manual para la administraciÓn de riesgos y … · y capacitación que posibiliten el conocimiento...
TRANSCRIPT
![Page 1: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/1.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código:
SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN Y
GESTIÓN Versión: 002
FORMATO
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Y OPORTUNIDADES INSTITUCIONALES POR
PROCESOS Y MEDIDAS ANTICORRUPCIÓN EN LA
ANI
Fecha:
11/07/2018
MANUAL PARA LA
ADMINISTRACIÓN DE RIESGOS Y
OPORTUNIDADES INSTITUCIONALES Y
MEDIDAS ANTICORRUPCIÓN EN LA
ANI
![Page 2: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/2.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 2 de 48
TABLA DE CONTENIDO
INTRODUCCION: .................................................................................................................................. 4
1. OBJETIVO GENERAL: ........................................................................................................................ 6
2. OBJETIVOS ESPECÍFICOS: ................................................................................................................. 6
3. ALCANCE .......................................................................................................................................... 6
4. TERMINOS Y DEFINICIONES ............................................................................................................. 7
5. RESPONSABLES EN LA ADMINISTRACION Y GESTION DEL RIESGO: ................................................ 9
6. POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS............................................................................... 12
6.1. Políticas Operativas para Mapas de Riesgos Institucionales y de Medidas Anticorrupción .. 15
7. DOCUMENTACION ASOCIADA LA GESTION DEL RIESGO .............................................................. 16
7.1. Procedimientos ...................................................................................................................... 16
7.2. Formatos para Construcción de Mapas de Riesgo Institucional ............................................ 16
7.2.1. Formatos Mapa de Riesgo Institucional: ......................................................................... 16
7.2.2. Formatos para Mapas de Riesgos por Proceso: .............................................................. 17
7.3. Formatos para Construcción Mapas de Riesgo y Medidas Anticorrupción ........................... 17
7.4. Otros Documentos de Gestión de Riesgos ............................................................................. 17
8. METODOLOGÍA PARA LA ADMINISTRACIÓN Y ELABORACION DE MAPAS DE RIESGOS
INSTITUCIONAL Y POR GESTION DE PROCESOS ................................................................................ 18
8.1. Análisis del Contexto Estratégico: .......................................................................................... 19
8.1.1. Técnicas para establecer el Contexto Estratégico:.......................................................... 20
8.2. Identificación de Riesgos ........................................................................................................ 21
8.2.1. Proceso para identificar los riesgos ................................................................................. 23
8.2.2. Qué se debe tener en cuenta al redactar un riesgo ........................................................ 24
8.2.3. Técnicas para la identificación de riesgos ....................................................................... 24
8.2.4. Técnicas para identificar las causas y consecuencias:..................................................... 26
![Page 3: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/3.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 3 de 48
8.3. Análisis de Riesgos.................................................................................................................. 29
8.3.1. Determinación del Riesgo Inherente y Matriz de Riesgo: ............................................... 31
8.4. Valoración de Riesgos ............................................................................................................ 32
8.5. Priorización de los riesgos y construcción de planes y acciones ............................................ 34
9. Mapa de Riesgos Institucional ....................................................................................................... 36
9.1. Proceso de Monitoreo, Seguimiento y Evaluación a los Mapas de Riesgo Institucional y de
Procesos ........................................................................................................................................ 37
10. METODOLOGIAS PARA ADMINISTRACION Y ELABORACION DE MAPAS DE RIESGO Y MEDIDAS
ANTICORRUPCIÓN ............................................................................................................................. 39
10.1. PROCESO GENERAL PARA LA ADMINISTRACIÓN Y ELABORACION DE MAPAS DE RIESGOS DE
CORRUPCION ................................................................................................................................. 40
10.1.1. Análisis del Contexto Estratégico: ................................................................................. 40
10.1.2 Identificación de Riesgos de Corrupción ........................................................................ 41
10.1.3 Análisis de Riesgos de Corrupción .................................................................................. 42
10.1.4. Mecanismo para determinar la asignación del puntaje de Impacto ............................ 43
10.1.5. Determinación del Riesgo Inherente ............................................................................ 43
10.1.6. Valoración de Riesgos de Corrupción ............................................................................ 44
10.1.8. Monitoreo seguimiento y ajustes a mapa de riesgos de corrupción ............................ 45
11. SOPORTE METODOLÓGICO Y REFERENCIAS NORMATIVAS: ....................................................... 46
12. BIBLIOGRAFIA .............................................................................................................................. 47
13. APROBACION DE LA ALTA DIRECCION......................................................................................... 48
![Page 4: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/4.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 4 de 48
INTRODUCCION:
La administración de los riesgos en cualquier tipo de organización, cobra mayor importancia en la
medida en que las organizaciones deben enfrentarse y adaptarse ágilmente a los retos de entornos
cada vez más dinámicos, afrontando así factores internos y externos que pueden ocasionar
incertidumbre sobre el logro de sus objetivos.
Una administración de riesgos eficaz, debe centrarse en la identificación, análisis y tratamiento
temprano de los riesgos que afectan a la entidad en cada uno de sus procesos, incluyendo todos
aquellos posibles escenarios, que puedan afectar la estrategia y metas institucionales. En este
sentido,
el Estado colombiano ha desarrollado elementos técnicos para satisfacer la necesidad de identificar
y enfrentar los riesgos de su entorno. Es así como a través del Decreto 1537 de 2001, estableció los
elementos técnicos para fortalecer el Sistema de Control Interno en las diferentes entidades y
organismos públicos, uno de ellos es la “Administración de Riesgos”, elemento que se concibió como
herramienta para aumentar las posibilidades de alcanzar los objetivos institucionales.
Posteriormente , el Decreto 1499 de 2017 establece el modelo integrado de planeación y gestión
para el orden nacional y articula el nuevo Sistema de Gestión, que integra los anteriores Sistemas
de Gestión de Calidad y de desarrollo administrativo con el sistema de control interno. Dicho modelo
se compone de 7 dimensiones y 16 políticas las cuales de acuerdo con la segunda línea de mando
de la dimensión de control interno deben monitorear, evaluar y gestionar los riesgos Institucionales
y de corrupción. Así mismo la norma ISO 9001:2015 integra la administración y gestión de riesgo y
oportunidades como requisito fundamental en la implementación de sistemas de calidad ratificando
lo indicado por el MECI, y la norma ISO-31000:2018, proporcionando los principios y directrices en
gestión del riesgo. Por otro lado, en nuestro país la gestión de riesgos se ha convertido en una
herramienta contra la lucha de la corrupción. Es así como el Estatuto Anticorrupción Ley 1474 de
2011 y sus decretos reglamentarios, en especial el Decreto 124 de 2016 han luchado contra la
corrupción y en el año 2016 la Presidencia de la Republica diseño políticas y metodologías
específicas la administración de este tipo de riesgos. Razón por la cual la Agencia requiere
integrarlos en el sistema de administración y manejo de riesgos institucionales de las entidades
públicas.
Por lo anterior, y con base en la sugerencia del Departamento Administrativo de la Función Pública-
DAFP, “la consigna es que la administración de riesgo sea incorporada al interior de las entidades
como una política de gestión por parte de la alta dirección y cuente con la participación y respaldo
de todos los servidores públicos”. Desde el año 2013, los equipos de trabajo de cada uno de los
procesos de la Agencia Nacional de Infraestructura ha realizado, esfuerzos por mejorar las técnicas
![Page 5: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/5.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 5 de 48
para identificar y controlar los riesgos que enfrentan, así como para implementar medidas
mitigación como acciones frente al riesgo.
Diferencias entre Riesgos Misionales y Riesgos Institucionales y de Procesos
De otra parte, es importante diferenciar los riesgos inherentes a los procesos de los que habla este
manual, y otro tipo de riesgos propios de la contratación y de los proyectos de concesión que
llamamos “riesgos misionales” que se mencionan en los procedimientos y documentación de
calidad especifica en la Agencia. Los cuales en razón a las funciones y naturaleza de la ANI y en
concordancia con los lineamientos y la regulación colombiana tiene la necesidad de ser
administrados y gestionados de forma específica según las características de cada contrato de
concesión, y a diferencia de los riesgos procesos, se rigen primero por el contrato, que a su vez
responden a los lineamientos de política nacional para los contratos de APP. Algunos de estos
lineamientos están en la Ley 448 de 1998; CONPES 3107 de 2001; CONPES 3133 de 2001; Ley 1150
de 2007; CONPES 3714 de 2011; Decreto 1467 de 2012 modificado por la Ley 1508 de 2012; Ley
1508 de 2012; CONPES 3760 de 2013; CONPES 3800 de 2014: Decreto 1553 de agosto 2014.
Para el seguimiento y manejo los riesgos misionales, es muy importante revisar la asignación del
riesgo especificado en cada contrato y la situación específica que tiene cada proyecto. Igualmente,
para este tipo de contratos de concesión, el Gobierno Nacional tiene establecidos por ley algunos
requisitos de seguimiento y opciones de manejo reguladas entre otros por el Ministerio de Hacienda
y Crédito Público, como por ejemplo el fondo de contingencia establecido en la Ley 448 de 1998;
Ley 1508 de 2012 y sus Decretos reglamentarios. En cumplimiento de esta normatividad para los
riesgos misionales, se debe medir la incertidumbre y el desempeño de los proyectos mediante
valoraciones y seguimientos sistemáticos de riesgo, como lo indica la Ley 1150 de 2007 que
establece que las entidades deben incluir la tipificación, estimación y asignación de los riesgos
previsibles en la contratación estatal.
La anterior diferencia entre los riesgos institucionales, de procesos y los misionales, se realiza con
el fin de aclarar que el presente manual se enfoca en las pautas y lineamientos para implementar la
metodología para administrar y gestionar los riesgos de los procesos y medidas anticorrupción en
la Agencia Nacional de Infraestructura, la cual se encuentra fundamentada en los principios
aprobados por El Departamento Administrativo de la Función Pública, El decreto 1499 de 2017, las
guías de la Presidencia de la Republica para el manejo de riesgos de corrupción, así como los
principios, técnicas y mejoras desarrolladas por la Agencia para su sistema interno de calidad.
![Page 6: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/6.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 6 de 48
1. OBJETIVO GENERAL:
Brindar a la Agencia Nacional de Infraestructura la herramienta con enfoque sistémico que
proporcione las pautas necesarias para desarrollar y fortalecer una adecuada gestión de los riesgos
y oportunidades institucionales con enfoque basado por procesos, a través de métodos que faciliten
la determinación del contexto estratégico (o de riesgos?), la identificación de riesgo y
oportunidades, el análisis, la evaluación , el tratamiento, así como el seguimiento y monitoreo
permanente enfocado a su cumplimiento y mejoramiento continuo.
2. OBJETIVOS ESPECÍFICOS:
➢ Fomentar en la organización una cultura de gestión y administración con visión de riesgos y
oportunidades, como herramienta para incrementar la eficacia y en el logro de los
resultados institucionales.
➢ Brindar una herramienta sistémica que permita la adecuada administración, manejo y
evaluación de los riesgos y oportunidades, mediante el desarrollo de procesos de formación
y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores
públicos para la ejecución eficiente de sus tareas.
➢ Involucrar y comprometer a todos los servidores de la Institución en la búsqueda de
acciones efectivas encaminadas a prevenir y administrar los riesgos y oportunidades.
➢ Proteger los el valor de los recursos del Estado asignados a la Agencia, mediante el control
e implementación de acciones de mitigación frente al riesgo y potencializar las
oportunidades asociadas.
➢ Brindar lineamientos y principios que propendan por la unificación de criterios para la
administración de los riesgos y oportunidades institucionales por proceso de negocio.
