-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Dirección de Gestión y Desempeño Institucional
Septiembre de 2018
Gestión del Riesgo(Articulado Riesgos de
Corrupción y de seguridad
digital)
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Metodología
Panel Preguntas
Agenda
3
Alineación con el MIPG y Plan Anticorrupción
y de Atención al Ciudadano
1 Objetivos de la Sesión
2
5
4
Antes de Iniciar con la Metodología
v
Objetivos de la Sesión1
Generar lineamientos sobre el tema de riesgos en el marco
del Modelo Integrado de Planeación y Gestión.
Dar a conocer las actualizaciones y alineación de la Guía de
Administración del Riesgo
Establecer los principales aspectos en relación con el diseño de
controles.
Objetivos
v
Alineación con el MIPG y Plan
Anticorrupción y de Atención
al Ciudadano
2
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
MIPG
Política de Administración
de Riesgo, por la Línea
Estratégica de Defensa
definida en la Dimensión de
Control Interno
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo,
es viable definir el contexto estratégico así:
Factores de Riesgo Principales (Análisis Interno y Externo)
Principales procesos susceptibles de corrupción
Impactos principales por nivel de riesgo
De igual forma se define el Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción,
estrategias para trámites, rendición de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información.
MIPG
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Gestión con Valores
para resultados
D I M E N S I Ó N 3
RELACIÓN
ESTADO – CIUDADANO
Transparencia, acceso a la información pública y lucha contra la corrupción
Servicio al ciudadano
Racionalización de trámites
Participación ciudadana en la gestión
Gobierno digitalTIC para la Sociedad
DE LA VENTANILLA
HACIA ADENTRO
Fortalecimiento organizacionaly simplificación de procesos
Ejecución Presupuestal y eficiencia del gasto público
Contratación
Gobierno digitalTIC para el Estado
MIPG
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
v
Antes de Iniciar con la
Metodología3
Act 1
DI
RE
CC
IO
NA
MI
EN
TO
E
ST
RA
TÉ
GI
CO
Y
P
LA
NE
AC
IÓ
N
Establecer la Visión
(que busca la entidad a futuro)
Act. 2
Act. 3
Act. 4.
Analizar marconormativo de la
entidad
Revisar la Misión
(QuehacerInstitucional)
Caracterizar losgrupos de valor
Analizardiagnóstico de capacidades
Definir ObjetivosInstitucionales(estrategicos)
como propósitoso logros alcanzar
.
Act. 5
Act. 6.
Direccionamiento Estratégico1
Antes de Iniciar con la Metodología
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Análisis del contexto de la entidad2
(D) DEBILIDADES (factoresnegativos internos)
(O) OPORTUNIDADES (factorespositivos externos)
(F) FORTALEZAS (factorespositivos internos)
(A) AMENAZAS (factores negativosexternos)
MATRIZ DOFA
Identificación de factores
Políticos: Este apartado se refiere entre otras a políticas gubernamentales,
período gubernamental, elecciones, situación política de la región.
Económicos: Aquí se puede destacar la inflación, el desempleo, nivel de
endeudamiento, entre otros.
Sociales: Abarca aspectos demográficos, población vulnerable,
desplazados, factores étnicos y religiosos, entre otros.
Tecnológicos: Cubre la tecnología en la industria, la agricultura, los
servicios y las Tics, adicional las tendencias tecnológicas asociadas con las
políticas de Estado, entre otros.
Ecológicos: Uso de combustibles fósiles y su influencia en el cambio
climático, la contaminación del aire, suelo, tierra, agua, residuos, reciclaje,
energías renovables, entre otros.
Legales: Legislación cambiante, legislación sobre empleo, licencias,
propiedad industrial, entre otros.
Antes de Iniciar con la Metodología
Modelo de Operación por Procesos
Por qué existimos
Misión
Qué queremos ser
Visión
En qué creemos
Valores Fundamentales – Código de Integridad
Nuestras Directrices
Estrategia - Objetivos Estratégicos
Qué necesito hacer en mi proceso
Objetivos de los Procesos
PROGRAMASMETAS PROYECTOS
GE
ST
IÓ
N
CO
N
VA
LO
RE
S
PA
RA
E
L
RE
SU
LT
AD
O
3
Antes de Iniciar con la Metodología
La mayoría de dificultades en la identificación del riesgo, parte de una inconsistente identificación o estructura de los objetivos de los procesos.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Formulación de Objetivos4
Antes de Iniciar con la Metodología
La entidad debe analizar los
objetivos estratégicos y
revisar que se encuentren
alineados con la Misión y la
Visión Institucional, así como,
analizar su adecuada
formulación, es decir, que
contengan las siguientes
características mínimas:
Lo importante es resolver cuestiones como “qué, cuándo,
cómo, dónde, con qué, quién”.
Considerar el orden y los necesarios para el cumplimiento
de la misión.
Para ello es necesario involucrar algunos números en
su definición, por ejemplo, porcentajes o cantidades
exactas (cuando aplique).
Para hacer alcanzable un objetivo se necesita un
previo análisis de lo que se ha hecho y logrado hasta
el momento. Esto ayudará a saber si lo que se propone
es posible o cómo resultaría mejor.
Considerar recursos, factores externos e información
de actividades previas, a fin de contar con elementos
de juicio para su determinación.
Establecer un tiempo al objetivo ayudará a saber si lo
que se está haciendo es lo óptimo para llegar a la
meta, así mismo permite determinar el cumplimiento y
mediciones finales.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Formulación de Objetivos4
Antes de Iniciar con la Metodología
Establecer
Identificar
Recopilar
Investigar
Buscar
Registrar
Tener en cuenta para los Objetivos
Un objetivo es un
enunciado que
expresa una acción
por lo tanto debe
iniciarse con un
verbo fuerte
Los objetivos
deben ser:
Medibles, realistas
y se deben evitar
frases subjetivas
v
Metodología4
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Definiciones Básicas Relacionadas con la
Gestión del Riesgo
Riesgo de Gestión: Posibilidadde que suceda algún evento quetendrá un impacto sobre elcumplimiento de los objetivos. Seexpresa en términos deprobabilidad y consecuencias.
Riesgo de Corrupción:Posibilidad de que por acción uomisión, se use el poder paradesviar la gestión de lo públicohacia un beneficio privado.
Riesgo de Seguridad Digital:Combinación de amenazas yvulnerabilidades en el entorno digital.Puede debilitar el logro de objetivoseconómicos y sociales, así como afectarla soberanía nacional, la integridadterritorial, el orden constitucional y losintereses nacionales. Incluye aspectosdel ambiente físico, digital y las personas.
Activo: En el contexto deseguridad digital son elementostales como aplicaciones de laorganización, servicios web, redes,Hardware, información física odigital, recurso humano, entreotros, que utiliza la organizaciónpara funcionar en el entorno digital.
Riesgo Inherente: Es aquel alque se enfrenta una entidad enausencia de acciones de ladirección para modificar suprobabilidad o impacto.
Riesgo Residual: Nivel deriesgo que permanece luego detomar medidas de tratamiento delriesgo.
Probabilidad: se entiende laposibilidad de ocurrencia delriesgo, ésta puede ser medidacon criterios de Frecuencia oFactibilidad.
Impacto: se entienden lasconsecuencias que puedeocasionar a la organización lamaterialización del riesgo.
Causa: Todos aquellos factoresinternos y externos que solos oen combinación con otros,pueden producir lamaterialización de un riesgo
Consecuencia: Los efectos osituaciones resultantes de lamaterialización del riesgo queimpactan en el proceso, laentidad, sus grupos de valor ydemás partes interesadas.
Plan Anticorrupción y deAtención al Ciudadano: Planque contempla la estrategia delucha contra la corrupción quedebe ser implementada por todaslas entidades del orden nacional,departamental y municipal.
Mapa de Riesgos: Documentocon la información resultante dela gestión del riesgo decorrupción.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Definiciones Básicas Relacionadas con la
Gestión del Riesgo
Riesgo
Gestión del Riesgo
Posibilidad de que suceda algún evento que tendrá un impacto sobre el
cumplimiento de los objetivos.
El riesgo se expresa en términos de probabilidad y consecuencias.
Proceso efectuado por la Alta Dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 1: Política Institucional de Riesgos
Declaración de la Dirección y las intenciones generales de una organización con respecto a
la gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo
establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.
La debe establecer la Alta Dirección en cabeza
del Representante Legal en el marco del
Comité Institucional de Coordinación de Control
Interno
Objetivo: Alineada con los obj institucionales
Alcance: Aplicable a todos los procesos
Niveles de aceptación del Riesgo: Decisión
informada de tomar un riesgo particular.
Periodicidad para el seguimiento y sus responsables.
Los riesgos aceptados están sujetos a monitoreo.
Tabla Impacto, Factores de Riesgo, entre otros.
Los riesgos de corrupción no admiten
aceptación del riesgo.
Definir procesos susceptibles de posibles
actos de corrupción.
¿Quién la establece?¿Qué debe contener? Frente a los Riesgos de Corrupción
Incorporar Anexo 4 “Lineamientos para la
gestión del riesgo de seguridad digital.
Frente a los Riesgos de Seguridad Digital
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus
causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis
teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas. (NTC
ISO31000, Numeral 2.15).
