continuar con la metodologiacutea de gestioacuten del riesgo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8


IDENTIFICA CIOacute NDE RIES G O S

iquest E N Q U Eacute C O N S I S T E

E L E M E N T O S Q U E L O D E S A R R O L L A N

En esta etapa se deben establecer las fuentes

o factores de riesgo los eventos o riesgos sus

causas y sus consecuencias Para el anaacutelisis

se pueden involucrar datos histoacutericos anaacutelisis

teoacutericos opiniones informadas y expertas y

las necesidades de las partes involucradas

(NTC ISO31000 Numeral 215)

E S T A B L E C I M I E N T O D E LC O N T E X T O

Definicioacuten de los paraacutemetros internos y

externos que se han de tomar en consideracioacuten

para la administracioacuten del riesgo (NTC

ISO31000 Numeral 29) Se debe establecer

el contexto tanto interno como externo de la

entidad ademaacutes del contexto del proceso y sus

activos de seguridad digital Es posible hacer

uso de herramientas y teacutecnicas (consultar

anexo 2 Teacutecnicas para Establecimiento del

Contexto y Valoracioacuten del Riesgo)

I D E N T I F I C A C I Oacute N D E L R I E S G O

Se determinan las causas fuentes del riesgo y los

eventos con base en el anaacutelisis de contexto para

la entidad y del proceso que pueden afectar el

logro de los objetivos Es importante centrarse

en los riesgos maacutes significativos para la entidad

relacionados con los objetivos de los procesos

y los institucionales en el caso de riesgos de

corrupcioacuten se deben gestionar todos los riesgos

incluyendo los referentes a los traacutemites y servicios

(Ver anexo 3 Protocolo para la identificacioacuten de

riesgos de corrupcioacuten asociados a la prestacioacuten

de traacutemites y servicios)

Esquema 4 Aspectos a desarrollar en la identificacioacuten del riesgo

I M P O R T A N T EDebe analizarse en cada entidad el contexto particular

al que se enfrentan los procesos ante los riesgos de

corrupcioacuten conforme a la misionalidad Una buena praacutectica

es analizar la gestioacuten de riesgo de entidades semejantes

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9

I M P O R T A N T EComo herramienta baacutesica para el anaacutelisis del contexto del proceso se

sugiere utilizar las caracterizaciones de estos donde es posible contar

con este panorama Si estos documentos estaacuten desactualizados o no

se han elaborado es importante actualizarlos o elaborarlos antes de

continuar con la metodologiacutea de administracioacuten del riesgo

211 ESTABLECIMIENTO DEL CONTEXTO INTERNO

Se determinan las caracteriacutes-

ticas o aspectos esenciales

del ambiente en el cual la

organizacioacuten busca alcanzar

sus objetivos Se pueden con-

siderar factores como

Estructura organizacional

Funciones y responsabilidades

Poliacuteticas objetivos y estrategias

implementadas

Recursos y conocimientos con

que se cuenta (econoacutemicos

personas procesos sistemas

tecnologiacutea informacioacuten)

Relaciones con las partes invo-

lucradas

Cultura organizacional

212 ESTABLECIMIENTO DEL CONTEXTO

EXTERNOSe determinan las caracteriacutesticas o

aspectos esenciales del entorno en el cual

opera la entidad Se pueden considerar

factores como

Poliacuteticos

Econoacutemicos y financieros

Sociales y culturales

Tecnoloacutegicos

Ambientales

Legales y reglamentarios

213 ESTABLECIMIENTO DEL CONTEXTO DEL

PROCESOSe determinan las

caracteriacutesticas o aspectos esenciales del proceso

y sus interrelaciones Se pueden considerar

factores como

Objetivo del procesoAlcance del procesoInterrelacioacuten con otros procesos

Procedimientos asociados

Responsables del proceso

Activos de seguridad digital del proceso


Definicioacuten de los paraacutemetros internos y externos que se han de tomar

en consideracioacuten para la administracioacuten del riesgo (NTC-ISO 31000)

A partir de los factores que se definan es posible establecer las

causas de los riesgos a identificar

Esquema 5 Anaacutelisis del contexto externo interno y del proceso

ESTABLECIMIE NTODE L CONTE XTO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

Tabla 1 Factores para cada categoriacutea del contexto

C O N T E X T O E X T E R N O

POLIacuteTICOS cambios de gobierno legislacioacuten poliacuteticas puacuteblicas regulacioacuten

ECONOacuteMICOS Y FINANCIEROS disponibilidad de capital liquidez mercados financieros desempleo competencia

SOCIALES Y CULTURALES demografiacutea responsabilidad social orden puacuteblico

TECNOLOacuteGICOS avances en tecnologiacutea acceso a sistemas de informacioacuten externos gobierno en liacutenea

AMBIENTALES emisiones y residuos energiacutea cataacutestrofes naturales desarrollo sostenible

LEGALES Y REGLAMENTARIOS Normatividad externa (leyes decretos ordenanzas y acuerdos)

C O N T E X T O I N T E R N O

FINANCIEROS presupuesto de funcionamiento recursos de inversioacuten infraestructura capacidad instalada

PERSONAL competencia del personal disponibilidad del personal seguridad y salud ocupacional

PROCESOS capacidad disentildeo ejecucioacuten proveedores entradas salidas gestioacuten del conocimiento

TECNOLOGIacuteA integridad de datos disponibilidad de datos y sistemas desarrollo produccioacuten mantenimiento de sistemas de informacioacuten

ESTRATEacuteGICOS direccionamiento estrateacutegico planeacioacuten institucional liderazgo trabajo en equipo

COMUNICACIOacuteN INTERNA canales utilizados y su efectividad flujo de la informacioacuten necesaria para el desarrollo de las operaciones

C O N T E X T O D E L

P R O C E S O

DISENtildeO DEL PROCESO claridad en la descripcioacuten del alcance y objetivo del proceso

INTERACCIONES CON OTROS PROCESOS relacioacuten precisa con otros procesos en cuanto a insumos proveedores productos usuarios o clientes

TRANSVERSALIDAD procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad

PROCEDIMIENTOS ASOCIADOS pertinencia en los procedimientos que desarrollan los procesos

RESPONSABLES DEL PROCESO grado de autoridad y responsabilidad de los funcionarios frente al proceso

COMUNICACIOacuteN ENTRE LOS PROCESOS efectividad en los flujos de informacioacuten determinados en la interaccioacuten de los procesos

ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO informacioacuten aplicaciones hardware entre otros que se deben proteger para garantizar el funcionamiento interno de cada proceso como de cara al ciudadano Ver conceptos baacutesicos relacionados con el riesgo paacuteginas 8 y 9

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1

I M P O R T A N T ELos factores relacionados son una guiacutea cada entidad debe

analizar los que considere de acuerdo con su complejidad y

al sector en el que se desenvuelve entre otros aspectos e

incluirlos como aspectos clave dentro de los lineamientos

de la poliacutetica de administracioacuten del riesgo

214 Identificacioacuten de activos de seguridad de la informacioacuten

I D E N T I F I C A C I Oacute ND E A C T I V O S

Le corresponde a la primera liacutenea

de defensa identificar los activos

en cada proceso

Anaacutelisis de los objetivos estrateacutegicos

Un activo es cualquier elemento que tenga

valor para la organizacioacuten sin embargo en

el contexto de seguridad digital son activos

elementos que utiliza la organizacioacuten para

funcionar en el entorno digital tales como

aplicaciones de la organizacioacuten servicios web

redes informacioacuten fiacutesica o digital tecnologiacuteas

de informacioacuten -TI tecnologiacuteas de operacioacuten

-TO


De esta manera se puede determinar queacute

es lo maacutes importante que cada entidad y

sus procesos poseen (sean bases de datos

unos archivos servidores web o aplicaciones

claves para que la entidad pueda prestar

sus servicios) Asiacute la entidad puede saber

queacute es lo que debe proteger para garantizar

tanto su funcionamiento interno como

su funcionamiento de cara al ciudadano

aumentando asiacute su confianza en el uso del

entorno digital

I M P O R T A N T ETodo lo que no estaacute plenamente identificado no estaacute debidamente asegurado

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2

I M P O R T A N T EPara realizar la identificacioacuten de activos (relacionados

con seguridad digital) deberaacute remitirse a la seccioacuten 416

del anexo 4 ldquoLineamientos para la gestioacuten del riesgo de

seguridad digital en entidades puacuteblicasrdquo que hace parte

de la presente guiacutea

iquest C Oacute M O I D E N T I F I C A R L O S A C T I V O S

Paso 1Listar los

activos por cada proceso

Paso 2Identificar el duentildeo de los

activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten

Paso 5Determinar la criticidad del

activo

Paso 6Identificar

si existe infraes-tructura criacutetica

ciberneacutetica

22 Identificacioacuten de riesgos - teacutecnicas para la identificacioacuten de riesgos

I D E N T I F I C A C I Oacute N D E R I E S G O S

La identificacioacuten del riesgo se lleva a cabo determinando las causas con base en el contexto interno externo y del proceso que pueden afectar el logro de los objetivos Algunas causas externas no controlables por la entidad se podraacuten evidenciar en el anaacutelisis del contexto externo para ser tenidas en cuenta en el anaacutelisis y valoracioacuten del riesgo

A partir de este contexto se identifica el riesgo el cual estaraacute asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estrateacutegicos

Las preguntas claves para la identificacioacuten del riesgo permiten determinar

iquestQUEacute PUEDE SUCEDER Identificar la afectacioacuten del cumplimiento del objetivo estrateacutegico o del proceso seguacuten sea el casoiquestCOacuteMO PUEDE SUCEDER Establecer las causas a partir de los factores determinados en el contextoiquestCUAacuteNDO PUEDE SUCEDER Determinar de acuerdo con el desarrollo del procesoiquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN Determinar los posibles efectos por la materializacioacuten del riesgo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3

I M P O R T A N T EEn la descripcioacuten del riesgo se deben

tener en cuenta las respuestas a las

preguntas arriba mencionadas

R I E S G O D E C O R R U P C I Oacute N

Definicioacuten de riesgo de corrupcioacuten Es la posibilidad de que por accioacuten u omisioacuten se use el poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado

ldquoEsto implica que las praacutecticas corruptas son realizadas por actores puacuteblicos yo privados con poder e incidencia en la toma de decisiones y la administracioacuten de los bienes puacuteblicosrdquo (Conpes Ndeg 167 de 2013)

Es necesario que en la descripcioacuten del riesgo concurran los componentes de su definicioacuten asiacute

A C C I Oacute N U O M I S I Oacute N + U S O D E L P O D E R + D E S V I A C I Oacute N D E L A G E S T I Oacute N D E L O P Uacute B L I C O + E L B E N E F I C I O P R I V A D O

Preguntas clave para la identificacioacuten de riesgos

iquestQUEacute PUEDE SUCEDER

iquestCOacuteMO PUEDE SUCEDER

iquestCUAacuteNDO PUEDE SUCEDER

iquestQUEacute CONSECUENCIAS TENDRIacuteA SU MATERIALIZACIOacuteN


Fuente Secretariacutea de Transparencia de la Presidencia de la Repuacuteblica

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4

Los riesgos de corrupcioacuten se establecen sobre procesos

El riesgo debe estar descrito de manera clara y precisa Su

redaccioacuten no debe dar lugar a ambiguumledades o confusiones con la

causa generadora de los mismos

Con el fin de facilitar la identificacioacuten de riesgos de corrupcioacuten y

evitar que se presenten confusiones entre un riesgo de gestioacuten

y uno de corrupcioacuten se sugiere la utilizacioacuten de la matriz de

definicioacuten de riesgo de corrupcioacuten que incorpora cada uno de

los componentes de su definicioacuten

De acuerdo con la siguiente matriz si se marca con una X en la

descripcioacuten del riesgo que aparece en cada casilla quiere decir que

se trata de un riesgo de corrupcioacuten

M A T R I Z D E F I N I C I Oacute N D E L R I E S G O D E C O R R U P C I Oacute N

Descripcioacuten del riesgo

Accioacuten u omisioacuten

Uso del poder

Desviar la gestioacuten de lo

puacuteblico

Beneficio privado

Posibilidad de recibir o solicitar cualquier daacutediva

o beneficio a nombre propio o de terceros con

el fin de celebrar un contrato

X X X X


Generalidades acerca de los riesgos de corrupcioacuten

Entidades encargadas de gestionar el riesgo lo deben adelantar

las entidades del orden nacional departamental y municipal

Se elabora anualmente por cada responsable de los procesos al

interior de las entidades junto con su equipo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5

Consolidacioacuten la oficina de planeacioacuten quien haga sus veces o a

la de dependencia encargada de gestionar el riesgo le corresponde

liderar el proceso de administracioacuten de estos Adicionalmente

esta misma oficina seraacute la encargada de consolidar el mapa de

riesgos de corrupcioacuten

Publicacioacuten del mapa de riesgos de corrupcioacuten se debe publicar

en la paacutegina web de la entidad en la seccioacuten de transparencia

y acceso a la informacioacuten puacuteblica que establece el artiacuteculo

211214 del Decreto 1081 de 2015 o en un medio de faacutecil

acceso al ciudadano a maacutes tardar el 31 de enero de cada antildeo

La publicacioacuten seraacute parcial y fundamentada en la elaboracioacuten del

iacutendice deinformacioacuten clasificada y reservada En dicho instrumento

la entidad debe establecer las condiciones de reserva y clasificacioacuten

de algunos de los elementos constitutivos del mapa de riesgos en

los teacuterminos dados en los artiacuteculos 18 y 19 de la Ley 1712 de 2014

En este caso se deberaacute anonimizar esa informacioacuten Es decir la parte

clasificada o reservada aunque se elabora no se hace visible en la

publicacioacuten

Recuerde que las excepciones solo pueden estar establecidas en la

ley un decreto con fuerza de ley o un tratado internacional ratificado

por el Congreso o en la Constitucioacuten

Socializacioacuten Los servidores puacuteblicos y contratistas de la

entidad deben conocer el mapa de riesgos de corrupcioacuten antes de

su publicacioacuten Para lograr este propoacutesito la oficina de planeacioacuten

o quien haga sus veces o la de gestioacuten del riesgo deberaacute disentildear

y poner en marcha las actividades o mecanismos necesarios para

que los funcionarios y contratistas conozcan debatan y formulen

sus apreciaciones y propuestas sobre el proyecto del mapa de


Asiacute mismo dicha oficina adelantaraacute las acciones para que la

ciudadaniacutea y los interesados externos conozcan y manifiesten

sus consideraciones y sugerencias sobre el proyecto del mapa de

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

riesgos de corrupcioacuten Deberaacute dejarse la evidencia del proceso de

socializacioacuten y publicarse sus resultados

Ajustes y modificaciones se podraacuten llevar a cabo los ajustes

y modificaciones necesarias orientadas a mejorar el mapa de

riesgos de corrupcioacuten despueacutes de su publicacioacuten y durante el

respectivo antildeo de vigencia En este caso deberaacuten dejarse por

escrito los ajustes modificaciones o inclusiones realizadas

Monitoreo en concordancia con la cultura del autocontrol al

interior de la entidad los liacutederes de los procesos junto con su

equipo realizaraacuten monitoreo y evaluacioacuten permanente a la gestioacuten

de riesgos de corrupcioacuten

Seguimiento el jefe de control interno o quien haga sus veces

debe adelantar seguimiento a la gestioacuten de riesgos de corrupcioacuten

En este sentido es necesario que en sus procesos de auditoriacutea

interna analice las causas los riesgos de corrupcioacuten y la

efectividad de los controles incorporados en el mapa de riesgos

de corrupcioacuten

E J E M P L O

Informacioacuten anonimizada

I M P O R T A N T ETenga en cuenta que la informacioacuten clasificada o reservada la sentildeala la

ley un decreto con fuerza de ley o convenio internacional ratificado por

el Congreso o en la Constitucioacuten

Una resolucioacuten no puede calificar la informacioacuten como clasificada o reservada