3. ALCANCE
La presente guía será aplicada por todas las dependencias de la Agencia Nacional de Infraestructura,
incluye los principios básicos y metodológicos para la administración y gestión de riesgos y
oportunidades a nivel de procesos aprobada para las entidades públicas, adaptada en lo pertinente,
a las funciones de la Agencia; Así como las técnicas, actividades y formularios que permitan y
faciliten el desarrollo de las etapas de reconocimiento del contexto su comunicación, identificación
![Page 7: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/7.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 7 de 48
de los riesgos por proceso, análisis y evaluación, opciones de tratamiento o manejo de riesgo según
la zona de riesgo. Incluye además pautas y recomendaciones para su seguimiento y monitoreo
Contempla las pautas que permiten la elaboración de los mapas de riesgos y oportunidades por
proceso, el mapa de riesgo y oportunidad institucional, así como los mapas de riesgos de corrupción
para procesos misionales y procesos estratégicos y de apoyo. De tal forma que la Agencia tenga una
aproximación del nivel de amenaza, vulnerabilidad y mejora de la entidad, frente a los riesgos y
oportunidades a los que puede verse expuesta o beneficiada y, se desarrolle un plan de mitigación
frente a los mismos..
4. TERMINOS Y DEFINICIONES
De conformidad con los manuales metodológicos tanto del Departamento Administrativo de la
Función Pública, como de la Presidencia de la Republica, se nombran algunas definiciones
importantes contenidas en el presente:
➢ Administración del riesgo: Conjunto de elementos de control que al interrelacionarse
brindan a la entidad la capacidad para emprender las acciones necesarias que le permitan
el manejo de los eventos que puedan afectar negativamente o positivamente el logro de los
objetivos institucionales y protegerla de los efectos ocasionados por su ocurrencia.
➢ Análisis del Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel
de riesgo.
➢ Análisis de la oportunidad: Es un método de recopilación y evaluación de la información
recolectada la cual permite conocer el éxito o fracaso de un proyecto.
➢ Autocontrol: Es la capacidad que tiene cada servidor público, independientemente de su
nivel jerárquico dentro de la institución, para evaluar su trabajo, detectar desviaciones,
efectuar correctivos, mejorar y solicitar ayuda cuando lo considere necesario, de tal manera
que la ejecución de su proceso, actividades y tareas bajo su responsabilidad garanticen el
ejercicio de una función administrativa transparente y eficaz.
➢ Causas: Son todo aquello que se pueda considerar fuente generadora de eventos (riesgos).
Las fuentes generadoras o agentes generadores también conocidas como amenazas, son
ejemplo, las personas, los métodos, las herramientas, el entorno, lo económico, los insumos
o materiales entre otros.
➢ Controles: Son aquellas medidas o mecanismos que modifican al riesgo; éstos se
implementan para evitar su materialización.
➢ Evento: Es la presencia o cambio de un conjunto particular de circunstancias. Un incidente
o situación, que ocurre en un lugar particular durante un intervalo de tiempo específico.
![Page 8: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/8.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 8 de 48
➢ Factores de Riesgo: Situaciones, manifestaciones o características medibles u observables
asociadas a un proceso que tienden a aumentar la probabilidad de riesgo, pueden ser
internos o externos a la entidad.
➢ Gestión de Riesgo: Son las actividades coordinadas para dirigir y controlar una organización
con respecto a sus riesgos
➢ Gestión de la Oportunidad: Es el análisis de la gestión interna y externa de los procesos y
de la Entidad con el fin de tomar la decisión de crear acciones que permitan potencializar
aspectos favorables para la misma.
➢ Impacto: Hace referencia a las consecuencias que puede ocasionar a la organización la
materialización del riesgo; se refiere a la magnitud de sus efectos.
➢ Mapa de riesgos y oportunidades: Es la herramienta metodológica preventiva que permite
Identificar o registrar las actividades o procesos sujetos a riesgos, cuantificar la probabilidad
de dichos eventos y medir el impacto potencial asociado a su ocurrencia. Para el caso de la
oportunidad permite hacer un listado de estas, definirlas, describirlas, considerar sus
posibles efectos, así como indicar su factibilidad o viabilidad.
➢ Matriz de riesgos: Instrumento utilizado para ubicar los riesgos en una determinada zona
de riesgo según la calificación cualitativa de la probabilidad de ocurrencia y del impacto de
un riesgo.
➢ Monitoreo Verificación, supervisión, observación crítica o determinación continua del
estado de la gestión del riesgo, con el fin de identificar cambios con respecto al desempeño
exigido o esperado.
➢ Opciones de manejo del Riesgo: Son alternativas para mitigar el riesgo definidas con base
en el nivel de riesgo residual, las políticas establecidas y/o según la priorización dada por
cada proceso. (Ver numeral 6. Políticas de Administración de Riesgos y numeral 8.5.
Priorización y Construcción de planes y Acciones)
➢ Probabilidad: Es la oportunidad de que ocurra un evento específico,
➢ medido por la frecuencia y factibilidad de ocurrencia del riesgo, expresado de manera
cualitativa y cuantitativa.
➢ Viabilidad: Es la posibilidad de llevar a cabo un proyecto desde el punto de vista ambiental,
legal, social, comercial y técnico.
➢ Factibilidad: Se refiere a la disponibilidad de los recursos necesarios para llevar a cabo los
objetivos o metas señaladas.
➢ Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales
transforman elementos de entrada en resultados.
➢ Riesgo: Efecto de la incertidumbre en el cumplimiento de los objetivos Efecto de la
incertidumbre en el cumplimiento de los objetivos . Se expresa en términos de probabilidad
e impacto.
![Page 9: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/9.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 9 de 48
➢ Oportunidad: Posibilidad de lograr una mejora que tendrá un impacto positivo sobre los
objetivos institucionales o del proceso. Se expresa en términos de factibilidad y viabilidad.
➢ Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones para
tratar el riesgo.
➢ Riesgo residual: Se refiere al margen o remanente de riesgo que puede darse después de
las medidas de tratamiento tomadas para la administración del riesgo.
➢ Recursos: Conjunto de elementos disponibles para llevar a cabo un proyecto entre otros:
humanos, técnicos, financieros.
➢ Indicador Clave del riesgo: Expresión cualitativa o cuantitativa para medir o comparar los
resultados efectivamente obtenidos, en el proceso de mitigación del riesgo y que permite
evaluar cambios o resultados de la gestión.
➢ Meta: La meta es la medición física del riesgo o la oportunidad, es decir, los requisitos que
se deben cumplir para saber si se está mitigando el riesgo o potencializando la oportunidad.
La meta establece un límite alcanzable y medible en el tiempo.
➢ Riesgo de Corrupción: Posibilidad de por acción u omisión, se use el poder para poder
desviar la gestión de lo público hacia un beneficio privado.
➢ Seguimiento: Observación minuciosa del desarrollo de un proceso, revisa continuamente la
evolución del rendimiento respecto de lo previsto, mediante el análisis de datos e indicado
res establecidos con fines de seguimiento y evaluación.
➢ FODA: Análisis del contexto interno (Fortalezas y Debilidades) y externo de la Entidad
(Oportunidades y Amenazas) y entrada para el análisis de los riesgos y oportunidades
➢ Ciclo PHVA: Circulo Deming que permite hacer un análisis por proceso en sus diferentes
etapas, PLANEAR, HACER, VERIFICAR Y ACTUAR y en este caso funciona como entrada para
el análisis de los riesgos y oportunidades de la Entidad.
➢ Monitoreo: Mesa de trabajo anual, la cual tiene como finalidad, revisar, actualizar y/o
redefinir los riesgos de cada uno de los procesos partiendo del resultado de los seguimientos
y/ hallazgos de los entes de control o las diferentes auditorias de los sistemas integrados de
gestión.
➢ Seguimiento: Mesa de trabajo semestral, en la cual se revisa el cumplimiento del plan de
acción, se analizan los indicadores y metas y se valida la aplicación de los controles al interior
de cada uno de los procesos.
➢ SCI: Sistema de Control Interno.
5. RESPONSABLES EN LA ADMINISTRACION Y GESTION DEL RIESGO:
![Page 10: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/10.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 10 de 48
Teniendo en cuenta lo establecido en la dimensión 7: Control Interno del Decreto 1499 de 2017
Modelo Integrado de planeación y gestión el cual asigna las responsabilidades en relación a las líneas
de defensa del MECI, La administración y evaluación de los riesgos de la Entidad debe ser el
siguiente1:
➢ Línea Estratégica – presidente de la agencia y Comité Institucional de Coordinación de
Control Interno, a quienes corresponde:
• Establecer la política de administración del Riesgo y Oportunidades.
• Específicamente el Comité Institucional de Coordinación de Control Interno,
evaluará y dará línea sobre la administración de los riesgos y oportunidades de la
Entidad.
• El Vicepresidente de Planeación Riesgos y Entorno a través del Grupo Interno de
Planeación y del equipo del Grupo Interno de Trabajo de Riesgos, lideran la
coordinación del Proceso de Administración del Riesgo y Oportunidades alineado a
los planes, programas institucionales y a las políticas del Sistema Integrado de
Gestión.
➢ Primera Línea – Gerentes y vicepresidentes líderes de proceso, a quienes corresponde:
• Realimentar a la alta dirección sobre el monitoreo y efectividad de la gestión del
riesgo y de los controles. Así mismo, hacer seguimiento a su gestión, gestionar los
riesgos y aplicar controles.
• A partir de la política de administración de riesgos, establecer sistemas de gestión
de riesgos y las responsabilidades para controlar los riesgos específicos bajo la
supervisión de la alta dirección. Con base en esto establecen los mapas de riesgos.
• Identificar y controlar los riesgos relacionados con posibles actos de corrupción en
el ejercicio de sus funciones y el cumplimiento de sus objetivos, así como en la
prestación del servicio y/o relacionados con el logro de los objetivos. Implementan
procesos para identificar, disuadir y detectar fraudes; y revisan la exposición de la
Entidad al fraude con el auditor interno de la Entidad.
• Identificar las oportunidades asociadas a los procesos o a la Entidad que
potencialicen y hagan más eficiente la gestión de esta.
• mantener actualizados los mapas de riesgos por procesos y mapas de riesgo de
corrupción, de conformidad con las políticas institucionales aprobadas y las normas
1 http://www.funcionpublica.gov.co/documents/28587410/0/1508252644_ace62198c2ac686891d7127d86f84937.pdf/2933fa15-c259-b5b0-86a8-17fb4ce59a08
![Page 11: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/11.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 11 de 48
nacionales vigentes. Así como de velar por el cumplimiento de los lineamientos
señalados por la metodología de administración del riesgo aprobada en lo
concerniente al análisis del contexto estratégico, la identificación del riesgo, su
análisis, valoración, medidas de tratamiento, monitoreo y seguimiento.
➢ Segunda Línea – Servidores responsables del monitoreo y evaluación de controles y gestión
del riesgo, a quienes corresponde:
• Informar sobre la incidencia de los riesgos en el logro de objetivos y evaluar si la
valoración del riesgo es la apropiada.
• Asegurar que las evaluaciones de riesgo y control incluyan los riesgos de fraude.
• Ayudar a la primera línea con evaluaciones del impacto de los cambios en el SCI
• Consolidar los seguimientos a los mapas de riesgos
• Establecer un líder de la gestión de riesgos para coordinar las actividades en esa
materia
• Monitorear el cumplimiento de los planes de acción asociados a la gestión de las
oportunidades.
• Elaborar informes consolidados para las diversas partes interesadas
• Seguir los resultados de las acciones emprendidas para mitigar los riesgos, cuando
haya lugar.
• Los supervisores de contratos deben realizar seguimiento a los riesgos de estos e
informar las alertas respectivas.
• El Grupo Interno de Sistemas y Tecnología y la Oficina de Comunicaciones, son los
responsables por el diseño y la publicación de los mapas de riesgos en las páginas
web de la entidad.
• El Grupo Interno de Trabajo Planeación y el Grupo Interno de Trabajo de Riesgos,
realizarán la difusión de lineamientos, metodología, seguimiento y consolidación de
los mapas de riesgo.
• El equipo de transparencia de la Entidad debe apoyar la identificación de los riesgos
de corrupción de acuerdo con los lineamientos dados por la Secretaria de
Transparencia de la Presidencia de la República y la política de transparencia de la
Entidad. Aun asi los riesgos de corrupción son responsabilidad de cada uno de los
procesos.
• Los facilitadores del sistema de calidad propenden por el desarrollo de una cultura
con visión de administración de riesgos.
![Page 12: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/12.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 12 de 48
• Todos los servidores públicos son responsables de asegurar el adecuado control
sobre los riesgos, ejecutando y gestionado las políticas de administración de riesgo
aprobadas, bajo los principios de autocontrol y autogestión.