ESTABLECIMIENTO DEL CONTEXTO
Definición de los parámetros internos y externos
que se han de tomar en consideración para la
administración del riesgo. (NTC ISO31000,
Numeral 2.9).
Contexto Externo Contexto Interno Contexto del Proceso
Se determinan las
características o aspectos
esenciales del entorno en
el cual opera la entidad. Se
pueden considerar factores
como: Legales, Políticos,
Sociales, Tecnológicos,
Financieros, Sectoriales.
Se determinan las
características o aspectos
esenciales del ambiente en
el cual la organización
busca alcanzar sus
objetivos. Se pueden
considerar factores como:
Talento Humano,
Infraestructura,
Planeación, Recursos
financieros.
Se determinan las
características o aspectos
esenciales del proceso y
sus interrelaciones. Se
pueden considerar factores
como: Objetivo, alcance,
interrelación con otros
procesos, procedimientos,
responsables.
Paso 2: Identificacióndel Riesgo
Tabla ilustrativa 1 - Factores para cada categoría del contexto
Paso 2: Identificacióndel Riesgo
Cómo puede
Suceder?
1
2
3
Qué puede
suceder?
Cuándo puede
suceder?
Identificar la afectación del cumplimiento del
objetivo estratégico o del proceso según sea
el caso.
Establecer las causas a partir de los factores
determinados en el contexto
Determinar de acuerdo al desarrollo del proceso
4Qué
consecuencias
tendría su
materialización?
Determinar los posibles efectos por la
materialización del riesgo
Evitar iniciar con palabras negativas como: “No…” “Que
no…”, o con palabras que denoten un factor de riesgo
(causa) tales como: “ausencia de”, “falta de”, “Poco(a)”,“
Escaso(a)”,“Insuficiente”, “Deficiente”, “Debilidades en”
Pregúntese si el riesgo identificado esta relacionado
directamente con las características del objetivo. Si la
respuesta es “no” este puede ser la causa o la
consecuencia.
Paso 2: Identificacióndel Riesgo
Los objetivos estratégicos y de proceso se desarrollan a
través de actividades, pero no todas tienen la misma
importancia, por tanto se debe establecer cuáles de ellas
contribuyen mayormente al logro de los objetivos y estas
son las actividades críticas o factores claves de éxito; estos
factores se deben tener en cuenta al identificar las causas
que originan la materialización de los riesgos.
Análisis de CausasNro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom
1 Insuficiente capacitación del
personal de contratos.
10 8 9 7 10 9 53 8,8
2 Fallas en la radicación de
propuestas
1 6 2 6 5 6 26 4,3
3 Mala atención a los
proveedores
5 3 1 5 4 3 21 3,5
4 Inadecuadas políticas de
operación
7 9 7 8 7 10 48 8,0
5 Desconocimiento de la
normatividad contractual
6 4 3 1 2 1 17 2,8
6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2
7 Desconocimiento de los
cambios en la regulación
contractual
8 7 10 9 8 7 49 8,2
8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8
9 Carencia de controles en el
procedimiento de contratación
9 10 8 10 9 8 54 9,0
10 Normograma desactualizado 4 2 6 3 3 5 23 3,8
CRITERIOS DE PRIORIZACIÓN
• En esta matriz se deben incluir todas las debilidades y
amenazas identificadas en el establecimiento del
contexto
• Cada integrante priorizará en orden de importancia de
menor a mayor las causas utilizando una escala donde 1
es la de menor importancia y «N» la de mayor
importancia dependiendo del número de causas.
• Un integrante del grupo debe organizar en la tabla las
calificaciones y calcular el promedio aritmético de cada
causa, siendo las de mayor promedio las causas raíz.
Priorización de Causas
Paso 2: Identificacióndel Riesgo
RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS
“In
op
ort
un
idad
enla
adq
uis
ició
nd
elo
sb
ien
esy
serv
icio
sre
qu
erid
os
po
rla
enti
dad
La combinación de factores como,
insuficientes capacitación del personal de
contratos, cambios en la regulación
contractual, inadecuadas políticas de
operación y Carencia de controles en el
procedimiento de contratación pueden
ocasionar la Inoportunidad en la adquisición
de los bienes y servicios requeridos por la
entidad, repercutiendo en la continuidad de la
operación de la entidad.
Operativo Carencia de controles en el
procedimiento de contratación1. Demoras en los procesos
2. incumplimiento en la entrega de
bienes y servicios a los grupos de
valor
3. Demandas y demás acciones
jurídicas
4. Detrimento de la imagen de la
entidad ante sus grupos de valor
5. Investigaciones disciplinarias
Insuficiente capacitación del personal
de contratos.
Desconocimiento de los cambios en la
regulación contractual
Inadecuadas políticas de operación
Proceso Contratación:
Objetivo “Adquirir con oportunidad y calidad técnica los bienes
y servicios requeridos por la entidad para su continua
operación”
Ejemplo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Análisis de la Probabilidad
Se analiza qué tan posible es que ocurra el riesgo, se expresa en
términos de frecuencia o factibilidad, donde frecuencia implica
analizar el número de eventos en un periodo determinado, se trata de
hechos que se han materializado o se cuenta con un historial de
situaciones o eventos asociados al riesgo, y factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo, se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda.
Nivel Descriptor Descripción Frecuencia
5 Casi seguro Se espera que el evento ocurra en la
mayoría de las circunstancias
Mas de 1 vez al año.
4 Probable Es viable que el evento ocurra en la
mayoría de las circunstancias
Al menos 1 vez en el
último año.
3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
últimos 5 años.
1 Rara vez El evento puede ocurrir solo en
circunstancias excepcionales (poco
comunes o anormales)
No se ha presentado en
los últimos 5 años.
Paso 3: Valoración del riesgo – Análisis de Riesgos
Criterios parar calificar la probabilidad
Importante
El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la
disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de
no contar con datos históricos, se trabajará de acuerdo con la experiencia de los
servidores que desarrollan el proceso y de sus factores internos y externos. (Revisar
matriz de análisis de priorización de probabilidad).
Permite establecer la probabil idad de ocurrencia del riesgo y el nivel de
consecuencias o impacto, con el fin de estimar la zona de riesgo inicial
(RIESGO INHERENTE).
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Criterios para calificar el Impacto – Riesgos de GestiónNivel Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo
CA
TAST
RÓ
FIC
O- Impacto que afecte la ejecución presupuestal en un valor ≥50%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥50%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por más de cinco (5) días.- Intervención por parte de un ente de control u otro ente regulador.- Pérdida de Información crítica para la entidad que no se puede recuperar.- Incumplimiento en las metas y objetivos institucionales afectando de forma grave laejecución presupuestal.- Imagen institucional afectada en el orden nacional o regional por actos o hechos decorrupción comprobados.
MA
YOR
- Impacto que afecte la ejecución presupuestal en un valor ≥20%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥20%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por más de dos (2) días.- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.- Sanción por parte del ente de control u otro ente regulador.- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento enlas metas de gobierno.- Imagen institucional afectada en el orden nacional o regional por incumplimientos en laprestación del servicio a los usuarios o ciudadanos.
MO
DER
AD
O
- Impacto que afecte la ejecución presupuestal en un valor ≥5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por un (1) día.- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante losentes reguladores o una demanda de largo alcance para la entidad.- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.- Reproceso de actividades y aumento de carga operativa.- Imagen institucional afectada en el orden nacional o regional por retrasos en laprestación del servicio a los usuarios o ciudadanos.- Investigaciones penales, fiscales o disciplinarias.
MEN
OR
- Impacto que afecte la ejecución presupuestal en un valor ≥1%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥1%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por algunas horas.- Reclamaciones o quejas de los usuarios que implican investigaciones internasdisciplinarias.- Imagen institucional afectada localmente por retrasos en la prestación del servicio a losusuarios o ciudadanos.
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥0,5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
- No hay interrupción de las operaciones de la entidad.- No se generan sanciones económicas o administrativas.- No se afecta la imagen institucional de forma significativa.
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
Paso 3: Valoración del riesgo – Análisis de Riesgos
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Análisis del Impacto Mapa de calor (Riesgo inherente)
El impacto se debe analizar y calificar a partir de las consecuencias identificadas
en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el
impacto fue identificado como mayor por cuanto genera interrupción de las
operaciones.
Mapa de Calor
Se toma la calificación de probabilidad (resultante de la tabla Matriz de
priorización de probabilidad), en el ejemplo: probable y la calificación de
impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en
la fila y la de impacto en la columnas correspondientes, establezca el punto de
cruce de las dos y este punto corresponderá al nivel de riesgo, que para el
ejemplo es nivel extremo – color rojo determinando así el riesgo
inherente..
R1
Paso 3: Valoración del riesgo – Análisis de Riesgos
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Es la respuesta establecida por la Primer Línea de Defensa para la
mitigación de los diferentes riesgos. Ningún riesgo de corrupción podrá ser
aceptado.
No se adopta ninguna
medida que afecte la
probabilidad o el impacto
del riesgo.
OPCIONES DE
TRATAMIENTO
Aceptar el Riesgo
Se adoptan medidas para
reducir la probabilidad o el
impacto del riesgo, o ambos;
por lo general conlleva a la
implementación de controles.