Ndeg Riesgo Clasificacioacuten Causa Probabilidad Impacto Riesgo Residual

Opcioacuten de

Manejo

Actividad de

Control

1

Posibilidad de recibir o solicitar cualquier daacutediva o beneficio a nombre propio o para terceroshellip

CorrupcioacutenFalta

dehellipProbable Catastroacutefico Catastroacutefico Evitar

Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O


Esquema 6 Redaccioacuten del riesgo

R E D A C C I Oacute N D E L

R I E S G O

Evitar iniciar con palabras negativas

como ldquoNohelliprdquo ldquoQue nohelliprdquo o con

palabras que denoten un factor

de riesgo (causa) tales como

ldquoausencia derdquo ldquofalta derdquo ldquopoco(a)rdquo

ldquoescaso(a)rdquo ldquoinsuficienterdquo ldquodeficienterdquo

ldquodebilidades enhelliprdquo

Objetivo del proceso si el objetivo del

proceso es ldquoadquirir con oportunidad y

calidad teacutecnica los bienes y servicios

requeridos por la entidad para su

continua operacioacutenrdquo un riesgo puede

ser ldquoInoportunidad en la adquisicioacuten

de los bienes y servicios requeridos

por la entidadrdquo

Ejemplo de riesgo de corrupcioacuten

posibilidad de recibir o solicitar

cualquier daacutediva o beneficio a nombre

propio o de terceros con el fin de

celebrar un contrato

Generar en el lector o escucha

la imagen del evento como si ya

estuviera sucediendo

Fuente Departamento Administrativo de la Funcioacuten Puacuteblica

I M P O R T A N T EPreguacutentese si el riesgo de gestioacuten identificado estaacute relacionado directamente con las caracteriacutesticas del objetivo Si la respuesta es ldquonordquo este puede ser la causa o la consecuencia

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8

Riesgos estrateacutegicos posibilidad de ocurrencia de eventos que afecten

los objetivos estrateacutegicos de la organizacioacuten puacuteblica y por tanto impactan

toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S

Riesgos operativos posibilidad de ocurrencia de eventos que afecten los

procesos misionales de la entidad

Riesgos gerenciales posibilidad de ocurrencia de eventos que afecten los

procesos gerenciales yo la alta direccioacuten

Riesgos financieros posibilidad de ocurrencia de eventos que afecten

los estados financieros y todas aquellas aacutereas involucradas con el proceso

financiero como presupuesto tesoreriacutea contabilidad cartera central de

cuentas costos etc

Riesgos tecnoloacutegicos posibilidad de ocurrencia de eventos que afecten

la totalidad o parte de la infraestructura tecnoloacutegica (hardware software

redes etc) de una entidad

Riesgos de cumplimiento posibilidad de ocurrencia de eventos que afecten la

situacioacuten juriacutedica o contractual de la organizacioacuten debido a su incumplimiento

o desacato a la normatividad legal y las obligaciones contractuales

Riesgo de imagen o reputacional posibilidad de ocurrencia de un evento

que afecte la imagen buen nombre o reputacioacuten de una organizacioacuten ante

sus clientes y partes interesadas

Riesgos de corrupcioacuten posibilidad de que por accioacuten u omisioacuten se use el

poder para desviar la gestioacuten de lo puacuteblico hacia un beneficio privado

Riesgos de seguridad digital posibilidad de combinacioacuten de amenazas y

vulnerabilidades en el entorno digital Puede debilitar el logro de objetivos

econoacutemicos y sociales afectar la soberaniacutea nacional la integridad

territorial el orden constitucional y los intereses nacionales Incluye

aspectos relacionados con el ambiente fiacutesico digital y las personas


-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O

R I E S G O S E G U R I D A D

F Iacute S I C A

P E L I G R OP A R A

H U M A N O S

D EM E R C A D O

A M B I E N T A LR I E S G O S

I N F O R M Aacute T I C O S

S E G U R I D A DA L I M E N T A R I A

D E L I Q U I D E Z

S A T I S F A C C I O N D E L C L I E N T E

O T R A ST I P O L O G Iacute A S D E R I E S G O S

E J E M P L O


I M P O R T A N T ELa tipologiacutea de riesgos depende de la misioacuten de cada entidad de las normas que regulan su operacioacuten de los sistemas de gestioacuten que implemente entre otros aspectos Los riesgos de corrupcioacuten siempre deben gestionarse

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0

Ejemplos de descripcioacuten del riesgo

Formato de descripcioacuten del riesgo de gestioacuten

R I E S G O D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S

Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d

La combinacioacuten de

factores como insu-

ficiente capacitacioacuten

del personal de con-

tratos cambios en la

regulacioacuten contractual

inadecuadas poliacuteticas

de operacioacuten y caren-

cia de controles en

el procedimiento de

contratacioacuten pueden

ocasionar inoportunidad

en la adquisicioacuten de

los bienes y servicios

requeridos por la enti-

dad y en consecuencia

afectar la continuidad

de su operacioacuten

Operativo

Carencia de controles

en el procedimiento

de contratacioacuten

Insuficiente capacita-

cioacuten del personal de

contratos

Desconocimiento de

los cambios en la re-

gulacioacuten contractual

Inadecuadas poliacuteticas

de operacioacuten

1 Paraacutelisis en los

procesos

2 I n c u m p l i m i e n t o

en la entrega de

bienes y servicios a

los grupos de valor

3 Demandas y demaacutes

acciones juriacutedicas

4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor

5 I n v e s t i g a c i o n e s

disciplinarias

I M P O R T A N T ELa descripcioacuten del riesgo consolida los pasos vistos en lametodologiacutea de gestioacuten del riesgo y facilita su anaacutelisis


-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1

Formato de descripcioacuten del riesgo de corrupcioacuten

RIESGO D E S C R I P C I Oacute N T I P O C A U S A S C O N S E C U E N C I A S

Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como

debilidades en la etapa

de la planeacioacuten del

contrato la excesiva

discrecionalidad las

presiones indebidas la

carencia de controles

la falta de conocimiento

yo experiencia sumados

a la falta de integridad

pueden generar un

riesgo de corrupcioacuten en

la contratacioacuten como

por ejemplo ldquoexigencias

de condiciones en los

procesos de seleccioacuten

que solo cumple un

determinado proponenterdquo

Corrupcioacuten

Debilidades en la etapa de

planeacioacuten que faciliten la

inclusioacuten en los estudios

previos yo en los pliegos

de condiciones de requisitos

orientados a favorecer a un

proponente

1 Peacuterdida de la imagen

institucional

2 Demandas contra el

Estado

3 Peacuterdida de confianza en

lo puacuteblico

4 Investigaciones penales

disciplinarias y fiscales

5 Detrimento patrimonial

6 Obras inconclusas

7 Mala calidad de las obras

8 Enriquecimiento iliacutecito

de contratistas yo

servidores puacuteblicos

Presiones indebidas


en el procedimiento de

contratacioacuten

Falta de conocimiento yo

experiencia del personal

que maneja la contratacioacuten

Excesiva discrecionalidad

Adendas que modifican las

condiciones generales del

proceso de contratacioacuten

para favorecer a un

proponente


I M P O R T A N T EEn la descripcioacuten de los riesgos de corrupcioacuten deben concurrir TODOS los componentes de su definicioacutenAccioacuten u omisioacuten + uso del poder + desviacioacuten de la gestioacuten de lo puacuteblico + el beneficio privado

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2

Procesos procedimientos o actividades susceptibles de riesgos

de corrupcioacuten

A manera de ilustracioacuten se sentildealan algunas actividades susceptibles

de riesgos de corrupcioacuten a partir de los cuales la entidad podraacute

incluir otros que considere pertinentes

Direccionamiento estrateacutegico (alta direccioacuten)

Concentracioacuten de autoridad o exceso de poder

Extralimitacioacuten de funciones

Ausencia de canales de comunicacioacuten

Amiguismo y clientelismo

Financiero (estaacute relacionado con aacutereas de planeacioacuten y presupuesto)

Inclusioacuten de gastos no autorizados

Inversiones de dineros puacuteblicos en entidades de dudosa solidez

financiera a cambio de beneficios indebidos para servidores

puacuteblicos encargados de su administracioacuten

Inexistencia de registros auxiliares que permitan identificar y

controlar los rubros de inversioacuten

Inexistencia de archivos contables

Afectar rubros que no corresponden con el objeto del gasto en

beneficio propio o a cambio de una retribucioacuten econoacutemica

De contratacioacuten (como proceso o bien los procedimientos ligados a este)

Estudios previos o de factibilidad deficientes

Estudios previos o de factibilidad manipulados por personal

interesado en el futuro proceso de contratacioacuten (Estableciendo

necesidades inexistentes o aspectos que benefician a una firma

en particular)

Disposiciones establecidas en los pliegos de condiciones que

dirigen los procesos hacia un grupo en particular (Ej media

geomeacutetrica)

Visitas obligatorias establecidas en el pliego de condiciones

que restringen la participacioacuten

Adendas que cambian condiciones generales del proceso para

favorecer a grupos determinados

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3

Urgencia manifiesta inexistente

Otorgar labores de supervisioacuten a personal sin conocimiento para ello

Concentrar las labores de supervisioacuten en poco personal

Contratar con compantildeiacuteas de papel que no cuentan con

experiencia

De informacioacuten y documentacioacuten

Ausencia o debilidad de medidas yo poliacuteticas de conflictos de intereacutes

Concentracioacuten de informacioacuten de determinadas actividades o

procesos en una persona

Ausencia de sistemas de informacioacuten

Ocultar la informacioacuten considerada puacuteblica para los usuarios

Ausencia o debilidad de canales de comunicacioacuten

Incumplimiento de la Ley 1712 de 2014

De investigacioacuten y sancioacuten


Dilatar el proceso para lograr el vencimiento de teacuterminos o la

prescripcioacuten del mismo

Desconocimiento de la ley mediante interpretaciones subjetivas

de las normas vigentes para evitar o postergar su aplicacioacuten

Exceder las facultades legales en los fallos

De traacutemites yo servicios internos y externos

Cobros asociados al traacutemite

Influencia de tramitadores

Traacutefico de influencias (amiguismo persona influyente)

Demorar su realizacioacuten

De reconocimiento de un derecho (expedicioacuten de licencias yo permisos)

Falta de procedimientos claros para el traacutemite

Imposibilitar el otorgamiento de una licencia o permiso

Ofrecer beneficios econoacutemicos para aligerar la expedicioacuten o

para amantildear la misma


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4

Formato de descripcioacuten del riesgo de seguridad digital

Los riesgos de seguridad digital se basan en la afectacioacuten de tres

criterios en un activo o un grupo de activos dentro del proceso

ldquoIntegridad confidencialidad o disponibilidadrdquo

Para el riesgo identificado se deben asociar el grupo de activos

o activos especiacuteficos del proceso y conjuntamente analizar las

posibles amenazas y vulnerabilidades que podriacutean causar su

materializacioacuten

R I E S G O ACTIVO D E S C R I P C I Oacute N D E L R I E S G O A M E N A Z A T I P O

C A U S A S V U L N E R A -B I L I D A D E S

C O N S E C U E N C I A S

Base de

datos de

noacutemina

Peacuterdida

de la

integridad

La falta de poliacuteticas

de seguridad digital

ausencia de poliacuteti-

cas de control de

acceso contrasentildeas

sin proteccioacuten y

mecanismos de

autenticacioacuten deacutebil

pueden facilitar una

modificacioacuten no

autorizada lo cual

causariacutea la peacuterdida

de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de

la materializacioacuten

del riesgo(legales

econoacutemicas sociales

reputacionales

confianza en el

ciudadano)

Ej posible retraso en

el pago de noacutemina

Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil

Seleccionar las vulnerabilidades

asociadas a la amenaza identificada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5

I M P O R T A N T E Existiriacutean tres (3) tipos de riesgos peacuterdida de confidencialidad

peacuterdida de la integridad y peacuterdida de la disponibilidad de los

activos Para cada tipo de riesgo se podraacuten seleccionar las

amenazas y las vulnerabilidades que puedan causar que

dicho riesgo se materialice

Los cataacutelogos de amenazas y vulnerabilidades comunes se

encuentran en la seccioacuten 417 del anexo ldquoLineamientos

para la gestioacuten del riesgo de seguridad digital en

entidades puacuteblicasrdquo el cual hace parte de la presente guiacutea

NOTA 1 tener en cuenta que la agrupacioacuten de activos debe

ser del mismo tipo por ejemplo analizar conjuntamente

activos tipo hardware software informacioacuten entre otros

para determinar amenazas y vulnerabilidades comunes que

puedan afectar a dicho grupo

NOTA 2 las entidades puacuteblicas deben incluir como miacutenimo

los procesos y procedimientos establecidos en esta guiacutea

Aquellas entidades que ya esteacuten adelantando procesos

relacionados con la gestioacuten de este tipo de riesgo y que

incorporen al menos lo dispuesto en estas guiacuteas podraacuten

continuar bajo sus procedimientos Si alguno de los aspectos

contenidos en esta guiacutea no estaacute contemplado deberaacute ser

agregado a los que manejan actualmente

Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6

Paso 3 valoracioacuten de riesgos

V A L O R A C I Oacute N D E R I E S G O S

Establecer la probabilidad de

ocurrencia del riesgo y el nivel de

consecuencia o impacto con el

fin de estimar la zona de riesgo

inicial (RIESGO INHERENTE)

Se busca confrontar los resultados

del anaacutelisis de riesgo inicial frente a

los controles establecidos con el fin

de determinar la zona de riesgo final

(RIESGO RESIDUAL)

Se busca establecer la probabilidad

de ocurrencia del riesgo y sus

consecuencias o impacto con el fin

de estimar la zona de riesgo inicial

(RIESGO INHERENTE)


ELEMENTOS QUE LO DESARROLLAN

Elaboracioacuten del mapa de riesgos

Anaacutelisis y evaluacioacuten

de controles

Para el anaacutelisis de los

controles se sugiere el uso

de la matriz desarrollada

para su calificacioacuten (ver

Tabla Ilustrativa 6 p 67)

3 1 A N Aacute L I S I S D E R I E S G O S

Aspectos a tener en cuenta

3 2 E V A L U A C I Oacute N D E R I E S G O S

Esquema 7 Valoracioacuten del riesgo

Tablas (s) para determinar el impacto

o consecuencias (de acuerdo con la

poliacutetica de riesgos institucional)

Tabla para determinar probabilidad

Matriz de evaluacioacuten de riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7

PASOS C L AV ES PARA E L ANAacuteLIS IS

DE R IESGO

Bajo el criterio de

FRECUENCIA se analizan

el nuacutemero de eventos en

un periodo determinado

se trata de hechos que

se han materializado o se

cuenta con un historial

de situaciones o eventos

asociados al riesgo

Bajo el criterio de

FACTIBILIDAD se analiza

la presencia de factores

internos y externos que

pueden propiciar el

riesgo se trata en este

caso de un hecho que no

se ha presentado pero

es posible que se deacute

Para su determinacioacuten

se utiliza la tabla

de probabilidad (ver

Tabla Ilustrativa 2 - por

Criterios para calificar

la probabilidad que se

encuentra en la paacutegina

39)


