manual para la administraciÓn de riesgos y … · y capacitación que posibiliten el conocimiento...

SISTEMA INTEGRADO DE GESTIÓN Código:

SEPG-M-004

PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN Y

GESTIÓN Versión: 002

FORMATO

MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS

Y OPORTUNIDADES INSTITUCIONALES POR

PROCESOS Y MEDIDAS ANTICORRUPCIÓN EN LA

ANI

Fecha:

11/07/2018

MANUAL PARA LA

ADMINISTRACIÓN DE RIESGOS Y

OPORTUNIDADES INSTITUCIONALES Y

MEDIDAS ANTICORRUPCIÓN EN LA

ANI

SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004

PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN

Y GESTIÓN Versión: 002

MANUAL MANUAL PARA LA ADMINISTRACIÓN DE

RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI

Fecha: 11/07/2018

Página 2 de 48

TABLA DE CONTENIDO

INTRODUCCION: .................................................................................................................................. 4

1. OBJETIVO GENERAL: ........................................................................................................................ 6

2. OBJETIVOS ESPECÍFICOS: ................................................................................................................. 6

3. ALCANCE .......................................................................................................................................... 6

4. TERMINOS Y DEFINICIONES ............................................................................................................. 7

5. RESPONSABLES EN LA ADMINISTRACION Y GESTION DEL RIESGO: ................................................ 9

6. POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS............................................................................... 12

6.1. Políticas Operativas para Mapas de Riesgos Institucionales y de Medidas Anticorrupción .. 15

7. DOCUMENTACION ASOCIADA LA GESTION DEL RIESGO .............................................................. 16

7.1. Procedimientos ...................................................................................................................... 16

7.2. Formatos para Construcción de Mapas de Riesgo Institucional ............................................ 16

7.2.1. Formatos Mapa de Riesgo Institucional: ......................................................................... 16

7.2.2. Formatos para Mapas de Riesgos por Proceso: .............................................................. 17

7.3. Formatos para Construcción Mapas de Riesgo y Medidas Anticorrupción ........................... 17

7.4. Otros Documentos de Gestión de Riesgos ............................................................................. 17

8. METODOLOGÍA PARA LA ADMINISTRACIÓN Y ELABORACION DE MAPAS DE RIESGOS

INSTITUCIONAL Y POR GESTION DE PROCESOS ................................................................................ 18

8.1. Análisis del Contexto Estratégico: .......................................................................................... 19

8.1.1. Técnicas para establecer el Contexto Estratégico:.......................................................... 20

8.2. Identificación de Riesgos ........................................................................................................ 21

8.2.1. Proceso para identificar los riesgos ................................................................................. 23

8.2.2. Qué se debe tener en cuenta al redactar un riesgo ........................................................ 24

8.2.3. Técnicas para la identificación de riesgos ....................................................................... 24

8.2.4. Técnicas para identificar las causas y consecuencias:..................................................... 26






Fecha: 11/07/2018

Página 3 de 48

8.3. Análisis de Riesgos.................................................................................................................. 29

8.3.1. Determinación del Riesgo Inherente y Matriz de Riesgo: ............................................... 31

8.4. Valoración de Riesgos ............................................................................................................ 32

8.5. Priorización de los riesgos y construcción de planes y acciones ............................................ 34

9. Mapa de Riesgos Institucional ....................................................................................................... 36

9.1. Proceso de Monitoreo, Seguimiento y Evaluación a los Mapas de Riesgo Institucional y de

Procesos ........................................................................................................................................ 37

10. METODOLOGIAS PARA ADMINISTRACION Y ELABORACION DE MAPAS DE RIESGO Y MEDIDAS

ANTICORRUPCIÓN ............................................................................................................................. 39

10.1. PROCESO GENERAL PARA LA ADMINISTRACIÓN Y ELABORACION DE MAPAS DE RIESGOS DE

CORRUPCION ................................................................................................................................. 40

10.1.1. Análisis del Contexto Estratégico: ................................................................................. 40

10.1.2 Identificación de Riesgos de Corrupción ........................................................................ 41

10.1.3 Análisis de Riesgos de Corrupción .................................................................................. 42

10.1.4. Mecanismo para determinar la asignación del puntaje de Impacto ............................ 43

10.1.5. Determinación del Riesgo Inherente ............................................................................ 43

10.1.6. Valoración de Riesgos de Corrupción ............................................................................ 44

10.1.8. Monitoreo seguimiento y ajustes a mapa de riesgos de corrupción ............................ 45

11. SOPORTE METODOLÓGICO Y REFERENCIAS NORMATIVAS: ....................................................... 46

12. BIBLIOGRAFIA .............................................................................................................................. 47

13. APROBACION DE LA ALTA DIRECCION......................................................................................... 48






Fecha: 11/07/2018

Página 4 de 48

INTRODUCCION:

La administración de los riesgos en cualquier tipo de organización, cobra mayor importancia en la

medida en que las organizaciones deben enfrentarse y adaptarse ágilmente a los retos de entornos

cada vez más dinámicos, afrontando así factores internos y externos que pueden ocasionar

incertidumbre sobre el logro de sus objetivos.

Una administración de riesgos eficaz, debe centrarse en la identificación, análisis y tratamiento

temprano de los riesgos que afectan a la entidad en cada uno de sus procesos, incluyendo todos

aquellos posibles escenarios, que puedan afectar la estrategia y metas institucionales. En este

sentido,

el Estado colombiano ha desarrollado elementos técnicos para satisfacer la necesidad de identificar

y enfrentar los riesgos de su entorno. Es así como a través del Decreto 1537 de 2001, estableció los

elementos técnicos para fortalecer el Sistema de Control Interno en las diferentes entidades y

organismos públicos, uno de ellos es la “Administración de Riesgos”, elemento que se concibió como

herramienta para aumentar las posibilidades de alcanzar los objetivos institucionales.

Posteriormente , el Decreto 1499 de 2017 establece el modelo integrado de planeación y gestión

para el orden nacional y articula el nuevo Sistema de Gestión, que integra los anteriores Sistemas

de Gestión de Calidad y de desarrollo administrativo con el sistema de control interno. Dicho modelo

se compone de 7 dimensiones y 16 políticas las cuales de acuerdo con la segunda línea de mando

de la dimensión de control interno deben monitorear, evaluar y gestionar los riesgos Institucionales

y de corrupción. Así mismo la norma ISO 9001:2015 integra la administración y gestión de riesgo y

oportunidades como requisito fundamental en la implementación de sistemas de calidad ratificando

lo indicado por el MECI, y la norma ISO-31000:2018, proporcionando los principios y directrices en

gestión del riesgo. Por otro lado, en nuestro país la gestión de riesgos se ha convertido en una

herramienta contra la lucha de la corrupción. Es así como el Estatuto Anticorrupción Ley 1474 de

2011 y sus decretos reglamentarios, en especial el Decreto 124 de 2016 han luchado contra la

corrupción y en el año 2016 la Presidencia de la Republica diseño políticas y metodologías

específicas la administración de este tipo de riesgos. Razón por la cual la Agencia requiere

integrarlos en el sistema de administración y manejo de riesgos institucionales de las entidades

públicas.

Por lo anterior, y con base en la sugerencia del Departamento Administrativo de la Función Pública-

DAFP, “la consigna es que la administración de riesgo sea incorporada al interior de las entidades

como una política de gestión por parte de la alta dirección y cuente con la participación y respaldo

de todos los servidores públicos”. Desde el año 2013, los equipos de trabajo de cada uno de los

procesos de la Agencia Nacional de Infraestructura ha realizado, esfuerzos por mejorar las técnicas






Fecha: 11/07/2018

Página 5 de 48

para identificar y controlar los riesgos que enfrentan, así como para implementar medidas

mitigación como acciones frente al riesgo.

Diferencias entre Riesgos Misionales y Riesgos Institucionales y de Procesos

De otra parte, es importante diferenciar los riesgos inherentes a los procesos de los que habla este

manual, y otro tipo de riesgos propios de la contratación y de los proyectos de concesión que

llamamos “riesgos misionales” que se mencionan en los procedimientos y documentación de

calidad especifica en la Agencia. Los cuales en razón a las funciones y naturaleza de la ANI y en

concordancia con los lineamientos y la regulación colombiana tiene la necesidad de ser

administrados y gestionados de forma específica según las características de cada contrato de

concesión, y a diferencia de los riesgos procesos, se rigen primero por el contrato, que a su vez

responden a los lineamientos de política nacional para los contratos de APP. Algunos de estos

lineamientos están en la Ley 448 de 1998; CONPES 3107 de 2001; CONPES 3133 de 2001; Ley 1150

de 2007; CONPES 3714 de 2011; Decreto 1467 de 2012 modificado por la Ley 1508 de 2012; Ley

1508 de 2012; CONPES 3760 de 2013; CONPES 3800 de 2014: Decreto 1553 de agosto 2014.

Para el seguimiento y manejo los riesgos misionales, es muy importante revisar la asignación del

riesgo especificado en cada contrato y la situación específica que tiene cada proyecto. Igualmente,

para este tipo de contratos de concesión, el Gobierno Nacional tiene establecidos por ley algunos

requisitos de seguimiento y opciones de manejo reguladas entre otros por el Ministerio de Hacienda

y Crédito Público, como por ejemplo el fondo de contingencia establecido en la Ley 448 de 1998;

Ley 1508 de 2012 y sus Decretos reglamentarios. En cumplimiento de esta normatividad para los

riesgos misionales, se debe medir la incertidumbre y el desempeño de los proyectos mediante

valoraciones y seguimientos sistemáticos de riesgo, como lo indica la Ley 1150 de 2007 que

establece que las entidades deben incluir la tipificación, estimación y asignación de los riesgos

previsibles en la contratación estatal.

La anterior diferencia entre los riesgos institucionales, de procesos y los misionales, se realiza con

el fin de aclarar que el presente manual se enfoca en las pautas y lineamientos para implementar la

metodología para administrar y gestionar los riesgos de los procesos y medidas anticorrupción en

la Agencia Nacional de Infraestructura, la cual se encuentra fundamentada en los principios

aprobados por El Departamento Administrativo de la Función Pública, El decreto 1499 de 2017, las

guías de la Presidencia de la Republica para el manejo de riesgos de corrupción, así como los

principios, técnicas y mejoras desarrolladas por la Agencia para su sistema interno de calidad.






Fecha: 11/07/2018

Página 6 de 48

1. OBJETIVO GENERAL:

Brindar a la Agencia Nacional de Infraestructura la herramienta con enfoque sistémico que

proporcione las pautas necesarias para desarrollar y fortalecer una adecuada gestión de los riesgos

y oportunidades institucionales con enfoque basado por procesos, a través de métodos que faciliten

la determinación del contexto estratégico (o de riesgos?), la identificación de riesgo y

oportunidades, el análisis, la evaluación , el tratamiento, así como el seguimiento y monitoreo

permanente enfocado a su cumplimiento y mejoramiento continuo.

2. OBJETIVOS ESPECÍFICOS:

➢ Fomentar en la organización una cultura de gestión y administración con visión de riesgos y

oportunidades, como herramienta para incrementar la eficacia y en el logro de los

resultados institucionales.

➢ Brindar una herramienta sistémica que permita la adecuada administración, manejo y

evaluación de los riesgos y oportunidades, mediante el desarrollo de procesos de formación

y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores

públicos para la ejecución eficiente de sus tareas.

➢ Involucrar y comprometer a todos los servidores de la Institución en la búsqueda de

acciones efectivas encaminadas a prevenir y administrar los riesgos y oportunidades.

➢ Proteger los el valor de los recursos del Estado asignados a la Agencia, mediante el control

e implementación de acciones de mitigación frente al riesgo y potencializar las

oportunidades asociadas.

➢ Brindar lineamientos y principios que propendan por la unificación de criterios para la

administración de los riesgos y oportunidades institucionales por proceso de negocio.