• Los auditores internos de calidad son los responsables de incluir en su plan de
auditorías la revisión del cumplimiento y coherencia de la gestión de riesgos de sus
procesos, alineado al sistema de calidad de la entidad
➢ Tercera Línea – Oficina de Control Interno, a quienes corresponde:
• Asesorar en la metodología para la identificación y administración de los riesgos y
oportunidades, en coordinación con la segunda línea de defensa
• Identificar y evaluar cambios que podrían tener un impacto significativo en el SCI,
durante las evaluaciones periódicas de riesgos y en el curso del trabajo de auditoria
interna
• Comunicar al comité de coordinación de Control Interno posibles cambios e
impactos en la evaluación del riesgo y oportunidades, detectados en las auditorias
• Revisar la efectividad y la aplicación de controles, planes de contingencia y actividad
de monitoreo vinculadas a riesgos claves de la Entidad.
• Alerta sobre la probabilidad de riesgo de fraude o corrupción en las áreas auditadas.
6. POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS Y OPORTUNIDADES
Para el desarrollo y la consolidación de las políticas de administración de riesgos, se deben tener en
cuenta tanto las etapas anteriormente desarrolladas, como los objetivos estratégicos propuestos.
La política de administración de riesgos institucional se enfoca en la información y análisis del mapa
de riesgos institucional y la matriz de riesgos (matriz de color y zonas de riesgo) así:
a. El mapa de riesgos y oportunidades institucional y el mapa de riesgos y medidas
anticorrupción de la entidad, será de conocimiento de la alta dirección, y su riesgo
residual será el soporte para aprobación y/o modificación de la política de
administración del riesgo.
b. Los mapas de riesgos deben estar alineados con el Sistema Integrado de gestión y con
la planeación estratégica de la entidad.
![Page 13: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/13.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 13 de 48
c. Se deberá enfatizar la atención sobre los riesgos institucionales residuales que queden
ubicados en zona de riesgos extremos, altos y moderados con propósito de toma de
decisiones en cuanto a su tratamiento.
d. La política institucional de tratamiento de riesgos y oportunidades asociados a los
procesos y medidas anticorrupción para procesos misionales, estratégicos y de apoyo2,
es determinada y aprobada por cada uno de los vicepresidentes y/o por el Comité de
Presidencia como alta dirección; y/o por sus delegados a través del Comité Institucional
del Modelo Integrado de Planeación y Gestión.
e. La alta Dirección y el comité Institucional de Coordinación de Control Interno
determinarán y aprobarán las opciones de tratamiento para los riesgos ubicados en las
zonas de riesgo señaladas anteriormente, o plantearán nuevas alternativas de
tratamiento para todos o algunos riesgos específicos, de acuerdo con los planes
estratégicos y objetivos institucionales. Igualmente, la política ratificará o señalará
parámetros de control y seguimiento.
f. La opción de tratamiento o manejo para los riesgos residuales ubicados en zona de
riesgo extremo, alto o moderado, no podrá ser opción de manejo con “asumir el riesgo”
y por lo tanto deberán tener una propuesta o acción de tratamiento coherente que
busquen disminuir el riesgo. (ver numeral 8.5 Priorización de los riesgos y construcción
de planes y acciones)
g. Los riesgos residuales que queden ubicados en zona de riesgo bajo podrán llevar
cualquiera de las opciones de manejo indicadas por el presente manual “asumir, evitar,
reducir, compartir o transferir el riesgo”. Sin embargo, si se elige como tratamiento para
el riesgo la opción de “asumir el riesgo”, lo cual traducirá que para el año vigente no se
generaran nuevos planes de acción para mitigar el riesgo. Sin embargo, el que se incluya
esta opción no omite la obligación de continuar aplicando los controles establecidos, y
hacer el respectivo seguimiento tanto a estos controles ya implementados como a la
posible materialización del riesgo.
h. El Grupo de Trabajo Interno de Planeación, el Grupo de Trabajo Interno de Riesgos y/o
la alta dirección de la ANI en nombre propio o a través de sus delegados del Comité del
Modelo Integrado de Planeación y Gestión, podrá incluir en el Mapa de Riesgo
Institucional, aquellos riesgos potenciales que no hayan sido incluidos en los mapas de
riesgos por procesos asociándolo al proceso que considere pertinente.
i. La política de transparencia en la ANI será determinada, modificada y aprobada por la
alta dirección en cabeza del presidente de la Agencia Nacional de Infraestructura, bajo
2 http://www.ani.gov.co/sites/default/files/mapa_procesos//mapa_de_procesos_ani.pdf
![Page 14: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/14.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 14 de 48
los lineamientos normativos indicados por la Presidencia de la República o sus entidades
delegadas.
j. Todos los procesos deberán identificar oportunidades que ayuden a potencializar su
gestión o la de la Entidad y en caso de que por recursos esta no sea factible deberá
ponerse en consideración del líder del proceso.
k. Se deberán asignar recursos que permitan evaluar el desempeño de los controles,
asignar indicadores claves de riesgos y metas, que permita identificar o alertar estados
de criticidad o posibles materializaciones de estos.
l. Las acciones de mitigación del riesgo, así como las acciones para desarrollar las
oportunidades deben ser incluidas en el plan de acción de la Entidad con el fin de llevar
un solo control.
m. De igual forma los ajustes o nuevos lineamientos de política para la administración de
riesgos y medidas de transparencia que deba tomar la alta dirección, podrán ser
legalizados a través de actas aclaratorias, ayudas de memoria o memorandos. Para las
cuales se sugiere tener en cuenta lo siguiente:
✓ Definir los objetivos que se esperan obtener.
✓ Priorizar los riesgos que pueden generar mayor impacto en la entidad y que afecte
a los productos y servicios generados para el cumplimiento de la misión y objetivos
institucionales.
✓ Tener en cuenta el plan estratégico, plan sectorial y planes de acción.
✓ Tener en cuenta los procedimientos aprobados dentro del Sistema Integrado de
Gestión.
✓ Pensar en los componentes que conforman la cadena productiva del proceso y no
solo las áreas.
✓ Determinar políticas y/o estrategias a largo, mediano y corto plazo.
✓ Determinar una línea base de recursos disponibles.
✓ Si se sugieren estrategias a largo y mediano plazo, dejar definidas políticas, recursos
necesarios y líder responsable.
✓ Plantear responsables para la implementación, seguimiento de las políticas y otros
responsables diferentes para actividades de evaluación de efectividad y auditoria.
![Page 15: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/15.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 15 de 48
6.1. Políticas Operativas para Mapas de Riesgos Institucionales y de
Medidas Anticorrupción
a. Las actividades de consolidación y difusión de políticas sobre los mapas de riesgos de la
entidad, serán coordinadas por la Vicepresidencia de Planeación Riesgos y Entorno en
cabeza del Grupo Interno de Trabajo Planeación y del Grupo Interno de Trabajo de
Riesgos.
b. Los mapas de riesgos deberán ser aprobados por los líderes de los correspondientes
procesos. Sin embargo, el Grupo Interno de Planeación; el Grupo de Trabajo Interno de
Riesgos y/o la Alta Dirección de la ANI en nombre propio o a través de sus delegados
del Comité Institucional de gestión del desempeño, podrán solicitar se incluyan en el
Mapa de Riesgo Institucional, aquellos riesgos potenciales que no hayan sido incluidos
en los mapas de riesgos por procesos.
c. El mapa de riesgos institucional se realizará consolidando todos los procesos de la
Agencia, y tendrá como base el mapa de procesos vigente.
d. El mapa de riesgos anticorrupción se realizará para los procesos misionales,
estratégicos, así como para los de apoyo, enfocando las áreas identificadas en la Agencia
como áreas posiblemente vulnerables en razón a sus actividades y procedimientos.
e. Los mapas de riesgos deberán ser consolidados, publicados y socializados a toda la
entidad propendiendo por el desarrollo de la cultura organizacional de gestión de
riesgos.
f. La actualización de los mapas de riesgos y oportunidades institucional y de cada
proceso, así como los mapas de riesgos de corrupción, se realizará de forma anual según
lineamientos normativos, salvo que las necesidades del servicio requieran su
actualización con otra periodicidad.
g. La eliminación de cualquier riesgo y oportunidad institucional o de corrupción deberá
ser justificada y aprobada por el líder del proceso o en cabeza del vicepresidente que
corresponda y deberá registrarse en la matriz de cambios de la Entidad. Sin embargo y
en virtud del Acta Aclaratoria del Riesgo del 8 de mayo de 2015, producto de reunión
con el Vicepresidente de Planeación, se aclaró que, de presentarse justificaciones poco
argumentadas, el área encargada del manejo de Riesgos de la Entidad deberá pedir
ampliación de la justificación hasta tanto encuentre que la entidad no tendrá
inconvenientes por dicha eliminación. Para lo cual se podrá solicitar la intervención de
otros vicepresidentes que puedan dirimir la decisión.
![Page 16: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/16.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 16 de 48
h. El Grupo Interno de Planeación, efectuará seguimiento semestral y monitoreo anual a
los mapas de riesgos y oportunidades de acuerdo con el plan de acción. Sin embargo,
esto no exime de la función de monitoreo y seguimiento permanente que deberán
realizar los líderes de cada proceso.
i. Teniendo en cuenta la norma ISO 27001 de Seguridad de la Información y el decreto
612 de 2018, el equipo de trabajo de sistemas deberá apoyar en la actualización de los
riesgos de seguridad de la información a los que se puedan ver expuestos los diferentes
procesos de la Entidad, teniendo en cuenta los principios de gestión de riesgos para
procesos del que trata el presente manual.
j. Las opciones de tratamiento de los riesgos deberán estar dentro de la política de
administración de riesgos y oportunidades aprobadas para la Agencia.
k. La Oficina de Control Interno, liderará las actividades de evaluación de conformidad con
el plan anual de auditorías internas y de acuerdo con las necesidades requeridas.
l. Todos los servidores públicos de la Agencia, en el marco de sus funciones y obligaciones
son responsables por aplicar mecanismos de control adecuados que busquen mitigar
los riesgos a los que están expuestas las labores designadas. Incluso aquellos riesgos
que enmarcados en sus responsabilidades no se encuentren especificados en el mapa
de riesgos institucional y de Anticorrupción.
m. La confiabilidad de la información a publicar será responsabilidad de quien tenga las
funciones de la administración y la gestión de riesgos de la Entidad.
7. DOCUMENTACION ASOCIADA LA GESTION DEL RIESGO
7.1. Procedimientos
Mapa Oficial de Procesos de la Agencia Nacional de Infraestructura - ANI
SEPG-P-011 Construcción de mapas, seguimiento y monitoreo de riesgos y oportunidades
institucional por proceso y riesgos Anticorrupción.
7.2. Formatos para Construcción de Mapas de Riesgo Institucional
7.2.1. Formatos Mapa de Riesgo Institucional:
SEPG-F-009 Mapa de Riesgo Institucional
![Page 17: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/17.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 17 de 48
SEPG-F-061 Matriz Riesgo Institucional
7.2.2. Formatos para Mapas de Riesgos por Proceso:
SEPG-F-040 Contexto Estratégico de la Entidad.
SEPG-F-007 Identificación de Riesgos.
SEPG-F-012 Consolidado Calificación del Riesgo.
SEPG-F-013 Matriz Calificación del Riesgo.
SEPG-F-014 Mapa de Riesgos por Proceso.
SEPG-F-043 Seguimiento a Mapa de Riesgos por Procesos y Medidas Anticorrupción
7.3. Formatos para Construcción Mapas de Riesgo y Medidas
Anticorrupción
SEPG-F-057 Identificación Riesgos relacionados con corrupción
SEPG-F-059 Consolidado calificación del riesgo relacionado con corrupción
SEPG-F-060 Formato para determinar impacto de riesgo de corrupción
SEPG-F-061 Matriz de Riesgo de corrupción
SEPG-F-030 Mapa de Riesgos y Medidas de Control Anticorrupción
SEPG-F-043 Seguimiento a Mapa de Riesgos por Procesos y Medidas Anticorrupción
EVCI-F-017 (Oficina de Control Interno) “Seguimiento a las estrategias para la construcción del
plan anticorrupción y de atención al ciudadano”.