En este punto se busca establecer la probabilidad de ocurrencia del

riesgo y sus consecuencias o impacto con el fin de estimar la zona

de riesgo inicial (RIESGO INHERENTE)

Esquema 8 Anaacutelisis de riesgos

311 ANAacuteLISIS DE CAUSAS

Los objetivos estrateacutegicos y de proceso se desarrollan a traveacutes

de actividades pero no todas tienen la misma importancia por lo

tanto se debe establecer cuaacuteles de ellas contribuyen mayormente

al logro de los objetivos y estas son las actividades criacuteticas o

factores claves de eacutexito estos factores se deben tener en cuenta

al identificar las causas que originan la materializacioacuten de los

riesgos (ver anexo 5 Anaacutelisis y priorizacioacuten de causas)

Por PROBABILIDAD se entiende la

posibilidad de ocurrencia del riesgo

esta puede ser medida con criterios

de frecuencia o factibilidad

312 DETERMINAR PROBABILIDAD

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8

PASOS CLAVES PARA EL ANAacuteLIS IS

DE R IESGO

Se tienen en cuenta las

consecuencias potenciales

establecidas en el paso

2 de identificacioacuten del

riesgo

Para su determinacioacuten se

utiliza la tabla de niveles de

impacto establecida en la

Poliacutetica de Riesgos (ver Tabla

Ilustrativa 3 paacutegina 40)

Por IMPACTO se entienden las consecuencias

que puede ocasionar a la organizacioacuten la

materializacioacuten del riesgo

Se logra a traveacutes de la determinacioacuten de la

probabilidad y el impacto que puede causar la

materializacioacuten del riesgo teniendo en cuenta

las tablas establecidas en cada caso

313 DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO

ESTIMAR EL NIVEL DEL RIESGO INICIAL - INHERENTE

Para su determinacioacuten se utiliza la

matriz de calificacioacuten del riesgo

312 Caacutelculo de la probabilidad e impacto

Anaacutelisis de la probabilidad

Se analiza queacute tan posible es que ocurra el riesgo se expresa en

teacuterminos de frecuencia o factibilidad donde frecuencia implica

analizar el nuacutemero de eventos en un periodo determinado se trata

de hechos que se han materializado o se cuenta con un historial

de situaciones o eventos asociados al riesgo factibilidad implica

analizar la presencia de factores internos y externos que pueden

propiciar el riesgo se trata en este caso de un hecho que no se ha

presentado pero es posible que suceda


-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

Tabla 2 Criterios parar calificar la probabilidad

NIVEL D E S C R I P T O R D E S C R I P C I Oacute N F R E C U E N C I A

5 Casi seguroSe espera que el evento ocurra en la mayoriacutea de las circunstancias

Maacutes de 1 vez al antildeo

4 ProbableEs viable que el evento ocurra en la mayoriacutea de las circunstancias

Al menos 1 vez en el uacuteltimo antildeo

3 PosibleEl evento podraacute ocurrir en alguacuten

momentoAl menos 1 vez en los

uacuteltimos 2 antildeos

2 ImprobableEl evento puede ocurrir en alguacuten



1 Rara vezEl evento puede ocurrir solo en

circunstancias excepcionales (poco comunes o anormales)

No se ha presentado en los uacuteltimos 5 antildeos

Ndeg RIESGO P1 P2 P3 P4 P5 P6 TOT PROM

1

Inoportunidad en la adquisicioacuten de los bienes y ser-vicios requeridos

por la entidad

Se espera que el even-to ocurra en la mayoriacutea de las circunstancias

5 4 3 5 3 4 244

PROBABLE

2Otros riesgos identificados

Es viable que el evento ocurra en la mayoriacutea de las circunstancias

3 Otros riesgosEl evento podraacute ocurrir

en alguacuten momento

Convenciones

Ndeg nuacutemero consecutivo del riesgo - P1 participante 1 Phellip - Tot total puntaje - Prom promedio

En caso de que la entidad no cuente con datos histoacutericos sobre el

nuacutemero de eventos que se hayan materializado en un periodo de

tiempo los integrantes del equipo de trabajo deben calificar en

privado el nivel de probabilidad en teacuterminos de factibilidad utilizando

la siguiente matriz de priorizacioacuten de probabilidad

Matriz de priorizacioacuten de probabilidad

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0

I M P O R T A N T EEl anaacutelisis de frecuencia deberaacute ajustarse dependiendo del proceso

y de la disponibilidad de datos histoacutericos sobre el evento o riesgo

identificado En caso de no contar con datos histoacutericos se trabajaraacute

de acuerdo con la experiencia de los responsables que desarrollan

el proceso y de sus factores internos y externos

Tabla 3 Criterios para calificar el impacto ndash riesgos de gestioacuten

NIVEL I M P A C T O ( C O N S E C U E N C I A S )C U A N T I T A T I V O

I M P A C T O ( C O N S E C U E N C I A S )C U A L I T A T I V O

CAT

AST

ROacute

FIC

O

- Impacto que afecte la ejecucioacuten presu-

puestal en un valor ge50

- Peacuterdida de cobertura en la prestacioacuten de

los servicios de la entidad ge50

- Pago de indemnizaciones a terceros por

acciones legales que pueden afectar el

presupuesto total de la entidad en un va-

lor ge50

- Pago de sanciones econoacutemicas por incum-

plimiento en la normatividad aplicable

ante un ente regulador las cuales afectan

en un valor ge50 del presupuesto general

de la entidad

- Interrupcioacuten de las operaciones de la entidad

por maacutes de cinco (5) diacuteas

- Intervencioacuten por parte de un ente de control u

otro ente regulador

- Peacuterdida de informacioacuten criacutetica para la entidad

que no se puede recuperar

- Incumplimiento en las metas y objetivos

institucionales afectando de forma grave la

ejecucioacuten presupuestal

- Imagen institucional afectada en el orden

nacional o regional por actos o hechos de

corrupcioacuten comprobados

MAY

OR








lor ge20





de la entidad


por maacutes de dos (2) diacuteas

- Peacuterdida de informacioacuten criacutetica que puede ser

recuperada de forma parcial o incompleta

- Sancioacuten por parte del ente de control u otro

ente regulador

- Incumplimiento en las metas y objetivos ins-

titucionales afectando el cumplimiento en las

metas de gobierno


nacional o regional por incumplimientos en la

prestacioacuten del servicio a los usuarios o ciuda-

danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO

- Impacto que afecte la ejecucioacuten presu-puestal en un valor ge5

- Peacuterdida de cobertura en la prestacioacuten de los servicios de la entidad ge10

- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el pre-supuesto total de la entidad en un valor ge5

- Pago de sanciones econoacutemicas por incum-plimiento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge5 del presupuesto general de la entidad

- Interrupcioacuten de las operaciones de la entidad por un (1) diacutea

- Reclamaciones o quejas de los usuarios que podriacutean implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad

- Inoportunidad en la informacioacuten ocasionando retrasos en la atencioacuten a los usuarios

- Reproceso de actividades y aumento de carga operativa

- Imagen institucional afectada en el orden na-cional o regional por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos

- Investigaciones penales fiscales o disciplinarias

ME

NO

R




- Pago de sanciones econoacutemicas por incumpli-miento en la normatividad aplicable ante un ente regulador las cuales afectan en un valor ge1 del presupuesto general de la entidad

- Interrupcioacuten de las operaciones de la entidad por algunas horas

- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplina-rias

- Imagen institucional afectada localmente por retrasos en la prestacioacuten del servicio a los usuarios o ciudadanos

INSI

GN

IFIC

AN

TE



- Pago de indemnizaciones a terceros por ac-ciones legales que pueden afectar el presu-puesto total de la entidad en un valor ge05


- No hay interrupcioacuten de las operaciones de la entidad

- No se generan sanciones econoacutemicas o admi-nistrativas

- No se afecta la imagen institucional de forma significativa

Fuente Adaptado de Instituto de Auditores Internos COSO ERM Agosto 2004

I M P O R T A N T ECada entidad deberaacute adaptar los criterios de acuerdo con su complejidad

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2

Tabla 4 Criterios para calificar el impacto ndash riesgos de seguridad

digital

NIVELVALOR

DELIMPACTO

C R I T E R I O S D E I M P A C T OP A R A R I E S G O S D E S E G U R I D A D D I G I TA L

I M P A C T O ( C O N S E C U E N C I A S ) C U A N T I T A T I V O


INSI

GN

IFIC

AN

TE

1

Afectacioacuten geX de la poblacioacuten

Afectacioacuten geX del presupuesto

anual de la entidad

No hay afectacioacuten medioambiental

Sin afectacioacuten de la integridad

Sin afectacioacuten de la disponibilidad

Sin afectacioacuten de la confidencialidad

ME

NO

R

2



anual de la entidad

Afectacioacuten leve del medio ambiente

requiere de geX diacuteas de recuperacioacuten

Afectacioacuten leve de la integridad

Afectacioacuten leve de la disponibilidad

Afectacioacuten leve de la confidencialidad

MO

DE

RA

DO

3



anual de la entidad


requiere de geX semanas de recupera-

cioacuten

Afectacioacuten moderada de la integridad de la

informacioacuten debido al intereacutes particular de

los empleados y terceros

Afectacioacuten moderada de la disponibilidad de

la informacioacuten debido al intereacutes particular

de los empleados y terceros

Afectacioacuten moderada de la confidencialidad

de la informacioacuten debido al intereacutes particu-

lar de los empleados y terceros

MAY

OR

4



anual de la entidad

Afectacioacuten importante del medio

ambiente que requiere de geX meses

de recuperacioacuten

Afectacioacuten grave de la integridad de la



Afectacioacuten grave de la disponibilidad de la



Afectacioacuten grave de la confidencialidad de la



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3

Fuente Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones 2017

NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad

Afectacioacuten muy grave del medio

ambiente que requiere de geX antildeos de

recuperacioacuten

Afectacioacuten muy grave de la integridad de la



Afectacioacuten muy grave de la disponibilidad de



Afectacioacuten muy grave de la confidencialidad



I M P O R T A N T ECada entidad deberaacute adaptar los criterios a su realidadEl nivel de impacto deberaacute ser determinado con la presencia de cualquiera de los criterios establecidos tomando el criterio con mayor nivel de afectacioacuten ya sea cualitativo o cuantitativo

Las variables confidencialidad integridad y disponibilidad se definen de acuerdo con

el modelo de seguridad y privacidad de la informacioacuten de la estrategia de Gobierno

Digital (GD) del Ministerio de Tecnologiacuteas de la Informacioacuten y las Comunicaciones

La variable poblacioacuten se define teniendo en cuenta el establecimiento del contexto externo

de la entidad es decir que la consideracioacuten de poblacioacuten va a estar asociada a las personas a

las cuales se les prestan servicios o traacutemites en el entorno digital y que de una u otra forma

pueden verse afectadas por la materializacioacuten de alguacuten riesgo en los activos identificados

Los porcentajes en las escalas pueden variar seguacuten la entidad y su contexto

La variable presupuesto es la consideracioacuten de presupuesto afectado por la entidad debido

a la materializacioacuten del riesgo contempla sanciones econoacutemicas o impactos directos en la


La variable ambiental estaraacute tambieacuten alineada con la afectacioacuten del medio ambiente

por la materializacioacuten de un riesgo de seguridad digital Esta variable puede no ser

utilizada en la mayoriacutea de los casos pero debe tenerse en cuenta ya que en alguna

eventualidad puede existir afectacioacuten ambiental

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4

RIESGO A C T I V O A M E N A Z A V U L N E R A B I L I -D A D P R O B A B I L I D A D I M P A C T O

Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de

poliacuteticas de control

de acceso

4-Probable 4- Mayor Extrema

Contrasentildeas sin

proteccioacuten

Ausencia de

mecanismos de

identificacioacuten y

autenticacioacuten de

usuarios

Ausencia de bloqueo

de sesioacuten


I M P O R T A N T ELa probabilidad y el impacto se determinan con base a la amenaza no en las vulnerabilidades

313 Anaacutelisis del impacto

El impacto se debe analizar y calificar a partir de las consecuencias

identificadas en la fase de descripcioacuten del riesgo Para el ejemplo

que venimos explicando el impacto fue identificado como mayor por

cuanto genera interrupcioacuten de las operaciones por maacutes de dos diacuteas

Mapa de calor

Se toma la calificacioacuten de probabilidad resultante de la tabla ldquoMatriz

de priorizacioacuten de probabilidadrdquo para este ejemplo se tomaraacute la

probalibidad de ocurrencia en ldquoprobablerdquo y la calificacioacuten de

Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5

Fuente Adaptado de Instituto de Auditores Internos COSO ERM 2017

I M P O R T A N T EMatriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto

Mapa de calor

Extremo

Alto Moderado

Bajo

impacto en ldquomayorrdquo ubique la calificacioacuten de probabilidad en la

fila y la de impacto en las columnas correspondientes establezca el

punto de interseccioacuten de las dos y este punto corresponderaacute al nivel

de riesgo que para el ejemplo es nivel extremo ndash color rojo (R1) asiacute

se podraacute determinar el riesgo inherente

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA

S I E L R I E S G O D E C O R R U P C I Oacute N S E M A T E R I A L I Z A P O D R Iacute A

RESPUESTA

S Iacute N O

1 iquestAfectar al grupo de funcionarios del proceso X

2 iquestAfectar el cumplimiento de metas y objetivos de la dependencia X

3 iquestAfectar el cumplimiento de misioacuten de la entidad X

4 iquestAfectar el cumplimiento de la misioacuten del sector al que pertenece la entidad X

5 iquestGenerar peacuterdida de confianza de la entidad afectando su reputacioacuten X

6 iquestGenerar peacuterdida de recursos econoacutemicos X

7 iquestAfectar la generacioacuten de los productos o la prestacioacuten de servicios X

8iquestDar lugar al detrimento de calidad de vida de la comunidad por la peacuterdida del bien

servicios o recursos puacuteblicosX

9 iquestGenerar peacuterdida de informacioacuten de la entidad X

10 iquestGenerar intervencioacuten de los oacuterganos de control de la Fiscaliacutea u otro ente X

1 1 iquestDar lugar a procesos sancionatorios X

12 iquestDar lugar a procesos disciplinarios X

13 iquestDar lugar a procesos fiscales X

14 iquestDar lugar a procesos penales X

15 iquestGenerar peacuterdida de credibilidad del sector X

16 iquestOcasionar lesiones fiacutesicas o peacuterdida de vidas humanas X

17 iquestAfectar la imagen regional X

18 iquestAfectar la imagen nacional X

19 iquestGenerar dantildeo ambiental X

Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado

Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor

Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastroacutefico10

MODERADO Genera medianas consecuencias sobre la entidad

MAYOR Genera altas consecuencias sobre la entidad

CATASTROacuteFICO Genera consecuencias desastrosas para la entidad


Tabla 5 Criterios para calificar el impacto - riesgos de corrupcioacuten

Nivel de impacto MAYOR

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7


I M P O R T A N T ESi la respuesta a la pregunta 16 es afirmativa el riesgo se considera catastroacuteficoPor cada riesgo de corrupcioacuten identificado se debe diligenciar una tabla de estas