3. ALCANCE

La presente guía será aplicada por todas las dependencias de la Agencia Nacional de Infraestructura,

incluye los principios básicos y metodológicos para la administración y gestión de riesgos y

oportunidades a nivel de procesos aprobada para las entidades públicas, adaptada en lo pertinente,

a las funciones de la Agencia; Así como las técnicas, actividades y formularios que permitan y

faciliten el desarrollo de las etapas de reconocimiento del contexto su comunicación, identificación






Fecha: 11/07/2018

Página 7 de 48

de los riesgos por proceso, análisis y evaluación, opciones de tratamiento o manejo de riesgo según

la zona de riesgo. Incluye además pautas y recomendaciones para su seguimiento y monitoreo

Contempla las pautas que permiten la elaboración de los mapas de riesgos y oportunidades por

proceso, el mapa de riesgo y oportunidad institucional, así como los mapas de riesgos de corrupción

para procesos misionales y procesos estratégicos y de apoyo. De tal forma que la Agencia tenga una

aproximación del nivel de amenaza, vulnerabilidad y mejora de la entidad, frente a los riesgos y

oportunidades a los que puede verse expuesta o beneficiada y, se desarrolle un plan de mitigación

frente a los mismos..

4. TERMINOS Y DEFINICIONES

De conformidad con los manuales metodológicos tanto del Departamento Administrativo de la

Función Pública, como de la Presidencia de la Republica, se nombran algunas definiciones

importantes contenidas en el presente:

➢ Administración del riesgo: Conjunto de elementos de control que al interrelacionarse

brindan a la entidad la capacidad para emprender las acciones necesarias que le permitan

el manejo de los eventos que puedan afectar negativamente o positivamente el logro de los

objetivos institucionales y protegerla de los efectos ocasionados por su ocurrencia.

➢ Análisis del Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel

de riesgo.

➢ Análisis de la oportunidad: Es un método de recopilación y evaluación de la información

recolectada la cual permite conocer el éxito o fracaso de un proyecto.

➢ Autocontrol: Es la capacidad que tiene cada servidor público, independientemente de su

nivel jerárquico dentro de la institución, para evaluar su trabajo, detectar desviaciones,

efectuar correctivos, mejorar y solicitar ayuda cuando lo considere necesario, de tal manera

que la ejecución de su proceso, actividades y tareas bajo su responsabilidad garanticen el

ejercicio de una función administrativa transparente y eficaz.

➢ Causas: Son todo aquello que se pueda considerar fuente generadora de eventos (riesgos).

Las fuentes generadoras o agentes generadores también conocidas como amenazas, son

ejemplo, las personas, los métodos, las herramientas, el entorno, lo económico, los insumos

o materiales entre otros.

➢ Controles: Son aquellas medidas o mecanismos que modifican al riesgo; éstos se

implementan para evitar su materialización.

➢ Evento: Es la presencia o cambio de un conjunto particular de circunstancias. Un incidente

o situación, que ocurre en un lugar particular durante un intervalo de tiempo específico.






Fecha: 11/07/2018

Página 8 de 48

➢ Factores de Riesgo: Situaciones, manifestaciones o características medibles u observables

asociadas a un proceso que tienden a aumentar la probabilidad de riesgo, pueden ser

internos o externos a la entidad.

➢ Gestión de Riesgo: Son las actividades coordinadas para dirigir y controlar una organización

con respecto a sus riesgos

➢ Gestión de la Oportunidad: Es el análisis de la gestión interna y externa de los procesos y

de la Entidad con el fin de tomar la decisión de crear acciones que permitan potencializar

aspectos favorables para la misma.

➢ Impacto: Hace referencia a las consecuencias que puede ocasionar a la organización la

materialización del riesgo; se refiere a la magnitud de sus efectos.

➢ Mapa de riesgos y oportunidades: Es la herramienta metodológica preventiva que permite

Identificar o registrar las actividades o procesos sujetos a riesgos, cuantificar la probabilidad

de dichos eventos y medir el impacto potencial asociado a su ocurrencia. Para el caso de la

oportunidad permite hacer un listado de estas, definirlas, describirlas, considerar sus

posibles efectos, así como indicar su factibilidad o viabilidad.

➢ Matriz de riesgos: Instrumento utilizado para ubicar los riesgos en una determinada zona

de riesgo según la calificación cualitativa de la probabilidad de ocurrencia y del impacto de

un riesgo.

➢ Monitoreo Verificación, supervisión, observación crítica o determinación continua del

estado de la gestión del riesgo, con el fin de identificar cambios con respecto al desempeño

exigido o esperado.

➢ Opciones de manejo del Riesgo: Son alternativas para mitigar el riesgo definidas con base

en el nivel de riesgo residual, las políticas establecidas y/o según la priorización dada por

cada proceso. (Ver numeral 6. Políticas de Administración de Riesgos y numeral 8.5.

Priorización y Construcción de planes y Acciones)

➢ Probabilidad: Es la oportunidad de que ocurra un evento específico,

➢ medido por la frecuencia y factibilidad de ocurrencia del riesgo, expresado de manera

cualitativa y cuantitativa.

➢ Viabilidad: Es la posibilidad de llevar a cabo un proyecto desde el punto de vista ambiental,

legal, social, comercial y técnico.

➢ Factibilidad: Se refiere a la disponibilidad de los recursos necesarios para llevar a cabo los

objetivos o metas señaladas.

➢ Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales

transforman elementos de entrada en resultados.

➢ Riesgo: Efecto de la incertidumbre en el cumplimiento de los objetivos Efecto de la

incertidumbre en el cumplimiento de los objetivos . Se expresa en términos de probabilidad

e impacto.






Fecha: 11/07/2018

Página 9 de 48

➢ Oportunidad: Posibilidad de lograr una mejora que tendrá un impacto positivo sobre los

objetivos institucionales o del proceso. Se expresa en términos de factibilidad y viabilidad.

➢ Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones para

tratar el riesgo.

➢ Riesgo residual: Se refiere al margen o remanente de riesgo que puede darse después de

las medidas de tratamiento tomadas para la administración del riesgo.

➢ Recursos: Conjunto de elementos disponibles para llevar a cabo un proyecto entre otros:

humanos, técnicos, financieros.

➢ Indicador Clave del riesgo: Expresión cualitativa o cuantitativa para medir o comparar los

resultados efectivamente obtenidos, en el proceso de mitigación del riesgo y que permite

evaluar cambios o resultados de la gestión.

➢ Meta: La meta es la medición física del riesgo o la oportunidad, es decir, los requisitos que

se deben cumplir para saber si se está mitigando el riesgo o potencializando la oportunidad.

La meta establece un límite alcanzable y medible en el tiempo.

➢ Riesgo de Corrupción: Posibilidad de por acción u omisión, se use el poder para poder

desviar la gestión de lo público hacia un beneficio privado.

➢ Seguimiento: Observación minuciosa del desarrollo de un proceso, revisa continuamente la

evolución del rendimiento respecto de lo previsto, mediante el análisis de datos e indicado

res establecidos con fines de seguimiento y evaluación.

➢ FODA: Análisis del contexto interno (Fortalezas y Debilidades) y externo de la Entidad

(Oportunidades y Amenazas) y entrada para el análisis de los riesgos y oportunidades

➢ Ciclo PHVA: Circulo Deming que permite hacer un análisis por proceso en sus diferentes

etapas, PLANEAR, HACER, VERIFICAR Y ACTUAR y en este caso funciona como entrada para

el análisis de los riesgos y oportunidades de la Entidad.

➢ Monitoreo: Mesa de trabajo anual, la cual tiene como finalidad, revisar, actualizar y/o

redefinir los riesgos de cada uno de los procesos partiendo del resultado de los seguimientos

y/ hallazgos de los entes de control o las diferentes auditorias de los sistemas integrados de

gestión.

➢ Seguimiento: Mesa de trabajo semestral, en la cual se revisa el cumplimiento del plan de

acción, se analizan los indicadores y metas y se valida la aplicación de los controles al interior

de cada uno de los procesos.

➢ SCI: Sistema de Control Interno.

5. RESPONSABLES EN LA ADMINISTRACION Y GESTION DEL RIESGO:






Fecha: 11/07/2018

Página 10 de 48

Teniendo en cuenta lo establecido en la dimensión 7: Control Interno del Decreto 1499 de 2017

Modelo Integrado de planeación y gestión el cual asigna las responsabilidades en relación a las líneas

de defensa del MECI, La administración y evaluación de los riesgos de la Entidad debe ser el

siguiente1:

➢ Línea Estratégica – presidente de la agencia y Comité Institucional de Coordinación de

Control Interno, a quienes corresponde:

• Establecer la política de administración del Riesgo y Oportunidades.

• Específicamente el Comité Institucional de Coordinación de Control Interno,

evaluará y dará línea sobre la administración de los riesgos y oportunidades de la

Entidad.

• El Vicepresidente de Planeación Riesgos y Entorno a través del Grupo Interno de

Planeación y del equipo del Grupo Interno de Trabajo de Riesgos, lideran la

coordinación del Proceso de Administración del Riesgo y Oportunidades alineado a

los planes, programas institucionales y a las políticas del Sistema Integrado de

Gestión.

➢ Primera Línea – Gerentes y vicepresidentes líderes de proceso, a quienes corresponde:

• Realimentar a la alta dirección sobre el monitoreo y efectividad de la gestión del

riesgo y de los controles. Así mismo, hacer seguimiento a su gestión, gestionar los

riesgos y aplicar controles.

• A partir de la política de administración de riesgos, establecer sistemas de gestión

de riesgos y las responsabilidades para controlar los riesgos específicos bajo la

supervisión de la alta dirección. Con base en esto establecen los mapas de riesgos.

• Identificar y controlar los riesgos relacionados con posibles actos de corrupción en

el ejercicio de sus funciones y el cumplimiento de sus objetivos, así como en la

prestación del servicio y/o relacionados con el logro de los objetivos. Implementan

procesos para identificar, disuadir y detectar fraudes; y revisan la exposición de la

Entidad al fraude con el auditor interno de la Entidad.

• Identificar las oportunidades asociadas a los procesos o a la Entidad que

potencialicen y hagan más eficiente la gestión de esta.

• mantener actualizados los mapas de riesgos por procesos y mapas de riesgo de

corrupción, de conformidad con las políticas institucionales aprobadas y las normas

1 http://www.funcionpublica.gov.co/documents/28587410/0/1508252644_ace62198c2ac686891d7127d86f84937.pdf/2933fa15-c259-b5b0-86a8-17fb4ce59a08






Fecha: 11/07/2018

Página 11 de 48

nacionales vigentes. Así como de velar por el cumplimiento de los lineamientos

señalados por la metodología de administración del riesgo aprobada en lo

concerniente al análisis del contexto estratégico, la identificación del riesgo, su

análisis, valoración, medidas de tratamiento, monitoreo y seguimiento.

➢ Segunda Línea – Servidores responsables del monitoreo y evaluación de controles y gestión

del riesgo, a quienes corresponde:

• Informar sobre la incidencia de los riesgos en el logro de objetivos y evaluar si la

valoración del riesgo es la apropiada.

• Asegurar que las evaluaciones de riesgo y control incluyan los riesgos de fraude.

• Ayudar a la primera línea con evaluaciones del impacto de los cambios en el SCI

• Consolidar los seguimientos a los mapas de riesgos

• Establecer un líder de la gestión de riesgos para coordinar las actividades en esa

materia

• Monitorear el cumplimiento de los planes de acción asociados a la gestión de las

oportunidades.

• Elaborar informes consolidados para las diversas partes interesadas

• Seguir los resultados de las acciones emprendidas para mitigar los riesgos, cuando

haya lugar.

• Los supervisores de contratos deben realizar seguimiento a los riesgos de estos e

informar las alertas respectivas.

• El Grupo Interno de Sistemas y Tecnología y la Oficina de Comunicaciones, son los

responsables por el diseño y la publicación de los mapas de riesgos en las páginas

web de la entidad.

• El Grupo Interno de Trabajo Planeación y el Grupo Interno de Trabajo de Riesgos,

realizarán la difusión de lineamientos, metodología, seguimiento y consolidación de

los mapas de riesgo.

• El equipo de transparencia de la Entidad debe apoyar la identificación de los riesgos

de corrupción de acuerdo con los lineamientos dados por la Secretaria de

Transparencia de la Presidencia de la República y la política de transparencia de la

Entidad. Aun asi los riesgos de corrupción son responsabilidad de cada uno de los

procesos.

• Los facilitadores del sistema de calidad propenden por el desarrollo de una cultura

con visión de administración de riesgos.