7.4. Otros Documentos de Gestión de Riesgos
Fuente del riesgo
Ciclo PHVA por proceso
Matriz de cambios por proceso
SEPG-F-045 Materialización de Riesgos.
![Page 18: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/18.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 18 de 48
SEPG-I-007-Metodología para el Análisis de Causas
SEPG-F-072 Informe ejecutivo de seguimiento riesgos por proceso y anticorrupción
8. METODOLOGÍA PARA LA ADMINISTRACIÓN Y ELABORACION DE
MAPAS DE RIESGOS Y OPORTUNIDADES INSTITUCIONAL Y POR
GESTION DE PROCESOS
A continuación, se presentan el procedimiento indicados por el Departamento de la Función Pública
y la norma ISO 31000 e ISO 9001:2015, adaptados por la Agencia Nacional de Infraestructura para
la adecuada administración de riesgos, los elementos que lo componen son:
Proceso General de la Gestión del Riesgo, Adaptado de la Guía de Administración de Riesgo DAFP
2014/ – NTC-ISO 31000- ISO 9001:2015
Los anteriores elementos del DAFP se interpretarán para el presente manual, como pasos o etapas
necesarias para la administración y gestión del riesgo por procesos. A continuación, se explica con
mayor detalle la secuencia lógica para desarrollar cada etapa:
Evaluación y Retroalimentación
![Page 19: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/19.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 19 de 48
➢ Para el desarrollo de los mapas de riesgos y oportunidades por procesos es importante
conformar un equipo que se encargue de liderar el proceso de administración del riesgo
dentro de cada uno de los procesos de la ANI, este equipo lo deben integrar personas de las
diferentes áreas del proceso, que conocen el funcionamiento de este o tiene capacidad de
liderazgo para trabajar con las personas claves del proceso.
➢ El equipo de trabajo designado por el líder de cada proceso desarrollará los mapas de riesgo
y actividades de administración de riesgos para su proceso, teniendo en cuenta cada uno
de los elementos de control explicados a continuación.
8.1. Análisis del Contexto Estratégico:
Permite tener una visión sistémica de la gestión de la organización, para lo cual se debe analizar
periódicamente los factores tanto del entorno interno como externo cuya revisión debe hacer
mínimo de forma anual. Es una herramienta básica que facilita la identificación de riesgo, en la
medida que identifica las fuentes que pueden dar origen a los riesgos y oportunidades en los
procesos de la Agencia al analizar las debilidades y amenazas, así como es una herramienta para la
construcción de acciones de mitigación, en la medida que se identifican oportunidades y fortalezas
de la entidad. En este ejercicio se analizan las condiciones internas y externas (del entorno), que
pueden generar eventos que podrían originar situaciones o afectaciones negativamente el
cumplimiento de la misión, objetivos de la Agencia o acciones de mejora que pueden permitir
potencializar el cumplimiento de la misión, objetivos de la Agencia.
Análisis Interno: El análisis interno se realiza identificando debilidades y fortalezas en la
organización que puedan interferir con el logro de los objetivos corporativos. Están relacionadas
con la estructura, cultura organizacional, el modelo de operación por procesos, el cumplimiento de
los planes y programas, los sistemas de información, los procesos y procedimientos, los recursos
humanos, técnicos y económicos o financieros con los que cuenta la entidad.
Análisis Externo: Aquí se identifican circunstancias externas a la entidad que pueden intervenir en
el cumplimiento de los objetivos. Las cuales pueden ser de carácter social, cultural, económico,
ambientales, cambios tecnológicos, político- legal, internacional, nacional o regional según sea el
análisis.
![Page 20: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/20.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 20 de 48
Igualmente, para realizar el ejercicio se requiere tener en cuenta tanto la misión, visión, focos y
objetivos estratégicos de la Entidad.
A manera de ejemplo se presenta la siguiente tabla:
8.1.1. Técnicas para establecer el Contexto Estratégico:
Es importante tener presente que el objetivo de esta etapa es reunir toda la información que
permita tener una mirada global sobre los factores de riesgo y oportunidad que rodean a la Agencia
y al proceso que se está analizando. El contexto estratégico es la base para la identificación del
riesgo y oportunidad, dado que su análisis, suministrará mucha información sobre las causas del
riesgo. Existen varias técnicas que pueden ser usadas individualmente o de manera combinada,
algunas son:
Talleres de Trabajo: Reunión con el personal de diversas funciones o niveles de la entidad, con el
propósito de aprovechar el conocimiento colectivo del grupo y desarrollar una lista de
acontecimientos que están relacionados con la entidad o con un proceso específico.
Técnica Lluvia de Ideas: Usualmente se utiliza la técnica de lluvia de ideas para identificar todo
aquello que puede ser considerado dentro del análisis de riesgos y para que esta sea eficaz, se debe
considerar que:
![Page 21: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/21.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 21 de 48
1. Debe haber un moderador que tome nota y que organice las exposiciones de todos los
participantes, indicando el tiempo que cada cual tiene para presentar sus ideas.
2. Es más importante la cantidad de ideas que la calidad de las mismas. Todas las ideas son
valiosas para el proceso de recopilación de información.
3. No se deben calificar las ideas como buenas o malas, son simplemente puntos de vista que
capitalizados pueden brindar alternativas no consideradas.
4. Es importante soportarse en las ideas de los otros. Es decir, agregar valor a las apreciaciones
de otros o considerar situaciones a partir de las mismas.
5. El análisis de las ideas se debe realizar al final. El moderador designado será quien las
organizará y las expondrá a manera de resultado.
6. Todos deben participar de manera equitativa, es importante no fijar la atención en pocos
participantes, ni mantenerse en la palabra sin dar la oportunidad a otro de expresar sus
ideas.
Fuentes Secundarias: Igualmente pueden utilizarse diferentes fuentes de información tales como
registros históricos, experiencias significativas registradas, informes de años anteriores, informes de
auditorías, estudios realizados por terceros para el sector. De igual forma se permite el uso de otras
metodologías, tales como: Juicios de expertos, Matriz PESTEL, Matriz MEFE Y MEFI.
Las ideas deben ser recaudadas y consignadas en el formato “Contexto Estratégico” (SEPG-F-040).
Este ejercicio se deberá realizar de acuerdo con las políticas operativas de administración de riesgos
como mínimo una vez al año, teniendo en cuenta que la dinámica de las Entidades.
8.2. Identificación de Riesgos y Oportunidades
Consiste en determinar potenciales eventos o situaciones que podrían afectar el cumplimiento de
los objetivos del proceso en estudio y que oportunidades pueden potencializar el cumplimiento de
la misión y objetivos de la Entidad. Para que el mapa de riesgos y oportunidades que se construya
se convierta en una herramienta eficaz, se deberán tener enfoques de análisis hacia los riesgos y
oportunidades significativas que pueden afectar o potencializar el cumplimiento del objetivo del
proceso y/o de la Agencia, y no en riesgos y oportunidades que pueden ser catalogados como menos
significativos y que pueden ser fácilmente controlados o no generen impacto en la Entidad.
Este primer análisis es desarrollado en primera instancia por el equipo de trabajo conformado por
integrantes de las áreas que están involucrados en cada uno de los procesos, quienes son las
personas más idóneas porque conocen al detalle las actividades que se desarrollan en el mismo. En
segunda instancia esta etapa podrá ser ajustada por los líderes de proceso, y/o el Grupo Interno de
Calidad, el Grupo Interno de Trabajo de Riesgos de la Agencia quienes, debido a su función; a la
visión integral del sistema de calidad; de riesgo institucional consolidado y al conocimiento y manejo
![Page 22: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/22.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 22 de 48
de otros planes de la Agencia, pueden determinar la existencia de riesgos importantes adicionales
a los detectados.
El proceso de la identificación del riesgo y oportunidad debe ser permanente e interactivo basado
en el resultado del análisis del contexto estratégico. Por lo tanto, es importante tener en cuenta los
factores analizados anteriormente y otros adicionales que pueden incidir en la aparición de los
riesgos. Es importante además tener presentes los objetivos del proceso, el ciclo PHVA del proceso,
las salidas o productos del proceso, así como es de utilidad de considerar los hallazgos de control
interno y los diferentes entes de control y el resultado de las auditorías internas y externas de los
diferentes Sistemas Integrados de Gestión.
En la identificación del riesgos y oportunidades se deben incluir no solo eventos que estén bajo el
control de la organización, sino aquellos que dependen de personas externas a la entidad.
Igualmente se deben incluir aquellos eventos o riesgos que aún no hayan ocurrido, y aquellos que
se han materializado (han ocurrido) y se pudiesen volver a presentar. Lo anterior no reemplaza las
acciones correctivas y/o de mejora que se deban presentar en cumplimiento de planes de mejora u
otros compromisos frente a riesgos materializados; sino que se debe entender como una acción
preventiva y de mitigación que forma parte de la gestión de riesgos.
El presente esquema da una idea general de los pasos a seguir para la identificación:
Mesa de trabajo
Revisar:
1. Caracterización de
proceso
2.FODA
3. Resultados de
auditorias
4. Hallazgos de los Entes
de Control
Identifica Fuente o
factor de riesgo
- Causas y consecuencias
del riesgo.
- Efectos de la Oportunidad
Establecimiento del
contexto de la Entidad
Contexto Externo
Contexto Interno
![Page 23: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/23.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 23 de 48
8.2.1. Proceso para identificar los riesgos y oportunidades
• Teniendo en cuenta el objetivo del proceso seleccionado, se deben identificar los riesgos
inherentes al proceso, clasificando el riesgo(s) del mismo.
• Realizar una breve descripción del riesgo teniendo cuidado de usar lenguaje claro, sencillo,
conciso, que no permita espacio para interpretaciones ni ambigüedades.
• Identificar y efectuar el listado de las causas que pueden generar el riesgo. Para lo anterior
se considera útil observar el ejercicio de contexto estratégico para tal fin.
• Describir las consecuencias que puede ocasionar este riesgo (explicación breve)
• En el caso de la oportunidad se deberá describir la misma y considerar los posibles efectos
para la Entidad.
Consideración Importante:
• El riesgo continúa incluso con los controles.
• Es importante saber que la ausencia de control no es un riesgo.
• Los controles pueden reducir el impacto o la probabilidad de ocurrencia del riesgo.
¿Qué se debe tener en
cuenta para identificar
los riesgos y
Oportunidades?
➢ Entender y conocer el proceso (Caracterización del proceso).
➢ Identificar el objetivo del proceso.
➢ Revisar los factores de riesgo detectados en la etapa del análisis del
contexto estratégico.
➢ Buscar los puntos claves de decisión en el proceso.
➢ Identificar “qué puede fallar” para cada actividad clave del proceso.
➢ Es bueno preguntarse ¿Qué puede suceder, ¿dónde y cuándo? ¿Por qué
y Cómo puede suceder?
➢ Tener en cuenta la experiencia adquirida en la ejecución de las
actividades del proceso en el que participa.
➢ Identificar las buenas prácticas de las diferentes entidades del sector
➢ Conocer el plan estratégico de la Entidad con el fin de definir
oportunidades que ayuden a potencializar el cumplimiento de este.
![Page 24: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/24.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 24 de 48
• Enfoque la atención en los riesgos más significativos para la entidad relacionados con los
objetivos de los procesos y los objetivos institucionales.
8.2.2. Qué se debe tener en cuenta al redactar un riesgo
1. El riesgo debe estar escrito en un lenguaje común y comprensible para toda la Agencia.
2. Debe responder fácilmente a la pregunta si ocurre el riesgo ¿Qué pérdida se generada? Es
decir, permite identificar la pérdida potencial: fraude, multa, demanda, reproceso, robo,
sanción, etc.
3. Debe permitir establecer la probabilidad e impacto, obteniendo así la calificación del
mismo.
4. Se debe evitar las negaciones para expresar el riesgo.
5. La ausencia de control no es un riesgo.
Ejemplo de redacción:
No conseguir permisos oportunamente……
☺ Demoras en la obtención de licencia y permisos .…...
8.2.3. Técnicas para la identificación de riesgos y Oportunidades
En esta etapa se puede utilizar la metodología de lluvia de ideas; Lego Serious Play u otras técnicas
grupales que faciliten que surjan nuevas ideas sobre un tema o problema determinado. Se busca la
generación de la mayor cantidad posible de ideas o identificación de riesgos y oportunidades
partiendo del principio del pensamiento divergente.