I M P O R T A N T EAunque se utilice el mismo mapa de calor para los riesgos de gestioacuten y de corrupcioacuten a estos uacuteltimos solo les aplican las columnas de impacto Moderado Mayor y Catastroacutefico

313 Anaacutelisis del impacto en riesgos de corrupcioacuten

Para los riesgos de corrupcioacuten el anaacutelisis de impacto se realizaraacute

teniendo en cuenta solamente los niveles ldquomoderadordquo ldquomayorrdquo y

ldquocatastroacuteficordquo dado que estos riesgos siempre seraacuten significativos en

este orden de ideas no aplican los niveles de impacto insignificante y

menor que siacute aplican para los demaacutes riesgos

De acuerdo con la tabla de criterios para calificar el impacto de la

paacutegina anterior nuestro ejemplo tiene un nivel de impacto MAYOR La

probabilidad de los riesgos de corrupcioacuten se califica con los mismos

cinco niveles de los demaacutes riesgos

Por uacuteltimo ubique en el mapa de calor el punto de interseccioacuten

resultante de la probabilidad y el impacto para establecer el nivel del

riesgo inherente para el ejemplo corresponde a EXTREMO R1

Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8

Se identifican los riesgos inherentes o subyacentes que pueden afectar el

cumplimiento de los objetivos estrateacutegicos

y de proceso

Se identifican las causas o fallas que pueden dar

origen a la materializacioacuten del riesgo

Para cada causa se identifica el control o

controles

Evaluar si los controles estaacuten bien disentildeados para mitigar el riesgo y si estos se ejecutan

como fueron disentildeados


321 Riesgo antes y despueacutes de controles

Esquema 9 Riesgo antes y despueacutes de controles

Al momento de definir las actividades de control por parte de la

primera liacutenea de defensa es importante considerar que los controles

esteacuten bien disentildeados es decir que efectivamente estos mitigan las

causas que hacen que el riesgo se materialice

RIES G O AN TESDE C ON T ROLES

C AUSAS OFA LLAS

CO NTROLES

R IESGO DESPUEacuteS DE CONTR O LES

I M P O R T A N T E Para cada causa debe existir un control

Las causas se deben trabajar de manera separada (no

se deben combinar en una misma columna o rengloacuten)

Un control puede ser tan eficiente que me ayude

a mitigar varias causas en estos casos se repite

el control asociado de manera independiente a la

causa especiacutefica

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9

Debe tener definido el responsable de llevar a cabo la actividad de control

Debe indicar cuaacutel es el propoacutesito del control

Debe indicar queacute pasa con las observaciones o desviaciones resultantes de ejecutar el control

Debe tener una periodicidad definida para su ejecucioacuten

Debe establecer el coacutemo se realiza la actividad de control

Debe dejar evidencia de la ejecucioacuten del control

322 Valoracioacuten de los controles ndash disentildeo de controles

Antes de valorar los controles es necesario conocer coacutemo se disentildea un

control para lo cual daremos respuesta a las siguientes interrogantes

iquestCoacutemo defino o establezco un control para que en su disentildeo

mitigue de manera adecuada el riesgo

Al momento de definir si un control o los controles mitigan de

manera adecuada el riesgo se deben considerar desde la redaccioacuten

del mismo las siguientes variables

Esquema 10 Pasos para disentildear un control

VARIA B LES

A EVALUA R PARA EL

AD EC UAD O DISENtildeO

D E C ON TROLES

I M P O R T A N T ELas acciones de tratamiento se agrupan en

Disminuir la probabilidad acciones encaminadas a gestionar las

causas del riesgo

Disminuir el impacto acciones encaminadas a disminuir las

consecuencias del riesgo

P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0

El profesional de contratacioacuten El auxiliar de cartera El coordinador de operaciones La coordinadora de noacutemina

El sistema SAP El aplicativo de noacutemina El aplicativo de contratacioacuten El aplicativo de activos fijos


VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1

R E S P O N S A B L E

E J E M P L O

Persona asignada para ejecutar el control Debe tener la autoridad

competencias y conocimientos para ejecutar el control dentro del

proceso y sus responsabilidades deben ser adecuadamente segregadas

o redistribuidas entre diferentes individuos para reducir asiacute el riesgo de

error o de actuaciones irregulares o fraudulentas Si ese responsable

quisiera hacer algo indebido por siacute solo no lo podriacutea hacer Si la respuesta

es que cumple con esto quiere decir que el control estaacute bien disentildeado si la

respuesta es que no cumple tenemos que identificar la situacioacuten y mejorar

el disentildeo del control con relacioacuten a la persona responsable de su ejecucioacuten

Cuando un control se hace de mane-

ra manual (ejecutado por personas)

es importante establecer el cargo

responsable de su realizacioacuten

Cuando el control lo hace un sistema o

una aplicacioacuten de manera automaacutetica a

traveacutes de un sistema programado es im-

portante establecer como responsable de

ejecutar el control al sistema o aplicacioacuten

Debe tener definido el responsable de realizar la actividad de control

P A S O 1

iquestCoacutemo defino o establezco un control que mitigue el riesgo

Al momento de definir si un control o controles mitigan de manera

adecuada el riesgo se deben considerar desde la redaccioacuten del

mismo las siguientes variables

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1

I M P O R T A N T E El control debe iniciar con un cargo responsable o un sistema o aplicacioacuten

Evitar asignar aacutereas de manera general o nombres de personas

El control debe estar asignado a un cargo especiacutefico






VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2

P E R I O D I C I D A D

E J E M P L O

El control debe tener una periodicidad especiacutefica para su realizacioacuten

(diario mensual trimestral anual etc) y su ejecucioacuten debe ser

consistente y oportuna para la mitigacioacuten del riesgo Por lo que en la

periodicidad se debe evaluar si este previene o se detecta de manera

oportuna el riesgo Una vez definido el paso 1 - responsable del control

debe establecerse la periodicidad de su ejecucioacuten

Cada vez que se releva un control debemos preguntarnos si la

periodicidad en que este se ejecuta ayuda a prevenir o detectar el riesgo

de manera oportuna Si la respuesta es SIacute entonces la periodicidad del

control estaacute bien disentildeada

Hay controles que no tienen una periodicidad especiacutefica como por

ejemplo los controles que se ejecutan en el proceso de contratacioacuten

de proveedores solo se ejecutan cuando se contratan proveedores La

periodicidad debe quedar redactada de tal forma que indique que cada

vez que se desarrolla la actividad se ejecuta el control

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2

I M P O R T A N T ETodos los controles deben tener una periodicidad especiacutefica Si que-

da a criterio la periodicidad de la realizacioacuten del control tendriacuteamos

un problema en el disentildeo del control

De igual forma hay controles au-

tomaacuteticos que son programados

para que se ejecuten en un tiempo

especiacutefico estos controles tam-

bieacuten tienen una periodicidad

Debe tener una periodicidad definida para su ejecucioacutenP A S O 2

El profesional de contratacioacuten cada vez que se va a realizar un contrato con un proveedor de servicios

El auxiliar de cartera mensualmente El coordinador de operacionesdiariamente La coordinadora de noacutemina quincenalmente El sistema SAP cada vez que se

va a realizar un pago

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O

Al momento de identificar los controles para mitigar el riesgo debe-

mos preguntarnos si es una actividad o un control y para diferenciarlo

es importante tener en cuenta que el control (verifica valida concilia

coteja compara etc) ayuda a la mitigacioacuten del riesgo por eso es im-

portante que pensemos primero en tener controles preventivos antes

que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES

P R O P Oacute S I T O

El control debe tener un propoacutesito que indique para queacute se realiza y que ese

propoacutesito conlleve a prevenir las causas que generan el riesgo (verificar

validar conciliar comparar revisar cotejar) o detectar la materializacioacuten

del riesgo con el objetivo de llevar acabo los ajustes y correctivos en

el disentildeo del control o en su ejecucioacuten El solo hecho de establecer un

procedimiento o contar con una poliacutetica por siacute sola no va a prevenir o

detectar la materializacioacuten del riesgo o una de sus causas Siguiendo las

variables a considerar en la evaluacioacuten del disentildeo de control revisadas

veamos algunos ejemplos de coacutemo se deben redactar los controles

incluyendo el propoacutesito del control es decir lo que este busca

Debe indicar cuaacutel es el propoacutesito del controlP A S O 3






Cada vez que se va a efectuar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten

El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES

C Oacute M O S E R E A L I Z A

El control debe indicar el coacutemo se realiza de tal forma que se pueda

evaluar si la fuente u origen de la informacioacuten que sirve para ejecutar el

control es confiable para la mitigacioacuten del riesgo

Cuando estemos evaluando el control debemos preguntarnos si la fuente

de informacioacuten utilizada es confiable

Ej para verificar los requisitos que debe cumplir un proveedor en el

momento de ser contratado es mejor utilizar una lista de chequeo que

hacerlo de memoria dado que se nos puede quedar alguacuten requisito por

fuera

Debe establecer el coacutemo se realiza la actividad de controlP A S O 4





Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas o de lavado de activos y financiacioacuten del terrorismo

Esto tambieacuten aplica para controles que son

realizados de manera automaacutetica a traveacutes de un

sistema programado

I M P O R T A N T EEl control debe tener un propoacutesito (verificar vali-

dar cotejar comparar revisar etc) para mitigar

la causa de la materializacioacuten del riesgo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O

Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten a traveacutes de una lista de chequeo donde estaacuten los requisitos de informacioacuten y la revisioacuten con la informacioacuten fiacutesica suministrada por el proveedor

El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados

Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S

Q U Eacute P A S A C O N L A S O B S E R V A C I O N E SO D E S V I A C I O N E S

El control debe indicar queacute pasa con las observaciones o desviaciones

como resultado de ejecutar el control Al momento de evaluar si un control

estaacute bien disentildeado para mitigar el riesgo si como resultado de un control

preventivo se observan diferencias o aspectos que no se cumplen la

actividad no deberiacutea continuarse hasta que se subsane la situacioacuten o si es

un control que detecta una posible materializacioacuten de un riesgo deberiacutean

gestionarse de manera oportuna los correctivos o aclaraciones a las

diferencias presentadas u observaciones Sigamos con nuestros ejemplos

praacutecticos de ayuda para la interiorizacioacuten de estos conceptos


P A S O 5





Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante requiere al proveedor a traveacutes de correo el suministro de la informacioacuten y poder continuar con el proceso de contratacioacuten

El auxiliar de cartera mensualmente verifica que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas

Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el Nuacutemero de Identificacioacuten Tributaria (NIT) o Ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7

I M P O R T A N T ESi el responsable de ejecutar el control no realiza ninguna

actividad de seguimiento a las observaciones o desviaciones

o la actividad continuacutea a pesar de indicar esas observaciones

o desviaciones el control tendriacutea problemas en su disentildeo

E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A

El control debe dejar evidencia de su ejecucioacuten Esta evidencia ayuda

a que se pueda revisar la misma informacioacuten por parte de un tercero

y llegue a la misma conclusioacuten de quien ejecutoacute el control y se pueda

evaluar que el control realmente fue ejecutado de acuerdo con los

paraacutemetros establecidos y descritos anteriormente

1 Fue realizado por el responsable que se definioacute

2 Se realizoacute de acuerdo a la periodicidad definida

3 Se cumplioacute con el propoacutesito del control

4 Se dejoacute la fuente de informacioacuten que sirvioacute de base para su ejecucioacuten

5 Hay explicacioacuten a las observaciones o desviaciones resultantes de

ejecutar el control

Debe dejar evidencia de la ejecucioacuten del controlP A S O 6



adecuada el riesgo se debe considerar desde la redaccioacuten del mismo

las siguientes variables

Cada vez que se va a realizar un contrato el profesional de contratacioacuten verifica a traveacutes de una lista de chequeo que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten En caso de encontrar informacioacuten faltante solicita al proveedor por correo la informacioacuten y poder continuar con el proceso de contratacioacuten Evidencia la lista de chequeo diligenciada la informacioacuten de la carpeta del cliente y los correos a que hubo lugar en donde solicitoacute la informacioacuten faltante (en los casos que aplique)

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8


El auxiliar de cartera verifica mensualmente que los valores recaudados en lsquoBancorsquo correspondan con los saldos adeudados por los clientes este toma dicha informacioacuten directamente del portal bancario e identifica las cuentas por cobrar es decir pendientes de pago y que fueron canceladas seguacuten los extractos bancarios revisados En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago liste las cuentas pendientes de pago realice llamadas a los clientes y solicite la fecha para el pago de las mismas Evidencia el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario

Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a girar el pago no esteacute reportado en listas restrictivas comparando el nuacutemero de identificacioacuten tributaria (NIT) o ceacutedula con la informacioacuten cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiacioacuten del terrorismo En caso de encontrar coincidencias el sistema no permite realizar el pago Como evidencia queda la programacioacuten interna del aplicativo y el reporte de coincidencia con listas restrictivas

E J E M P L O

Hay controles en los que su evidencia queda en un flujo a

traveacutes de una aplicacioacuten como un ldquoaprobadordquo o ldquorevisadordquo

y otros en los que la evidencia es la configuracioacuten y

programacioacuten de la aplicacioacuten cuando es un control

automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9

322 Valoracioacuten de los controles

Esquema 11 Valoracioacuten de los controles para la mitigacioacuten de los

riesgos

V A L O R A C I Oacute N D E L O S

C O N T R O L E S P A R A L A

M I T I G A C I Oacute N D E L O S R I E S G O S

EL CONTROL ESTAacute DISENtildeADO Y

SE EJECUTA PARA MITIGAR LA

PROBABILIDAD DE QUE EL RIESGO

SE MATERIALICE


SE EJECUTA PARA MITIGAR EL

IMPACTO DEL RIESGO UNA VEZ SE

MATERIALICE

EL CONTROL ESTAacute BIEN DISENtildeADO PARA MITIGAR EL RIESGO

EL CONTROL SE EJECUTA COMO FUEDISENtildeADO Y DE MANERA CONSISTENTE

I M P O R T A N T EPara la adecuada mitigacioacuten de los riesgos no basta con

que un control esteacute bien disentildeado el control debe ejecu-

tarse por parte de los responsables tal como se disentildeoacute

Porque un control que no se ejecute o un control que

se ejecute y esteacute mal disentildeado no va a contribuir a la

mitigacioacuten del riesgo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0

Tabla 6 Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de

los riesgos

Anaacutelisis y evaluacioacuten del disentildeo del control de acuerdo con las seis

(6) variables establecidas

C R I T E R I O D E E V A L U A C I Oacute N

A S P E C T O A E V A L U A RE N E L D I S E Ntilde O D E L C O N T R O L

O P C I O N E SD E R E S P U E S T A

1 Responsable

iquestExiste un responsable asignado a la ejecu-

cioacuten del controlAsignado No asignado

iquestEl responsable tiene la autoridad y adecua-

da segregacioacuten de funciones en la ejecucioacuten

del control

Adecuado Inadecuado

2 Periodicidad

iquestLa oportunidad en que se ejecuta el control

ayuda a prevenir la mitigacioacuten del riesgo o a

detectar la materializacioacuten del riesgo de ma-

nera oportuna

Oportuna Inoportuna

3 Propoacutesito

iquestLas actividades que se desarrollan en el

control realmente buscan por si sola prevenir

o detectar las causas que pueden dar origen

al riesgo Ej verificar validar cotejar compa-

rar revisar etc

Prevenir

o detectar No es un control

4 Coacutemo se realiza

la actividad de

control

iquestLa fuente de informacioacuten que se utiliza en el

desarrollo del control es informacioacuten confia-

ble que permita mitigar el riesgo

Confiable No confiable

5 Queacute pasa con las

observaciones o

desviaciones

iquestLas observaciones desviaciones o dife-

rencias identificadas como resultados de la

ejecucioacuten del control son investigadas y re-

sueltas de manera oportuna

Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control

iquestSe deja evidencia o rastro de la ejecucioacuten del

control que permita a cualquier tercero con la

evidencia llegar a la misma conclusioacuten

CompletaIncompleta no

existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1

Tabla 7 Peso o participacioacuten de cada variable en el disentildeo del

control para la mitigacioacuten del riesgo


O P C I Oacute N D E R E S P U E S T A A L C R I T E R I O D E E V A L U A C I Oacute N