Fecha: 11/07/2018

Página 12 de 48

• Todos los servidores públicos son responsables de asegurar el adecuado control

sobre los riesgos, ejecutando y gestionado las políticas de administración de riesgo

aprobadas, bajo los principios de autocontrol y autogestión.

• Los auditores internos de calidad son los responsables de incluir en su plan de

auditorías la revisión del cumplimiento y coherencia de la gestión de riesgos de sus

procesos, alineado al sistema de calidad de la entidad

➢ Tercera Línea – Oficina de Control Interno, a quienes corresponde:

• Asesorar en la metodología para la identificación y administración de los riesgos y

oportunidades, en coordinación con la segunda línea de defensa

• Identificar y evaluar cambios que podrían tener un impacto significativo en el SCI,

durante las evaluaciones periódicas de riesgos y en el curso del trabajo de auditoria

interna

• Comunicar al comité de coordinación de Control Interno posibles cambios e

impactos en la evaluación del riesgo y oportunidades, detectados en las auditorias

• Revisar la efectividad y la aplicación de controles, planes de contingencia y actividad

de monitoreo vinculadas a riesgos claves de la Entidad.

• Alerta sobre la probabilidad de riesgo de fraude o corrupción en las áreas auditadas.

6. POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS Y OPORTUNIDADES

Para el desarrollo y la consolidación de las políticas de administración de riesgos, se deben tener en

cuenta tanto las etapas anteriormente desarrolladas, como los objetivos estratégicos propuestos.

La política de administración de riesgos institucional se enfoca en la información y análisis del mapa

de riesgos institucional y la matriz de riesgos (matriz de color y zonas de riesgo) así:

a. El mapa de riesgos y oportunidades institucional y el mapa de riesgos y medidas

anticorrupción de la entidad, será de conocimiento de la alta dirección, y su riesgo

residual será el soporte para aprobación y/o modificación de la política de

administración del riesgo.

b. Los mapas de riesgos deben estar alineados con el Sistema Integrado de gestión y con

la planeación estratégica de la entidad.






Fecha: 11/07/2018

Página 13 de 48

c. Se deberá enfatizar la atención sobre los riesgos institucionales residuales que queden

ubicados en zona de riesgos extremos, altos y moderados con propósito de toma de

decisiones en cuanto a su tratamiento.

d. La política institucional de tratamiento de riesgos y oportunidades asociados a los

procesos y medidas anticorrupción para procesos misionales, estratégicos y de apoyo2,

es determinada y aprobada por cada uno de los vicepresidentes y/o por el Comité de

Presidencia como alta dirección; y/o por sus delegados a través del Comité Institucional

del Modelo Integrado de Planeación y Gestión.

e. La alta Dirección y el comité Institucional de Coordinación de Control Interno

determinarán y aprobarán las opciones de tratamiento para los riesgos ubicados en las

zonas de riesgo señaladas anteriormente, o plantearán nuevas alternativas de

tratamiento para todos o algunos riesgos específicos, de acuerdo con los planes

estratégicos y objetivos institucionales. Igualmente, la política ratificará o señalará

parámetros de control y seguimiento.

f. La opción de tratamiento o manejo para los riesgos residuales ubicados en zona de

riesgo extremo, alto o moderado, no podrá ser opción de manejo con “asumir el riesgo”

y por lo tanto deberán tener una propuesta o acción de tratamiento coherente que

busquen disminuir el riesgo. (ver numeral 8.5 Priorización de los riesgos y construcción

de planes y acciones)

g. Los riesgos residuales que queden ubicados en zona de riesgo bajo podrán llevar

cualquiera de las opciones de manejo indicadas por el presente manual “asumir, evitar,

reducir, compartir o transferir el riesgo”. Sin embargo, si se elige como tratamiento para

el riesgo la opción de “asumir el riesgo”, lo cual traducirá que para el año vigente no se

generaran nuevos planes de acción para mitigar el riesgo. Sin embargo, el que se incluya

esta opción no omite la obligación de continuar aplicando los controles establecidos, y

hacer el respectivo seguimiento tanto a estos controles ya implementados como a la

posible materialización del riesgo.

h. El Grupo de Trabajo Interno de Planeación, el Grupo de Trabajo Interno de Riesgos y/o

la alta dirección de la ANI en nombre propio o a través de sus delegados del Comité del

Modelo Integrado de Planeación y Gestión, podrá incluir en el Mapa de Riesgo

Institucional, aquellos riesgos potenciales que no hayan sido incluidos en los mapas de

riesgos por procesos asociándolo al proceso que considere pertinente.

i. La política de transparencia en la ANI será determinada, modificada y aprobada por la

alta dirección en cabeza del presidente de la Agencia Nacional de Infraestructura, bajo

2 http://www.ani.gov.co/sites/default/files/mapa_procesos//mapa_de_procesos_ani.pdf






Fecha: 11/07/2018

Página 14 de 48

los lineamientos normativos indicados por la Presidencia de la República o sus entidades

delegadas.

j. Todos los procesos deberán identificar oportunidades que ayuden a potencializar su

gestión o la de la Entidad y en caso de que por recursos esta no sea factible deberá

ponerse en consideración del líder del proceso.

k. Se deberán asignar recursos que permitan evaluar el desempeño de los controles,

asignar indicadores claves de riesgos y metas, que permita identificar o alertar estados

de criticidad o posibles materializaciones de estos.

l. Las acciones de mitigación del riesgo, así como las acciones para desarrollar las

oportunidades deben ser incluidas en el plan de acción de la Entidad con el fin de llevar

un solo control.

m. De igual forma los ajustes o nuevos lineamientos de política para la administración de

riesgos y medidas de transparencia que deba tomar la alta dirección, podrán ser

legalizados a través de actas aclaratorias, ayudas de memoria o memorandos. Para las

cuales se sugiere tener en cuenta lo siguiente:

✓ Definir los objetivos que se esperan obtener.

✓ Priorizar los riesgos que pueden generar mayor impacto en la entidad y que afecte

a los productos y servicios generados para el cumplimiento de la misión y objetivos

institucionales.

✓ Tener en cuenta el plan estratégico, plan sectorial y planes de acción.

✓ Tener en cuenta los procedimientos aprobados dentro del Sistema Integrado de

Gestión.

✓ Pensar en los componentes que conforman la cadena productiva del proceso y no

solo las áreas.

✓ Determinar políticas y/o estrategias a largo, mediano y corto plazo.

✓ Determinar una línea base de recursos disponibles.

✓ Si se sugieren estrategias a largo y mediano plazo, dejar definidas políticas, recursos

necesarios y líder responsable.

✓ Plantear responsables para la implementación, seguimiento de las políticas y otros

responsables diferentes para actividades de evaluación de efectividad y auditoria.






Fecha: 11/07/2018

Página 15 de 48

6.1. Políticas Operativas para Mapas de Riesgos Institucionales y de

Medidas Anticorrupción

a. Las actividades de consolidación y difusión de políticas sobre los mapas de riesgos de la

entidad, serán coordinadas por la Vicepresidencia de Planeación Riesgos y Entorno en

cabeza del Grupo Interno de Trabajo Planeación y del Grupo Interno de Trabajo de

Riesgos.

b. Los mapas de riesgos deberán ser aprobados por los líderes de los correspondientes

procesos. Sin embargo, el Grupo Interno de Planeación; el Grupo de Trabajo Interno de

Riesgos y/o la Alta Dirección de la ANI en nombre propio o a través de sus delegados

del Comité Institucional de gestión del desempeño, podrán solicitar se incluyan en el

Mapa de Riesgo Institucional, aquellos riesgos potenciales que no hayan sido incluidos

en los mapas de riesgos por procesos.

c. El mapa de riesgos institucional se realizará consolidando todos los procesos de la

Agencia, y tendrá como base el mapa de procesos vigente.

d. El mapa de riesgos anticorrupción se realizará para los procesos misionales,

estratégicos, así como para los de apoyo, enfocando las áreas identificadas en la Agencia

como áreas posiblemente vulnerables en razón a sus actividades y procedimientos.

e. Los mapas de riesgos deberán ser consolidados, publicados y socializados a toda la

entidad propendiendo por el desarrollo de la cultura organizacional de gestión de

riesgos.

f. La actualización de los mapas de riesgos y oportunidades institucional y de cada

proceso, así como los mapas de riesgos de corrupción, se realizará de forma anual según

lineamientos normativos, salvo que las necesidades del servicio requieran su

actualización con otra periodicidad.

g. La eliminación de cualquier riesgo y oportunidad institucional o de corrupción deberá

ser justificada y aprobada por el líder del proceso o en cabeza del vicepresidente que

corresponda y deberá registrarse en la matriz de cambios de la Entidad. Sin embargo y

en virtud del Acta Aclaratoria del Riesgo del 8 de mayo de 2015, producto de reunión

con el Vicepresidente de Planeación, se aclaró que, de presentarse justificaciones poco

argumentadas, el área encargada del manejo de Riesgos de la Entidad deberá pedir

ampliación de la justificación hasta tanto encuentre que la entidad no tendrá

inconvenientes por dicha eliminación. Para lo cual se podrá solicitar la intervención de

otros vicepresidentes que puedan dirimir la decisión.






Fecha: 11/07/2018

Página 16 de 48

h. El Grupo Interno de Planeación, efectuará seguimiento semestral y monitoreo anual a

los mapas de riesgos y oportunidades de acuerdo con el plan de acción. Sin embargo,

esto no exime de la función de monitoreo y seguimiento permanente que deberán

realizar los líderes de cada proceso.

i. Teniendo en cuenta la norma ISO 27001 de Seguridad de la Información y el decreto

612 de 2018, el equipo de trabajo de sistemas deberá apoyar en la actualización de los

riesgos de seguridad de la información a los que se puedan ver expuestos los diferentes

procesos de la Entidad, teniendo en cuenta los principios de gestión de riesgos para

procesos del que trata el presente manual.

j. Las opciones de tratamiento de los riesgos deberán estar dentro de la política de

administración de riesgos y oportunidades aprobadas para la Agencia.

k. La Oficina de Control Interno, liderará las actividades de evaluación de conformidad con

el plan anual de auditorías internas y de acuerdo con las necesidades requeridas.

l. Todos los servidores públicos de la Agencia, en el marco de sus funciones y obligaciones

son responsables por aplicar mecanismos de control adecuados que busquen mitigar

los riesgos a los que están expuestas las labores designadas. Incluso aquellos riesgos

que enmarcados en sus responsabilidades no se encuentren especificados en el mapa

de riesgos institucional y de Anticorrupción.

m. La confiabilidad de la información a publicar será responsabilidad de quien tenga las

funciones de la administración y la gestión de riesgos de la Entidad.

7. DOCUMENTACION ASOCIADA LA GESTION DEL RIESGO

7.1. Procedimientos

Mapa Oficial de Procesos de la Agencia Nacional de Infraestructura - ANI

SEPG-P-011 Construcción de mapas, seguimiento y monitoreo de riesgos y oportunidades

institucional por proceso y riesgos Anticorrupción.

7.2. Formatos para Construcción de Mapas de Riesgo Institucional

7.2.1. Formatos Mapa de Riesgo Institucional:

SEPG-F-009 Mapa de Riesgo Institucional






Fecha: 11/07/2018

Página 17 de 48

SEPG-F-061 Matriz Riesgo Institucional

7.2.2. Formatos para Mapas de Riesgos por Proceso:

SEPG-F-040 Contexto Estratégico de la Entidad.

SEPG-F-007 Identificación de Riesgos.

SEPG-F-012 Consolidado Calificación del Riesgo.

SEPG-F-013 Matriz Calificación del Riesgo.

SEPG-F-014 Mapa de Riesgos por Proceso.

SEPG-F-043 Seguimiento a Mapa de Riesgos por Procesos y Medidas Anticorrupción

7.3. Formatos para Construcción Mapas de Riesgo y Medidas

Anticorrupción

SEPG-F-057 Identificación Riesgos relacionados con corrupción

SEPG-F-059 Consolidado calificación del riesgo relacionado con corrupción

SEPG-F-060 Formato para determinar impacto de riesgo de corrupción

SEPG-F-061 Matriz de Riesgo de corrupción

SEPG-F-030 Mapa de Riesgos y Medidas de Control Anticorrupción

SEPG-F-043 Seguimiento a Mapa de Riesgos por Procesos y Medidas Anticorrupción

EVCI-F-017 (Oficina de Control Interno) “Seguimiento a las estrategias para la construcción del

plan anticorrupción y de atención al ciudadano”.