Reducir el Riesgo
Se abandonan las actividades
que dan lugar al riesgo,
decidiendo no iniciar o no
continuar con la actividad que
causa el riesgo.
Evitar el Riesgo
Se reduce la probabilidad o el
impacto del riesgo,
transfiriendo o compartiendo
una parte del riesgo.
Compartir el Riesgo
Paso 3: Valoración del riesgo – Tratamiento del Riesgo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto debería
aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.
Aceptar el Riesgo
RIESGO
ANTES DE
MEDIDAS DE
TRATAMIENTO
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo.
La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también
pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el
riesgo. En ambos escenarios debe existirun seguimiento continuo del riesgo.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la
cancelación de una actividad o conjunto de actividades.
Evitar el Riesgo
Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos
arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo
tanto hay situaciones donde no es una opción.
RIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
NO HAY RIESGOS
DESPUES DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
EVITAR
Se abandonan las actividades que dan lugar alriesgo, decidiendo no iniciar o no continuar con laactividad que causa el riesgo.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Compartir el Riesgo
MEDIDA DE TRATAMIENTORIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el impacto del riesgo,transfiriendo o compartiendo una parte del riesgo.
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser
compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del
riesgo.
Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y
tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un
acuerdo contractual.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo
aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.
Reducir el Riesgo
Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo
que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.
RIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir la probabilidad oel impacto del riesgo, o ambos; esto conlleva a laimplementación de controles.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
¿Qué son las Actividades de
Control?
Son las acciones establecidas a través de políticas y procedimientos que
contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección
para mitigar los riesgos que inciden en el cumplimiento de los objetivos.
ACTIVIDADES DE CONTROL DOCUMENTADAS EN
Políticas Procedimientos
Una política por si sola
no es un control.
Los controles se despliegan a
través de los procedimientos
documentados.
La actividad de control debe por si sola mitigar o
tratar la causa del riesgo y ejecutarse como parte
del día a día de las operaciones.
Paso 3: Valoración del riesgo – Diseño de Controles
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
CLASIFICACIÓN DE LAS
ACTIVIDADES DE
CONTROL
CONTROLES PREVENTIVOS CONTROLES DETECTIVOS
Controles que están diseñados para evitar un evento no
deseado en el momento en que se produce. Este tipo de
controles intentan evitar la ocurrencia de los riesgos que puedan
afectar el cumplimiento de los objetivos.
Controles que están diseñados para identificar un evento o
resultado no previsto después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se
tomen las acciones correspondientes.
Revisión al cumplimiento de los requisitos
contractuales, en el proceso de selección
del contratista o proveedor.
Realizar una conciliación bancaria, para
verificar que los saldos en libros corresponden
con los saldos en Bancos.
Paso 3: Valoración del riesgo – Diseño de Controles
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Diseño de Controles
VARIABLES A
EVALUAR PARA EL
ADECUADO DISEÑO DE
CONTROLES
PASO
1Debe tener definido el responsable de realizar la actividad de
control.
PASO
2Debe tener una periodicidad definida para su ejecución.
PASO
3Debe indicar cuál es el propósito del control.
PASO
4Debe establecer el cómo se realiza la actividad de control.
PASO
5
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
PASO
6Debe dejar evidencia de la ejecución del control.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
1Debe tener definido el responsable de realizar la actividad de
control.
El Profesional de Contratación
El Auxiliar de Cartera.
El Coordinador de Operaciones.
La Coordinadora de Nomina.
El aplicativo de nomina.
El aplicativo de contratación.
El aplicativo de activos fijos
Cuando un control se hace de manera manual (ejecutado por
personas) es importante establecer el cargo responsable de su
realización.
Cuando el control lo hace un sistema o una aplicación de manera
automática a través de un sistema programado, es importante
establecer como responsable de ejecutar el control, el sistema o
aplicación.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
2Debe tener una periodicidad definida para su ejecución.
El control debe tener una periodicidad especifica para su ejecución (diario, mensual,
trimestral, anual) .
Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si
con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo
El Profesional de Contratación cada vez que se va a
realizar un contrato con un proveedor de servicios.
El Auxiliar de Cartera mensualmente.
El Coordinador de Operaciones diariamente
La Coordinadora de Nomina quincenalmente
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
3Debe indicar cuál es el propósito del control.
Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,
detectar)
El profesional de Contratación cada vez que se va a
realizar un contrato verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación.
PASO
4Debe establecer el cómo se realiza la actividad de control.
Cómo se realiza el control? permite evaluar si la fuente u origen de la información que
sirve para ejecutar el control, es confiable para la mitigación del riesgo.
El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
5Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
Si como resultado de un control preventivo se observan diferencias o aspectos que no se
cumplen, la actividad no debería continuarse hasta que se subsane la situación.
El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación.
Si es un control que detecta una posible materialización de un riesgo, debería gestionarse
de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u
observaciones.
Si el responsable de ejecutar el control no realiza ningunaactividad de seguimiento a las observaciones odesviaciones, o la actividad continúa a pesar de indicaresas observaciones o desviaciones, el control tendríaproblemas de diseño.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
6Debe dejar evidencia de la ejecución del control.
Esta evidencia ayuda a que se pueda revisar la misma información por parte de un
tercero y llegue a la misma conclusión de quien ejecutó el control.
Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros
establecidos en el diseño.
El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo
diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en
los casos que aplique.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Evaluación de los controles
para la mitigación de los
riesgos.
DISEÑO EJECUCIÓN
Que cumpla con los 6 aspectos
explicados
El control se ejecuta como fue
diseñado y de manera consistente.
Para la adecuada mitigación de los riesgos, no basta conque un control este bien diseñado, el control debeejecutarse por parte de los responsables tal como sediseño. Por que un control que no se ejecute, o un controlque se ejecute y este mal diseñado, no va a contribuir a lamitigación del riesgo
Paso 3: Valoración del riesgo – Diseño de Controles
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Análisis y Evaluación de los Controles para
la Mitigación de los Riesgos
Criterio de Evaluación Aspecto a Evaluar en el Diseño del Control Opción de Respuesta
1. Responsable
¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado
¿El responsable tiene la autoridad y adecuada segregación de
funciones en la ejecución del control?Adecuado Inadecuado
2. Periodicidad¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación
del riesgo o a detectar la materialización del riesgo de manera oportuna?Oportuna Inoportuna
3. Propósito
¿Las actividades que se desarrollan en el control realmente buscan por si
sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo
Verificar, Validar Cotejar, Comparar, Revisar (…)?
Prevenir
DetectarNo es un control
4. Cómo se realiza la actividad de
control
¿La fuente de información que se utiliza en el desarrollo del control es
información confiable que permita mitigar el riesgo.Confiable No confiable
5. Qué pasa con las observaciones o
desviaciones
¿Las observaciones , desviaciones o diferencias identificadas como
resultados de la ejecución del control son investigadas y resueltas de manera
oportuna?
Se investigan y
resuelven
oportunamente
No se investigan ni
se resuelven
oportunamente
6. Evidencia de Ejecución del Control¿Se deja evidencia o rastro de la ejecución del control, que permita a
cualquier tercero con la evidencia, llegar a la misma conclusión?Completa Incompleta
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Criterio de Evaluación Opción de Respuesta al Criterio de EvaluaciónPeso en la Evaluación del
Diseño del control
1. Asignación del
Responsable
Asignado 15
No asignado 0
2. Segregación y
autoridad del responsable
Adecuado 15
Inadecuado 0
2. PeriodicidadOportuna 15
Inoportuna 0
3. Propósito
Prevenir 15
Detectar 10
No es un control 0
4. Cómo se realiza la
actividad de control
Confiable 15
No Confiable 0
5. Qué pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan ni resuelven oportunamente 0
6. Evidencia de Ejecución
del Control
Completa 10
Incompleta 5
No Existe 0
Tabla de Valoración Controles (Diseño y Ejecución)
Rango
Calificación del
Diseño
Opción de Respuesta al Criterio
de Evaluación
Fuerte Calificación entre 96 y 100
Moderado Calificación entre 86 y 95
DébilCalificación entre 0 y 85
Rango
Calificación de la
Ejecución
Opción de Respuesta al Criterio
de Evaluación
Fuerte
El control se ejecuta de manera
consistente por parte del
responsable
ModeradoEl control se ejecuta algunas veces
por parte del responsable
DébilEl control no se ejecuta por parte del
responsable
Ejecución
Diseño
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El profesional de Contratación cada vez que se va a
realizar un contrato, verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de
una lista de chequeo donde están los requisitos de
información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con
la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos
que aplique.