Técnica Lluvia de Ideas
La lluvia de ideas es una técnica de grupo para generar ideas originales en un ambiente relajado, en
la cual de una manera organizada dirigida por un moderador y en un periodo breve de tiempo de
los actores que interviene en el proceso, se lanzan creativamente ideas teniendo en cuenta el
contexto. Las ideas son consignadas de forma escrita por un miembro del equipo designado.
Posteriormente se analizan las ideas y se filtran aquellas que afecten de manera directa al logro de
los objetivos del proceso o a los objetivos estratégicos de la entidad.
![Page 25: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/25.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 25 de 48
Mesas de Trabajo LEGO SERIOUS PLAY
LEGO SERIOUS PLAY, es una técnica de trabajo en equipo que combina pensamiento, comunicación y resolución de problemas. Actúa como un “facilitador de conversaciones y resolución de problemas. A través de la pregunta de un facilitador, cada participante construye su propio modelo tridimensional utilizando piezas especializadas LEGO. Los modelos sirven de base para discusiones grupales y toma de decisiones concretas.
Análisis del riesgo desde la documentación del proceso:
Una forma práctica de identificar los riesgos del proceso es partir del incumplimiento de los
objetivos del proceso partiendo del peor escenario para cada una de las salidas y/o productos
del proceso.
Ejemplo (usado solo para fines didácticos):
Objetivo del proceso: Realizar el proceso de contratación de los proyectos…...
Peor escenario: Imposibilidad para efectuar proceso de contratación de proyectos.
Pregúntese: ¿Qué puede pasar? ¿Qué me llevaría a este escenario?
• Ausencia o bajo presupuesto aprobado - Ausencia de soportes técnicos.
• Cláusulas con interpretación legal erróneas.
Para la identificación de otros riesgos es muy útil tener como pauta las salidas del proceso (ver
caracterización del proceso), que corresponden al producto o servicio final así:
Salida/Producto Otros Riesgos Asociados
• Plan de Adquisiciones
• Cálculos sobre precios subestimados.
• Errores en las estimaciones técnicas de las cotizaciones.
• Objeto del contrato ambiguo.
• Pólizas u otras garantías aprobadas
• Error en el alcance de la cobertura contratada.
• Garantías sin los requisitos legales necesarios. (beneficiario; fecha de inicio y fin; valor; firmas)
![Page 26: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/26.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 26 de 48
8.2.4. Técnicas para identificar las causas y consecuencias:
Para realizar el análisis de las causas y sus consecuencias existen varias técnicas tales como lluvias
de ideas, técnicas de metalenguaje de riesgo y espina de pescado, Lego Serious Play, entre otras.
8.2.4.1. Técnica del Metalenguaje de Riesgos
El metalenguaje, hace referencia a una técnica nos permite usar otra terminología para hablar
acerca de otra lengua inclusive si se trata del mismo español, con el fin de lograr una mayor
comprensión. Es por esto que, para entender completamente un riesgo, es útil identificar sus causas
además de sus efectos. El metalenguaje de riesgos puede ayudar al dividir el conjunto causa-riesgo-
efecto en una descripción de tres partes, tal como “debido a…” una o más causas, “podría ocurrir….”
(Un riesgo), “lo que podría llevar a…” (Uno o más efectos). Esta técnica estructurada no sólo asegura
la definición clara del riesgo, sino que también puede ayudar a desarrollar respuestas necesarias.
Debido a…… Podría Ocurrir…… Lo que podría llevar a…
Factores generadores (debilidades y amenazas)
de un riesgo.
Evento / riesgo ocasionado
Consecuencias o impacto si ocurre el riesgo.
Esta técnica es usada especialmente cuando se tienen dudas sobre cuales enunciados son causas,
eventos o efectos.
Ejemplo:
(Causas) Debido a……
(Evento) Podría Ocurrir……
(Efecto) Lo que podría llevar a…
Desconocimiento de cambios en la normatividad
Clausulado con errores de interpretación legal.
Demandas al contrato Detrimento patrimonial
(Causas) Debido a……
(Evento) Podría Ocurrir……
(Efecto) Lo que podría llevar a…
Falta de mantenimiento de equipos de computo
Daño en los servidores que guardan información
Pérdida de información
![Page 27: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/27.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 27 de 48
Formulario para Identificación del Riesgo y oportunidades:
Para que todos los participantes de la Agencia visualicen el riesgo y oportunidad se utilizará el
formato titulado “Identificación de riesgos y oportunidades” (SEPG-F-007), en él se deberá consignar
los riesgos y oportunidades identificados, la descripción del riesgo, las causas, los efectos o
consecuencias y la clasificación del riesgo y oportunidades, Para esto se debe tener en cuenta lo
siguiente:
Origen de la Identificación del riesgo: Se debe realizar el análisis con el contexto estratégico de la
Entidad (FODA), objetivo del proceso, hallazgos de entes de control, caracterización del proceso,
hallazgos de auditorías de los sistemas de gestión.
Riesgo identificado: Nombre el evento /riesgo que podría presentarse.
Descripción del Riesgo: Se refiere a las características generales o las formas en que se observa o
manifiesta el riesgo identificado. La descripción del riesgo debe estar escrita de manera clara, sin
que su redacción dé lugar a ambigüedades o confusiones con las causas generadoras de los riesgos.
Posibles consecuencias o efectos: El resultado de un evento expresado cualitativa o
cuantitativamente, sea éste una pérdida, perjuicio, desventaja o ganancia, frente a la consecución
de los objetivos de la entidad o el proceso.
Causas: Son todo aquello que se pueda considerar fuente generadora de eventos (riesgos). Las
fuentes generadoras o agentes generadores son las personas, los métodos, las herramientas, el
entorno, lo económico, los insumos o materiales entre otros.
Tipo de Riesgo: Existen muchas clasificaciones de riesgos una de ellas está dada según su naturaleza
en estratégicos, de imagen, operativos, financieros de cumplimiento, y de tecnología. En el formato
![Page 28: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/28.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 28 de 48
Oportunidad: Posibilidad de lograr una mejora que tendrá un impacto positivo sobre los objetivos
institucionales o del proceso. Se expresa en términos de factibilidad y viabilidad.
Descripción de la Oportunidad: Se refiere a las características generales o las formas en que se
observa o manifiesta la oportunidad al interior del proceso o la Entidad. La descripción de la
oportunidad debe estar escrita de manera clara, sin que su redacción dé lugar a ambigüedades o
confusiones.
¿Qué genera la Oportunidad?: El desarrollo de la oportunidad que mejoras genera al interior de la
Entidad, en cuanto a la optimización y eficiencia de los procesos.
Posibles Efectos: Hace referencia a los efectos negativos y positivos que al adoptar la oportunidad
pueda enfrentar el proceso o la Entidad.
Clasificación de los riesgos y oportunidades.
SEPG-F-007 “Identificación del Riesgos y oportunidades” diligencie la casilla “tipo de riesgo ó tipo
de oportunidad” teniendo en cuenta los siguientes conceptos:
1. Estratégicos: Se asocia con la forma en que se administra la Entidad. El manejo del riesgos
y oportunidades estratégicas se enfoca a asuntos globales relacionados con la misión y el
cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad.
2. Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia
la institución.
3. Operativos: Comprenden riesgos y oportunidades provenientes del funcionamiento y
operatividad de los sistemas de información institucional, de la definición de los procesos,
de la estructura de la entidad, de la articulación entre dependencias.
4. Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes.
5. Cumplimiento: Asociados con la capacidad de la entidad para cumplir con los requisitos
legales, contractuales, éticos, de transparencia y en general con su compromiso ante la
comunidad.
6. Tecnología: Están relacionados con la administración y capacidad tecnológica de la Entidad
para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
7. Técnicos: Asociados al manejo de los proyectos, identifican posibles problemas de diseños,
calidad, requisitos, aplicabilidad, rendimiento y fiabilidad, implementación y/o aplicación de
políticas para puesta en marcha de los proyectos.
![Page 29: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/29.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 29 de 48
8.2.4.2. Técnica de Análisis de Causas
De igual forma, existe una técnica cuyo objetivo es realizar el análisis de causas de las acciones correctivas, preventivas y de mejora del Sistema Integrado de Gestión de la ANI. Para lo cual se sugiere consultar la Metodología para el Análisis de Causas-SEPG-I-007.
8.3. Análisis de Riesgos y Oportunidades
El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de
sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer
el nivel de riesgo, su priorización y estrategia de tratamiento de estos. El objetivo de esta etapa es
el de establecer una valoración y priorización de los riesgos.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:
• Probabilidad: La posibilidad de ocurrencia del riesgo, representa el número de veces que el
riesgo se ha presentado en un determinado tiempo o pudiese presentarse.
• Impacto: Hace referencia a las consecuencias que puede ocasionar a la organización la
materialización del riesgo; se refiere a la magnitud de sus efectos.
Se sugiere realizar este análisis con todas o las personas que más conozcan del proceso, y que por
sus conocimientos o experiencia puedan determinar el impacto y la probabilidad del riesgo de
acuerdo con los rangos señalados en las tablas que se muestran más adelante.
Formulario para análisis de riesgo:
Para realizar el análisis de riesgo de un proceso, se propone la utilización del “Formato Consolidado
Calificación del Riesgo” (SEPG-F-012) en el cual cada persona del equipo deberá calificar el impacto
y la probabilidad de cada uno de los riesgos identificados de acuerdo con los siguientes criterios:
PROBABILIDAD
Concepto Valor Descripción Frecuencia
Raro 1
El evento puede ocurrir sólo en circunstancias
excepcionales.
No se ha presentado
en los últimos 5 años
Improbable 2
Es muy poco factible que el evento se presente. Al menos de 1 vez en
Los últimos 5 años.
![Page 30: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/30.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 30 de 48
Posible 3
El evento podría ocurrir en algún momento. Al menos de 1 vez en
Los últimos 2 años.
Probable 4 El evento probablemente ocurrirá en la mayoría de las
circunstancias,
Al menos de 1 vez en
El último año.
Casi Certeza 5 Se espera que ocurra en la mayoría de las
circunstancias
Más de 1 vez al año.
Adaptado para la ANI de la Guía de Riesgos DAFP, 2013
IMPACTO
Concepto Valor Descripción
Insignificante 1 La materialización del riesgo puede ser controlado por los participantes del
proceso, y no afecta los objetivos del proceso.
Menor 6
La materialización del riesgo ocasiona pequeñas demoras en el cumplimiento de
las actividades del proceso, y no afecta significativamente el cumplimiento de los
objetivos del mismo. Tiene un impacto bajo en los procesos de otras áreas de la
Agencia.
Moderado 7
La materialización del riesgo demora el cumplimiento de los objetivos del
proceso, y tiene un impacto moderado en los procesos de otras áreas de la
Agencia. Puede además causar un deterioro en el desarrollo del proceso
dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que éste
se desarrolle en forma normal.
Mayor 11
La materialización del riesgo retrasa el cumplimiento de los objetivos de la ANI y
tiene un impacto significativo en la imagen pública de la Agencia y/o de la Nación.
Puede además generar impactos en: la industria; sectores económicos, el
cumplimiento de acuerdos y obligaciones legales nacionales e internacionales;
multas y las finanzas públicas; entre otras
Catastrófico 13
La materialización del riesgo imposibilita el cumplimiento de los objetivos de la
Agencia, tiene un impacto catastrófico en la imagen pública de la Agencia y/o de
la Nación. Puede además generar impactos en: sectores económicos, los
mercados; la industria, el cumplimiento de acuerdos y obligaciones legales
nacionales e internacionales; multas y las finanzas públicas; entre otras.
Adaptado para la ANI de la Guía de Riesgos DAFP, 2013
El análisis de la oportunidad busca establecer la viabilidad y/o Factibilidad para llevar acabo las
acciones de mejora al interior de los procesos, considerando sus efectos ambientales, sociales,
comerciales, financieros y legales y técnicos. El objetivo de esta etapa es el de establecer la
posibilidad que existe de ejecutar la oportunidad.