7.4. Otros Documentos de Gestión de Riesgos

Fuente del riesgo

Ciclo PHVA por proceso

Matriz de cambios por proceso

SEPG-F-045 Materialización de Riesgos.






Fecha: 11/07/2018

Página 18 de 48

SEPG-I-007-Metodología para el Análisis de Causas

SEPG-F-072 Informe ejecutivo de seguimiento riesgos por proceso y anticorrupción

8. METODOLOGÍA PARA LA ADMINISTRACIÓN Y ELABORACION DE

MAPAS DE RIESGOS Y OPORTUNIDADES INSTITUCIONAL Y POR

GESTION DE PROCESOS

A continuación, se presentan el procedimiento indicados por el Departamento de la Función Pública

y la norma ISO 31000 e ISO 9001:2015, adaptados por la Agencia Nacional de Infraestructura para

la adecuada administración de riesgos, los elementos que lo componen son:

Proceso General de la Gestión del Riesgo, Adaptado de la Guía de Administración de Riesgo DAFP

2014/ – NTC-ISO 31000- ISO 9001:2015

Los anteriores elementos del DAFP se interpretarán para el presente manual, como pasos o etapas

necesarias para la administración y gestión del riesgo por procesos. A continuación, se explica con

mayor detalle la secuencia lógica para desarrollar cada etapa:

Evaluación y Retroalimentación






Fecha: 11/07/2018

Página 19 de 48

➢ Para el desarrollo de los mapas de riesgos y oportunidades por procesos es importante

conformar un equipo que se encargue de liderar el proceso de administración del riesgo

dentro de cada uno de los procesos de la ANI, este equipo lo deben integrar personas de las

diferentes áreas del proceso, que conocen el funcionamiento de este o tiene capacidad de

liderazgo para trabajar con las personas claves del proceso.

➢ El equipo de trabajo designado por el líder de cada proceso desarrollará los mapas de riesgo

y actividades de administración de riesgos para su proceso, teniendo en cuenta cada uno

de los elementos de control explicados a continuación.

8.1. Análisis del Contexto Estratégico:

Permite tener una visión sistémica de la gestión de la organización, para lo cual se debe analizar

periódicamente los factores tanto del entorno interno como externo cuya revisión debe hacer

mínimo de forma anual. Es una herramienta básica que facilita la identificación de riesgo, en la

medida que identifica las fuentes que pueden dar origen a los riesgos y oportunidades en los

procesos de la Agencia al analizar las debilidades y amenazas, así como es una herramienta para la

construcción de acciones de mitigación, en la medida que se identifican oportunidades y fortalezas

de la entidad. En este ejercicio se analizan las condiciones internas y externas (del entorno), que

pueden generar eventos que podrían originar situaciones o afectaciones negativamente el

cumplimiento de la misión, objetivos de la Agencia o acciones de mejora que pueden permitir

potencializar el cumplimiento de la misión, objetivos de la Agencia.

Análisis Interno: El análisis interno se realiza identificando debilidades y fortalezas en la

organización que puedan interferir con el logro de los objetivos corporativos. Están relacionadas

con la estructura, cultura organizacional, el modelo de operación por procesos, el cumplimiento de

los planes y programas, los sistemas de información, los procesos y procedimientos, los recursos

humanos, técnicos y económicos o financieros con los que cuenta la entidad.

Análisis Externo: Aquí se identifican circunstancias externas a la entidad que pueden intervenir en

el cumplimiento de los objetivos. Las cuales pueden ser de carácter social, cultural, económico,

ambientales, cambios tecnológicos, político- legal, internacional, nacional o regional según sea el

análisis.






Fecha: 11/07/2018

Página 20 de 48

Igualmente, para realizar el ejercicio se requiere tener en cuenta tanto la misión, visión, focos y

objetivos estratégicos de la Entidad.

A manera de ejemplo se presenta la siguiente tabla:

8.1.1. Técnicas para establecer el Contexto Estratégico:

Es importante tener presente que el objetivo de esta etapa es reunir toda la información que

permita tener una mirada global sobre los factores de riesgo y oportunidad que rodean a la Agencia

y al proceso que se está analizando. El contexto estratégico es la base para la identificación del

riesgo y oportunidad, dado que su análisis, suministrará mucha información sobre las causas del

riesgo. Existen varias técnicas que pueden ser usadas individualmente o de manera combinada,

algunas son:

Talleres de Trabajo: Reunión con el personal de diversas funciones o niveles de la entidad, con el

propósito de aprovechar el conocimiento colectivo del grupo y desarrollar una lista de

acontecimientos que están relacionados con la entidad o con un proceso específico.

Técnica Lluvia de Ideas: Usualmente se utiliza la técnica de lluvia de ideas para identificar todo

aquello que puede ser considerado dentro del análisis de riesgos y para que esta sea eficaz, se debe

considerar que:






Fecha: 11/07/2018

Página 21 de 48

1. Debe haber un moderador que tome nota y que organice las exposiciones de todos los

participantes, indicando el tiempo que cada cual tiene para presentar sus ideas.

2. Es más importante la cantidad de ideas que la calidad de las mismas. Todas las ideas son

valiosas para el proceso de recopilación de información.

3. No se deben calificar las ideas como buenas o malas, son simplemente puntos de vista que

capitalizados pueden brindar alternativas no consideradas.

4. Es importante soportarse en las ideas de los otros. Es decir, agregar valor a las apreciaciones

de otros o considerar situaciones a partir de las mismas.

5. El análisis de las ideas se debe realizar al final. El moderador designado será quien las

organizará y las expondrá a manera de resultado.

6. Todos deben participar de manera equitativa, es importante no fijar la atención en pocos

participantes, ni mantenerse en la palabra sin dar la oportunidad a otro de expresar sus

ideas.

Fuentes Secundarias: Igualmente pueden utilizarse diferentes fuentes de información tales como

registros históricos, experiencias significativas registradas, informes de años anteriores, informes de

auditorías, estudios realizados por terceros para el sector. De igual forma se permite el uso de otras

metodologías, tales como: Juicios de expertos, Matriz PESTEL, Matriz MEFE Y MEFI.

Las ideas deben ser recaudadas y consignadas en el formato “Contexto Estratégico” (SEPG-F-040).

Este ejercicio se deberá realizar de acuerdo con las políticas operativas de administración de riesgos

como mínimo una vez al año, teniendo en cuenta que la dinámica de las Entidades.

8.2. Identificación de Riesgos y Oportunidades

Consiste en determinar potenciales eventos o situaciones que podrían afectar el cumplimiento de

los objetivos del proceso en estudio y que oportunidades pueden potencializar el cumplimiento de

la misión y objetivos de la Entidad. Para que el mapa de riesgos y oportunidades que se construya

se convierta en una herramienta eficaz, se deberán tener enfoques de análisis hacia los riesgos y

oportunidades significativas que pueden afectar o potencializar el cumplimiento del objetivo del

proceso y/o de la Agencia, y no en riesgos y oportunidades que pueden ser catalogados como menos

significativos y que pueden ser fácilmente controlados o no generen impacto en la Entidad.

Este primer análisis es desarrollado en primera instancia por el equipo de trabajo conformado por

integrantes de las áreas que están involucrados en cada uno de los procesos, quienes son las

personas más idóneas porque conocen al detalle las actividades que se desarrollan en el mismo. En

segunda instancia esta etapa podrá ser ajustada por los líderes de proceso, y/o el Grupo Interno de

Calidad, el Grupo Interno de Trabajo de Riesgos de la Agencia quienes, debido a su función; a la

visión integral del sistema de calidad; de riesgo institucional consolidado y al conocimiento y manejo






Fecha: 11/07/2018

Página 22 de 48

de otros planes de la Agencia, pueden determinar la existencia de riesgos importantes adicionales

a los detectados.

El proceso de la identificación del riesgo y oportunidad debe ser permanente e interactivo basado

en el resultado del análisis del contexto estratégico. Por lo tanto, es importante tener en cuenta los

factores analizados anteriormente y otros adicionales que pueden incidir en la aparición de los

riesgos. Es importante además tener presentes los objetivos del proceso, el ciclo PHVA del proceso,

las salidas o productos del proceso, así como es de utilidad de considerar los hallazgos de control

interno y los diferentes entes de control y el resultado de las auditorías internas y externas de los

diferentes Sistemas Integrados de Gestión.

En la identificación del riesgos y oportunidades se deben incluir no solo eventos que estén bajo el

control de la organización, sino aquellos que dependen de personas externas a la entidad.

Igualmente se deben incluir aquellos eventos o riesgos que aún no hayan ocurrido, y aquellos que

se han materializado (han ocurrido) y se pudiesen volver a presentar. Lo anterior no reemplaza las

acciones correctivas y/o de mejora que se deban presentar en cumplimiento de planes de mejora u

otros compromisos frente a riesgos materializados; sino que se debe entender como una acción

preventiva y de mitigación que forma parte de la gestión de riesgos.

El presente esquema da una idea general de los pasos a seguir para la identificación:

Mesa de trabajo

Revisar:

1. Caracterización de

proceso

2.FODA

3. Resultados de

auditorias

4. Hallazgos de los Entes

de Control

Identifica Fuente o

factor de riesgo

- Causas y consecuencias

del riesgo.

- Efectos de la Oportunidad

Establecimiento del

contexto de la Entidad

Contexto Externo

Contexto Interno






Fecha: 11/07/2018

Página 23 de 48

8.2.1. Proceso para identificar los riesgos y oportunidades

• Teniendo en cuenta el objetivo del proceso seleccionado, se deben identificar los riesgos

inherentes al proceso, clasificando el riesgo(s) del mismo.

• Realizar una breve descripción del riesgo teniendo cuidado de usar lenguaje claro, sencillo,

conciso, que no permita espacio para interpretaciones ni ambigüedades.

• Identificar y efectuar el listado de las causas que pueden generar el riesgo. Para lo anterior

se considera útil observar el ejercicio de contexto estratégico para tal fin.

• Describir las consecuencias que puede ocasionar este riesgo (explicación breve)

• En el caso de la oportunidad se deberá describir la misma y considerar los posibles efectos

para la Entidad.

Consideración Importante:

• El riesgo continúa incluso con los controles.

• Es importante saber que la ausencia de control no es un riesgo.

• Los controles pueden reducir el impacto o la probabilidad de ocurrencia del riesgo.

¿Qué se debe tener en

cuenta para identificar

los riesgos y

Oportunidades?

➢ Entender y conocer el proceso (Caracterización del proceso).

➢ Identificar el objetivo del proceso.

➢ Revisar los factores de riesgo detectados en la etapa del análisis del

contexto estratégico.

➢ Buscar los puntos claves de decisión en el proceso.

➢ Identificar “qué puede fallar” para cada actividad clave del proceso.

➢ Es bueno preguntarse ¿Qué puede suceder, ¿dónde y cuándo? ¿Por qué

y Cómo puede suceder?

➢ Tener en cuenta la experiencia adquirida en la ejecución de las

actividades del proceso en el que participa.

➢ Identificar las buenas prácticas de las diferentes entidades del sector

➢ Conocer el plan estratégico de la Entidad con el fin de definir

oportunidades que ayuden a potencializar el cumplimiento de este.






Fecha: 11/07/2018

Página 24 de 48

• Enfoque la atención en los riesgos más significativos para la entidad relacionados con los

objetivos de los procesos y los objetivos institucionales.

8.2.2. Qué se debe tener en cuenta al redactar un riesgo

1. El riesgo debe estar escrito en un lenguaje común y comprensible para toda la Agencia.

2. Debe responder fácilmente a la pregunta si ocurre el riesgo ¿Qué pérdida se generada? Es

decir, permite identificar la pérdida potencial: fraude, multa, demanda, reproceso, robo,

sanción, etc.

3. Debe permitir establecer la probabilidad e impacto, obteniendo así la calificación del

mismo.