P E S OE N L A E V A L U A C I Oacute N

D E L D I S E Ntilde OD E L C O N T R O L

11 Asignacioacuten del

responsable

Asignado 15

No Asignado 0

12 Segregacioacuten y

autoridad del

responsable

Adecuado 15

Inadecuado 0

2 PeriodicidadOportuna 15

Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones

Se investigan y resuelven oportunamente 15

No se investigan y resuelven oportunamente 0

6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2

Resultados de la evaluacioacuten del disentildeo del control

El resultado de cada variable de disentildeo a excepcioacuten de la evidencia

va a afectar la calificacioacuten del disentildeo del control ya que deben

cumplirse todas las variables para que un control se evaluacutee como

bien disentildeado

Resultados de la evaluacioacuten de la ejecucioacuten del control

Aunque un control esteacute bien disentildeado este debe ejecutarse de manera

consistente de tal forma que se pueda mitigar el riesgo No basta

solo con tener controles bien disentildeados debe asegurarse por parte

de la primera liacutenea de defensa que el control se ejecute Al momento

de determinar si el control se ejecuta inicialmente el responsable

del proceso debe llevar a cabo una confirmacioacuten posteriormente se

confirma con las actividades de evaluacioacuten realizadas por auditoriacutea

interna o control interno

Si el resultado de las calificaciones del control o el promedio en el disentildeo de los

controles estaacute por debajo de 96 se debe establecer un plan de accioacuten que permita

tener un control o controles bien disentildeados

R A N G O D E C A L I F I C A C I Oacute N

D E L D I S E Ntilde O

R E S U L T A D O - P E S O E N L A E V A L U A C I Oacute N D E L D I S E Ntilde O D E L

C O N T R O L

Fuerte Calificacioacuten entre 96 y 100

Moderado Calificacioacuten entre 86 y 95

Deacutebil Calificacioacuten entre 0 y 85

R A N G O D EC A L I F I C A C I Oacute N D E

L A E J E C U C I Oacute N

R E S U L T A D O- P E S O D E L A E J E C U C I Oacute N D E L C O N T R O L -

Fuerte El control se ejecuta de manera consistente por parte del responsable

Moderado El control se ejecuta algunas veces por parte del responsable

Deacutebil El control no se ejecuta por parte del responsable

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3

Anaacutelisis y evaluacioacuten de los controles para la mitigacioacuten de los

riesgos

Dado que la calificacioacuten de riesgos inherentes y residuales se efectuacutea

al riesgo y no a cada causa hay que consolidar el conjunto de los

controles asociados a las causas para evaluar si estos de manera

individual y en conjunto siacute ayudan al tratamiento de los riesgos

considerando tanto el disentildeo ejecucioacuten individual y promedio de los

controles

En la evaluacioacuten del disentildeo y ejecucioacuten de los controles las dos

variables son importantes y significativas en el tratamiento de los

riesgos y sus causas por lo que siempre la calificacioacuten de la solidez

de cada control asumiraacute la calificacioacuten del disentildeo o ejecucioacuten con

menor calificacioacuten entre fuerte moderado y deacutebil tal como se

detalla en la siguiente tabla

P E S O D E LD I S E Ntilde O

D E C A D A C O N T R O L

P E S O D E L AE J E C U C I Oacute N D E C A D A

C O N T R O L

S O L I D E Z I N D I V I D U A L D E C A D A C O N T R O L

F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0

D E B E E S T A B L E C E R

A C C I O N E S P A R A F O R T A L E C E R E L

C O N T R O LS Iacute N O

fuerte

calificacioacuten

entre 96 y 100rdquo

fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No

moderado (algunas veces) fuerte + moderado = moderado Siacute

deacutebil (no se ejecuta) fuerte + deacutebil = deacutebil Siacute

moderado

calificacioacuten

entre 86 y 95

fuerte (siempre se ejecuta) moderado + fuerte = moderado Siacute

moderado (algunas veces) moderado + moderado = moderado Siacute

deacutebil (no se ejecuta) moderado + deacutebil = deacutebil Siacute

deacutebil

calificacioacuten entre

0 y 85

fuerte (siempre se ejecuta) deacutebil + fuerte = deacutebil Siacute

moderado (algunas veces) deacutebil + moderado = deacutebil Siacute

deacutebil (no se ejecuta) deacutebil + deacutebil = deacutebil Siacute

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4

Solidez del conjunto de controles para la adecuada mitigacioacuten

del riesgo

Dado que un riesgo puede tener varias causas a su vez varios

controles y la calificacioacuten se realiza al riesgo es importante evaluar

el conjunto de controles asociados al riesgo

Esquema 12 Solidez del conjunto de controles

RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2

CONTROL 3C A U S A 2

Fuerte

iquestCoacutemo evaluamos

la solidez del conjunto de los

controles

Riesgos Causas o fallas ControlesDisentildeo del

controlEjecucioacuten

del control

Solidez individual

del control

Solidez del conjunto

de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil

I M P O R T A N T ELa solidez del conjunto de con-

troles se obtiene calculando el

promedio aritmeacutetico simple de

los controles por cada riesgo

S O L I D E Z D E L C O N J U N T O D E L O S C O N T R O L E S

C A L I F I C A C I Oacute N D E L A S O L I D E ZD E L C O N J U N T O D E C O N T R O L E S

FuerteEl promedio de la solidez individual de cada control

al sumarlos y ponderarlos es igual a 100

ModeradoEl promedio de la solidez individual de cada control

al sumarlos y ponderarlos estaacute entre 50 y 99

DeacutebilEl promedio de la solidez individual de cada control

al sumarlos y ponderarlos es menor a 50

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5

Disminucioacuten de probabilidad e impacto

La mayoriacutea de los controles que se disentildean son para disminuir la

probabilidad de que ocurra una causa o evento que pueda llevar a

la materializacioacuten del riesgo y muy pocos son dirigidos al impacto

E J E M P L O

Para poder asignar un contrato se debe verificar que la informacioacuten suministrada por el proveedor corresponda con los requisitos establecidos de contratacioacuten

Para mitigar el impacto econoacutemico en caso de que el contratista incumpla se deben verificar las poacutelizas de seguros solicitadas al contratista seleccionado

Generalmente se encuentran maacutes controles que

disminuyen directamente la probabilidad que el impacto

Si no existieran controles para disminuir la probabilidad

del riesgo el impacto de un riesgo por el nuacutemero de

eventos que se llegariacutean a materializar seriacutea mayor en

nuestro ejemplo si no existiera el control ldquoverificar que la

informacioacuten suministrada por el proveedor corresponda

con los requisitos establecidos de contratacioacuten para

poder asignar un contratordquo el nuacutemero de contratos que

se incumpliriacutean seriacutea mayor por tal razoacuten y para efectos

de la elaboracioacuten de la matriz al momento de evaluar

si los controles ayudan a disminuir el impacto o la

probabilidad estos controles se calificaraacuten teniendo en

cuenta que de manera indirecta disminuyen tambieacuten el

impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6

323 Nivel de riesgo (riesgo residual)

Desplazamiento del riesgo inherente para calcular el riesgo

residual

Dado que ninguacuten riesgo con una medida de tratamiento se evita o

elimina el desplazamiento de un riesgo inherente en su probabilidad

o impacto para el caacutelculo del riesgo residual se realizaraacute de acuerdo

con la siguiente tabla

Tabla 8 Resultados de los posibles desplazamientos de la

probabilidad y del impacto de los riesgos

I M P O R T A N T ESi la solidez del conjunto de los

controles es deacutebil este no dismi-

nuiraacute ninguacuten cuadrante de impacto

o probabilidad asociado al riesgo

I M P O R T A N T ETrataacutendose de riesgos de corrupcioacuten

uacutenicamente hay disminucioacuten de pro-

babilidad Es decir para el impacto

no opera el desplazamiento

S O L I D E Z D E L C O N J U N T O

D E L O S C O N -T R O L E S

C O N T R O L E SA Y U D A N

A D I S M I N U I R L A P R O B A B I L I D A D

C O N T R O L E S A Y U D A N

A D I S M I N U I R I M P A C T O

C O L U M N A SE N L A M A T R I Z

D E R I E S G OQ U E S E D E S P L A Z A E N E L E J E D E L A

P R O B A B I L I D A D

C O L U M N A S E N L A M A T R I Z D E

R I E S G O Q U E S E D E S P L A Z A E N E L E J E D E I M P A C T O

fuerte directamente directamente 2 2

fuerte directamente indirectamente 2 1

fuerte directamente no disminuye 2 0

fuerte no disminuye directamente 0 2

moderado directamente directamente 1 1

moderado directamente Indirectamente 1 0

moderado directamente no disminuye 1 0

moderado no disminuye directamente 0 1

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7

Resultados del mapa de riesgo residual

Una vez realizado el anaacutelisis y evaluacioacuten de los controles para la

mitigacioacuten de los riesgos procedemos a la elaboracioacuten del mapa de

riesgo residual (despueacutes de los controles)

Tenemos el riesgo 1 con una calificacioacuten de

riesgo inherente de probabilidad e impacto

como se muestra en la siguiente graacutefica

Como podemos observar es probable que el

riesgo suceda y en caso de materializarse

tiene un impacto mayor para la entidad

Ahora supongamos que existen controles

bien disentildeados que siempre se ejecutan y

que estos controles disminuyen de manera

directa la probabilidad

En nuestro ejemplo disminuiriacutea dos

cuadrantes de probabilidad pasa de

probable a improbable y un cuadrante de

impacto pasa de mayor a moderado

Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

Tratamiento del riesgo

iquestQueacute es tratamiento del riesgo

Es la respuesta establecida por la primera liacutenea de defensa para la

mitigacioacuten de los diferentes riesgos incluyendo aquellos relacionados

con la corrupcioacuten A la hora de evaluar las opciones existentes en

materia de tratamiento del riesgo y partiendo de lo que establezca

la poliacutetica de administracioacuten del riesgo los duentildeos de los procesos

tendraacuten en cuenta la importancia del riesgo lo cual incluye el efecto

que puede tener sobre la entidad la probabilidad e impacto de este

y la relacioacuten costo-beneficio de las medidas de tratamiento Pero en

caso de que una respuesta ante el riesgo derive en un riesgo residual

que supere los niveles aceptables para la direccioacuten se deberaacute volver

a analizar y revisar dicho tratamiento En todos los casos para los

riesgos de corrupcioacuten la respuesta seraacute evitar compartir o reducir

el riesgo El tratamiento o respuesta dada al riesgo se enmarca en

las siguientes categoriacuteas

TRATAMIENTO

DEL RIESGO

Se abandonan las actividades que dan lugar al riesgo es decir no iniciar o no continuar con la actividad que lo provoca

No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (Ninguacuten riesgo de corrupcioacuten podraacute ser aceptado)

Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este Los riesgos de corrupcioacuten se pueden compartir pero no se puede transferir su responsabilidad

Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos por lo general conlleva a la implementacioacuten de controles

A C E P T A R E L R I E S G O R E D U C I R E L R I E S G O

E V I T A R E L R I E S G O C O M P A R T I R E L R I E S G O

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9

A C E P T A R E L R I E S G O

Si el nivel de riesgo cumple con los criterios de aceptacioacuten de riesgo

no es necesario poner controles y este puede ser aceptado Esto

deberiacutea aplicar para riesgos inherentes en la zona de calificacioacuten de

riesgo bajo

I M P O R T A N T EEn el caso de riesgos de corrupcioacuten estos no pueden ser aceptados

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR

No se adopta ninguna medida que

afecte la probabilidad o el impacto

del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO

La aceptacioacuten del riesgo puede ser una opcioacuten viable en la entidad

para los riesgos bajos pero tambieacuten pueden existir escenarios de

riesgos a los que no se les puedan aplicar controles y por ende se

acepta el riesgo En ambos escenarios debe existir un seguimiento

continuo del riesgo

MEDIDA DE TRATAMIENTO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0

E V I T A R E L R I E S G O

Cuando los escenarios de riesgo identificado se consideran

demasiado extremos se puede tomar una decisioacuten para evitar el

riesgo mediante la cancelacioacuten de una actividad o un conjunto de

actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR

Se abandonan las actividades que

dan lugar al riesgo y se decide

no iniciar o no continuar con las

actividades que lo causanNO HAY RIESGOS

DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO


Desde el punto de vista de los responsables de la toma de decisiones

este tratamiento es simple la menos arriesgada y menos costosa

pero es un obstaacuteculo para el desarrollo de las actividades de la

entidad y por lo tanto hay situaciones donde no es una opcioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1

C O M P A R T I R E L R I E S G O

Cuando es muy difiacutecil para la entidad reducir el riesgo a un nivel

aceptable o se carece de conocimientos necesarios para gestionarlo

este puede ser compartido con otra parte interesada que pueda

gestionarlo con maacutes eficacia Cabe sentildealar que normalmente no es

posible transferir la responsabilidad del riesgo

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR

Se reduce la probabilidad o el

impacto del riesgo y se transfiere

o comparte una parte de este

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO


Los dos principales meacutetodos de compartir o transferir parte del riesgo

son seguros y tercerizacioacuten Estos mecanismos de transferencia

de riesgos deberiacutean estar formalizados a traveacutes de un acuerdo

contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2

R E D U C I R E L R I E S G O

El nivel de riesgo deberiacutea ser administrado mediante el establecimiento

de controles de modo que el riesgo residual se pueda reevaluar

como algo aceptable para la entidad Estos controles disminuyen

normalmente la probabilidad yo el impacto del riesgo

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR

Se adoptan medidas para reducir

la probabilidad o el impacto del

riesgo o ambos esto conlleva a la

implementacioacuten de controles

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO


Deberiacutean seleccionarse controles apropiados y con una adecuada

segregacioacuten de funciones de manera que el tratamiento al riesgo

adoptado logre la reduccioacuten prevista sobre este

Para mitigartratar los riesgos de seguridad digital se deben emplear

como miacutenimo los controles del anexo A de la ISOIEC 270012013

estos tambieacuten se encuentran en el anexo 4 ldquoLineamientos para la

gestioacuten del riesgo de seguridad digital de la presente guiacuteardquo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3