![Page 31: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/31.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 31 de 48
Para adelantar el análisis de la oportunidad se deben considerar los siguientes aspectos:
➢ Viabilidad: Es la posibilidad de llevar a cabo un proyecto desde el punto de vista ambiental,
legal, social, comercial y técnico.
➢ Factibilidad: Se refiere a la disponibilidad de los recursos necesarios para llevar a cabo los
objetivos o metas señaladas.
Se sugiere realizar este análisis con todas o las personas que más conozcan del proceso, y que la
misma sea aprobada previamente por el líder del proceso, considerando el conocimiento que este
tiene sobre los diferentes planes de la Entidad.
Para valorar las oportunidades se deben considerar los siguientes conceptos:
Viabilidad Impacto
Valor Descripción Letra Descripción
1 Inviable F Financieramente
2 Factible L Legalmente
3 Viable M Mercado/comercialmente
C conocimiento/ knowhow
A Ambientalmente
8.3.1. Determinación del Riesgo Inherente y Matriz de Riesgo:
El análisis del riesgo determinado por su probabilidad e impacto permite tener una primera
evaluación del riesgo inherente (escenario sin controles) y ver el grado de exposición al riesgo que
tiene la entidad. La exposición al riesgo es la ponderación de la probabilidad e impacto, y se puede
ver gráficamente en la matriz de riesgo, instrumento que muestra las zonas de riesgos y que facilita
el análisis gráfico. Permite analizar de manera global los riesgos que deben priorizarse según la zona
en que quedan ubicados los mismos (zona de riesgo bajo, moderado, alto o extremo) facilitando la
organización de prioridades para la decisión del tratamiento e implementación de planes de acción.
(En riesgos de corrupción existen otras clasificaciones, ver numeral 13)
![Page 32: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/32.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 32 de 48
Esquema general de Matriz de Riesgo Institucional y Zonas de Riesgo Institucional para la ANI –
adaptado del DAFP.
Para fines didácticos y para la construcción de los planes y acciones de mitigación, el formulario para
la construcción del mapa de riesgos y oportunidades por procesos tiene un formato (Matriz de
Riesgos y oportunidades SEPG-F-014) que le permite ubicar gráficamente el riesgo según la zona de
riesgo. Sin embargo, la utilización de la matriz de riesgos se utilizará principalmente para mostrar
gráficamente los riesgos institucionales. (Matriz que consolida los mapas de riesgo por proceso)
Las zonas se diferencian por colores y por número de la zona así:
Zona de Riesgo
B: Zona de riesgo Baja (Color Verde): 5 zonas, siendo Z- 5 la zona de mayor riesgo.
M: Zona de riesgo Moderada (color Amarillo): 4 zonas, siendo Z- 9 la zona de mayor riesgo.
A: Zona de riesgo Alta (Color Rojo): 8 zonas, siendo Z- 17 la zona de mayor riesgo.
E: Zona de riesgo Extrema (Color Vino tinto): 8 zonas , siendo la Z-25 la de más alto riesgo.
8.4. Valoración de Riesgos
Hasta este punto se tienen los riesgos inherentes a los que está expuesta la entidad, que
corresponde al riesgo sin controles, ni acciones de tratamiento. En la etapa de valoración del
riesgo se deberán confrontar los resultados de la evaluación del riesgo con los controles vigentes
que tiene el proceso, esto se hace con el objetivo de establecer prioridades para su manejo y
para la fijación de políticas.
![Page 33: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/33.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 33 de 48
Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes
en los diferentes procesos, los cuales permiten obtener información para efectos de tomar
decisiones.
El proceso para la valoración del riesgo, parte de la evaluación de los controles existentes. Para
lo cual se deberá diligenciar el formato “Mapa de riesgos y oportunidades” (SEPG-F-014) en el
que, de forma general se deberá tener en cuenta lo siguiente:
a. Establecer a que expresión del umbral de riesgo está dirigido el control descrito:
✓ Orientado a disminuir la probabilidad: Controles que están orientados a disminuir
la frecuencia de materialización del riesgo.
✓ Orientado a disminuir el impacto: Controles orientados a minimizar las
consecuencias del riesgo una vez el mismo se ha materializado.
b. Describir los controles, estableciendo si son preventivos o correctivos:
• Controles Preventivos: Aquellos que actúan para eliminar las causas del riesgo para
prevenir su ocurrencia o materialización.
• Controles Correctivos: Aquellos que permiten el restablecimiento de la actividad,
después de ser detectado un evento no deseable; también permiten la modificación
de las acciones que propiciaron su ocurrencia.
c. Valorar los controles de manera cuantitativa para saber con exactitud en qué
magnitud disminuye el riesgo al que está expuesto el proceso analizado, teniendo en cuenta
los siguientes criterios:
Metodología DAFP, 2014
¿TIENE
HERRAMIENTA
PARA EJERCER EL
CONTROL?
¿EXISTEN
MANUALES, O
INSTRUCTIVOS
PARA EL
MANEJO DE LA
HERRAMIENTA?
¿LA
HERRAMIENTA
HA
DEMOSTRADO
SER EFECTIVA?
¿ESTAN
DEFINIDOS LOS
RESPONSABLES
DE SU
EJECUCION Y
SEGUIMIENTO?
¿LA
FRECUENCIA DE
EJECUCION DEL
CONTROL Y
SEGUIMIENTO
ES ADECUADA?
0 = NO 0 = NO 0 = NO 0 = NO 0 = NO
15 = SI 15 = SI 30 = SI 15 = SI 25 = SI
![Page 34: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/34.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 34 de 48
Nota: La calificación de los controles deberá tener los documentos necesarios que soporten la
evaluación suministrada.
d. Cálculo del Riesgo Residual: Una vez asignado el puntaje a cada uno de los controles, el
“Formato Valoración del Riesgo” (SEPG-F-008) indicará a que zona de la matriz se desplazó el
riesgo luego de valorar las medidas de control, o si por el contrario el riesgo se mantiene
ubicado en la misma zona, debido a que los controles son catalogados como bajos.
Criterio Rango de Calificación de los Controles
Cuadrantes a Disminuir
Control Robusto Entre 76-100 -2
Control Moderado Entre 51-75 -1
Control Bajo Entre 0-50 0 Adaptado de la Guía para la Administración de Riesgo 2014 DAFP
Para el caso de las oportunidades no se realiza valoración de controles ya que solo se relaciona el plan de
acción que nos permitirá desarrollar la mejora identificada para los procesos o la Entidad.
8.5. Priorización de los riesgos y Oportunidades y construcción de planes
y acciones
Es importante tener presentes los riesgos que posterior al análisis y puntuación de los controles
(riesgo residual) quedaron ubicados en la zona de riesgo extremo, alto y moderado, para hacer
una revaluación de los controles y/o el diseño de las acciones y/o medidas a tomar.
Para el tratamiento y establecimiento de las “acciones requeridas para mitigar los riesgos” que
se deben diligenciar en el “Formato Mapa de Riesgos por Procesos” (SEPG-F-014), se deben tener
en cuenta los siguientes criterios sugeridos3 :
• Para los riesgos residuales que se ubiquen en la matriz de riesgo dentro de la zona de
“Riesgos Extremos y/o Riesgos Altos”, se establecerán planes de acción a corto plazo.
• Para los riesgos residuales ubicados en la zona de “Riesgos Moderados” se establecerán
planes de acción a mediano y/o largo plazo
3 Las sugerencias para el manejo del riesgo según la zona de riesgo, son tomadas de la Guía de Administración de Riesgos de la DAFP.
Sin embargo estas pueden variar o ser complementadas de acuerdo con la política de riesgos que apruebe la alta dirección.
![Page 35: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/35.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 35 de 48
• Para los riesgos residuales ubicados en “Riesgos Bajos”, se establecerán planes de acción a
mediano y/o largo plazo, y/o se diseñarán actividades para su monitoreo.
• Las acciones requeridas para mitigar el riesgo deben propender por la eliminación,
mitigación y el control de las causas que pueden generar el riesgo para lo cual se debe
revisar el ejercicio “identificación del Riesgo” (SEPG-F-007).
Zona de Riesgo Opciones de Manejo del Riesgo
(revisar políticas de riesgos)
B: Zona de riesgo Baja (Color Verde) (5 zonas: Siendo Z- 5 la zona de mayor riesgo)
Asumir el riesgo; Reducir el riesgo;
M: Zona de riesgo Moderada (color Amarillo) (4 zonas: Siendo Z- 9 la zona de mayor riesgo)
Reducir el riesgo; reducir Evitar; Compartir o Transferir
A: Zona de riesgo Alta (Color Rojo) (8 zonas: Siendo Z- 17 la zona de mayor riesgo)
Reducir el riesgo; reducir Evitar; Compartir o Transferir
E: Zona de riesgo Extrema (Color Vino tinto) (8 zonas siendo la Z-25 la de más alto riesgo)
Reducir el riesgo; reducir; Evitar; Compartir o Transferir
Zona de Riesgo y Respuesta a los Riesgos (adaptada Guía Gestión de Riesgos DAFP, 2011)
De acuerdo con las guías e instructivos para manejo de riesgos del DAF, las opciones de
manejo se definen así,
• Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Ej.: cambios a la infraestructura, cambios en software.
• Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). Ej.: optimización de procesos, controles.
• Compartir ó transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros ó a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo a riesgo compartido. Ej.: seguros, sitios alternos, contratos de riesgos compartidos, etc.
• Asumir el riesgo, aceptar la pérdida residual probable y elaborar los planes de contingencia para su manejo.
Para el caso de las oportunidades es importante plantear acciones para máximo dos vigencias y
validar que las mismas estén incluidas dentro del plan estratégico y de acción de la Entidad, con
el fin de garantizar su ejecución.
Nota: Revisar el numeral “6. Políticas de Administración de Riesgos “ del presenta Manual, a fin de
validar que la opción de manejo de riesgos que haya sido elegida para manejar los riesgos este de
acuerdo con las políticas aprobadas por la Agencia Nacional de Infraestructura.
![Page 36: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/36.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 36 de 48
9. Identificación de Recursos, Indicadores y Metas del riesgo y de la
Oportunidad.
Es importante tener en cuenta que para el análisis de los riesgos y oportunidades establecidos en el
formato (SEPG-F-014) es indispensable definir los recursos para ejecutar o llevar a cabo las acciones
y deberá validarse que los mismos se alineen con el plan de acción y/o plan operativo de la Entidad
y con las políticas y lineamientos establecidos por la Entidad.
Recursos: Conjunto de elementos disponibles para llevar a cabo un proyecto entre otros: humanos,
técnicos y financieros.
De igual forma para el caso de los riesgos, los indicadores que se definan deberán ser enfocados
medir el riesgo, con el fin de generar señales de alerta de activación del riesgo. Es de aclarar que el
incumplimiento del indicador no significa precisamente que el riesgo se esté materializando, por lo
que esto deberá revisarse y analizarse con el equipo que coordine el sistema de calidad y
lineamientos de riesgos de la Entidad.
Indicador Clave del Riesgo: Expresión cualitativa o cuantitativa para medir o comparar los
resultados efectivamente obtenidos, en el proceso de mitigación del riesgo y que permite evaluar
cambios o resultados de la gestión.
Meta: La meta es la medición física del riesgo o la oportunidad, es decir, los requisitos que se deben
cumplir para saber si se está mitigando el riesgo o potencializando la oportunidad. La meta establece
un límite alcanzable y medible en el tiempo.
10. Mapa de Riesgos Institucional
El mapa de riesgos institucionales será consolidado por el Grupo Interno de Planeación, para lo cual
se tomarán como insumo los mapas de riesgos por procesos. Igualmente se tomarán en
consideración, además del mapa vigente de los procesos, los siguientes criterios base:
✓ Se dará prioridad a los riesgos de los procesos en el siguiente orden: Estratégicos,
Misionales, de Apoyo, de Evaluación.
✓ Riesgos que incidan en todos los procesos de la Agencia.
✓ Riesgos de alto impacto en el cumplimiento de la misión y/o de los objetivos institucionales.
✓ Riesgo con alta probabilidad de afectar los recursos económicos de la Nación.
![Page 37: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/37.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 37 de 48
✓ Riesgos que, aunque no se hayan identificado en un proceso especifico, puedan tener alto
impacto y/o probabilidad ocurrencia a nivel institucional.