4. Se debe evitar las negaciones para expresar el riesgo.

5. La ausencia de control no es un riesgo.

Ejemplo de redacción:

No conseguir permisos oportunamente……

☺ Demoras en la obtención de licencia y permisos .…...

8.2.3. Técnicas para la identificación de riesgos y Oportunidades

En esta etapa se puede utilizar la metodología de lluvia de ideas; Lego Serious Play u otras técnicas

grupales que faciliten que surjan nuevas ideas sobre un tema o problema determinado. Se busca la

generación de la mayor cantidad posible de ideas o identificación de riesgos y oportunidades

partiendo del principio del pensamiento divergente.

Técnica Lluvia de Ideas

La lluvia de ideas es una técnica de grupo para generar ideas originales en un ambiente relajado, en

la cual de una manera organizada dirigida por un moderador y en un periodo breve de tiempo de

los actores que interviene en el proceso, se lanzan creativamente ideas teniendo en cuenta el

contexto. Las ideas son consignadas de forma escrita por un miembro del equipo designado.

Posteriormente se analizan las ideas y se filtran aquellas que afecten de manera directa al logro de

los objetivos del proceso o a los objetivos estratégicos de la entidad.






Fecha: 11/07/2018

Página 25 de 48

Mesas de Trabajo LEGO SERIOUS PLAY

LEGO SERIOUS PLAY, es una técnica de trabajo en equipo que combina pensamiento, comunicación y resolución de problemas. Actúa como un “facilitador de conversaciones y resolución de problemas. A través de la pregunta de un facilitador, cada participante construye su propio modelo tridimensional utilizando piezas especializadas LEGO. Los modelos sirven de base para discusiones grupales y toma de decisiones concretas.

Análisis del riesgo desde la documentación del proceso:

Una forma práctica de identificar los riesgos del proceso es partir del incumplimiento de los

objetivos del proceso partiendo del peor escenario para cada una de las salidas y/o productos

del proceso.

Ejemplo (usado solo para fines didácticos):

Objetivo del proceso: Realizar el proceso de contratación de los proyectos…...

Peor escenario: Imposibilidad para efectuar proceso de contratación de proyectos.

Pregúntese: ¿Qué puede pasar? ¿Qué me llevaría a este escenario?

• Ausencia o bajo presupuesto aprobado - Ausencia de soportes técnicos.

• Cláusulas con interpretación legal erróneas.

Para la identificación de otros riesgos es muy útil tener como pauta las salidas del proceso (ver

caracterización del proceso), que corresponden al producto o servicio final así:

Salida/Producto Otros Riesgos Asociados

• Plan de Adquisiciones

• Cálculos sobre precios subestimados.

• Errores en las estimaciones técnicas de las cotizaciones.

• Objeto del contrato ambiguo.

• Pólizas u otras garantías aprobadas

• Error en el alcance de la cobertura contratada.

• Garantías sin los requisitos legales necesarios. (beneficiario; fecha de inicio y fin; valor; firmas)






Fecha: 11/07/2018

Página 26 de 48

8.2.4. Técnicas para identificar las causas y consecuencias:

Para realizar el análisis de las causas y sus consecuencias existen varias técnicas tales como lluvias

de ideas, técnicas de metalenguaje de riesgo y espina de pescado, Lego Serious Play, entre otras.

8.2.4.1. Técnica del Metalenguaje de Riesgos

El metalenguaje, hace referencia a una técnica nos permite usar otra terminología para hablar

acerca de otra lengua inclusive si se trata del mismo español, con el fin de lograr una mayor

comprensión. Es por esto que, para entender completamente un riesgo, es útil identificar sus causas

además de sus efectos. El metalenguaje de riesgos puede ayudar al dividir el conjunto causa-riesgo-

efecto en una descripción de tres partes, tal como “debido a…” una o más causas, “podría ocurrir….”

(Un riesgo), “lo que podría llevar a…” (Uno o más efectos). Esta técnica estructurada no sólo asegura

la definición clara del riesgo, sino que también puede ayudar a desarrollar respuestas necesarias.

Debido a…… Podría Ocurrir…… Lo que podría llevar a…

Factores generadores (debilidades y amenazas)

de un riesgo.

Evento / riesgo ocasionado

Consecuencias o impacto si ocurre el riesgo.

Esta técnica es usada especialmente cuando se tienen dudas sobre cuales enunciados son causas,

eventos o efectos.

Ejemplo:

(Causas) Debido a……

(Evento) Podría Ocurrir……

(Efecto) Lo que podría llevar a…

Desconocimiento de cambios en la normatividad

Clausulado con errores de interpretación legal.

Demandas al contrato Detrimento patrimonial

(Causas) Debido a……

(Evento) Podría Ocurrir……

(Efecto) Lo que podría llevar a…

Falta de mantenimiento de equipos de computo

Daño en los servidores que guardan información

Pérdida de información






Fecha: 11/07/2018

Página 27 de 48

Formulario para Identificación del Riesgo y oportunidades:

Para que todos los participantes de la Agencia visualicen el riesgo y oportunidad se utilizará el

formato titulado “Identificación de riesgos y oportunidades” (SEPG-F-007), en él se deberá consignar

los riesgos y oportunidades identificados, la descripción del riesgo, las causas, los efectos o

consecuencias y la clasificación del riesgo y oportunidades, Para esto se debe tener en cuenta lo

siguiente:

Origen de la Identificación del riesgo: Se debe realizar el análisis con el contexto estratégico de la

Entidad (FODA), objetivo del proceso, hallazgos de entes de control, caracterización del proceso,

hallazgos de auditorías de los sistemas de gestión.

Riesgo identificado: Nombre el evento /riesgo que podría presentarse.

Descripción del Riesgo: Se refiere a las características generales o las formas en que se observa o

manifiesta el riesgo identificado. La descripción del riesgo debe estar escrita de manera clara, sin

que su redacción dé lugar a ambigüedades o confusiones con las causas generadoras de los riesgos.

Posibles consecuencias o efectos: El resultado de un evento expresado cualitativa o

cuantitativamente, sea éste una pérdida, perjuicio, desventaja o ganancia, frente a la consecución

de los objetivos de la entidad o el proceso.

Causas: Son todo aquello que se pueda considerar fuente generadora de eventos (riesgos). Las

fuentes generadoras o agentes generadores son las personas, los métodos, las herramientas, el

entorno, lo económico, los insumos o materiales entre otros.

Tipo de Riesgo: Existen muchas clasificaciones de riesgos una de ellas está dada según su naturaleza

en estratégicos, de imagen, operativos, financieros de cumplimiento, y de tecnología. En el formato






Fecha: 11/07/2018

Página 28 de 48

Oportunidad: Posibilidad de lograr una mejora que tendrá un impacto positivo sobre los objetivos

institucionales o del proceso. Se expresa en términos de factibilidad y viabilidad.

Descripción de la Oportunidad: Se refiere a las características generales o las formas en que se

observa o manifiesta la oportunidad al interior del proceso o la Entidad. La descripción de la

oportunidad debe estar escrita de manera clara, sin que su redacción dé lugar a ambigüedades o

confusiones.

¿Qué genera la Oportunidad?: El desarrollo de la oportunidad que mejoras genera al interior de la

Entidad, en cuanto a la optimización y eficiencia de los procesos.

Posibles Efectos: Hace referencia a los efectos negativos y positivos que al adoptar la oportunidad

pueda enfrentar el proceso o la Entidad.

Clasificación de los riesgos y oportunidades.

SEPG-F-007 “Identificación del Riesgos y oportunidades” diligencie la casilla “tipo de riesgo ó tipo

de oportunidad” teniendo en cuenta los siguientes conceptos:

1. Estratégicos: Se asocia con la forma en que se administra la Entidad. El manejo del riesgos

y oportunidades estratégicas se enfoca a asuntos globales relacionados con la misión y el

cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y

conceptualización de la entidad.

2. Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia

la institución.

3. Operativos: Comprenden riesgos y oportunidades provenientes del funcionamiento y

operatividad de los sistemas de información institucional, de la definición de los procesos,

de la estructura de la entidad, de la articulación entre dependencias.

4. Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la

ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de

excedentes de tesorería y el manejo sobre los bienes.

5. Cumplimiento: Asociados con la capacidad de la entidad para cumplir con los requisitos

legales, contractuales, éticos, de transparencia y en general con su compromiso ante la

comunidad.

6. Tecnología: Están relacionados con la administración y capacidad tecnológica de la Entidad

para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

7. Técnicos: Asociados al manejo de los proyectos, identifican posibles problemas de diseños,

calidad, requisitos, aplicabilidad, rendimiento y fiabilidad, implementación y/o aplicación de

políticas para puesta en marcha de los proyectos.






Fecha: 11/07/2018

Página 29 de 48

8.2.4.2. Técnica de Análisis de Causas

De igual forma, existe una técnica cuyo objetivo es realizar el análisis de causas de las acciones correctivas, preventivas y de mejora del Sistema Integrado de Gestión de la ANI. Para lo cual se sugiere consultar la Metodología para el Análisis de Causas-SEPG-I-007.

8.3. Análisis de Riesgos y Oportunidades

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de

sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer

el nivel de riesgo, su priorización y estrategia de tratamiento de estos. El objetivo de esta etapa es

el de establecer una valoración y priorización de los riesgos.

Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:

• Probabilidad: La posibilidad de ocurrencia del riesgo, representa el número de veces que el

riesgo se ha presentado en un determinado tiempo o pudiese presentarse.

• Impacto: Hace referencia a las consecuencias que puede ocasionar a la organización la

materialización del riesgo; se refiere a la magnitud de sus efectos.

Se sugiere realizar este análisis con todas o las personas que más conozcan del proceso, y que por

sus conocimientos o experiencia puedan determinar el impacto y la probabilidad del riesgo de

acuerdo con los rangos señalados en las tablas que se muestran más adelante.

Formulario para análisis de riesgo:

Para realizar el análisis de riesgo de un proceso, se propone la utilización del “Formato Consolidado

Calificación del Riesgo” (SEPG-F-012) en el cual cada persona del equipo deberá calificar el impacto

y la probabilidad de cada uno de los riesgos identificados de acuerdo con los siguientes criterios:

PROBABILIDAD

Concepto Valor Descripción Frecuencia

Raro 1

El evento puede ocurrir sólo en circunstancias

excepcionales.

No se ha presentado

en los últimos 5 años

Improbable 2

Es muy poco factible que el evento se presente. Al menos de 1 vez en

Los últimos 5 años.






Fecha: 11/07/2018

Página 30 de 48

Posible 3

El evento podría ocurrir en algún momento. Al menos de 1 vez en

Los últimos 2 años.

Probable 4 El evento probablemente ocurrirá en la mayoría de las

circunstancias,

Al menos de 1 vez en

El último año.

Casi Certeza 5 Se espera que ocurra en la mayoría de las

circunstancias

Más de 1 vez al año.

Adaptado para la ANI de la Guía de Riesgos DAFP, 2013

IMPACTO

Concepto Valor Descripción

Insignificante 1 La materialización del riesgo puede ser controlado por los participantes del

proceso, y no afecta los objetivos del proceso.

Menor 6

La materialización del riesgo ocasiona pequeñas demoras en el cumplimiento de

las actividades del proceso, y no afecta significativamente el cumplimiento de los

objetivos del mismo. Tiene un impacto bajo en los procesos de otras áreas de la

Agencia.

Moderado 7

La materialización del riesgo demora el cumplimiento de los objetivos del

proceso, y tiene un impacto moderado en los procesos de otras áreas de la

Agencia. Puede además causar un deterioro en el desarrollo del proceso

dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que éste

se desarrolle en forma normal.

Mayor 11

La materialización del riesgo retrasa el cumplimiento de los objetivos de la ANI y

tiene un impacto significativo en la imagen pública de la Agencia y/o de la Nación.

Puede además generar impactos en: la industria; sectores económicos, el

cumplimiento de acuerdos y obligaciones legales nacionales e internacionales;

multas y las finanzas públicas; entre otras

Catastrófico 13

La materialización del riesgo imposibilita el cumplimiento de los objetivos de la

Agencia, tiene un impacto catastrófico en la imagen pública de la Agencia y/o de

la Nación. Puede además generar impactos en: sectores económicos, los

mercados; la industria, el cumplimiento de acuerdos y obligaciones legales

nacionales e internacionales; multas y las finanzas públicas; entre otras.