Criterio de EvaluaciónOpción de Respuesta al Criterio de
Evaluación
Peso en la Evaluación
del Diseño del control
1. Asignación del ResponsableAsignado (Califica 15)
No asignado (Califica 0)
2. Segregación y autoridad del
responsable
Adecuado (Califica 15)
Inadecuado (Califica 0)
2. PeriodicidadOportuna (Califica 15)
Inoportuna (Califica 0)
3. Propósito
Prevenir (Califica 15)
Detectar (Califica 10)
No es un control (Califica 0)
4. Cómo se realiza la actividad de
control
Confiable (Califica 15)
No Confiable (Califica 0)
5. Qué pasa con las observaciones o
desviaciones
Se investigan y resuelven oportunamente
(Califica 15)
No se investigan ni resuelven
oportunamente (Califica 0)
6. Evidencia de Ejecución del Control
Completa (Califica 10)
Incompleta (Califica 5)
No Existe (Califica 0)
TOTAL
Evaluación Final del Control
Diseño
15
15
Tipo Control: Preventivo
Directamente ataca probabilidad de
ocurrencia del riesgo e
indirectamente ataca el impacto
15
15
15
15
10
100
Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación
Fuerte Calificación entre 96 y 100
Moderado Calificación entre 86 y 95
Débil Calificación entre 0 y 85
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El profesional de Contratación cada vez que se va a
realizar un contrato, verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de
una lista de chequeo donde están los requisitos de
información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con
la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos
que aplique.
Rango Calificación de la
EjecuciónOpción de Respuesta al Criterio de Evaluación
FuerteEl control se ejecuta de manera consistente por
parte del responsable
ModeradoEl control se ejecuta algunas veces por parte del
responsable
Débil El control no se ejecuta por parte del responsable
Ejecución
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Peso del diseño
individual o promedio de
los Controles. (DISEÑO)
El Control se ejecuta de manera
consistente por los responsables.
(EJECUCION)
Solidez individual de cada control
Fuerte:100 Moderado:50
Debil:0
Aplica acciones para
fortalecer el Control
Si / NO
Fuerte
Calificación Entre 96 y 100
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte NO
Moderado ( Algunas veces) Fuerte + Moderado = Moderado SI
Débil (No se ejecuta) Fuerte + Débil = Débil SI
Moderado
Calificación Entre 86 y 95
Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado SI
Moderado (Algunas veces) Moderado + Moderado = Moderado SI
Débil (No se ejecuta) Moderado + Débil = Débil SI
Débil
Entre 0 y 85
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil SI
Moderado (Algunas veces) Débil + Moderado = Débil SI
Débil (No se ejecuta) Débil + Débil = Débil SI
Solidez del Control Integralmente (Diseño y Ejecución)
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El profesional de Contratación cada vez que se va a
realizar un contrato, verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de
una lista de chequeo donde están los requisitos de
información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con
la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos
que aplique.
Solidez del Control Integralmente (Diseño y Ejecución)
Peso del diseño
individual o
promedio de los
Controles.
(DISEÑO)
El Control se ejecuta de manera
consistente por los responsables.
(EJECUCION)
Solidez individual de cada
control Fuerte:100
Moderado:50
Debil:0
Fuerte
Calificación Entre
96 y 100
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte
Moderado ( Algunas veces) Fuerte + Moderado =
Moderado
Débil (No se ejecuta) Fuerte + Débil = Débil
Moderado
Calificación Entre
86 y 95
Fuerte (Siempre se ejecuta) Moderado + Fuerte =
Moderado
Moderado (Algunas veces) Moderado + Moderado =
Moderado
Débil (No se ejecuta) Moderado + Débil = Débil
Débil
Entre 0 y 85
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil
Moderado (Algunas veces) Débil + Moderado = Débil
Débil (No se ejecuta) Débil + Débil = Débil
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Solidez del Control Integralmente (Diseño y Ejecución)
Riesgo 1
Riesgos Causas o Fallas ControlesDiseño del
Control
Ejecución
del Control
Solidez
Individual del
Control
Solidez del
Conjunto de
Controles
Causa 1
Causa 2
Control 1
Control 2
Control 3
Fuerte
Fuerte
Débil
Fuerte
Moderado
Fuerte
Fuerte (100)
Moderado (50)
Débil (0)
¿Como
evaluamos la
solidez del
conjunto de los
controles?
Calificación de la Solidez del Conjunto de Controles
FuerteEl promedio de la solidez individual de cada control al
sumarlos y ponderarlos es igual a 100.
ModeradoEl promedio de la solidez individual de cada control al
sumarlos y ponderarlos la calificación está entre 50 y 99
DébilEl promedio de la solidez individual de cada control al
sumarlos y ponderarlos la calificación es menor a 50.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
Solidez del
conjunto de los
controles.
Controles ayudan
a disminuir la
probabilidad
Controles ayudan a
disminuir Impacto
# Columnas en la
matriz de riesgo que
se desplaza en el eje
de la Probabilidad
# Columnas en la matriz
de riesgo que se
desplaza en el eje de
Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
Si la solidez del conjunto de los controles es Débil, este nodisminuirá ningún cuadrante de impacto o probabilidadasociado al riesgo.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
Solidez del
conjunto de los
controles.
Controles ayudan
a disminuir la
probabilidad
Controles ayudan a
disminuir Impacto
# Columnas en la
matriz de riesgo que
se desplaza en el eje
de la Probabilidad
# Columnas en la matriz
de riesgo que se
desplaza en el eje de
Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
Tipo Control: Preventivo
Directamente ataca probabilidad de
ocurrencia del riesgo e
indirectamente ataca el impacto
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Resultados del Mapa de Riesgo Residual.
Una vez realizado el análisis y evaluación de los controles para la mitigación de los riesgos, procedemos
a la elaboración del mapa de riesgo residual (después de los controles ).
Riesgo 1 – Inoportunidad en la adquisición de los
bienes y servicios requeridos por la entidad.
Con una calificación de riesgo inherente de
probabilidad e impacto como se muestra en la siguiente
gráfica:
Control - Fuerte (bien diseñados y que siempre se
ejecutan), disminuyen de manera directa la probabilidad
e indirectamente el Impacto.
En nuestro ejemplo disminuiría dos cuadrantes de
probabilidad, pasa de probable a improbable y un
cuadrante de impacto, pasa de mayor a moderado.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)
Nro Riesgo Clasificación
Causas Probabilidad Impacto Riesgo Residual
Opción Manejo
Actividad de Control Soporte Responsable Tiempo
1
Ino
po
rtu
nid
ad e
n la
ad
qu
isic
ión
de
los
bie
nes
y s
ervi
cio
s r
equ
erid
os
po
r la
enti
dad
Op
erat
ivo
Carencia de controles en
el procedimiento de
contratación
Imp
rob
able
Mo
der
ado
Mo
der
ado
Reducir Procedimiento e instrumentos decontratación (lista de chequeo)
Para cada contrato, verifica que lainformación suministrada por elproveedor corresponda con losrequisitos establecidos de contratación,a través de una lista de chequeo dondeestán los requisitos de información y larevisión con la información físicasuministrada por el proveedor
Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique
Profesional de Contratación
Siempre que se realice un contrato
Inadecuadas políticas de
operación
Formato Mapa y Plan de Tratamiento de Riesgos.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Mapa de Riesgos (Gestión y Corrupción)
Formato Mapa y Plan de Tratamiento de Riesgos.
RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS
Pos
ibili
dad
de r
ecib
ir o
solic
itar
cual
quie
r da
diva
o b
enef
icio
a
nom
bre
prop
io o
de
terc
eros
con
el f
in c
eleb
rar
un c
ontr
ato. Situaciones como: debilidades en la
etapa de la planeación del contrato, la
excesiva discrecionalidad, las presiones
indebidas, la carencia de controles, la
falta de conocimiento y/o experiencia,
sumados a la falta de integridad pueden
generar un riesgo de corrupción en la
contratación, como por ejemplo
“Exigencias de condiciones en los
procesos de selección que solo cumple
un determinado proponente”.
Corrupción
Debilidades en la etapa de planeación,
que faciliten la inclusión en los estudios
previos, y/o en los pliegos de
condiciones de requisitos orientados a
favorecer a un proponente.
1. Pérdida de la imagen
institucional
2. Demandas contra el estado
3. Pérdida de confianza en lo
público
4. Investigaciones penales,
disciplinarias y fiscales
5. Detrimento patrimonial
6. Obras inconclusas
7. Mala calidad de las obras
8. Enriquecimiento ilícito de
contratistas
y/o servidores públicos
Presiones indebidas
Carencia de controles en elprocedimiento de contrataciónFalta de conocimiento y/o experiencia del personal que maneja la contrataciónExcesiva discrecionalidad
Adendas que modifican las condiciones generales del proceso de contratación para favorecer a un proponente
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Nr.Riesgo Activo Tipo Amenazas Vulnerabilidades
Pro
bab
ilid
ad
Imp
acto Riesgo
residual
Op
ció
n
trat
amie
nto
Actividad de Control Soporte
Res
po
nsa
ble
Tie
mp
o
Pér
dida
de
la in
tegr
idad
Bas
e de
Dat
os d
e N
ómin
a
Seg
urid
ad D
igita
l
Ausencia de
políticas de control
de acceso.
Pro
babl
e
Men
or
Mod
erad
o
Reducir
A.9.1.1 Política de control de acceso
Política creada y comunicada Oficina TI
Tercer trimestr e de 2018
1 Modificació
n no
autorizada
Contraseñas
sin
protecciónReducir
A.9.4.3 Sistema de gestión de contraseñas
Procedimientos para la gestión y
protección de contraseñas
Oficina TI Tercer trimestre de 2018
Ausencia de
mecanismos de
identificación y
autenticación de
usuarios
ReducirA 9.4.2 Procedimiento
de ingreso seguro
Procedimiento para ingreso
seguroOficina TI Cuarto
trimestre de 2018
Ausencia de
bloqueo
de sesión
Reducir A.11.2.8 Equipos deusuario desatendidos
Configuracionespara bloqueo automático de
sesión
Oficina TI Cuarto Trimestre de
2018
Formato Mapa y Plan de Tratamiento de Riesgos.
Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Monitoreo y Revisión – Rol de las Líneas de Defensa.
El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través
de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:
• Corresponde al área encargada de la
gestión del riesgo (Oficina Asesora de
Planeación, Gerencias de Riesgos u otra
instancia definida) a quienes corresponde la
difusión y asesoría de la metodología, así
como de los planes de tratamiento de riesgo
identificados en todos los niveles de la
entidad, de tal forma que se asegure su
implementación.
Corresponde al Comité de Auditoría de las Empresas Industriales y Comerciales del Estado y/o a los Comités Institucionales de Coordinación de Control Interno,
establecer la Política de Gestión de Riesgos y asegurarse de su aplicación en todos los niveles de la organización, de tal forma que se conozcan claramente los
niveles de responsabilidad y autoridad que posee cada una de las tres líneas de defensa frente a la gestión del riesgo.
1ª. Línea de Defensa
• Controles de Gerencia Operativa (Líderes de
proceso y sus equipos), a quienes
corresponde asegurarse de implementar la
metodología para mitigar los riesgos en la
operación, reportando a la segunda línea sus
avances y/o dificultades.
2ª. Línea de Defensa 3ª. Línea de Defensa
• A cargo de la Oficina de Control Interno,
Auditoría Interna o quién haga sus veces,
quienes aplican la evaluación
independiente sobre la gestión del riesgo
en la entidad, se pronuncian sobre la
efectividad de los controles.
LÍNEA ESTRATÉGICA
AutoevaluaciónEvaluación
IndependienteAutocontrol
v
Riesgos de Seguridad Digital
TENER EN CUENTA….
Riesgo de Seguridad Digital: Combinaciónde amenazas y vulnerabilidades en elentorno digital. Puede debilitar el logro deobjetivos económicos y sociales, así comoafectar la soberanía nacional, la integridadterritorial, el orden constitucional y losintereses nacionales. Incluye aspectos delambiente físico, digital y las personas.
Activo: En el contexto de seguridad digitalson elementos tales como aplicaciones de laorganización, servicios web, redes,Hardware, información física o digital, recursohumano, entre otros, que utiliza laorganización para funcionar en el entornodigital.
Confidencialidad:
Propiedad de la información que la hace nodisponible o sea divulgada a individuos,entidades o procesos no autorizados
Integridad:
Propiedad de exactitud y completitud.
Disponibilidad:
Propiedad de ser accesible y utilizable ademanda por una entidad
TENER EN CUENTA….
Paso 1: Política Institucional de Riesgos
Declaración de la Dirección y las intenciones generales de una
organización con respecto a la gestión del riesgo, (NTC ISO31000
Numeral 2.4). La gestión o Administración del riesgo establece
lineamientos precisos acerca del tratamiento, manejo y seguimiento a los
riesgos.
Incorporar Anexo 4 Lineamientos para la
gestión del riesgo de seguridad digital.
Frente a los Riesgos de Seguridad Digital
Paso 2.1: Identificacióndel Contexto
Contexto del Proceso
Se determinan las características o aspectos esenciales del proceso y sus interrelaciones. Se
pueden considerar factores como:
Objetivo y Alcance del proceso
Interrelación con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
Tabla ilustrativa 1 - Factores para cada categoría del contexto
GESTIÓN DE ACTIVOS
¿Qué son los activos? ¿Por qué identificar los activos?
Un activo es cualquier elemento que tenga valor para la
organización, sin embargo, en el contexto de seguridad digital
son activos elementos tales como:
Permite determinar qué es lo más importante que cada entidad y
sus procesos poseen (sean bases de datos, archivos, servidores web
o aplicaciones claves para que la entidad pueda prestar sus servicios).
La entidad puede saber qué es lo que debe proteger para garantizar
tanto su funcionamiento tanto interno como su funcionamiento de
cara al ciudadano, aumentando así su confianza en el uso del entorno
digital.
Aplicaciones de la organización.
Servicios web
Redes
Información física o digital
Tecnologías de información -TI-
Tecnologías de operación -TO- que
utiliza la organización para funcionar
en el entorno digital.
Anexo 4 “Lineamientos para la
gestión del riesgo de seguridad
digital en entidades públicas”
¿Cómo Identificar los Activos?Paso 1: Listar los Activos por Proceso
En cada proceso, deberán listarse los activos, indicando algún consecutivo, nombre y
descripción breve de cada uno.
PROCESO ACTIVO DESCRIPCION
Gestión Financiera Base de datos de nóminaBase de datos con información de
nómina de la entidad
Gestión Financiera Aplicativo de NóminaServidor web que contiene el front office
de la entidad
Gestión Financiera Cuentas de Cobro Formatos de cobro diligenciados
Ejemplo
¿Cómo Identificar los Activos?Paso 2: Identificar el dueño de los Activos
Cada uno de los activos identificados deberá tener un dueño designado, Si un activo no
posee un dueño, nadie se hará responsable ni lo protegerá debidamente.
Ejemplo
ACTIVO DESCRIPCION DUEÑO DEL ACTIVO
Base de datos de
nómina
Base de datos con información
de nómina de la entidadJefe Oficina de Nómina
Aplicativo de NóminaSistema que permite gestionar
la nómina y los pagosJefe Oficina de Nómina
Cuentas de Cobro Formatos de cobro diligenciados Jefe Oficina de Nómina
¿Cómo Identificar los Activos?Paso 3: Clasificar los Activos
Cada activo debe tener una clasificación o pertenecer a un determinado grupo de activos
según su naturaleza cómo, por ejemplo: Información, Software, Hardware, Componentes de
Red entre otros.
Tabla 4. Tipología de Activos
Tipo Activo Descripción Ejemplo
Información
Información almacenada en formatos
físicos (papel, carpetas, CD, DVD) o
en formatos digitales o electrónicos
(ficheros en bases de datos, correos
electrónicos, archivos o servidores)
Contratos, acuerdos de confidencialidad, manuales de
usuario, procedimientos operativos o de soporte, planes
para la continuidad del negocio, registros contables,
estados financieros, archivos ofimáticos, documentos y
registros del sistema integrado de gestión, bases de datos
con información personal o con información relevante
para algún proceso (bases de datos de nóminas, estados
financieros), entre otros.
¿Cómo Identificar los Activos?
Tabla 4. Tipología de Activos
Tipo Activo Descripción Ejemplo
Software Activo informático lógico.Programas, herramientas ofimáticas o sistemas lógicos
para la ejecución de las actividades.
HardwareEquipos físicos de cómputo y de
comunicaciones
Servidores, biométricos que por su criticidad son
considerados activos de información.
Servicios
Servicio brindado por parte de la
entidad para el apoyo de las
actividades de los procesos.
Servicios WEB, intranet, CRM, Portales
organizacionales, Aplicaciones entre otros (Pueden estar
compuestos por hardware y software).
Intangibles
Aquellos activos inmateriales que
otorgan a la entidad una ventaja
competitiva relevante.
Imagen corporativa, reputación o el good will, entre
otros.
Componentes de Red
Medios necesarios para realizar la
conexión de los elementos de
hardware y software en una red.
Cableado estructurado y tarjetas de red, routers,
switches, entre otros.
¿Cómo Identificar los Activos?Tabla 4. Tipología de Activos
Tipo Activo Descripción Ejemplo
Personas
Roles que, por su conocimiento,
experiencia y criticidad para el
proceso, son considerados activos de
información
Personal con experiencia y capacitado para realizar una
tarea específica en la ejecución de las actividades.
Instalaciones
Espacio o área asignada para alojar y
salvaguardar los datos considerados
como activos críticos para la entidad.
Espacio definido (acorde con cada entidad).
ACTIVO TIPO DE ACTIVO
Base de datos de nómina Información
Aplicativo de Nómina Software
Cuentas de Cobro Información
Ejemplo
¿Cómo Identificar los Activos?Paso 4: Clasificar la Información
Realizar la clasificación de la información conforme lo indican las leyes 1712 de 2014, 1581
de 2012, el Modelo de Seguridad y Privacidad en su Guía de Gestión de Activos, el dominio
8 del Anexo A de la norma ISO27001:2013 y demás normatividad aplicable.
Ejemplo
ACTIVO TIPO DE ACTIVO Ley 1712 de 2014 Ley 1581 de 2012
Base de datos de nómina Información Información Reservada No Contiene datos personales
Aplicativo de Nómina Software N/A N/A
Cuentas de Cobro Información Información Pública No contiene datos personales
¿Cómo Identificar los Activos?Paso 5: Determinar la Criticidad del Activo
Ahora la entidad pública debe evaluar la criticidad de los activos, a través de preguntas que le permitan determinar el grado
de importancia de cada uno, para posteriormente, durante el análisis de riesgos tener presente esta criticidad para hacer
una valoración adecuada de cada caso.