Si alguno de los riesgos cumple con uno o varios de los criterios aquí establecidos, es considerado
como riesgo institucional.
Una vez identificados los riesgos de acuerdo con los criterios definidos para que un riesgo sea
considerado como institucional, se actualiza el mapa de riesgos con base en las políticas de manejo
establecidas.
El mapa de riesgo Institucional tendrá una vigencia de un año, el cual será objeto de seguimiento
periódico por parte del Grupo Interno de Planeación y de seguimiento periódico por parte de los
líderes de cada uno de los procesos y de la Oficina de Control Interno a través de auditorías
periódicas. Para los ajustes pertinentes al mapa de riesgo institucional o de los procesos, se sugiere
tomar las versiones publicadas en el sitio web “administración de Riesgo” ya que los archivos que
han sido publicados oficialmente son los archivos que han sido revisados, depurados y validados
previamente para su publicación.
10.1. Proceso de Monitoreo, Seguimiento y Evaluación a los Mapas de
Riesgo y oportunidades de Procesos
Una vez diseñado y validado el plan para administrar los riesgos y oportunidades, es necesario
realizar seguimientos periódicos a los mapas de riesgo y oportunidades por procesos, teniendo en
cuenta que los riesgos nunca dejan de representar una amenaza para la organización.
Las actividades de seguimiento y de monitoreo son esenciales para asegurar que las acciones se
estén llevando a cabo según lo planeado, sean efectivas para mitigar el riesgo o para desarrollar las
oportunidades, y contribuyan oportunamente a evidenciar todas aquellas situaciones o factores que
pueden o estén desviando el resultado esperado, con el fin de realizar los ajustes sobre la marcha.
Para este fin, normalmente se utilizan indicadores; Sin embargo, muchas veces los indicadores no
logran ser suficientes para detectar situaciones no cuantificables, por lo que también es importante
utilizar otras herramientas como la observación y la retroalimentación del equipo de trabajo del
proceso.
Básicamente la diferencia entre seguimiento y monitoreo para la administración del riesgo
institucional en la ANI, consiste en que el primero registra el avance y logro de los resultados,
mientras que el monitoreo va más allá de la simple observación, interviniendo para guiar y orientar,
![Page 38: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/38.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 38 de 48
es decir, se relaciona más con ser un catalizador, que se integra al proceso para favorecerlo, sin ser
parte necesaria del mismo, sin comprometerse ni involucrarse más de lo necesario.
La actividad de seguimiento por parte del Grupo Interno de Planeación se realizará de forma
semestral o de acuerdo con la necesidad de la entidad. Para lo cual, se utilizará el formato SEPG-F-
043 “Seguimiento al Mapa de Riesgos por Procesos”. La actividad de monitoreo se realizará como
mínimo una vez al año. Para lo cual se utilizará el formato SEPG-F-044 “Monitoreo al Mapa de
Riesgos por Procesos”. Lo anterior no sustituye la función de seguimiento y monitoreo que deba
realizar el líder del proceso cuando lo juzgue necesario.
El monitoreo y seguimiento a los Mapas de Riesgo y oportunidades será responsabilidad de los
líderes de procesos, y sus equipos delegados, así como del Grupo Interno de Planeación. De otra
parte, la evaluación y retroalimentación que salga de la misma estará a cargo de la Oficina de
Control Interno.
El monitoreo debe estar a cargo de:
• Los responsables de los procesos
• El Grupo Interno de Planeación
Así las cosas, los equipos de riesgos designados para cada proceso deberán presentar el informe de
reporte anual el cual contiene los lineamientos del equipo de riesgos de la Entidad y El grupo Interno
de Planeación deberá consolidar dicho informe para hacer el reporte institucional el cual deberá
presentarse al Comité MIPG para ponerse a consideración.
La Oficina de Control Interno, dentro de su función asesora y de auditoría, realizará la evaluación a
los mapas de riesgos, comunicará y presentará luego del seguimiento y evaluación, sus resultados y
propuestas de mejoramiento y tratamiento a las situaciones detectadas.
Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar
un efectivo manejo del riesgo.
![Page 39: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/39.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 39 de 48
11. METODOLOGIAS PARA ADMINISTRACION Y ELABORACION DE
MAPAS DE RIESGO Y MEDIDAS ANTICORRUPCIÓN
La identificación y gestión de los riesgos de corrupción se pueden manejar con los mismos principios
y políticas con que se gestionan los riesgos institucionales y de procesos. Sin embargo y en
cumplimiento del Estatuto Anticorrupción y sus decretos reglamentarios, la Presidencia de la
Republica ha sugerido una metodología4 para este tipo de riesgos, que busca prevenir y mitigar la
corrupción. En ese sentido, con el ánimo de crear sinergia con las políticas de gobierno, la Agencia
ha adoptado desde marzo de 2016 los parámetros principales de la metodología sugerida, por lo
que a continuación se procede a explicar el proceso y los principales cambios.
Los principales cambios y diferencias de la gestión de riesgos de corrupción frente a la gestión de
los riesgos institucionales se presentan en los siguientes pasos:
➢ En La identificación del Riesgo:
- Las técnicas utilizadas para identificación de riesgos de corrupción son las mismas que se
usan para identificar riesgos institucionales por procesos. Sin embargo, la diferencia es que
se identifican riesgos para los procesos misionales, procesos de apoyo y estratégicos.
- Para la identificación de los riesgos de corrupción es indispensable mantener actualizada la
matriz de fuente de riesgos, la cual debe ser proporcionada por el equipo de transparencia
de la Entidad y debe llevarse a consideración de los equipos de riesgos de la Entidad. De
igual forma se deben identificar los posibles riesgos de fraude al interior de los procesos.
- Identificar claramente si es riesgo de corrupción o riesgo institucional: Debido a que el
riesgo de corrupción tiene unas características especiales que parten de la definición, para
evitar confusión entre un riesgo del institucional de proceso y un riesgo de corrupción, la
metodología da unas preguntas prediseñadas a manera de guía. Las mismas ya están
adaptadas para la ANI en el “Formato SEPG-F-057 Identificación de riesgos de Corrupción”.
4 “Guía para la Gestión del Riesgo de Corrupción” Presidencia de la Republica, 2015. /“Estrategias para la Construcción
del Plan Anticorrupción y de Atención al Ciudadano” Versión 2, año 2015, Presidencia de la República, Presidencia de la República
![Page 40: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/40.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 40 de 48
➢ En el Análisis del Riesgo:
- Para calificar el Impacto, el grupo de trabajo debe discutir y consensuar como grupo sus
respuestas a cada una de las preguntas prediseñadas por la metodología de la Presidencia
de la Republica para riesgos de corrupción. Estas respuestas darán un puntaje ya indicado
por la metodología, la cual se encuentra formulada en el Formato SEPG-F-060 “Formato
Para Determinar Impacto de Riesgo de Corrupción “ y que puede ser consultadas en la Guía
para la Gestión del Riesgo de Corrupción de la Presidencia de la Republica.
Para calificar la probabilidad del riesgo, la respuesta es independiente por cada miembro
del equipo. (De la misma forma que en los riesgos por procesos)
➢ En la Valoración de Riesgo:
- La calificación de los controles debe hacerse sobre 7 preguntas prediseñadas y no sobre 5
preguntas como se realiza en el mapa de riesgo de procesos. Seguir el formato SEPG-F-062
Valoración del riesgo de corrupción.
11.1. PROCESO GENERAL PARA LA ADMINISTRACIÓN Y ELABORACION DE
MAPAS DE RIESGOS DE CORRUPCION
Al igual que la metodología para elaboración de los mapas de riesgo de procesos los principales
elementos y procedimientos para la identificación y manejo de los riesgos de corrupción son:
➢ Contexto Estratégico de la Entidad
➢ Identificación de las fuentes de riesgo
➢ Identificación de Riesgos
➢ Análisis de Riesgos
➢ Valoración de Riesgos
➢ Políticas de Administración de Riesgos
➢ Monitoreo, seguimiento y ajustes.
11.1.1. Análisis del Contexto Estratégico:
El contexto estratégico corresponde al análisis y diagnóstico de los factores que involucren el
proceso, teniendo en cuenta tanto variables internas como externas. Este ejercicio facilita la
identificación de riesgo, en la medida que identifica las fuentes que pueden dar origen a los
riesgos en los procesos, así como puede facilitar la creación de estrategias de mitigación. Debido
![Page 41: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/41.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 41 de 48
a que el riesgo de corrupción debe ser manejado y analizado teniendo en cuenta todo el proceso.
Se sugiere tomar el mismo ejercicio de contexto estratégico desarrollado en los mapas de riesgo
por proceso (ver numeral 8.1 Análisis del Contexto Estratégico) consignándolo en el formato
SEPG-F-056 Contexto estratégico en mapa de riesgo y medidas anticorrupción.
11.1.2 Identificación de las fuentes de riesgo.
La identificación de las fuentes de riesgo la debe realizar el equipo de transparencia de la Entidad
el cual fue conformado por la resolución 467 del 16 de marzo de 2018, teniendo en cuenta lo
establecido por:
➢ Política de transparencia de la Entidad
➢ Política Transparencia y Anticorrupción – Transparencia por Colombia
➢ FODA Institucional
➢ Matriz de riesgo Actual
➢ Hallazgos de los entes de control
11.1.3 Identificación de Riesgos de Corrupción
La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico, identificando las causas con base en los factores internos o externos, que pueden ocasionar riesgos que afecten el logro de los objetivos. La identificación requiere de un inventario de los riesgos, estableciendo causas con base en los factores de riesgo internos y externos (contexto estratégico), presentando una descripción de cada uno de estos y definiendo los posibles efectos. Se sugiere apoyarse en las pautas y recomendadas del numeral 8.2 del presente manual, con el fin de facilitar la correcta identificación de los riesgos de corrupción y de evitar confusiones con un riesgo de gestión, se sugiere utilizar el el “Formato SEPG-F-058 Cuadro/Matriz Definición del Riesgo de Corrupción”.
Es importante tener presente la definición del riesgo de corrupción:
“Riesgo de Corrupción: Posibilidad de por acción u omisión, se use el poder para poder
desviar la gestión de lo público hacia un beneficio privado.” (Guía para la Gestión de
Riesgos de Corrupción)
![Page 42: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/42.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 42 de 48
Nota: Para que sea clasificado como riesgo de corrupción es necesario que en la descripción concurran los
componentes de su definición: acción u omisión + uso del poder + desviación de la gestión de lo público +
el beneficio privado.
Recuerde que en la identificación del riesgo se realiza la identificación de las causas y las
consecuencias, para lo cual se sugiere revisar las técnicas indicadas anteriormente en el numeral
8.2.4. del presente manual.
En este punto también se deben incluir las causas analizando las debilidades (causas internas) y las
amenazas (causas externas) previamente analizadas en el diagnóstico estratégico. (Formato SEPG-
F-030)
11.1.4 Análisis de Riesgos de Corrupción
Al igual que el análisis de los riesgos de proceso, esta etapa busca identificar el riesgo Inherente,
para lo cual en este ejercicio se establece la probabilidad de que ocurra el evento y el impacto que
este generaría antes de tener cualquier control.
Para riesgos de corrupción la dimensión de la probabilidad de materialización de los riesgos se
considerarán los mismos cinco criterios que los usados en mapas de proceso así:
PROBABILIDAD
Concepto Valor Descripción Frecuencia
Raro 1
El evento puede ocurrir sólo en circunstancias
excepcionales.
No se ha presentado
en los últimos 5 años
Improbable 2
Es muy poco factible que el evento se presente. Al menos de 1 vez en
los últimos 5 años.
Posible 3
El evento podría ocurrir en algún momento. Al menos de 1 vez en
los últimos 2 años.
Probable 4 El evento probablemente ocurrirá en la mayoría de las
circunstancias,
Al menos de 1 vez en
el último año.
Casi Certeza 5 Se espera que ocurra en la mayoría de las
circunstancias
Más de 1 vez al año.
Niveles de probabilidad adaptados a la ANI, los cuales coinciden con los principios básicos de la metodología
de la DAFP y de la Presidencia de la República para riesgos de corrupción.