Adaptado para la ANI de la Guía de Riesgos DAFP, 2013

El análisis de la oportunidad busca establecer la viabilidad y/o Factibilidad para llevar acabo las

acciones de mejora al interior de los procesos, considerando sus efectos ambientales, sociales,

comerciales, financieros y legales y técnicos. El objetivo de esta etapa es el de establecer la

posibilidad que existe de ejecutar la oportunidad.






Fecha: 11/07/2018

Página 31 de 48

Para adelantar el análisis de la oportunidad se deben considerar los siguientes aspectos:

➢ Viabilidad: Es la posibilidad de llevar a cabo un proyecto desde el punto de vista ambiental,

legal, social, comercial y técnico.

➢ Factibilidad: Se refiere a la disponibilidad de los recursos necesarios para llevar a cabo los

objetivos o metas señaladas.

Se sugiere realizar este análisis con todas o las personas que más conozcan del proceso, y que la

misma sea aprobada previamente por el líder del proceso, considerando el conocimiento que este

tiene sobre los diferentes planes de la Entidad.

Para valorar las oportunidades se deben considerar los siguientes conceptos:

Viabilidad Impacto

Valor Descripción Letra Descripción

1 Inviable F Financieramente

2 Factible L Legalmente

3 Viable M Mercado/comercialmente

C conocimiento/ knowhow

A Ambientalmente

8.3.1. Determinación del Riesgo Inherente y Matriz de Riesgo:

El análisis del riesgo determinado por su probabilidad e impacto permite tener una primera

evaluación del riesgo inherente (escenario sin controles) y ver el grado de exposición al riesgo que

tiene la entidad. La exposición al riesgo es la ponderación de la probabilidad e impacto, y se puede

ver gráficamente en la matriz de riesgo, instrumento que muestra las zonas de riesgos y que facilita

el análisis gráfico. Permite analizar de manera global los riesgos que deben priorizarse según la zona

en que quedan ubicados los mismos (zona de riesgo bajo, moderado, alto o extremo) facilitando la

organización de prioridades para la decisión del tratamiento e implementación de planes de acción.

(En riesgos de corrupción existen otras clasificaciones, ver numeral 13)






Fecha: 11/07/2018

Página 32 de 48

Esquema general de Matriz de Riesgo Institucional y Zonas de Riesgo Institucional para la ANI –

adaptado del DAFP.

Para fines didácticos y para la construcción de los planes y acciones de mitigación, el formulario para

la construcción del mapa de riesgos y oportunidades por procesos tiene un formato (Matriz de

Riesgos y oportunidades SEPG-F-014) que le permite ubicar gráficamente el riesgo según la zona de

riesgo. Sin embargo, la utilización de la matriz de riesgos se utilizará principalmente para mostrar

gráficamente los riesgos institucionales. (Matriz que consolida los mapas de riesgo por proceso)

Las zonas se diferencian por colores y por número de la zona así:

Zona de Riesgo

B: Zona de riesgo Baja (Color Verde): 5 zonas, siendo Z- 5 la zona de mayor riesgo.

M: Zona de riesgo Moderada (color Amarillo): 4 zonas, siendo Z- 9 la zona de mayor riesgo.

A: Zona de riesgo Alta (Color Rojo): 8 zonas, siendo Z- 17 la zona de mayor riesgo.

E: Zona de riesgo Extrema (Color Vino tinto): 8 zonas , siendo la Z-25 la de más alto riesgo.

8.4. Valoración de Riesgos

Hasta este punto se tienen los riesgos inherentes a los que está expuesta la entidad, que

corresponde al riesgo sin controles, ni acciones de tratamiento. En la etapa de valoración del

riesgo se deberán confrontar los resultados de la evaluación del riesgo con los controles vigentes

que tiene el proceso, esto se hace con el objetivo de establecer prioridades para su manejo y

para la fijación de políticas.






Fecha: 11/07/2018

Página 33 de 48

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes

en los diferentes procesos, los cuales permiten obtener información para efectos de tomar

decisiones.

El proceso para la valoración del riesgo, parte de la evaluación de los controles existentes. Para

lo cual se deberá diligenciar el formato “Mapa de riesgos y oportunidades” (SEPG-F-014) en el

que, de forma general se deberá tener en cuenta lo siguiente:

a. Establecer a que expresión del umbral de riesgo está dirigido el control descrito:

✓ Orientado a disminuir la probabilidad: Controles que están orientados a disminuir

la frecuencia de materialización del riesgo.

✓ Orientado a disminuir el impacto: Controles orientados a minimizar las

consecuencias del riesgo una vez el mismo se ha materializado.

b. Describir los controles, estableciendo si son preventivos o correctivos:

• Controles Preventivos: Aquellos que actúan para eliminar las causas del riesgo para

prevenir su ocurrencia o materialización.

• Controles Correctivos: Aquellos que permiten el restablecimiento de la actividad,

después de ser detectado un evento no deseable; también permiten la modificación

de las acciones que propiciaron su ocurrencia.

c. Valorar los controles de manera cuantitativa para saber con exactitud en qué

magnitud disminuye el riesgo al que está expuesto el proceso analizado, teniendo en cuenta

los siguientes criterios:

Metodología DAFP, 2014

¿TIENE

HERRAMIENTA

PARA EJERCER EL

CONTROL?

¿EXISTEN

MANUALES, O

INSTRUCTIVOS

PARA EL

MANEJO DE LA

HERRAMIENTA?

¿LA

HERRAMIENTA

HA

DEMOSTRADO

SER EFECTIVA?

¿ESTAN

DEFINIDOS LOS

RESPONSABLES

DE SU

EJECUCION Y

SEGUIMIENTO?

¿LA

FRECUENCIA DE

EJECUCION DEL

CONTROL Y

SEGUIMIENTO

ES ADECUADA?

0 = NO 0 = NO 0 = NO 0 = NO 0 = NO

15 = SI 15 = SI 30 = SI 15 = SI 25 = SI






Fecha: 11/07/2018

Página 34 de 48

Nota: La calificación de los controles deberá tener los documentos necesarios que soporten la

evaluación suministrada.

d. Cálculo del Riesgo Residual: Una vez asignado el puntaje a cada uno de los controles, el

“Formato Valoración del Riesgo” (SEPG-F-008) indicará a que zona de la matriz se desplazó el

riesgo luego de valorar las medidas de control, o si por el contrario el riesgo se mantiene

ubicado en la misma zona, debido a que los controles son catalogados como bajos.

Criterio Rango de Calificación de los Controles

Cuadrantes a Disminuir

Control Robusto Entre 76-100 -2

Control Moderado Entre 51-75 -1

Control Bajo Entre 0-50 0 Adaptado de la Guía para la Administración de Riesgo 2014 DAFP

Para el caso de las oportunidades no se realiza valoración de controles ya que solo se relaciona el plan de

acción que nos permitirá desarrollar la mejora identificada para los procesos o la Entidad.

8.5. Priorización de los riesgos y Oportunidades y construcción de planes

y acciones

Es importante tener presentes los riesgos que posterior al análisis y puntuación de los controles

(riesgo residual) quedaron ubicados en la zona de riesgo extremo, alto y moderado, para hacer

una revaluación de los controles y/o el diseño de las acciones y/o medidas a tomar.

Para el tratamiento y establecimiento de las “acciones requeridas para mitigar los riesgos” que

se deben diligenciar en el “Formato Mapa de Riesgos por Procesos” (SEPG-F-014), se deben tener

en cuenta los siguientes criterios sugeridos3 :

• Para los riesgos residuales que se ubiquen en la matriz de riesgo dentro de la zona de

“Riesgos Extremos y/o Riesgos Altos”, se establecerán planes de acción a corto plazo.

• Para los riesgos residuales ubicados en la zona de “Riesgos Moderados” se establecerán

planes de acción a mediano y/o largo plazo

3 Las sugerencias para el manejo del riesgo según la zona de riesgo, son tomadas de la Guía de Administración de Riesgos de la DAFP.

Sin embargo estas pueden variar o ser complementadas de acuerdo con la política de riesgos que apruebe la alta dirección.






Fecha: 11/07/2018

Página 35 de 48

• Para los riesgos residuales ubicados en “Riesgos Bajos”, se establecerán planes de acción a

mediano y/o largo plazo, y/o se diseñarán actividades para su monitoreo.

• Las acciones requeridas para mitigar el riesgo deben propender por la eliminación,

mitigación y el control de las causas que pueden generar el riesgo para lo cual se debe

revisar el ejercicio “identificación del Riesgo” (SEPG-F-007).

Zona de Riesgo Opciones de Manejo del Riesgo

(revisar políticas de riesgos)

B: Zona de riesgo Baja (Color Verde) (5 zonas: Siendo Z- 5 la zona de mayor riesgo)

Asumir el riesgo; Reducir el riesgo;

M: Zona de riesgo Moderada (color Amarillo) (4 zonas: Siendo Z- 9 la zona de mayor riesgo)

Reducir el riesgo; reducir Evitar; Compartir o Transferir

A: Zona de riesgo Alta (Color Rojo) (8 zonas: Siendo Z- 17 la zona de mayor riesgo)

Reducir el riesgo; reducir Evitar; Compartir o Transferir

E: Zona de riesgo Extrema (Color Vino tinto) (8 zonas siendo la Z-25 la de más alto riesgo)

Reducir el riesgo; reducir; Evitar; Compartir o Transferir

Zona de Riesgo y Respuesta a los Riesgos (adaptada Guía Gestión de Riesgos DAFP, 2011)

De acuerdo con las guías e instructivos para manejo de riesgos del DAF, las opciones de

manejo se definen así,

• Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Ej.: cambios a la infraestructura, cambios en software.

• Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). Ej.: optimización de procesos, controles.

• Compartir ó transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros ó a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo a riesgo compartido. Ej.: seguros, sitios alternos, contratos de riesgos compartidos, etc.

• Asumir el riesgo, aceptar la pérdida residual probable y elaborar los planes de contingencia para su manejo.

Para el caso de las oportunidades es importante plantear acciones para máximo dos vigencias y

validar que las mismas estén incluidas dentro del plan estratégico y de acción de la Entidad, con

el fin de garantizar su ejecución.

Nota: Revisar el numeral “6. Políticas de Administración de Riesgos “ del presenta Manual, a fin de

validar que la opción de manejo de riesgos que haya sido elegida para manejar los riesgos este de

acuerdo con las políticas aprobadas por la Agencia Nacional de Infraestructura.






Fecha: 11/07/2018

Página 36 de 48

9. Identificación de Recursos, Indicadores y Metas del riesgo y de la

Oportunidad.

Es importante tener en cuenta que para el análisis de los riesgos y oportunidades establecidos en el

formato (SEPG-F-014) es indispensable definir los recursos para ejecutar o llevar a cabo las acciones

y deberá validarse que los mismos se alineen con el plan de acción y/o plan operativo de la Entidad

y con las políticas y lineamientos establecidos por la Entidad.

Recursos: Conjunto de elementos disponibles para llevar a cabo un proyecto entre otros: humanos,

técnicos y financieros.

De igual forma para el caso de los riesgos, los indicadores que se definan deberán ser enfocados

medir el riesgo, con el fin de generar señales de alerta de activación del riesgo. Es de aclarar que el

incumplimiento del indicador no significa precisamente que el riesgo se esté materializando, por lo

que esto deberá revisarse y analizarse con el equipo que coordine el sistema de calidad y

lineamientos de riesgos de la Entidad.

Indicador Clave del Riesgo: Expresión cualitativa o cuantitativa para medir o comparar los

resultados efectivamente obtenidos, en el proceso de mitigación del riesgo y que permite evaluar

cambios o resultados de la gestión.

Meta: La meta es la medición física del riesgo o la oportunidad, es decir, los requisitos que se deben

cumplir para saber si se está mitigando el riesgo o potencializando la oportunidad. La meta establece

un límite alcanzable y medible en el tiempo.

10. Mapa de Riesgos Institucional

El mapa de riesgos institucionales será consolidado por el Grupo Interno de Planeación, para lo cual

se tomarán como insumo los mapas de riesgos por procesos. Igualmente se tomarán en

consideración, además del mapa vigente de los procesos, los siguientes criterios base:

✓ Se dará prioridad a los riesgos de los procesos en el siguiente orden: Estratégicos,

Misionales, de Apoyo, de Evaluación.