Tratamiento del riesgo ndash rol de la primera liacutenea de defensa

Como medio para propiciar el logro de los objetivos las actividades

de control se orientan a prevenir y detectar la materializacioacuten de los

riesgos Por consiguiente su efectividad depende de queacute tanto se

estaacuten logrando los objetivos estrateacutegicos y de proceso de la entidad

Le corresponde a la primera liacutenea de defensa el establecimiento de

actividades de control

Las poliacuteticas establecen

las liacuteneas generales del

control interno

Los procedimientos son

los que llevan dichas

poliacuteticas a la praacutectica

ACTIVIDADES DE CONTROL

DOCUMENTADAS EN

Son las acciones establecidas a traveacutes de

poliacuteticas y procedimientos que contribuyen

a garantizar que se lleven a cabo las

instrucciones de la direccioacuten para mitigar

los riesgos que inciden en el cumplimiento

de los objetivos

iquestQUEacute SO N ACTIV IDADES

DE CONTR O L

P O L Iacute T I C A S P R O C E D I M I E N T O S

I M P O R T A N T E Una poliacutetica por siacute sola no es un control

Los controles se despliegan a traveacutes de los procedimientos documentados

La actividad de control debe por siacute sola mitigar o tratar la causa

del riesgo y ejecutarse como parte del diacutea a diacutea de las operaciones


como miacutenimo los controles del Anexo A de la ISOIEC 270012013


gestioacuten del riesgo de seguridad digitalrdquo de la presente guiacutea

1 Control Interno Marco Integrado ndash COSO 2013 - actividades de control

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O

La poliacutetica establece que para los contratos de bienes y servicios

se deben tener tres cotizaciones El procedimiento seraacute la revisioacuten

que valide que la poliacutetica se estaacute cumpliendo dejando claras las

actividades y responsabilidades que asume el personal que lleva a

cabo la actividad de control y asegura que existan las tres cotizaciones

Tanto la poliacutetica como el procedimiento deben estar documentados

Esto contribuye a que las actividades de control sean parte del diacutea a

diacutea de las operaciones de la entidad

Las actividades de control independientemente de la tipologiacutea de

riesgo a tratar deben tener una adecuada combinacioacuten para prevenir

que la situacioacuten de riesgo se origine Ahora en caso de que la situacioacuten

de riesgos se presente esta debe ser detectada de manera oportuna

Controles que estaacuten disentildeados para identificar

un evento o resultado no previsto despueacutes de

que se haya producido Buscan detectar la

situacioacuten no deseada para que se corrija y se

tomen las acciones correspondientes

Controles que estaacuten disentildeados para evitar un

evento no deseado en el momento en que se

produce Este tipo de controles intentan evitar

la ocurrencia de los riesgos que puedan afectar

el cumplimiento de los objetivos

CLASIFICACIOacuteNDE LAS ACTIVIDADES DE CONTROL

Revisioacuten al cumplimiento de los requisitos contractuales en el proceso de seleccioacuten del contratista o proveedor

Realizar una conciliacioacuten bancaria para verificar que los saldos en libros corresponden con los saldos en bancos

E J E M P L O

I M P O R T A N T ESe deben seleccionar actividades de control preventivas y detectivas que por siacute solas ayuden a la mitigacioacuten de las causas que originan los riesgos

C O N T R O L E S P R E V E N T I V O S C O N T R O L E S D E T E C T I V O S

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5


iquestPor queacute debo monitorear y revisar la gestioacuten de riesgos

Porque la entidad debe asegurar el logro de sus objetivos

anticipaacutendose a los eventos negativos relacionados con la gestioacuten

de la entidad El modelo integrado de plantacioacuten y gestioacuten (MIPG) en

la dimensioacuten 7 ldquoControl internordquo desarrolla a traveacutes de las liacuteneas de

defensa la responsabilidad de la gestioacuten del riesgo y control

iquestCoacutemo se define el modelo de las liacuteneas de defensa

Es un modelo de control que establece los roles y responsabilidades

de todos los actores del riesgo y control en una entidad este

proporciona aseguramiento de la gestioacuten y previene la materializacioacuten

de los riesgos en todos sus aacutembitos

iquestQuieacutenes son los asignados para monitorear y revisar la gestioacuten

de riesgos y cuaacuteles son sus roles

El monitoreo y revisioacuten de la gestioacuten de riesgos estaacute alineado con la

dimensioacuten del MIPG de ldquoControl internordquo que se desarrolla con el

MECI a traveacutes de un esquema de asignacioacuten de responsabilidades y

roles el cual se distribuye en diversos servidores de la entidad como

sigue

Define el marco general para la gestioacuten del

riesgo y el control y supervisa su cumplimiento

estaacute a cargo de la alta direccioacuten y el comiteacute

institucional de coordinacioacuten de control interno

L Iacute N E A E S T R A T Eacute G I C A

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6

1 ordf L Iacute N E A D E D E F E N S A 2 ordf L Iacute N E A D E D E F E N S A 3 ordf L Iacute N E A D E D E F E N S A

Desarrolla e implementa procesos de control y gestioacuten de riesgos

a traveacutes de su identificacioacuten anaacutelisis valoracioacuten monitoreo y

acciones de mejora

Asegura que los controles y los procesos de gestioacuten

de riesgos implementados por la primera liacutenea de

defensa esteacuten disentildeados apropiadamente y funcionen como se

pretende

Proporciona informacioacuten sobre la efectividad del

SCI a traveacutes de un enfoque basado en riesgos incluida la operacioacuten de la primera y

segunda liacutenea de defensa

A cargo de los gerentes puacuteblicos y liacutederes de los procesos programas y

proyectos de la entidadRol principal disentildear

implementar y monitorear los controles ademaacutes de gestionar de manera directa en el diacutea

a diacutea los riesgos de la entidad

Asiacute mismo orientar el desarrollo e

implementacioacuten de poliacuteticas y

procedimientos internos y asegurar que sean compatibles con las

metas y objetivos de la entidad y emprender

las acciones de mejoramiento para su

logro

A cargo de los servidores que tienen

responsabilidades directas en el monitoreo

y evaluacioacuten de los controles y la gestioacuten

del riesgo jefes de planeacioacuten supervisores

e interventores de contratos o proyectos coordinadores de otros sistemas de gestioacuten de la entidad comiteacutes de

riesgos (donde existan) comiteacutes de contratacioacuten

entre otros

Rol principal monitorear la gestioacuten de riesgo y

control ejecutada por la primera liacutenea de defensa

complementando su trabajo

A cargo de la oficina de control interno auditoriacutea interna o quien haga sus

veces

El rol principal proporcionar un aseguramiento basado

en el maacutes alto nivel de independencia y objetividad

sobre la efectividad del SCI

El alcance de este aseguramiento a traveacutes de la auditoriacutea interna cubre

todos los componentes del SCI

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7

Rol de la liacutenea estrateacutegica en el monitoreo y revisioacuten de los riesgos

y actividades de control


Define el marco general para la gestioacuten del riesgo y el control y supervisa su cumplimiento

estaacute a cargo de la alta direccioacuten y el comiteacute institucional de coordinacioacuten de control interno

Actividades de monitoreo

y revisioacuten a realizar

La alta direccioacuten y el equipo directivo a traveacutes de sus comiteacutes deben monitorear y revisar el cumplimiento a los objetivos a traveacutes de una adecuada gestioacuten de riesgos con relacioacuten a lo siguiente

Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo y coacutemo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados

Revisioacuten del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos

Hacer seguimiento en el Comiteacute Institucional y de Control Interno a la implementacioacuten de cada una de las etapas de la gestioacuten del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoriacutea Interna

Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos

Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad incluyendo los riesgos de corrupcioacuten y de acuerdo a las poliacuteticas de tolerancia establecidas y aprobadas

Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos

Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

Rol de la primera liacutenea de defensa en el monitoreo y revisioacuten de los

riesgos y actividades de control

1 ordf L Iacute N E A D E D E F E N S A

Desarrolla e implementa procesos de control y gestioacuten de riesgos a traveacutes de su identifica-

cioacuten anaacutelisis valoracioacuten monitoreo y acciones de mejora Estaacute conformada por los gerentes

puacuteblicos y liacutederes de los procesos programas y proyectos de la entidad



Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos incluyendo los riesgos de corrupcioacuten con relacioacuten a lo siguiente

Revisar los cambios en el Direccionamiento Estrateacutegico o en el entorno y como estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos para la actualizacioacuten de la matriz de riesgos de su proceso

Revisioacuten como parte de sus procedimientos de supervisioacuten la revisioacuten del adecuado disentildeo y ejecucioacuten de los controles establecidos para la mitigacioacuten de los riesgos

Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos

Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempentildeo e identificar en caso de que no se esteacuten cumpliendo los posibles riesgos que se estaacuten materializando en el cumplimiento de los objetivos

Revisar y reportar a planeacioacuten los eventos de riesgos que se han materializado en la entidad incluyendo los riesgos de corrupcioacuten asiacute como las causas que dieron origen a esos eventos de riesgos materializados como aquellas que estaacuten ocasionando que no se logre el cumplimiento de los objetivos y metas a traveacutes del anaacutelisis de indicadores asociados a dichos objetivos

Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible la repeticioacuten del evento y lograr el cumplimiento a los objetivos

Revisar y hacer seguimiento al cumplimiento de las actividades y planes de accioacuten acordados con la liacutenea estrateacutegica segunda y tercera liacutenea de defensa con relacioacuten a la gestioacuten de riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9




Soporta y guiacutea la liacutenea estrategia y la primera liacutenea de defensa en la gestioacuten adecuada de los

riesgos que pueden afectar el cumplimiento de los objetivos institucionales y sus procesos

incluyendo los riesgos de corrupcioacuten a traveacutes del establecimiento de directrices y apoyo en

el proceso de identificar analizar evaluar y tratar los riesgos y lleva a cabo un monitoreo

independiente al cumplimiento de las etapas de la gestioacuten de riesgos Estaacute conformada por

los responsables de monitoreo y evaluacioacuten de controles y gestioacuten del riesgo (jefes de pla-

neacioacuten supervisores e interventores de contratos o proyectos responsables de sistemas de

gestioacuten etc)



Los gerentes puacuteblicos y los liacutederes de proceso deben monitorear y re-visar el cumplimiento de los objetivos instituciones y de sus procesos a traveacutes de una adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente

Revisar los cambios en el direccionamiento estrateacutegico o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de solicitar y apoyar en la actualizacioacuten de las matrices de riesgos

Revisioacuten de la adecuada definicioacuten y desdoblamiento de los objetivos institucionales a los objetivos de los procesos que han servido de base para llevar a cabo la identificacioacuten de los riesgos y realizar las recomendaciones a que haya lugar

Revisar el adecuado disentildeo de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y determinar las recomendaciones y seguimiento para el fortalecimiento de los mismos

Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad

Hacer seguimiento a que las actividades de control establecidas para la mitigacioacuten de los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos

Revisar los planes de accioacuten establecidos para cada uno de los riesgos materializados con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0




Provee aseguramiento (evaluacioacuten) independiente y objetivo sobre la efectividad del sistema

de gestioacuten de riesgos validando que la liacutenea estrateacutegica la primera y segunda liacutenea de defensa

cumplan con sus responsabilidades en la gestioacuten de riesgos para el logro en el cumplimiento de

los objetivos institucionales y de proceso asiacute como los riesgos de corrupcioacuten La tercera liacutenea de

defensa estaacute conformada por la oficina de control interno o auditoriacutea Interna



La oficina de control interno o auditoriacutea interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos ins-titucionales y de procesos a traveacutes de la adecuada gestioacuten de riesgos ademaacutes de incluir los riesgos de corrupcioacuten con relacioacuten a lo siguiente

Revisar los cambios en el ldquoDireccionamiento estrateacutegicordquo o en el entorno y coacutemo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables


Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos ademaacutes de incluir los riesgos de corrupcioacuten

Revisar el adecuado disentildeo y ejecucioacuten de los controles para la mitigacioacuten de los riesgos que se han establecido por parte de la primera liacutenea de defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos

Revisar el perfil de riesgo inherente y residual por cada proceso consolidado y pronunciarse sobre cualquier riesgo que este por fuera del perfil de riesgo de la entidad o que su calificacioacuten del impacto o probabilidad del riesgo no es coherente con los resultados de las auditoriacuteas realizadas

para mitigar los riesgos de los procesos se encuentren documentadas y actualizadas en los procedimientos y los planes de mejora como resultado de las auditoriacuteas efectuadas ademaacutes que se lleven a cabo de manera oportuna se establezcan las causas raiacutez del problema y se evite en lo posible la repeticioacuten de hallazgos y la materializacioacuten de los riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1

Monitoreo de riesgos de corrupcioacuten

Los gerentes puacuteblicos y los liacutederes de los procesos en conjunto con

sus equipos deben monitorear y revisar perioacutedicamente la gestioacuten

de riesgos de corrupcioacuten y si es el caso ajustarlo (primera liacutenea de

defensa) Le corresponde igualmente a la oficina de planeacioacuten

adelantar el monitoreo (segunda liacutenea de defensa) para este

propoacutesito se sugiere elaborar una matriz Dicho monitoreo seraacute en

los tiempos que determine la entidad

Su importancia radica en la necesidad de llevar a cabo un seguimiento

constante a la gestioacuten del riesgo y a la efectividad de los controles

establecidos Teniendo en cuenta que la corrupcioacuten es por sus

propias caracteriacutesticas una actividad difiacutecil de detectar

Para tal efecto deben atender a los lineamientos y las actividades

descritas en la primera y segunda liacutenea de defensa de este documento

Reporte del Plan de Tratamiento de Riesgos

Consolidar informacioacuten para la gestioacuten del riesgo

Esquema 13 Consolidacioacuten Plan de Tratamiento de Riesgos

Una vez analizado el nivel de riesgo residual y definido

el tratamiento a implementar con el establecimiento

de controles preventivos y detectivos es necesario

generar un reporte que consolide la informacioacuten

clave del proceso de gestioacuten del riesgo

En el formato de mapa y plan de tratamiento de riesgos se inicia

con el registro del riesgo identificado luego se especifica la clase

de riesgo se transcriben las causas raiacutez o causas priorizadas

asiacute como la probabilidad e impacto que quedaron despueacutes de

valorar los controles para determinar el riesgo residual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2

A partir de alliacute se deben analizar las estrategias

DO y FA o estrategias de supervivencia

formuladas en la etapa de establecimiento del

contexto que contrarresten las causas raiacutez

para incluirlas en las actividades de control

del formato y con base en su contenido se

establezca la opcioacuten de tratamiento a la que

corresponden

Luego se relaciona el soporte con el que se

evidenciaraacute el cumplimiento de cada actividad el

responsable de adelantarla (relacionando el cargo y

no el nombre) el tiempo especiacutefico para cumplir con

la actividad o la periodicidad de ejecucioacuten

Al final de todas las actividades de control establecidas para

atacar las causas del riesgo se debe relacionar la accioacuten de

contingencia a implementar una vez el riesgo se materialice

para ello se deben analizar las estrategias DA o estrategias

de fuga provenientes de la matriz DOFA seleccionando

la(s) maacutes apropiada(s) para el riesgo identificado

No olvidar colocar el soporte responsable y

tiempo de ejecucioacuten teniendo en cuenta que este

tipo de acciones son de aplicacioacuten inmediata y

a corto plazo para restablecer cuanto antes la

normalidad de las actividades para el logro de los

objetivos del proceso o la estrategia

Por uacuteltimo se formulan los indicadores clave de

riesgo (KRI por sus siglas en ingleacutes) que permitan

monitorear el cumplimiento (eficacia) e impacto

(efectividad) de las actividades de control siempre

y cuando conduzcan a la toma de decisiones (por

riesgo identificado en los procesos)

continuacioacuten esquema 13

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3

Reporte de la gestioacuten del riesgo

La primera liacutenea de defensa reporta a la segunda liacutenea de defensa el estado

de avance del tratamiento del riesgo en la operacioacuten y la consolidacioacuten

de los riesgos en todos los niveles seraacute reportada por la segunda liacutenea de

defensa (encargado de la gestioacuten del riesgo) hacia la alta direccioacuten

Formato mapa y plan de tratamiento de riesgos

N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro

Desactuali-zacioacuten de la

base de datos

Impr

obab

le

May

or

Mod

erad

o

Red

ucir D2O1 Adquirir software para

mantener actualizada la base de datos de proveedores y el registro de contrataciones