![Page 43: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/43.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 43 de 48
En cuanto a la calificación de impacto la metodología de la Presidencia de la Republica indica para
los riesgos de corrupción solo tres dimensiones “Moderado, Mayor y Catastrófico” así:
IMPACTO
Concepto Valor* Descripción
Moderado 7
Afectación parcial al proceso y a la dependencia. Genera medianas consecuencias
para la Entidad.
Mayor 11 Impacto negativo a la Entidad / Genera altas consecuencias para la Entidad
Catastrófico 13 Consecuencias desastrosas sobre el sector. Genera consecuencias desastrosas
para la Entidad.
Tomado de la Tabla 5 Medición del Riesgo de Corrupción – Impacto de la Guía para la Gestión del Riesgo de
corrupción (*Valor adaptado para la ANI)
11.1.5. Mecanismo para determinar la asignación del puntaje de Impacto
Para calcular el impacto se debe contestar a las preguntas prediseñadas de la Presidencia de la
Republica, que arrojan la puntuación establecida por la metodología. Para lo cual se debe usar el
Formato SEPG-F-060 “Formato Para Determinar Impacto de Riesgo de Corrupción “. Las respuestas
afirmativas dan lugar a una puntuación así:
- De UNO a CINCO respuestas afirmativas el impacto será Moderado.
- De SEIS a ONCE respuestas afirmativas el impacto será Mayor.
- De DOCE a DIECIOCHO respuestas afirmativas el impacto será Catastrófico.
Nota: El formato SEPG-F-060 “Formato Para Determinar Impacto de Riesgo de Corrupción” ya se
encuentra formulado con la anterior escala.
11.1.6. Determinación del Riesgo Inherente
La ponderación entre el resultado de calificación de probabilidad y la calificación del impacto
realizada por el grupo sin tener en cuenta los controles existentes dan como resultado el “Riesgo
Inherente” (sin controles) el cual da una primera calificación del nivel del riesgo de corrupción
![Page 44: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/44.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 44 de 48
(Extremo; Alto; Moderado; Bajo) el resultado del riesgo Inherente se puede ver al diligenciar el
formato SEPG-F-059 “Consolidado calificación del riesgo relacionado con corrupción”.
11.1.7. Valoración de Riesgos de Corrupción
Al igual que con los riesgos de los procesos, el paso de valoración de los riesgos, consiste en medir
el riesgo teniendo en cuenta los controles que están implementados y que están debidamente
documentados para él riesgo. Para valorar el efecto de los controles en el riesgo, lo primero es
identificar si está orientado a la probabilidad o a disminuir el impacto.
✓ Orientado a disminuir la probabilidad: Controles que están orientados a disminuir
la frecuencia de materialización del riesgo.
✓ Orientado a disminuir el impacto: Controles orientados a minimizar las
consecuencias del riesgo, una vez el mismo se ha materializado.
Una vez identificado si es para disminuir control o impacto, se califica el estado del control, para lo
cual la metodología de la Presidencia de la Republica hace las siguientes preguntas:
• ¿Existen manuales, instructivos o procedimientos para el manejo del control?
• ¿El control es automático?
• ¿El control es manual?
• ¿En el tiempo que lleva la herramienta ha demostrado ser efectiva?
• ¿Esta(n) definido(s) el(los) responsables de la ejecución del control y del seguimiento?
• ¿La frecuencia de ejecución del control y seguimiento es adecuada?
• ¿Se cuenta con evidencia de la ejecución y seguimiento del control?
En el formato SEPG-F-062 el cual ya se encuentra calibrado para colocar el puntaje asignado a cada
pregunta. Si en la calificación usted indica “0” usted estaría indicando que su respuesta es “No”, al
indicar el puntaje que aparece de la lista de plegable, usted está respondiendo “Si”.
![Page 45: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/45.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 45 de 48
Nota: La calificación de los controles deberá tener los documentos necesarios que soporten la
evaluación suministrada.
11.1.6.1. Riesgo Residual
Una vez asignado el puntaje a cada uno de los controles, en el formato SEPG-F-030 “Mapa de Riesgos
y Medidas de Control Anticorrupción” indicará a que la zona del Riesgo Residual en que quedo
ubicado el riesgo, medida que deberá ser considerara para priorizar las acciones de mitigación.
111.6.2. Priorización de los riesgos y construcción de planes y acciones
Una vez se ha determinado el nivel de los riesgos residuales, se debe proceder a priorizar el
tratamiento o acción de mitigación para esos riesgos. Para lo cual se sugiere tener en cuenta los
riesgos extremos, altos y moderados; Igualmente es importante priorizar aquellos riesgos que
puedan afectar los objetivos estratégicos de la entidad y el plan de acción; Así mismo, se sugieren
los siguientes criterios:
• Para los riesgos que se ubiquen en la matriz de riesgo dentro de la zona de “Riesgos
Extremos y/o Riesgos Altos”, se establecerán planes de acción a corto plazo.
• Para los riesgos ubicados en la zona de “Riesgos Moderados”, se establecerán planes de
acción a mediano y/o largo plazo,
• Para los riesgos ubicados en la zona de “Riesgos Bajos”, se podrán diseñar actividades para
su monitoreo.
• Las acciones requeridas para mitigar el riesgo deben propender por la eliminación,
mitigación y el control de las causas que pueden generar el riesgo para lo cual se debe
revisar el ejercicio “identificación del Riesgo”
11.1.8. Monitoreo seguimiento y ajustes a mapa de riesgos de corrupción
El líder del área será el responsable por realizar los seguimientos y ajustes a los riesgos y planes de
acción, así como de realizar los respectivos ajustes en caso de identificar nuevos riesgos, o de darle
a utilizar el procedimiento y formatos pertinentes en caso de tener indicios de materialización de
![Page 46: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/46.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 46 de 48
alguno de los riesgos (ver procedimiento Construcción de Mapas Riesgo Anticorrupción y
Actividades Seguimiento y Monitoreo)
En cumplimiento de la metodología de la Presidencia de Republica, para realizar modificaciones y/o
ajuste del mapa de riesgo de corrupción, una vez que el mismo ha sido publicado, deberá enviarse
solicitud motivada con archivo del ajuste, firmada por el líder de los procesos con copia a la Oficina
de Control Interno.
De otra parte, el Grupo Interno de Planeación realizará monitoreo y/o seguimiento al Mapa de
Riesgos y Medidas Anticorrupción, al menos una vez al año (SEPG-F-031). De igual manera la Oficina
de Control Interno, por ley deberá realizar monitoreo por lo menos tres veces al año, con corte a
abril 30, agosto 31 y diciembre 31.
12. SOPORTE METODOLÓGICO Y REFERENCIAS NORMATIVAS:
Para la elaboración del Mapa de Riesgo Institucional, la Agencia Nacional de Infraestructura se rige por los parámetros y lineamientos metodológicos que sobre la materia imparte el Departamento Administrativo de la Función Pública, en concordancia con el Modelo Estándar de Control Interno y los requisitos de la norma ISO 9001:2015, y lo dictado en la NTC-ISO-31000:2011. Para los Mapa de Riesgos Corrupción, se toman como parámetros los lineamientos indicados en el Estatuto Anticorrupción y sus decretos reglamentarios, los cuales indican la metodología en el documento “Guía para la Gestión del Riesgo de Corrupción” de la Presidencia de la República. Otras referencias normativas al respecto son:
Normas/ Parámetros Tema
Ley 87 de 1993 Se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado
Ley 489 de 1998. Estatuto básico de Organización y funcionamiento de la Administración Pública. Capítulo VI. Sistema Nacional de Control Interno.
Decreto 1537 de 2001 Se establece la administración de riesgos en entidades publicas
Ley 1474 de 2011 Estatuto Anticorrupción
Decreto 2641 de 2012 Reglamente Ley 1474/2011 y señala la metodología para diseñar y hacer seguimiento al Plan Anticorrupción y de Atención al Ciudadano.
NTC-ISO-9001:2015 Norma técnica Colombia de Calidad
NTC-ISO-31000 Norma Técnica Colombiana de Gestión del Riesgos, Principios y Directrices. 2011
Guía Administración de Riesgos DAFP
Lineamientos para armonización del MECI
![Page 47: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/47.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 47 de 48
Decreto 1499 de 2017 Modelo Integrado de Planeación y Gestión
Decreto 124/2016 Por el cual se sustituye el Título IV de la Parte 1 del Libro 2 del Decreto 1081 de 2015, relativo al “Plan Anticorrupción y de Atención al Ciudadano”.
“Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano versión 2” --Presidencia de la Republica, 2015
Aspectos generales del Plan Anticorrupción y descripción de sus componentes.
Guía para la Gestión del Riesgo de Corrupción-Presidencia de la Republica, 2015
Lineamientos para gestión de riesgos y construcción de mapas de riesgo de corrupción.
12. BIBLIOGRAFIA
➢ Norma Técnica Colombiana NTC-ISO 31000, Gestión del Riesgo principios y lineamientos,
Icontec Colombia, 2011
➢ Modelo Integrado de Planeación y Gestión de la función Publicado 2017
➢ Guía para la administración del riesgo DAFP, septiembre de 2011, Cuarta Edición.
➢ Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano,
Presidencia de la República, 2015
➢ Guía para la Gestión del Riesgo de Corrupción, Presidencia de la República ,2015
➢ Guía de Administración del Riesgo DAFP, noviembre de 2009
➢ Cartilla Guía de Administración del Riesgo DAFP, diciembre de 2001
➢ Norma Técnica de Calidad en la Gestión Pública - NTCGP: 1000:2009.
➢ Norma ISO 31000:2009 Gestión de Riesgo, Principios y Directrices
![Page 48: MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS Y … · y capacitación que posibiliten el conocimiento y habilidades suficientes a los servidores públicos para la ejecución eficiente](https://reader035.vdocuments.pub/reader035/viewer/2022071000/5fbcbbd02d98441ccb1bb325/html5/thumbnails/48.jpg)
SISTEMA INTEGRADO DE GESTIÓN Código: SEPG-M-004
PROCESO SISTEMA ESTRATÉGICO DE PLANEACIÓN
Y GESTIÓN Versión: 002
MANUAL MANUAL PARA LA ADMINISTRACIÓN DE
RIESGOS INSTITUCIONALES Y ANTICORRUPCIÓN EN LA ANI
Fecha: 11/07/2018
Página 48 de 48
13. APROBACION DE LA ALTA DIRECCION
El presente manual corresponde a la actualización del Manual de Administración de Riesgos ANI
Versión 3 del 2018. Se actualiza con respecto a la segunda versión en cuanto a: 1... La
actualización de la documentación asociada a la gestión de riesgo; 2. La actualización de la
metodología y sugerencias para manejo de riesgos de corrupción; 3. La actualización de las
normas vigentes; 4. La actualización de responsables en el proceso de gestión y administración
de riesgos; 5. La inclusión del análisis y valoración de las oportunidades; 6. Algunos cambios de
forma como reubicación del orden de los numerales de la segunda versión y algunas mejoras
de redacción. Igualmente es importante aclarar que se actualizan las políticas operativas y de
administración de riesgos aprobadas en primera versión, así como la metodología para
administración de riesgos institucionales y de procesos.
Se somete a revisión y sugerencias previas de los miembros del Comité del Modelo Integrado
de Planeación - MIPIG, previo a la recepción de sugerencias por parte de la alta Dirección.
16. CONTROL DE CAMBIOS
VERSIÓN FECHA DESCRIPCIÓN DEL CAMBIO
001 Abril 23 de
2014 Creación Manual para la Administración de Riesgos Institucionales
002 Julio 11 de
2018
Actualización Manual para la Administración de Riesgos y
oportunidades por proceso y medidas anticorrupción
17. APROBACIÓN
Revisión Nombre Cargo Fecha Firma
Elaborado Ingrid Maldonado M. Asesor Gerencia de Riesgos 11/05/2018
Revisado Monica Viviana Parra Asesor Gerencia de Riesgos 15/05/2018
Revisado Poldy Paola Osorio Gerente de Riesgos 17/05/2018
Revisado Comité MIPG Comité MIPG- Acta No 50 18/05/2018 Acta
Aprobado Comité MIPG Comité MIPG- Acta No 50 11/07/2018 Acta