Consultar: http://www.mintic.gov.co/gestionti /615/w3-propertyvalue-7275.html - Guía #5 Gestión Clasificación de Activos
Esquema Clasificación por Confidencialidad
Información Pública
Reservada
Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros
sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen
o económica.
Información Pública
Clasificada
Información disponible para todos los procesos de la entidad y que en caso de ser conocida por
terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma.
Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios
de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros
sin autorización del propietario.
Información Pública Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera
de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.
No ClasificadaActivos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados,
deben ser tratados como activos de INFORMACIÓN PUBLICA RESERVADA
¿Cómo Identificar los Activos?Esquema Clasificación por Integridad
A
(ALTA)
Información cuya pérdida de exactitud y completitud puede conllevar un impacto
negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de
imagen severas de la entidad.
M
(MEDIA)
Información cuya pérdida de exactitud y completitud puede conllevar un impacto
negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de
imagen moderado a funcionarios de la entidad.
B
(BAJA)
Información cuya pérdida de exactitud y completitud conlleva un impacto no
significativo para la entidad o entes externos.
No
Clasificada
Activos de Información que deben ser incluidos en el inventario y que aún no han sido
clasificados, deben ser tratados como activos de información de integridad ALTA.
Esquema Clasificación por Disponibilidad
1
(ALTA)
La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o
económica, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos.
2
(MEDIA)
La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o
económica, retrasar sus funciones, o generar pérdida de imagen moderado de la entidad.
3
(BAJA)
La no disponibilidad de la información puede afectar la operación normal de la entidad o
entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen.
No
Clasificada
Activos de Información que deben ser incluidos en el inventario y que aún no han sido
clasificados, deben ser tratados como activos de información de disponibilidad ALTA.
ALTA
Activos de información en los cuales la
clasificación de la información en dos (2) o todas
las propiedades (confidencialidad, integridad, y
disponibilidad) es alta.
MEDIA
Activos de información en los cuales la
clasificación de la información es alta en una (1) de
sus propiedades o al menos una de ellas es de
nivel medio.
BAJA
Activos de información en los cuales la
clasificación de la información en todos sus niveles
es baja.
¿Cómo Identificar los Activos?Paso 5: Determinar la Criticidad del Activo
Ejemplo
ACTIVO TIPO DE ACTIVOCriticidad respecto a
su confidencialidad
Criticidad respecto a
completitud o
integridad
Criticidad respecto a
su disponibilidadNivel de Criticidad
Base de datos de
nóminaInformación ALTA ALTA ALTA ALTA
Aplicativo de Nómina Información BAJA MEDIA BAJA MEDIA
Cuentas de Cobro Información BAJA BAJA BAJA BAJA
Una vez se ejecute la identificación de los activos, la entidad pública debe definir si
gestionará los riesgos en todos los activos del inventario o solo en aquellos que
tengan un nivel de criticidad Alto, esto debe estar debidamente documentando y
aprobado por la Línea Estratégica – Alta dirección.
¿Cómo Identificar los Activos?Paso 6: Identificar si existen Infraestructuras Críticas Cibernéticas -ICC-
Se invita a que las entidades públicas identifiquen y reporten a las instancias y autoridades respectivas en el Gobierno
nacional si poseen ICC. Un activo es considerado infraestructura crítica si su impacto o afectación podría superar alguno de
los siguientes 3 criterios:
IMPACTO SOCIAL
(0,5%) de Población
Nacional
IMPACTO ECONÓMICO
PIB de un Día o 0,123%
del PIB Anual
IMPACTO AMBIENTAL
250.000 personas $464.619.736 3 años en recuperación
Fuente: Tomado de Comando Conjunto Cibernético (CCOC), Comando General Fuerzas Militares de Colombia. Guía
para la Identificación de Infraestructura Crítica Cibernética (ICC) de Colombia Primera
Si la entidad pública determina que tiene ICC, es importante que se
identifiquen los componentes que conforman dicha infraestructura. Por
ejemplo, dicha ICC puede tener componentes de TI (como servidores)
o de TO (como sistemas de control industrial o sensores).
Gestión del RiesgoPaso 1: Identificación del Riesgo
Pérdida de la integridad
1
2
3
Pérdida de la confidencialidad
Pérdida de la disponibilidad
Se podrán identificar los siguientes tres (3) riesgos inherentes de
seguridad digital:
Para cada riesgo, se deben asociar el grupo de activos o activos
específicos del proceso, y conjuntamente analizar las posibles
amenazas y vulnerabilidades que podrían causar su
materialización.
Anexo 4 “Lineamientos para la gestión del riesgo de
seguridad digital en entidades públicas” encontrarán:
Tabla 5. Tabla de amenazas comunes
Tabla 6. Tabla de amenazas dirigida por el hombre
Tabla 7. Tabla de Vulnerabilidades Comunes
Gestión del Riesgo
Tipo de activo Ejemplos de vulnerabilidades Ejemplos de amenazas
HardwareAlmacenamiento de medios sin
protecciónHurto de medios o documentos
Software Ausencia de parches de seguridad Abuso de los derechos
Red Líneas de comunicación sin protección Escucha encubierta
Información Falta de controles de acceso físico Hurto de información
Personal Falta de capacitación en las herramientas Error en el uso
Organización Ausencia de políticas de seguridad Abuso de los derechos
Paso 1: Identificación del Riesgo
La sola presencia de una vulnerabil idad no causa daños por sí misma, ya que representa
únicamente una debilidad de un activo o un control, para que la vulnerabil idad pueda causar
daño, es necesario que una amenaza pueda explotar esa debil idad. Una vulnerabil idad que
no tiene una amenaza puede no requerir la implementación de un control.
Tabla 8. Tabla de Amenazas y Vulnerabilidades (De acuerdo con el tipo de activo)
Gestión del RiesgoPaso 2: Identificaciónde Riesgo de Seguridad Digital
ACTIVO RIESGO DESCRIPCION AMENAZA TIPO CAUSAS/VULNERABILIDADES CONSECUENCIAS
Base de
datos de
Nómina
Pérdida de
Integridad
La falta de políticas de seguridad
digital, ausencia de políticas de
control de acceso, contraseñas
sin protección y mecanismos de
autenticación débil, pueden
facilitar una modificación no
autorizada causando la pérdida
de la integridad de la base de
datos de nómina.
Modificación
no
autorizada
Seguridad
Digital
Falta de políticas de seguridad
digitalRetrasos en el pago de la nómina
Inconsistencias en los pagos
Reprocesos internos
Legales (por la no devolución de
pagos adicionales realizados)
Ausencia de políticas de control
de acceso
Contraseñas sin protección
Autenticación débil
Proceso Talento Humano
Ejemplo
Seleccionar la vulnerabilidades asociadas a la amenaza identificada
Gestión del Riesgo
Análisis de la Probabilidad
Se analiza qué tan posible es que ocurra el riesgo, se expresa en
términos de frecuencia o factibilidad, donde frecuencia implica
analizar el número de eventos en un periodo determinado, se trata de
hechos que se han materializado o se cuenta con un historial de
situaciones o eventos asociados al riesgo, y factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo, se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda.
Nivel Descriptor Descripción Frecuencia
5 Casi seguro Se espera que el evento ocurra en la
mayoría de las circunstancias
Mas de 1 vez al año.
4 Probable Es viable que el evento ocurra en la
mayoría de las circunstancias
Al menos 1 vez en el
último año.
3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
últimos 5 años.
1 Rara vez El evento puede ocurrir solo en
circunstancias excepcionales (poco
comunes o anormales)
No se ha presentado en
los últimos 5 años.
Paso 3: Valoración del riesgo - Análisis de Riesgos
Criterios parar calificar la probabilidad
Permite establecer la probabil idad de ocurrencia del riesgo y el nivel de
consecuencias o impacto, con el fin de estimar la zona de riesgo inicial
(RIESGO INHERENTE).
Gestión del RiesgoPaso 3: Valoración del riesgo - Análisis de Riesgos
Criterios para calificar el Impacto – Riesgos de Seguridad Digital
FUENTE: Ministerio de Tecnologías de la Información y las Comunicaciones
NIVELVALOR DEL
IMPACTO
CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL
Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo
INSIGNIFICANTE 1
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
No hay Afectación medioambiental
Sin afectación de la integridad
Sin afectación de la disponibilidad
Sin afectación de la confidencialidad
MENOR 2
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación leve del Medio Ambiente requiere de ≥X días de
recuperación
Afectación leve de la integridad
Afectación leve de la disponibilidad
Afectación leve de la confidencialidad
MODERADO 3
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación leve del Medio Ambiente requiere de ≥X semanas
de recuperación
Afectación moderada de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación moderada de la disponibilidad de la información
debido al interés particular de los empleados y terceros
Afectación moderada de la confidencialidad de la información
debido al interés particular de los empleados y terceros
MAYOR 4
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación importante del Medio Ambiente que requiere de
≥X meses de recuperación
Afectación grave de la integridad de la información debido al
interés particular de los empleados y terceros
Afectación grave de la disponibilidad de la información
debido al interés particular de los empleados y terceros
Afectación grave de la confidencialidad de la información
debido al interés particular de los empleados y terceros
CATASTRÓFICO 5
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación muy grave del Medio Ambiente que requiere de
≥X años de recuperación
Afectación muy grave de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación muy grave de la disponibilidad de la información
debido al interés particular de los empleados y terceros
Afectación muy grave confidencialidad de la información
debido al interés particular de los empleados y terceros
Paso 3: Valoración del riesgo - Análisis de Riesgos
Análisis del Impacto Mapa de calor (Riesgo inherente)
El impacto se debe analizar y calificar a partir de las consecuencias identificadas
en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el
impacto fue identificado como mayor debido a la afectación grave de la
confidencialidad de la información debido al interés particular de los
empleados y terceros.