Contrato y factura software

Directorde TIy jefe

contratos

Primer trimestrede 2018

EFICACIA Iacutendice de

cumplimiento actividades= ( de actividades cumplidas de actividades programadas)

x 100

EFECTIVIDADEfectividad del plan de manejo

de riesgos= (( de casos de desabas-tecimiento

presentados periodo actual - de casos de

desabasteci-miento presen-tados periodo

anterior) de casos de desa-bastecimiento presentados

periodoanterior) x 100

Insuficiente capacitacioacuten R

educ

ir D1O2 Realizar convenios con entidades educativas

para capacitar al personal de contratos

Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018

Cambios en la regulacioacuten

contable y presupuestal

Red

ucir

F2A1 Establecer mayor frecuencia de reinduccioacuten para actualizar al personal

ante los cambios normativos contables

Circular interna

Directortalentohumano

Del 01012018al 31012018

Red

ucir F2A1 Realizar reinducciones

para actualizar al personal ante los cambios normativos

contables

Actasreinduccioacuten

Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red

ucir F1A2 Fortalecer los Firewall en la red de la organizacioacuten

para detectar posibles incursiones

Reporte cumplimien to Firewall fortalecido

Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia

D12A12 D12A12 Convocar en forma

extraordinaria un comiteacute Institucional de coordinacioacuten

de control interno para analizar y aplicar medidas inmediatas que dentro de la legalidad permitan el

reabastecimiento inmediato de bienes y servicios

Acta de comiteacute de coordina-

cioacuten institu-cional

de control internofirmada

Director financiero

1 semana una vez el

riesgo se materialice

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4

Reporte de la gestioacuten del riesgo de corrupcioacuten

De igual forma se debe reportar en el mapa y plan de tratamiento de

riesgos los riesgos de corrupcioacuten de tal manera que se comunique

toda la informacioacuten necesaria para su comprensioacuten y tratamiento

adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir

Manual de contratacioacuten

implementado con paraacutemetros

teacutecnicos y financieros para

cada tipo de contratacioacuten

formalizado en procedimiento

Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s

Primertrimestre dehellip


cumplimiento actividades= ( de actividades

cumplidas de activida-des programa-

das) x 100

EFECTIVIDADEfectividad del plan de manejo de riesgos= ((

de casos de favorecimiento a proponentes presentados

periodo actual - de casos de favorecimiento a proponentes presentados

periodo anterior) de casos de

favorecimiento a proponentes pre-sentados periodo anterior ) x 100

Presiones indebidas

Red

ucir

Comiteacute de contratacioacuten A

cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente

Carencia de controles en el procedimiento

de contratacioacuten Red

ucir

Difusioacuten y capacitacioacuten a todos los

funcionarios del proceso

Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano

Del (diacutea mesantildeo) al (diacutea

mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia

Iniciar la investigacioacuten disciplinaria

fiscal o remitir a las instancias

correspondientes para el proceso

penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una

vez el riesgo de iliquidez se

materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5

Reporte de la gestioacuten del riesgo de seguridad digital

Asiacute mismo en el caso de los riesgos de seguridad digital se debe

reportar en el mapa y planes de tratamiento El responsable de

seguridad digital apoyaraacute y acompantildearaacute a las diferentes liacuteneas de

defensa tanto para el reporte como para la gestioacuten y el tratamiento

de estos riesgos

Formato mapa y plan de tratamiento de riesgos de seguridad digital

En este ejemplo el responsable de las actividades de control fue la Oficina de TI sin embargo existen actividades para el aacuterea de personal recursos fiacutesicos o cada oficina en particular El anaacutelisis de riesgos determinaraacute los controles y los responsables en cada caso

N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada

Ausencia de poliacuteticas de control de

acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir

A911 Poliacutetica de control de acceso

Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina

TI Tercer trimestre de 2018

EFICACIA Iacutendice de cumpli-miento activida-des= ( de activi-dades cumplidas de actividades programadas) x

100


de riesgos= ( de modificaciones no

autorizadas)

Contrasentildeas sin proteccioacuten

Red

ucir A943 Sistema

de gestioacuten de contrasentildeas

Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina


Ausencia de mecanismos

de identificacioacuten

y autenticacioacuten de usuarios

Red

ucir A 942

Procedimiento de ingreso seguro

Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

Indicadores - gestioacuten del riesgo de seguridad digital

Igualmente en el caso de los riesgos de seguridad digital se deben generar

indicadores para medir la gestioacuten realizada en cuanto a la eficacia y la

efectividad de los planes de tratamiento implementados

La entidad deberiacutea definir como miacutenimo 2 indicadores POR PROCESO

de la siguiente manera

1 indicador de eficacia que indique el cumplimiento de las

actividades para la gestioacuten del riesgo de seguridad digital en

cada PROCESO de la entidad

1 indicador de efectividad para cada riesgo o la suma de todos

los riesgos de seguridad digital (peacuterdida de confidencialidad de

integridad de disponibilidad)

I M P O R T A N T ENo se definiraacuten indicadores por activo teniendo en cuenta

que pueden generarse un sinnuacutemero de indicadores lo que

hariacutea que la gestioacuten y seguimiento se conviertan en algo

muy complejo para la entidad

E J E M P L O S

E F I C A C I A Porcentaje de controles implementados = (controles implementados controles definidos) x 100

E F E C T I V I D A D Riesgos materializados de confidencialidad = ( de incidentes que afectaron la

confidencialidad de alguacuten activo del proceso)

Variacioacuten de incidentes de confidencialidad (para entidades con mediciones anteriores) =

(( de incidentes de confidencialidad en el periodo actual - de incidentes de confidencialidad

en el periodo previo) Incidentes de confidencialidad en el periodo previo) 100

Fuentes adicionales para formular indicadores de seguridad digital httpkpilibrarycomcategoriesinformationsecuritypage=1 httpkpilibrarycomcategoriesrisk-it-information-technology

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7

34 Seguimiento de riesgos de corrupcioacuten

GESTION RIESGOS DE CORRUPCIOacuteN

Seguimiento El Jefe de Control Interno o quien haga sus veces

debe adelantar seguimiento al Mapa de Riesgos de Corrupcioacuten

En este sentido es necesario que adelante seguimiento a la

gestioacuten del riesgo verificando la efectividad de los controles

Primer seguimiento Con corte al 30 de abril En esa medida

la publicacioacuten deberaacute surtirse dentro de los diez (10) primeros

diacuteas del mes de mayo

Segundo seguimiento Con corte al 31 de agosto La

publicacioacuten deberaacute surtirse dentro de los diez (10) primeros

diacuteas del mes de septiembre

Tercer seguimiento Con corte al 31 de diciembre La


diacuteas del mes de enero

El seguimiento adelantado por la Oficina de Control Interno se

deberaacute publicar en la paacutegina web de la entidad o en un lugar de faacutecil

acceso para el ciudadano (Ver anexo 6 matriz de seguimiento a los

riesgos de corrupcioacuten)

En especial deberaacute adelantar las siguientes actividades

Verificar la publicacioacuten del Mapa de Riesgos de Corrupcioacuten en

la paacutegina web de la entidad

Seguimiento a la gestioacuten del riesgo

Revisioacuten de los riesgos y su evolucioacuten

Asegurar que los controles sean efectivos le apunten al riesgo

y esteacuten funcionando en forma adecuada

Acciones a seguir en caso de materializacioacuten de riesgos de

corrupcioacuten

En el evento de materializarse un riesgo de corrupcioacuten es necesario

realizar los ajustes necesarios con acciones tales como

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8

1) Informar a las autoridades de la ocurrencia del hecho de

corrupcioacuten

2) Revisar el mapa de riesgos de corrupcioacuten en particular las

causas riesgos y controles

3) Verificar si se tomaron las acciones y se actualizoacute el mapa de


4) Llevar a cabo un monitoreo permanente

La Oficina de Control Interno debe asegurar que los controles

sean efectivos le apunten al riesgo y esteacuten funcionando en forma

oportuna y efectiva

Las acciones adelantadas se refieren a

Determinar la efectividad de los controles

Mejorar la valoracioacuten de los riesgos

Mejorar los controles

Analizar el disentildeo e idoneidad de los controles y si son adecuados

para prevenir o mitigar los riesgos de corrupcioacuten

Determinar si se adelantaron acciones de monitoreo

Revisar las acciones del monitoreo

Comunicacioacuten y consultaLa comunicacioacuten y consulta con las partes involucradas tanto

internas como externas deberiacutea tener lugar durante todas las etapas

del proceso para la gestioacuten del riesgo12

12 Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten - ICONTEC Norma Teacutecnica Colombiana NTC-ISO31000 2011 p 132

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9

Este anaacutelisis debe garantizar que se tienen en cuenta las necesidades

de los usuarios o ciudadanos de modo tal que los riesgos

identificados permitan encontrar puntos criacuteticos para la mejora en

la prestacioacuten de los servicios Es preciso promover la participacioacuten

de los funcionarios con mayor experticia con el fin de que aporten

su conocimiento en la identificacioacuten anaacutelisis y valoracioacuten del riesgo

Esquema 14 Comunicacioacuten y consulta ndash Aspecto transversal

U N E N F O Q U E D E E Q U I P O SD E T R A B A J O P U E D E

Ayudar a establecer correctamente el contexto para

los procesos

Garantizar que se toman en consideracioacuten las necesi-

dades de los usuarios

Ayudar a garantizar que los riesgos esteacuten correcta-

mente identificados

Reunir diferentes aacutereas de experticia para el anaacutelisis

de los riesgos

Garantizar que los diferentes puntos de vista se

toman en consideracioacuten adecuadamente durante todo

el proceso

Fomentar la administracioacuten del riesgo como una acti-

vidad inherente al proceso de planeacioacuten estrateacutegica

Se constituye en un elemento transversal a todo

el proceso al involucrar a todos los funcionarios

para el levantamiento de los mapas de riesgos

Estrategias de Comunicacioacuten

Trabajo en equipo

Conocimiento y anaacutelisis de la

complejidad de cada uno de los

procesos

C O M U N I C A C I Oacute N Y C O N S U L T A

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0

Informacioacuten comunicacioacuteny reporteEsquema 15 Responsabilidades por liacutenea de defensa para la Informacioacuten

comunicacioacuten y reporte

L Iacute N E A E S T R A T Eacute G I C ACorresponde al Comiteacute de Auditoriacutea de las Empresas Industriales y

Comerciales del Estado yo a los comiteacutes institucionales de coordinacioacuten

de control interno establecer la Poliacutetica de Gestioacuten de Riesgos y asegurarse

de su permeabilizacioacuten en todos los niveles de la organizacioacuten puacuteblica de

tal forma que se conozcan claramente los niveles de responsabilidad y

autoridad que posee cada una de las tres liacuteneas de defensa frente a la

gestioacuten del riesgo

P R I M E R A L Iacute N E A D E D E F E N S ACorresponde a los jefes de aacuterea yo grupo (primera liacutenea de defensa)

asegurarse de implementar esta metodologiacutea para mitigar los riesgos en

la operacioacuten reportando a la segunda liacutenea sus avances y dificultades

S E G U N D A L Iacute N E A D E D E F E N S ACorresponde al aacuterea encargada de la gestioacuten del riesgo (segunda liacutenea de

defensa) la difusioacuten y asesoriacutea de la presente metodologiacutea asiacute como de

los planes de tratamiento de riesgo identificados en todos los niveles de

la entidad de tal forma que se asegure su implementacioacuten

T E R C E R A L Iacute N E A D E D E F E N S ALe corresponde a las unidades de control interno realizar evaluacioacuten

(aseguramiento) independiente sobre la gestioacuten del riesgo en la entidad

catalogaacutendola como una unidad auditable maacutes dentro de su universo de

auditoriacutea y por lo tanto debe dar a conocer a toda la entidad el Plan

Anual de Auditorias basado en riesgos y los resultados de la evaluacioacuten


-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1

La comunicacioacuten de la informacioacuten y el reporte debe garantizar que

se tienen en cuenta las necesidades de los usuarios o ciudadanos

de modo tal que los riesgos identificados permitan encontrar puntos

criacuteticos para la mejora en la prestacioacuten de los servicios Es preciso

promover la participacioacuten de los funcionarios con mayor experticia

con el fin de que aporten su conocimiento en la identificacioacuten anaacutelisis

y valoracioacuten del riesgo

Por tanto se debe hacer especial eacutenfasis en la difusioacuten socializacioacuten

capacitacioacuten yo entrenamiento de todos y cada uno de los pasos

que componen la metodologiacutea de la administracioacuten del riesgo

asegurando que permee a la totalidad de la organizacioacuten puacuteblica

I M P O R T A N T ESe debe conservar evidencia de la comunicacioacuten de la infor-

macioacuten y reporte de la administracioacuten del riesgo en todas sus

etapas

Adicionalmente los riesgos de seguridad digital deberaacuten

ser reportados a las autoridades o instancias respectivas

que el gobierno disponga

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2

ReferenciasCelis Oacute B (2012) Gestioacuten Integral de Riesgos Bogotaacute DC Consorcio

Graacutefico Ltda

COSO Committee of Sponsoring Organizations of the Treadway

Commission (2017) Enterprise Risk Management Integrating with

Strategy and Performance Durham Association of International

Certified Professional Accountants


Commission PwC Instituto de Auditores Internos de Espantildea

(2013) Control Interno - Marco Integrado Marco y Apeacutendices

Instituto de Auditores Internos de Espantildea

ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA GTC

137 GESTIOacuteN DEL RIESGO VOCABULARIO Bogotaacute

DC Instituto Colombiano de Normas Teacutecnicas y Certificacioacuten

(ICONTEC)

ICONTEC Internacional (2011) NORMA TEacuteCNICA COLOMBIANA NTC

ISO 31000 GESTIOacuteN DEL RIESGO PRINCIPIOS Y

DIRECTRICES Bogotaacute DC Instituto Colombiano de Normas Teacutecnicas

y Certificacioacuten (ICONTEC)

ICONTEC Internacional (2013) NORMA TEacuteCNICA COLOMBIANA

NTC-IECISO 31010 GESTION DE RIESGOS TEacuteCNICAS DE

VALORACIOacuteN DEL RIESGO Bogotaacute DC Instituto Colombiano de

Normas Teacutecnicas y Certificacioacuten (ICONTEC)