✓ Riesgos que incidan en todos los procesos de la Agencia.

✓ Riesgos de alto impacto en el cumplimiento de la misión y/o de los objetivos institucionales.

✓ Riesgo con alta probabilidad de afectar los recursos económicos de la Nación.






Fecha: 11/07/2018

Página 37 de 48

✓ Riesgos que, aunque no se hayan identificado en un proceso especifico, puedan tener alto

impacto y/o probabilidad ocurrencia a nivel institucional.

Si alguno de los riesgos cumple con uno o varios de los criterios aquí establecidos, es considerado

como riesgo institucional.

Una vez identificados los riesgos de acuerdo con los criterios definidos para que un riesgo sea

considerado como institucional, se actualiza el mapa de riesgos con base en las políticas de manejo

establecidas.

El mapa de riesgo Institucional tendrá una vigencia de un año, el cual será objeto de seguimiento

periódico por parte del Grupo Interno de Planeación y de seguimiento periódico por parte de los

líderes de cada uno de los procesos y de la Oficina de Control Interno a través de auditorías

periódicas. Para los ajustes pertinentes al mapa de riesgo institucional o de los procesos, se sugiere

tomar las versiones publicadas en el sitio web “administración de Riesgo” ya que los archivos que

han sido publicados oficialmente son los archivos que han sido revisados, depurados y validados

previamente para su publicación.

10.1. Proceso de Monitoreo, Seguimiento y Evaluación a los Mapas de

Riesgo y oportunidades de Procesos

Una vez diseñado y validado el plan para administrar los riesgos y oportunidades, es necesario

realizar seguimientos periódicos a los mapas de riesgo y oportunidades por procesos, teniendo en

cuenta que los riesgos nunca dejan de representar una amenaza para la organización.

Las actividades de seguimiento y de monitoreo son esenciales para asegurar que las acciones se

estén llevando a cabo según lo planeado, sean efectivas para mitigar el riesgo o para desarrollar las

oportunidades, y contribuyan oportunamente a evidenciar todas aquellas situaciones o factores que

pueden o estén desviando el resultado esperado, con el fin de realizar los ajustes sobre la marcha.

Para este fin, normalmente se utilizan indicadores; Sin embargo, muchas veces los indicadores no

logran ser suficientes para detectar situaciones no cuantificables, por lo que también es importante

utilizar otras herramientas como la observación y la retroalimentación del equipo de trabajo del

proceso.

Básicamente la diferencia entre seguimiento y monitoreo para la administración del riesgo

institucional en la ANI, consiste en que el primero registra el avance y logro de los resultados,

mientras que el monitoreo va más allá de la simple observación, interviniendo para guiar y orientar,






Fecha: 11/07/2018

Página 38 de 48

es decir, se relaciona más con ser un catalizador, que se integra al proceso para favorecerlo, sin ser

parte necesaria del mismo, sin comprometerse ni involucrarse más de lo necesario.

La actividad de seguimiento por parte del Grupo Interno de Planeación se realizará de forma

semestral o de acuerdo con la necesidad de la entidad. Para lo cual, se utilizará el formato SEPG-F-

043 “Seguimiento al Mapa de Riesgos por Procesos”. La actividad de monitoreo se realizará como

mínimo una vez al año. Para lo cual se utilizará el formato SEPG-F-044 “Monitoreo al Mapa de

Riesgos por Procesos”. Lo anterior no sustituye la función de seguimiento y monitoreo que deba

realizar el líder del proceso cuando lo juzgue necesario.

El monitoreo y seguimiento a los Mapas de Riesgo y oportunidades será responsabilidad de los

líderes de procesos, y sus equipos delegados, así como del Grupo Interno de Planeación. De otra

parte, la evaluación y retroalimentación que salga de la misma estará a cargo de la Oficina de

Control Interno.

El monitoreo debe estar a cargo de:

• Los responsables de los procesos

• El Grupo Interno de Planeación

Así las cosas, los equipos de riesgos designados para cada proceso deberán presentar el informe de

reporte anual el cual contiene los lineamientos del equipo de riesgos de la Entidad y El grupo Interno

de Planeación deberá consolidar dicho informe para hacer el reporte institucional el cual deberá

presentarse al Comité MIPG para ponerse a consideración.

La Oficina de Control Interno, dentro de su función asesora y de auditoría, realizará la evaluación a

los mapas de riesgos, comunicará y presentará luego del seguimiento y evaluación, sus resultados y

propuestas de mejoramiento y tratamiento a las situaciones detectadas.

Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar

un efectivo manejo del riesgo.






Fecha: 11/07/2018

Página 39 de 48

11. METODOLOGIAS PARA ADMINISTRACION Y ELABORACION DE

MAPAS DE RIESGO Y MEDIDAS ANTICORRUPCIÓN

La identificación y gestión de los riesgos de corrupción se pueden manejar con los mismos principios

y políticas con que se gestionan los riesgos institucionales y de procesos. Sin embargo y en

cumplimiento del Estatuto Anticorrupción y sus decretos reglamentarios, la Presidencia de la

Republica ha sugerido una metodología4 para este tipo de riesgos, que busca prevenir y mitigar la

corrupción. En ese sentido, con el ánimo de crear sinergia con las políticas de gobierno, la Agencia

ha adoptado desde marzo de 2016 los parámetros principales de la metodología sugerida, por lo

que a continuación se procede a explicar el proceso y los principales cambios.

Los principales cambios y diferencias de la gestión de riesgos de corrupción frente a la gestión de

los riesgos institucionales se presentan en los siguientes pasos:

➢ En La identificación del Riesgo:

- Las técnicas utilizadas para identificación de riesgos de corrupción son las mismas que se

usan para identificar riesgos institucionales por procesos. Sin embargo, la diferencia es que

se identifican riesgos para los procesos misionales, procesos de apoyo y estratégicos.

- Para la identificación de los riesgos de corrupción es indispensable mantener actualizada la

matriz de fuente de riesgos, la cual debe ser proporcionada por el equipo de transparencia

de la Entidad y debe llevarse a consideración de los equipos de riesgos de la Entidad. De

igual forma se deben identificar los posibles riesgos de fraude al interior de los procesos.

- Identificar claramente si es riesgo de corrupción o riesgo institucional: Debido a que el

riesgo de corrupción tiene unas características especiales que parten de la definición, para

evitar confusión entre un riesgo del institucional de proceso y un riesgo de corrupción, la

metodología da unas preguntas prediseñadas a manera de guía. Las mismas ya están

adaptadas para la ANI en el “Formato SEPG-F-057 Identificación de riesgos de Corrupción”.

4 “Guía para la Gestión del Riesgo de Corrupción” Presidencia de la Republica, 2015. /“Estrategias para la Construcción

del Plan Anticorrupción y de Atención al Ciudadano” Versión 2, año 2015, Presidencia de la República, Presidencia de la República






Fecha: 11/07/2018

Página 40 de 48

➢ En el Análisis del Riesgo:

- Para calificar el Impacto, el grupo de trabajo debe discutir y consensuar como grupo sus

respuestas a cada una de las preguntas prediseñadas por la metodología de la Presidencia

de la Republica para riesgos de corrupción. Estas respuestas darán un puntaje ya indicado

por la metodología, la cual se encuentra formulada en el Formato SEPG-F-060 “Formato

Para Determinar Impacto de Riesgo de Corrupción “ y que puede ser consultadas en la Guía

para la Gestión del Riesgo de Corrupción de la Presidencia de la Republica.

Para calificar la probabilidad del riesgo, la respuesta es independiente por cada miembro

del equipo. (De la misma forma que en los riesgos por procesos)

➢ En la Valoración de Riesgo:

- La calificación de los controles debe hacerse sobre 7 preguntas prediseñadas y no sobre 5

preguntas como se realiza en el mapa de riesgo de procesos. Seguir el formato SEPG-F-062

Valoración del riesgo de corrupción.

11.1. PROCESO GENERAL PARA LA ADMINISTRACIÓN Y ELABORACION DE

MAPAS DE RIESGOS DE CORRUPCION

Al igual que la metodología para elaboración de los mapas de riesgo de procesos los principales

elementos y procedimientos para la identificación y manejo de los riesgos de corrupción son:

➢ Contexto Estratégico de la Entidad

➢ Identificación de las fuentes de riesgo

➢ Identificación de Riesgos

➢ Análisis de Riesgos

➢ Valoración de Riesgos

➢ Políticas de Administración de Riesgos

➢ Monitoreo, seguimiento y ajustes.

11.1.1. Análisis del Contexto Estratégico:

El contexto estratégico corresponde al análisis y diagnóstico de los factores que involucren el

proceso, teniendo en cuenta tanto variables internas como externas. Este ejercicio facilita la

identificación de riesgo, en la medida que identifica las fuentes que pueden dar origen a los

riesgos en los procesos, así como puede facilitar la creación de estrategias de mitigación. Debido






Fecha: 11/07/2018

Página 41 de 48

a que el riesgo de corrupción debe ser manejado y analizado teniendo en cuenta todo el proceso.

Se sugiere tomar el mismo ejercicio de contexto estratégico desarrollado en los mapas de riesgo

por proceso (ver numeral 8.1 Análisis del Contexto Estratégico) consignándolo en el formato

SEPG-F-056 Contexto estratégico en mapa de riesgo y medidas anticorrupción.

11.1.2 Identificación de las fuentes de riesgo.

La identificación de las fuentes de riesgo la debe realizar el equipo de transparencia de la Entidad

el cual fue conformado por la resolución 467 del 16 de marzo de 2018, teniendo en cuenta lo

establecido por:

➢ Política de transparencia de la Entidad

➢ Política Transparencia y Anticorrupción – Transparencia por Colombia

➢ FODA Institucional

➢ Matriz de riesgo Actual

➢ Hallazgos de los entes de control

11.1.3 Identificación de Riesgos de Corrupción

La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico, identificando las causas con base en los factores internos o externos, que pueden ocasionar riesgos que afecten el logro de los objetivos. La identificación requiere de un inventario de los riesgos, estableciendo causas con base en los factores de riesgo internos y externos (contexto estratégico), presentando una descripción de cada uno de estos y definiendo los posibles efectos. Se sugiere apoyarse en las pautas y recomendadas del numeral 8.2 del presente manual, con el fin de facilitar la correcta identificación de los riesgos de corrupción y de evitar confusiones con un riesgo de gestión, se sugiere utilizar el el “Formato SEPG-F-058 Cuadro/Matriz Definición del Riesgo de Corrupción”.

Es importante tener presente la definición del riesgo de corrupción:

“Riesgo de Corrupción: Posibilidad de por acción u omisión, se use el poder para poder

desviar la gestión de lo público hacia un beneficio privado.” (Guía para la Gestión de

Riesgos de Corrupción)






Fecha: 11/07/2018

Página 42 de 48

Nota: Para que sea clasificado como riesgo de corrupción es necesario que en la descripción concurran los

componentes de su definición: acción u omisión + uso del poder + desviación de la gestión de lo público +

el beneficio privado.

Recuerde que en la identificación del riesgo se realiza la identificación de las causas y las

consecuencias, para lo cual se sugiere revisar las técnicas indicadas anteriormente en el numeral

8.2.4. del presente manual.

En este punto también se deben incluir las causas analizando las debilidades (causas internas) y las

amenazas (causas externas) previamente analizadas en el diagnóstico estratégico. (Formato SEPG-

F-030)

11.1.4 Análisis de Riesgos de Corrupción

Al igual que el análisis de los riesgos de proceso, esta etapa busca identificar el riesgo Inherente,

para lo cual en este ejercicio se establece la probabilidad de que ocurra el evento y el impacto que

este generaría antes de tener cualquier control.

Para riesgos de corrupción la dimensión de la probabilidad de materialización de los riesgos se

considerarán los mismos cinco criterios que los usados en mapas de proceso así:

PROBABILIDAD

Concepto Valor Descripción Frecuencia

Raro 1

El evento puede ocurrir sólo en circunstancias

excepcionales.

No se ha presentado

en los últimos 5 años

Improbable 2

Es muy poco factible que el evento se presente. Al menos de 1 vez en

los últimos 5 años.