Mapa de Calor
Se toma la calificación de probabilidad (resultante de la tabla Matriz de
priorización de probabilidad), en el ejemplo: probable y la calificación de
impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en
la fila y la de impacto en la columnas correspondientes, establezca el punto de
cruce de las dos y este punto corresponderá al nivel de riesgo, que para el
ejemplo es nivel extremo – color rojo determinando así el riesgo
inherente..
R1
Gestión del Riesgo
RIESGO ACTIVO AMENAZA VULNERABILIDADPROBA
BILIDADIMPACTO
ZONA DE
RIESGO
Pérdida de la
Confidencialidad
Base de datos
de Nómina
Modificación
no autorizada
Ausencia de políticas de control
de acceso
4-Probable 4- Mayor Extrema
Contraseñas sin protección
Ausencia de mecanismos de
identificación y autenticación de
usuarios
Ausencia de bloqueo de sesión
Ejemplo
IMPORTANTE
La probabilidad y el impacto se determinan con base a la
amenaza, no en las vulnerabilidades.
Gestión del RiesgoPaso 3: Valoración del riesgo – Diseño de Controles
Las entidades públicas podrán mitigar/tratar
los riesgos de seguridad digital empleando
los siguientes controles, tomados del Anexo
A del estándar ISO/IEC 27001:2013 y los
dominios a los que pertenecen, siempre y
cuando se ajusten al análisis de riesgos.
A.12 Seguridad de las operaciones
Procedimientos operacionales
y responsabilidades
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de
procesamiento de información.
Procedimientos de operación
documentados
Control: Los procedimientos de operación se deberían documentar y poner a disposición de
todos los usuarios que los necesiten.
Gestión de cambios
Control: Se deberían controlar los cambios en la organización, en los procesos de negocio, en
las instalaciones y en los sistemas de procesamiento de información que afectan la seguridad
de la información.
Gestión de capacidad
Control: Para asegurar el desempeño requerido del sistema se debería hacer seguimiento al
uso de los recursos, hacer los ajustes, y hacer proyecciones de los requisitos sobre la
capacidad futura.
Separación de los ambientes de
desarrollo, pruebas y operación
Control: Se deberían separar los ambientes de desarrollo, prueba y operación, para reducir los
riesgos de acceso o cambios no autorizados al ambiente de operación.
Protección contra códigos
maliciosos
Objetivo: Asegurarse de que la información y las instalaciones de procesamiento de
información estén protegidas contra códigos maliciosos.
Controles contra códigos
maliciosos
Control: Se deberían implementar controles de detección, de prevención y de recuperación,
combinados con la toma de conciencia apropiada de los usuarios, para proteger contra códigos
maliciosos.
Copias de respaldo Objetivo: Proteger contra la perdida de datos.
Respaldo de información
Control: Se deberían hacer copias de respaldo de la información, del software e imágenes de
los sistemas, y ponerlas a prueba regularmente de acuerdo con una política de copias de
respaldo aceptada.
Ejemplo
Acorde con el control seleccionado
será necesario considerar las
características de Diseño y
Ejecución definidas para su
valoración.
Gestión del Riesgo
Nr.
Riesgo Activo Tipo Amenazas Vulnerabilidades
Pro
bab
ilid
ad
Imp
act
o
Riesgoresidual
Op
ción
trata
mie
nto
Actividad de Control Soporte
Res
pon
sab
le
Tie
mp
o
Pér
did
a de
la i
nte
gri
dad
Bas
e de
Dat
os
de
Nóm
ina
Seg
uri
dad
Dig
ital
Ausencia de
políticas de
control de
acceso.
Pro
bab
le
Men
or
Moder
ado
Reducir
A.9.1.1 Política de
control de acceso
Política creada y
comunicada Oficina
TI
Tercer
trimestr e de
2018
1 Modificac
ión no
autorizada
Contraseñas
sin
protecció
n
ReducirA.9.4.3 Sistema de
gestión de contraseñas
Procedimientos
para la gestión y
protección de
contraseñasOficina TI Tercer
trimestre de
2018Ausencia de
mecanismos de
identificación y
autenticación de
usuarios
ReducirA 9.4.2
Procedimiento de
ingreso seguro
Procedimiento
para ingreso
seguroOficina
TI
Cuarto
trimestre de
2018
Ausencia de
bloqueo
de sesión
Reducir A.11.2.8 Equipos deusuario desatendidos
Configuraciones
para bloqueo
automático de
sesión
Oficina
TI
Cuarto
Trimestre de
2018
Formato Mapa y Plan de Tratamiento de Riesgos.
v
Riesgos relacionados con
Posibles Actos de Corrupción
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Plan
Anticorrupción y
de Atención al
Ciudadano
Mapas de Riesgos
Asociados a posibles
actos de corrupción
Servicio al Ciudadano
Transparencia y
Acceso a la
Información
Rendición de
CuentasEstrategia Anti-
trámites
Posibilidad de que por acción u
omisión, se use el poder para
desviar la gestión de lo público
hacia un beneficio privado.
Acción u omisión
Uso del Poder
Desviar la gestión de lo público
Beneficio particular
Riesgo de Corrupción
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 1: Política Institucional de Riesgos
Los riesgos de corrupción no admiten
aceptación del riesgo.
Definir procesos susceptibles de posibles
actos de corrupción.
Frente a los Riesgos de Corrupción
Tomado de: https://lexlatin.com/
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo – Análisis de Contexto
Orientación Práctica para el Análisis de procesos, procedimientos o
actividades susceptibles de actos de corrupción
Direccionamiento Estratégico
(Alta Dirección)
Concentración de autoridad o Exceso de
poder.
Extralimitación de funciones.
Ausencia de canales de comunicación
Amiguismo y clientelismo.
Fuente: Secretaría de Transparencia. 2012.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo – Análisis de Contexto
Orientación Práctica para el Análisis de procesos, procedimientos o
actividades susceptibles de actos de corrupción
Financiero (Está relacionado con áreas de
Planeación y Presupuesto) Inclusión de gastos no autorizados.
Inversiones de dineros públicos en entidades de dudosa
solidez financiera, a cambio de beneficios indebidos para
servidores públicos encargados de su administración.
Inexistencia de registros auxiliares que permitan identificar y
controlar los rubros de inversión.
Inexistencia de archivos contables.
Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribución económica.
Fuente: Secretaría de Transparencia. 2012.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo – Análisis de Contexto
Orientación Práctica para el Análisis de procesos, procedimientos o
actividades susceptibles de actos de corrupción
De contratación
(Como proceso o bien los procedimientos ligados a éste)
Estudios previos o de factibilidad deficientes.
Estudios previos o de factibilidad manipulados por personal interesado en el futuro proceso de
contratación. (Estableciendo necesidades inexistentes o aspectos que benefician a una firma en
particular).
Pliegos de condiciones hechos a la medida de una firma en particular.
Disposiciones establecidas en los pliegos de condiciones que permiten a los participantes direccionar
los procesos hacia un grupo en particular. (Ej. media geométrica).
Visitas obligatorias establecidas en el pliego de condiciones que restringen la participación.
Adendas que cambian condiciones generales del proceso para favorecer a grupos determinados.
Urgencia manifiesta inexistente.
Concentrar las labores de supervisión en poco personal.
Contratar con compañías de papel que no cuentan con experiencia.
Fuente: Secretaría de Transparencia. 2012.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Orientación Práctica para el Análisis de procesos, procedimientos o
actividades susceptibles de actos de corrupción
De información y documentación
Ausencia o debilidad de medidas y/o políticas de conflictos de
interés.
Concentración de información de determinadas actividades o
procesos en una persona.
Ausencia de sistemas de información, que pueden facilitar el
acceso a información y su posible manipulación o
adulteración.
Ocultar la información considerada pública para los usuarios.
Ausencia o debilidad de canales de comunicación
Fuente: Secretaría de Transparencia. 2012.
Paso 2: Identificacióndel Riesgo – Análisis de Contexto
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Orientación Práctica para el Análisis de procesos, procedimientos o
actividades susceptibles de actos de corrupción
De Investigación y Sanción
Inexistencia de canales de denuncia interna o
externa.
Dilatar el proceso para lograr el vencimiento de
términos o la prescripción del mismo.
Desconocimiento de la ley, mediante
interpretaciones subjetivas de las normas
vigentes para evitar o postergar su aplicación.
Exceder las facultades legales en los fallos.
Fuente: Secretaría de Transparencia. 2012.
Paso 2: Identificacióndel Riesgo – Análisis de Contexto
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Orientación Práctica para el Análisis de procesos, procedimientos o
actividades susceptibles de actos de corrupción
De trámites y/o servicios internos y externos
Cobros asociados al trámite.