Instituto de Auditores Internos de Colombia (2017) MARCO

INTERNACIONAL PARA LA PRAacuteCTICA PROFESIONAL DE LA

AUDITORIacuteA INTERNA Bogotaacute DC

Nuacutentildeez A C (9 de 11 de 2016) Inboundlead Blog Obtenido de Los 7

Mejores Ejemplos de Objetivos SMART

h t t p s b l o g i n b o u n d l e a d c o m l o s - 7 - m e j o r e s - e j e m p l o s - d e -

objetivos-smart-o-inteligentes-para-empresas

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos

1 Formato de caracterizacioacuten de procesos

2 Teacutecnicas para establecimiento del contexto y

valoracioacuten del riesgo

3 Protocolo para la identificacioacuten de riesgos

de corrupcioacuten asociados a la prestacioacuten de

traacutemites y servicios

4 Lineamientos para la gestioacuten del riesgo de

seguridad digital en entidades puacuteblicas

5 Anaacutelisis y priorizacioacuten de causas

6 Matriz de seguimiento riesgos de corrupcioacuten

Departamento Administrativo de la Funcioacuten Puacuteblica


Conmutador 7395656 Fax 7395657





V I S Iacute T A N O S O E S C R Iacute B E N O S


O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2

D E P A R T A M E N T OA D M I N I S T R A T I V OD E L A F U N C I Oacute NP Uacute B L I C A

B O G O T Aacute C O L O M B I A

O C T U B R E 2 0 1 8

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3











Ministra TIC






Director



Institucional

Equipo de trabajo










Senen Nintildeo Gil




Conmutador 739 5656 86 - Fax 739 5657















Edwin Arley Giraldo

Edicioacuten






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4


Objetivos 7



























Referencias 92

Anexos 93

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5
























reporte 90

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7















objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8


















Riesgo inherente




Riesgo residual









Probabilidad




Impacto











Mapa de riesgos




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3











Ministra TIC






Director



Institucional

Equipo de trabajo










Senen Nintildeo Gil




Conmutador 739 5656 86 - Fax 739 5657















Edwin Arley Giraldo

Edicioacuten






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4


Objetivos 7



























Referencias 92

Anexos 93

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5
























reporte 90

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7















objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8


















Riesgo inherente




Riesgo residual









Probabilidad




Impacto











Mapa de riesgos




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4


Objetivos 7



























Referencias 92

Anexos 93

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5
























reporte 90

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7















objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8


















Riesgo inherente




Riesgo residual









Probabilidad




Impacto











Mapa de riesgos




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5
























reporte 90

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7















objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8


















Riesgo inherente




Riesgo residual









Probabilidad




Impacto











Mapa de riesgos




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7















objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8


















Riesgo inherente




Riesgo residual









Probabilidad




Impacto











Mapa de riesgos




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7















objetivos

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8


















Riesgo inherente




Riesgo residual









Probabilidad




Impacto











Mapa de riesgos




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8


















Riesgo inherente




Riesgo residual









Probabilidad




Impacto











Mapa de riesgos




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9

Activo







digital

Control



acciones)

Amenazas




Vulnerabilidad




Confidencialidad




Integridad


Disponibilidad




Ciudadano












Apetito al riesgo



retener


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 0



















las prioridades



















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 1














ASPECTOS



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 2












registrar buscar



construccioacuten

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 3












PASO1

2

3

ANTES DEINICIAR CON

LA METODOLOGIacuteA



PROCESOS








TRANSVERSAL)


DE RIESGOS











34 Seguimiento


PASO

PASO

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 4







Alcance

















DE RIESGOS



Riesgos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 5

I M P O R T A N T E














siguientes aspectos










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 6













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 7





como de procesos





fracaso

























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

1 8









































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

1 9
















implementadas






lucradas






factores como

Poliacuteticos



Tecnoloacutegicos

Ambientales






factores como












-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 0

















P R O C E S O








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 1










en cada proceso










-TO












entorno digital


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 2







Paso 1Listar los



activos

Paso 3Clasificar

los activos

Paso 4Clasificar

lainformacioacuten


activo

Paso 6Identificar


ciberneacutetica







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 3
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 4
















Uso del poder


puacuteblico

Beneficio privado




X X X X







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 5


















publicacioacuten















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 6

















de corrupcioacuten

E J E M P L O







Opcioacuten de

Manejo

Actividad de

Control

1




Informacioacuten

anonimizada

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 7


E J E M P L O




R I E S G O















por la entidadrdquo











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

2 8



toda la entidad

TIP

OL

OG

IacuteA D

E R

IES

GO

S








cuentas costos etc


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

2 9

C R E D I T I C I O


F Iacute S I C A


H U M A N O S

D EM E R C A D O




D E L I Q U I D E Z



E J E M P L O



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 0




Inop

ortu

nida

d en

la

adqu

isic

ioacuten

de l

os b

iene

s y

serv

icio

s

requ

erid

os p

or l

a en

tida

d


factores como insu-







cia de controles en

el procedimiento de









Operativo


en el procedimiento




contratos

Desconocimiento de




de operacioacuten


procesos


en la entrega de


los grupos de valor



4 Detrimento de

la imagen de la

entidad ante sus

grupos de valor


disciplinarias



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 1



Pos

ibili

dad

de r

ecib

ir o

sol

icit

ar c

ualq

uier

daacuted

iva

o be

nefi

cio

a no

mbr

e

prop

io o

de

terc

eros

con

el

fin

cele

brar

un

cont

rato

Situaciones como










pueden generar un






que solo cumple un


Corrupcioacuten







proponente


institucional


Estado


lo puacuteblico




6 Obras inconclusas



de contratistas yo


Presiones indebidas



contratacioacuten








para favorecer a un

proponente



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 2


de corrupcioacuten
























en particular)



geomeacutetrica)





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 3





experiencia



























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 4












Base de

datos de

noacutemina

Peacuterdida

de la

integridad




cas de control de



mecanismos de




autorizada lo cual


de la integridad de

la base de datos de

noacutemina

Modificacioacuten

no

autorizada

Seguridad

digital

Falta de

poliacuteticas de

seguridad

digital

Posibles

consecuencias que

pueda enfrentar

la entidad o el

proceso a causa de


del riesgo(legales


reputacionales

confianza en el

ciudadano)



Ausencia de

poliacuteticas de

control de

acceso

Contrasentildeas

sin proteccioacuten

Autenticacioacuten

deacutebil



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 5
























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 6












(RIESGO RESIDUAL)





(RIESGO INHERENTE)





de controles















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 7


DE R IESGO

Bajo el criterio de








asociados al riesgo

Bajo el criterio de




pueden propiciar el






se utiliza la tabla






39)



















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

3 8


DE R IESGO





riesgo




























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

3 9

















1


por la entidad


5 4 3 5 3 4 244

PROBABLE





Convenciones








-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 0









CAT

AST

ROacute

FIC

O








lor ge50





de la entidad




otro ente regulador









MAY

OR








lor ge20





de la entidad






ente regulador



metas de gobierno




danos

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 1



MO

DE

RA

DO











ME

NO

R








INSI

GN

IFIC

AN

TE










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 2


digital

NIVELVALOR

DELIMPACTO




INSI

GN

IFIC

AN

TE

1



anual de la entidad





ME

NO

R

2



anual de la entidad






MO

DE

RA

DO

3



anual de la entidad



cioacuten










MAY

OR

4



anual de la entidad













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 3


NIVELVALOR

DELIMPACTO




CAT

AST

ROacute

FIC

O

5



anual de la entidad



recuperacioacuten


























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 4


Z O N A D E

R I E S G O

Peacuterdida

de la

confiden-

cialidad

Base de datos

de noacutemina

Modificacioacuten

no

autorizada

Ausencia de


de acceso



proteccioacuten

Ausencia de

mecanismos de



usuarios

Ausencia de bloqueo

de sesioacuten








Mapa de calor




Extremo

Alto Moderado

Bajo

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 5



Mapa de calor

Extremo

Alto Moderado

Bajo






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 6

NdegP R E G U N TA


RESPUESTA

S Iacute N O






























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 7

















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

4 8



y de proceso




controles











C AUSAS OFA LLAS

CO NTROLES









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

4 9
















VARIA B LES

A EVALUA R PARA EL


D E C ON TROLES



causas del riesgo



P A S O 1

P A S O 3

P A S O 5

P A S O 2

P A S O 4

P A S O 6

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 0




VA RIABL ES

A EVA LUAR PAR A

EL A DEC UAD O

DIS ENtilde O

DE C ON T ROL E S

P A S O 1


E J E M P L O




















P A S O 1





-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 1









VA RIABL ES

A EVALUA R PARA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROLES

P A S O 2


E J E M P L O
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 2













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 3

E J E M P L O






que detectivos

VA RIABL ES

A E VALUA R PA RA

EL AD EC UADO

DIS ENtilde O

DE C ON T ROLES




















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 4

VARIA BL ES

A E VA LUAR PARA

E L A DEC UADO

DIS ENtilde O

DE C ON T ROLES










fuera









sistema programado




-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 5


E J E M P L O




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 6

E J E M P L O

VA RIABL ES

A EVALUA R PA RA

EL A DEC UADO

DIS ENtilde O

DE C ON T ROL E S












P A S O 5








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 7





E J E M P L O

VA RIABL ES

A E VALUA R PA RA

E L AD EC UADO

D IS ENtilde O

D E C ON T ROLES

E V I D E N C I A











ejecutar el control







-

DO

CU

ME

NT

O

OF

IC

IA

L

-

5 8




E J E M P L O





automaacutetico

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

5 9



riesgos







SE MATERIALICE




MATERIALICE









-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 0


los riesgos






1 Responsable





del control

Adecuado Inadecuado

2 Periodicidad




nera oportuna

Oportuna Inoportuna

3 Propoacutesito





rar revisar etc

Prevenir



la actividad de

control






observaciones o

desviaciones





Se investigan y

resuelven

oportunamente

No se investigan

y resuelven

oportunamente

6 Evidencia de la

ejecucioacuten del

control





existe

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 1








responsable

Asignado 15

No Asignado 0


autoridad del

responsable

Adecuado 15

Inadecuado 0


Inoportuna 0

3 Propoacutesito

Prevenir 15

Detectar 10

No es un control 0


la actividad de

control

Confiable 15

No confiable 0


observaciones o

desviaciones



6 Evidencia de la

ejecucioacuten del

control

Completa 10

Incompleta 5

No existe 0

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 2





bien disentildeado
















C O N T R O L










-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 3


riesgos






controles










C O N T R O L


F U E R T E 1 0 0M O D E R A D O 5 0

D Eacute B I L 0




fuerte

calificacioacuten

entre 96 y 100rdquo




moderado

calificacioacuten

entre 86 y 95




deacutebil


0 y 85




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 4


del riesgo





RIE S G O

C A U S A 1

CONTROL 1

CONTROL 2


Fuerte



controles



del control

Solidez individual

del control


de controles

Fuerte

Deacutebil

Fuerte

Moderado

Fuerte

Fuerte

Moderado

Deacutebil













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 5





E J E M P L O

















impacto

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 6



residual


































-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 7



















Extremo

Alto Moderado

Bajo

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

6 8

















TRATAMIENTO

DEL RIESGO







-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

6 9





riesgo bajo


RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

ACEPTAR



del riesgo

RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





continuo del riesgo


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 0





actividades

RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

EVITAR





DESPUEacuteS DE

MEDIDA DE

TRATAMIENTO






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 1







RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

COMPARTIR




RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO





contractual

-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 2






RIESGO ANTES

DE MEDIDAS DE

TRATAMIENTO

REDUCIR





RIESGO DESPUEacuteS

DE MEDIDA DE

TRATAMIENTO









-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 3










control interno





DOCUMENTADAS EN






de los objetivos


DE CONTR O L











-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 4

E J E M P L O


























E J E M P L O



-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 5



















sigue






-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 6




acciones de mejora




pretende













logro







entre otros





veces






-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 7
















-

DO

CU

ME

NT

O

OF

IC

IA

L

-

7 8

















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

7 9











gestioacuten etc)










-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 0


















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 1




























-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 2








corresponden

























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 3







N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UA

OPCI

OacuteN M

ANEJ


RESP

ONSA

BLE

TIEMPO INDICADOR

1

Des

abas

teci

mie

nto

de b

iene

s y

serv

icio

s re

quer

idos

por

la

enti

dad

Fina

ncie

ro


base de datos

Impr

obab

le

May

or

Mod

erad

o

Red




Directorde TIy jefe

contratos




x 100








educ



Convenios firmados

Director financiero

Trimestral-mente

Del 01012018al 31122018



Red

ucir



Circular interna


Del 01012018al 31012018

Red



contables


Jefe cartera

Trimestral-mente

Del 01012018 al 31122018

Hackeo

Red




Directorde TI

Del 01022018 al 28022018

Acc

ioacuten

de c

ontin

genc

ia








Director financiero

1 semana una vez el


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 4





adecuado


N

RIES

GO

CLAS

IFIC

ACIOacute

N

CAUSAS

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN M

ANEJ

OACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Pos

ibil

idad

de

reci

bir

o so

lici

tar

cual

quie

r daacute

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e te

rcer

os p

ara

cele

brar

un

cont

rato

Cor

rupc

ioacuten


planeacioacuten

Pro

babl

e

Cat

astr

oacutefic

o

Ext

rem

o

Red

ucir






Man

ual d

e co

ntra

taci

oacuten

Jefe

de

cont

rato

s





das) x 100






Presiones indebidas

Red

ucir


cto

adm

inis

trat

ivo

conf

orm

ando

co

miteacute

Jefe

de

cont

rato

s

Trimestralmente



ucir



Act

as d

e ca

paci

taci

oacuten

Dire

ctor

tale

nto

hum

ano


mesantildeo)


Acc

ioacuten

de C

onti

ngen

cia




penal

Com

unic

acioacute

n in

icia

ndo

o re

mit

iend

o in

vest

iga-

cioacuten

Jefe

con

trol

dis

cipl

inar

io

inte

rno 1 semana una


materialice

-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 5






de estos riesgos



N

RIES

GO

ACTI

VO

TIPO

AMEN

AZAS

TIPO

PROB

ABIL

IDAD

IMPA

CTO

RIES

GO R

ESID

UAL

OPCI

OacuteN T

RATA

MIE

NTO

ACTIVIDAD DE

CONTROL SOPORTE

RESP

ONSA

BLE

TIEMPO INDICADOR

2

Peacuter

dida

de

la in

tegr

idad

Bas

e de

dat

os d

e noacute

min

a

Seg

urid

ad d

igit

al

Mod

ific

acioacute

n no

aut

oriz

ada


acceso

Pro

babl

e

Men

or

Mod

erad

o

Red

ucir


Pol

iacutetic

a cr

eada

y co

mun

icad

a

Ofic

ina



100



autorizadas)


Red

ucir A943 Sistema


Pro

cedi

mie

ntos

pa

ra l

a ge

stioacute

n y

prot

ecci

oacuten d

e co

ntra

sentildea

s

Ofic

ina





Red

ucir A 942


Pro

cedi

mie

nto

para

ingr

eso

seg

uro

Ofic

ina


Ausencia de bloqueo

Red

ucir A1128 Equipos

deusuario

desatendidos

Con

figu

raci

ones

pa

ra b

loqu

eo

auto

maacutet

ico

de

sesi

oacuten

Ofic

ina


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 6

















E J E M P L O S








-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 7




























corrupcioacuten



-

DO

CU

ME

NT

O

OF

IC

IA

L

-

8 8


corrupcioacuten








oportuna y efectiva













-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

8 9










los procesos




mente identificados


de los riesgos



el proceso







Trabajo en equipo



procesos


-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 0























-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 1














etapas




-

DO

CU

ME

NT

O

OF

IC

IA

L

-

9 2


Graacutefico Ltda












(ICONTEC)
















-

FU

NC

IOacute

N

PUacute

BL

IC

A

-

9 3

Anexos




















O C T U B R E 2 0 1 8





VICEPRESIDENCIA

guía para la administración del riesgo y el diseño de

Documents