Posible 3

El evento podría ocurrir en algún momento. Al menos de 1 vez en

los últimos 2 años.

Probable 4 El evento probablemente ocurrirá en la mayoría de las

circunstancias,

Al menos de 1 vez en

el último año.

Casi Certeza 5 Se espera que ocurra en la mayoría de las

circunstancias

Más de 1 vez al año.

Niveles de probabilidad adaptados a la ANI, los cuales coinciden con los principios básicos de la metodología

de la DAFP y de la Presidencia de la República para riesgos de corrupción.






Fecha: 11/07/2018

Página 43 de 48

En cuanto a la calificación de impacto la metodología de la Presidencia de la Republica indica para

los riesgos de corrupción solo tres dimensiones “Moderado, Mayor y Catastrófico” así:

IMPACTO

Concepto Valor* Descripción

Moderado 7

Afectación parcial al proceso y a la dependencia. Genera medianas consecuencias

para la Entidad.

Mayor 11 Impacto negativo a la Entidad / Genera altas consecuencias para la Entidad

Catastrófico 13 Consecuencias desastrosas sobre el sector. Genera consecuencias desastrosas

para la Entidad.

Tomado de la Tabla 5 Medición del Riesgo de Corrupción – Impacto de la Guía para la Gestión del Riesgo de

corrupción (*Valor adaptado para la ANI)

11.1.5. Mecanismo para determinar la asignación del puntaje de Impacto

Para calcular el impacto se debe contestar a las preguntas prediseñadas de la Presidencia de la

Republica, que arrojan la puntuación establecida por la metodología. Para lo cual se debe usar el

Formato SEPG-F-060 “Formato Para Determinar Impacto de Riesgo de Corrupción “. Las respuestas

afirmativas dan lugar a una puntuación así:

- De UNO a CINCO respuestas afirmativas el impacto será Moderado.

- De SEIS a ONCE respuestas afirmativas el impacto será Mayor.

- De DOCE a DIECIOCHO respuestas afirmativas el impacto será Catastrófico.

Nota: El formato SEPG-F-060 “Formato Para Determinar Impacto de Riesgo de Corrupción” ya se

encuentra formulado con la anterior escala.

11.1.6. Determinación del Riesgo Inherente

La ponderación entre el resultado de calificación de probabilidad y la calificación del impacto

realizada por el grupo sin tener en cuenta los controles existentes dan como resultado el “Riesgo

Inherente” (sin controles) el cual da una primera calificación del nivel del riesgo de corrupción






Fecha: 11/07/2018

Página 44 de 48

(Extremo; Alto; Moderado; Bajo) el resultado del riesgo Inherente se puede ver al diligenciar el

formato SEPG-F-059 “Consolidado calificación del riesgo relacionado con corrupción”.

11.1.7. Valoración de Riesgos de Corrupción

Al igual que con los riesgos de los procesos, el paso de valoración de los riesgos, consiste en medir

el riesgo teniendo en cuenta los controles que están implementados y que están debidamente

documentados para él riesgo. Para valorar el efecto de los controles en el riesgo, lo primero es

identificar si está orientado a la probabilidad o a disminuir el impacto.

✓ Orientado a disminuir la probabilidad: Controles que están orientados a disminuir

la frecuencia de materialización del riesgo.

✓ Orientado a disminuir el impacto: Controles orientados a minimizar las

consecuencias del riesgo, una vez el mismo se ha materializado.

Una vez identificado si es para disminuir control o impacto, se califica el estado del control, para lo

cual la metodología de la Presidencia de la Republica hace las siguientes preguntas:

• ¿Existen manuales, instructivos o procedimientos para el manejo del control?

• ¿El control es automático?

• ¿El control es manual?

• ¿En el tiempo que lleva la herramienta ha demostrado ser efectiva?

• ¿Esta(n) definido(s) el(los) responsables de la ejecución del control y del seguimiento?

• ¿La frecuencia de ejecución del control y seguimiento es adecuada?

• ¿Se cuenta con evidencia de la ejecución y seguimiento del control?

En el formato SEPG-F-062 el cual ya se encuentra calibrado para colocar el puntaje asignado a cada

pregunta. Si en la calificación usted indica “0” usted estaría indicando que su respuesta es “No”, al

indicar el puntaje que aparece de la lista de plegable, usted está respondiendo “Si”.






Fecha: 11/07/2018

Página 45 de 48

Nota: La calificación de los controles deberá tener los documentos necesarios que soporten la

evaluación suministrada.

11.1.6.1. Riesgo Residual

Una vez asignado el puntaje a cada uno de los controles, en el formato SEPG-F-030 “Mapa de Riesgos

y Medidas de Control Anticorrupción” indicará a que la zona del Riesgo Residual en que quedo

ubicado el riesgo, medida que deberá ser considerara para priorizar las acciones de mitigación.

111.6.2. Priorización de los riesgos y construcción de planes y acciones

Una vez se ha determinado el nivel de los riesgos residuales, se debe proceder a priorizar el

tratamiento o acción de mitigación para esos riesgos. Para lo cual se sugiere tener en cuenta los

riesgos extremos, altos y moderados; Igualmente es importante priorizar aquellos riesgos que

puedan afectar los objetivos estratégicos de la entidad y el plan de acción; Así mismo, se sugieren

los siguientes criterios:

• Para los riesgos que se ubiquen en la matriz de riesgo dentro de la zona de “Riesgos

Extremos y/o Riesgos Altos”, se establecerán planes de acción a corto plazo.

• Para los riesgos ubicados en la zona de “Riesgos Moderados”, se establecerán planes de

acción a mediano y/o largo plazo,

• Para los riesgos ubicados en la zona de “Riesgos Bajos”, se podrán diseñar actividades para

su monitoreo.

• Las acciones requeridas para mitigar el riesgo deben propender por la eliminación,

mitigación y el control de las causas que pueden generar el riesgo para lo cual se debe

revisar el ejercicio “identificación del Riesgo”

11.1.8. Monitoreo seguimiento y ajustes a mapa de riesgos de corrupción

El líder del área será el responsable por realizar los seguimientos y ajustes a los riesgos y planes de

acción, así como de realizar los respectivos ajustes en caso de identificar nuevos riesgos, o de darle

a utilizar el procedimiento y formatos pertinentes en caso de tener indicios de materialización de






Fecha: 11/07/2018

Página 46 de 48

alguno de los riesgos (ver procedimiento Construcción de Mapas Riesgo Anticorrupción y

Actividades Seguimiento y Monitoreo)

En cumplimiento de la metodología de la Presidencia de Republica, para realizar modificaciones y/o

ajuste del mapa de riesgo de corrupción, una vez que el mismo ha sido publicado, deberá enviarse

solicitud motivada con archivo del ajuste, firmada por el líder de los procesos con copia a la Oficina

de Control Interno.

De otra parte, el Grupo Interno de Planeación realizará monitoreo y/o seguimiento al Mapa de

Riesgos y Medidas Anticorrupción, al menos una vez al año (SEPG-F-031). De igual manera la Oficina

de Control Interno, por ley deberá realizar monitoreo por lo menos tres veces al año, con corte a

abril 30, agosto 31 y diciembre 31.

12. SOPORTE METODOLÓGICO Y REFERENCIAS NORMATIVAS:

Para la elaboración del Mapa de Riesgo Institucional, la Agencia Nacional de Infraestructura se rige por los parámetros y lineamientos metodológicos que sobre la materia imparte el Departamento Administrativo de la Función Pública, en concordancia con el Modelo Estándar de Control Interno y los requisitos de la norma ISO 9001:2015, y lo dictado en la NTC-ISO-31000:2011. Para los Mapa de Riesgos Corrupción, se toman como parámetros los lineamientos indicados en el Estatuto Anticorrupción y sus decretos reglamentarios, los cuales indican la metodología en el documento “Guía para la Gestión del Riesgo de Corrupción” de la Presidencia de la República. Otras referencias normativas al respecto son:

Normas/ Parámetros Tema

Ley 87 de 1993 Se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado

Ley 489 de 1998. Estatuto básico de Organización y funcionamiento de la Administración Pública. Capítulo VI. Sistema Nacional de Control Interno.

Decreto 1537 de 2001 Se establece la administración de riesgos en entidades publicas

Ley 1474 de 2011 Estatuto Anticorrupción

Decreto 2641 de 2012 Reglamente Ley 1474/2011 y señala la metodología para diseñar y hacer seguimiento al Plan Anticorrupción y de Atención al Ciudadano.

NTC-ISO-9001:2015 Norma técnica Colombia de Calidad

NTC-ISO-31000 Norma Técnica Colombiana de Gestión del Riesgos, Principios y Directrices. 2011

Guía Administración de Riesgos DAFP

Lineamientos para armonización del MECI






Fecha: 11/07/2018

Página 47 de 48

Decreto 1499 de 2017 Modelo Integrado de Planeación y Gestión

Decreto 124/2016 Por el cual se sustituye el Título IV de la Parte 1 del Libro 2 del Decreto 1081 de 2015, relativo al “Plan Anticorrupción y de Atención al Ciudadano”.

“Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano versión 2” --Presidencia de la Republica, 2015

Aspectos generales del Plan Anticorrupción y descripción de sus componentes.

Guía para la Gestión del Riesgo de Corrupción-Presidencia de la Republica, 2015

Lineamientos para gestión de riesgos y construcción de mapas de riesgo de corrupción.

12. BIBLIOGRAFIA

➢ Norma Técnica Colombiana NTC-ISO 31000, Gestión del Riesgo principios y lineamientos,

Icontec Colombia, 2011

➢ Modelo Integrado de Planeación y Gestión de la función Publicado 2017

➢ Guía para la administración del riesgo DAFP, septiembre de 2011, Cuarta Edición.

➢ Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano,

Presidencia de la República, 2015

➢ Guía para la Gestión del Riesgo de Corrupción, Presidencia de la República ,2015

➢ Guía de Administración del Riesgo DAFP, noviembre de 2009

➢ Cartilla Guía de Administración del Riesgo DAFP, diciembre de 2001

➢ Norma Técnica de Calidad en la Gestión Pública - NTCGP: 1000:2009.

➢ Norma ISO 31000:2009 Gestión de Riesgo, Principios y Directrices






Fecha: 11/07/2018

Página 48 de 48

13. APROBACION DE LA ALTA DIRECCION

El presente manual corresponde a la actualización del Manual de Administración de Riesgos ANI

Versión 3 del 2018. Se actualiza con respecto a la segunda versión en cuanto a: 1... La

actualización de la documentación asociada a la gestión de riesgo; 2. La actualización de la

metodología y sugerencias para manejo de riesgos de corrupción; 3. La actualización de las

normas vigentes; 4. La actualización de responsables en el proceso de gestión y administración

de riesgos; 5. La inclusión del análisis y valoración de las oportunidades; 6. Algunos cambios de

forma como reubicación del orden de los numerales de la segunda versión y algunas mejoras

de redacción. Igualmente es importante aclarar que se actualizan las políticas operativas y de

administración de riesgos aprobadas en primera versión, así como la metodología para

administración de riesgos institucionales y de procesos.

Se somete a revisión y sugerencias previas de los miembros del Comité del Modelo Integrado

de Planeación - MIPIG, previo a la recepción de sugerencias por parte de la alta Dirección.

16. CONTROL DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN DEL CAMBIO

001 Abril 23 de

2014 Creación Manual para la Administración de Riesgos Institucionales

002 Julio 11 de

2018

Actualización Manual para la Administración de Riesgos y

oportunidades por proceso y medidas anticorrupción

17. APROBACIÓN

Revisión Nombre Cargo Fecha Firma

Elaborado Ingrid Maldonado M. Asesor Gerencia de Riesgos 11/05/2018

Revisado Monica Viviana Parra Asesor Gerencia de Riesgos 15/05/2018

Revisado Poldy Paola Osorio Gerente de Riesgos 17/05/2018

Revisado Comité MIPG Comité MIPG- Acta No 50 18/05/2018 Acta

Aprobado Comité MIPG Comité MIPG- Acta No 50 11/07/2018 Acta

manual para la administraciÓn de riesgos y … · y capacitación que posibiliten el conocimiento...

Documents