Influencia de tramitadores
Tráfico de influencias: (amiguismo, persona influyente).
De reconocimiento de un derecho
(Expedición de Licencias y/o Permisos)
Falta de procedimientos claros para el trámite
Imposibilitar el otorgamiento de una licencia o permiso.
Tráfico de influencias: (amiguismo, persona influyente).
Fuente: Secretaría de Transparencia. 2012.
Paso 2: Identificacióndel Riesgo – Análisis de Contexto
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
Posibilidad de recibir o solicitar
cualquier dadiva o beneficio a
nombre propio o de terceros por
obtener la adjudicación de un
proceso de selección.
“…recibió coimas por 1.800 millones de pesos para direccionar la licitación de estudios y
diseños en favor de la empresa….” (El Tiempo – septiembre 15 /2017
Presiones indebidas
Debilidades en la etapa de planeación.
Falta de conocimiento técnico
Discrecionalidad
Pérdida de imagen institucional
Investigaciones
Obras inconclusas.
Mala calidad de las obras
Situación
Causas
Consecuencias
Se busca de manera general identificar un conjunto sistemático de situaciones que por
sus características, pueden originar prácticas corruptas.
Ejemplo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
Los riesgos de corrupción se establecen sobre procesos. El riesgo debe estar
descrito de manera clara y precisa. Su redacción no debe dar lugar a
ambigüedades o confusiones con la causa generadora de los mismos.
Con el fin de facilitar la identificación de riesgos de corrupción y de evitar que se
presenten confusiones entre un riesgo de gestión y uno de corrupción, se sugiere
la utilización de la Matriz de definición de riesgo de corrupción, que incorpora cada
uno de los componentes de su definición. Si en la descripción del riesgo, las
casillas son contestadas todas afirmativamente, se trata de un riesgo de
corrupción.
Paso 2: Identificaciónde Riesgo de Corrupción
RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS
Dir
ecci
on
amie
nto
de
con
trat
ació
na
favo
rd
eu
n
terc
ero
Adendas que cambian condiciones generales del
proceso de contratación para favorecer a un
proponente
Corrupción Intereses personales 1. Demandas contra el estado
2. Perdida de confianza en lo público
3. Investigaciones disciplinarias
4. Detrimento patrimonial
5. Declaración de nulidad del proceso
- inoportunidad en la entrega de los
bienes
6. Enriquecimiento ilícito de
contratistas y/o servidores públicos
Presiones indebidas
Injerencia de externos sobre la entidad
para favorecer intereses particulares
Carencia de controles en el
procedimiento de contratación
ImportanteEn la descripción de los riesgos de corrupción deben concurrir TODOS los
componentes de su definición:
Acción u omisión + uso del poder + desviación de la gestión
de lo público + el beneficio privado.
Proceso Contratación: “Adquirir con oportunidad y calidad
técnica los bienes y servicios requeridos por la entidad para su
continua operación”
Ejemplo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Análisis de la Probabilidad
Se analiza qué tan posible es que ocurra el riesgo, se expresa en
términos de frecuencia o factibilidad, donde frecuencia implica
analizar el número de eventos en un periodo determinado, se trata de
hechos que se han materializado o se cuenta con un historial de
situaciones o eventos asociados al riesgo, y factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo, se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda.
Nivel Descriptor Descripción Frecuencia
5 Casi seguro Se espera que el evento ocurra en la
mayoría de las circunstancias
Mas de 1 vez al año.
4 Probable Es viable que el evento ocurra en la
mayoría de las circunstancias
Al menos 1 vez en el
último año.
3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
últimos 5 años.
1 Rara vez El evento puede ocurrir solo en
circunstancias excepcionales (poco
comunes o anormales)
No se ha presentado en
los últimos 5 años.
Paso 3: Valoración del riesgo – Análisis de Riesgo
Criterios parar calificar la probabilidad
Permite establecer la probabil idad de ocurrencia del riesgo y el nivel de
consecuencias o impacto, con el fin de estimar la zona de riesgo inicial
(RIESGO INHERENTE).
Nro PREGUNTA: Si el riesgo de corrupción se materializa podría...
Respuesta
SI NO
1 ¿Afectar al grupo de funcionarios del proceso? X
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X
3 ¿Afectar el cumplimiento de misión de la Entidad? X
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? X
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X
6 ¿Generar pérdida de recursos económicos? X
7 ¿Afectar la generación de los productos o la prestación de servicios? X
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida
del bien o servicios o los recursos públicos?
X
9 ¿Generar pérdida de información de la Entidad? X
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X
11 ¿Dar lugar a procesos sancionatorios? X
12 ¿Dar lugar a procesos disciplinarios? X
13 ¿Dar lugar a procesos fiscales? X
14 ¿Dar lugar a procesos penales? X
15 ¿Generar pérdida de credibilidad del sector? X
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X
17 ¿Afectar la imagen regional? X
18 ¿Afectar la imagen nacional? X
19 ¿Genera daño ambiental X
Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado.
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.
Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.
10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad.
CATASTROFICO Genera consecuencias desastrosas para la entidad
Cri
teri
os
pa
ra c
ali
fic
ar
el
Imp
ac
to –
Rie
sg
os
de
Co
rru
pc
ión
Nivel de Impacto MAYOR
Importante
Se debe diligenciar una tabla de estas por
cada riesgo de corrupción identificado.
Los niveles de impacto Insignificante y
Menor no aplica para riesgos de
corrupción.
Paso 3: Valoración del riesgo – Análisis de Riesgo
Paso 3: Valoración del riesgo – Análisis de Riesgo
Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente)
Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en
cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos
riesgos siempre serán significativos; en este orden de ideas, no aplican los
niveles de impacto insignificante y menor, que si aplican para los demás
riesgos.
De acuerdo a la tabla de criterios para calificar el impacto de la página anterior,
nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los
riesgos de corrupción se califica con los mismos cinco niveles de los demás
riesgos .
Por ultimo ubique en el mapa de calor el punto de cruce resultante de la
probabilidad y el impacto para establecer el nivel del riego inherente, para el
ejemplo corresponde a: EXTREMO
ImportanteAunque se utilice el mismo mapa de calor , para los riesgos de gestión y de
corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,
Mayor y Catastrófico.
Aplica para
los riesgos
de
corrupción
R1
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
RIESGO DESCRIPCIÓN CAUSAS CONSECUENCIASPROBABI
LIDADIMPACTO
ZONA DE
RIESGO
Direccionamiento de
contratación a favor
de un tercero
Adendas que
cambian condiciones
generales del
proceso de
contratación para
favorecer a un
proponente
Intereses personalesDeclaración de nulidad
del proceso
4-Probable 4- Mayor Extrema
inoportunidad en la
entrega de los bienesCarencia de controles en el
procedimiento de contratación
Investigaciones
disciplinarias Presiones indebidas
Injerencia de externos sobre la
entidad para favorecer intereses
particulares
Demandas
Ejemplo
Paso 3: Valoración del riesgo – Análisis de Riesgo
Para la definición del nivel de
Impacto se debe utilizar la tabla
Criterios para calificar el Impacto -
Riesgos de Corrupción
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 3: Valoración del riesgo – Diseño de Controles
Acorde con el control seleccionado será
necesario considerar las características
de Diseño y Ejecución definidas para
su valoración.
Tipo Control: Preventivo
Manual de contratación Implementado con parámetros técnicos y
financieros para cada tipo de contratación, formalizado en un
procedimiento.
Ejemplo Control
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Formato Mapa y Plan de Tratamiento de Riesgos.
Nro Riesgo Clasificación Causas Probabilidad
Impacto RiesgoResidual
OpciónManejo
Actividad de Control Soporte Responsable
Tiempo
2
Pos
ibili
dad
de r
ecib
ir o
solic
itar
cual
quie
r da
diva
o b
enef
icio
a n
ombr
e pr
opio
o d
e
terc
eros
par
a ce
lebr
ar u
n co
ntra
to
Cor
rupc
ión
Debilidades en la etapa de planeación
Pro
babl
e
Cat
astr
ófic
o
Cat
astr
ófic
o
Reducir Manual de contrataciónImplementado conparámetros técnicos yfinancieros para cada tipode contratación,formalizado enprocedimiento.
Manual decontratación
Jefe deContratos
Primer trimestre de…
Presiones indebidas
Reducir Comité de Contratación Acto administrativo conformando comité
Jefe de Contratos
Trimestral mente
Carenciad e controles en el procedimiento de contratación
Excesiva discrecionalidad
Reducir Difusión y capacitación a todos los funcionarios del proceso.
Actas de capacitación
DirectorTalentoHumano
Del (día /mes/año)
al (día /mes/año)
Acción deContingen- cia
Iniciar la investigación disciplinaria, fiscal o remitir a las instancias correspondientes para el proceso penal.
Comunica-
ción iniciando o remitiendo investigación
Jefe Control Disciplina-rio Interno
1 semana una vez el riesgo de iliquidez se materialice
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Dirección de Gestión y Desempeño [email protected]
Tel: 7395656 exts. 610 hasta 620Secretaria de Transparencia
Teléfono: 562 9300
www.funcionpubl ica.gov.co/eva/mipg/.