GDPS-002-2012 Guia Gestión Del Riesgo V3

Código: G-DEST-GISA-GR-002
GUIA PARA LA GESTIÓN DEL RIESGO

Departamento para la Prosperidad Social Fecha de Aprobación: 09-07-2013
Versión: 03
OFICINA ASESORA DE PLANEACIÓN, MONITOREO Y

EVALUACIÓN
GRUPO DE TRABAJO DE GESTIÓN INTEGRAL Y SOSTENIBILIDAD
AMBIENTAL
GUÍAS DE IMPLEMENTACIÓN, MANTENIMIENTO Y MEJORA DEL SISTEMA

DE GESTIÓN INTEGRAL
Cítese como: Departamento para la Prosperidad Social – República de Colombia, Guías

de implementación, mantenimiento y mejora del sistema de gestión integral – G-DEST-
GISA-GR-002
1. OBJETO Y CAMPO DE APLICACIÓN
Esta guía es la base para la gestión integral del riesgo en el Departamento Para la
Prosperidad Social, igualmente podrá ser utilizado en otras entidades del sector de la
inclusión social y la reconciliación u otras entidades que decidan adoptar este modelo.
2. DEFINICIONES
 Riesgo: Es el resultado de la combinación entre la probabilidad de ocurrencia de

un evento y sus posibles consecuencias.
Nota 1: En este modelo, el término “riesgo” es un número o una expresión cualitativa o cuantitativa
que expresa una magnitud o efecto; por tal motivo una expresión como “pérdida de la información
contenida en un Servidor” no es un Riesgo sino un Evento.
Nota 2: La norma ISO 31000:2009 define Riesgo como “Efecto de la incertidumbre sobre los
objetivos”, lo cual representa la misma definición anterior, dado que el “efecto de la incertidumbre”
tiene una magnitud (alta, media o baja) frente la mayor o menor capacidad de lograr los objetivos.
 Probabilidad: Grado en que un Evento se puede presentar.
Nota 1: La probabilidad se puede encontrar con métodos determinísticos aplicando

fórmulas matemáticas tales como (número de veces que ha ocurrido algo / Número de
veces de posible ocurrencia); o a través de métodos estadísticos.
1
Versión: 03
 Evento: Suceso particular que se presenta o podría presentarse afectando

positiva o negativamente el logro de un objetivo.
 Causa: Conjunto de hechos, recursos, actuaciones o condiciones que facilitaron o

permitieron o pueden permitir la ocurrencia de un evento.
 Efecto: Resultado real o potencial al presentarse un Evento.
 Control: Actividad, recurso, actuación o dispositivo que se usa para cumplir con
una función.
Nota 2: En este modelo, el término “control” no es un sinónimo de evaluación; la

evaluación en este contexto es una parte integrante del Control.
 Objetivo: Algo que se espera lograr o se pretende conseguir
 Límite de aceptación del riesgo: Es la cuantía del riesgo a partir del cual el
mismo se define inaceptable.
 Riesgo aceptable: Valor del riesgo en el cual se considera que los controles
existentes son apropiados y por lo tanto no se requiere de una mayor intervención.
 Riesgo inaceptable: Valor del riesgo en el cual se considera que los controles
existentes no son suficientes y por lo tanto debería emprenderse alguna acción de
tratamiento del riesgo.
 Riesgo Residual: El riesgo que queda luego de aplicar controles
Nota 3: Pueden existir varios niveles de riesgo residual, tantos como controles adicionales se
apliquen en las actividades de tratamiento de riesgo.
 Tratamiento de Riesgo: Proceso de selección y puesta en aplicación de medidas

para modificar el riesgo.
Nota 4: En general las medidas para modificar el riesgo se reducen a modificar la probabilidad de
ocurrencia o sus consecuencias probables o una combinación de ambas.
2
Versión: 03
 Análisis de Riesgo Estratégico: Análisis de riesgo relacionado con el

cumplimiento de los Objetivos Estratégicos de la organización.
 Análisis de Riesgo Táctico: Análisis de riesgo relacionado con el cumplimiento

de las actividades de los procesos de la organización.
 Estimación del Riesgo: Proceso de determinación de la probabilidad y la

consecuencia y determinación del valor de su combinación.
 Valoración del Riesgo: Proceso de comparación del riesgo con el límite de

aceptación con la finalidad de determinar si es aceptable o inaceptable.
 Riesgo de Corrupción: Se entiende por Riesgo de Corrupción la posibilidad de

que por acción u omisión, mediante el uso indebido del poder, de los recursos o de
la información, se lesionen los intereses de una entidad y en consecuencia del
Estado, para la obtención de un beneficio particular.
3
Versión: 03
3. METODOLOGÍA GENERAL
3.1. Contexto estratégico
El Modelo Estándar de Control Interno define el Contexto Estratégico como el

“Elemento de Control, que permite establecer el lineamiento estratégico que orienta
las decisiones de la Entidad Pública, frente a los riesgos que pueden afectar el
cumplimiento de sus objetivos producto de la observación, distinción y análisis del
conjunto de circunstancias internas y externas que puedan generar eventos que
originen oportunidades o afecten el cumplimiento de su función, misión y objetivos
institucionales.”
El establecimiento del contexto estratégico se realiza siguiendo los pasos

mencionados a continuación:
 Revisión de la Misión y Visión de la entidad

 Revisión de los Objetivos Estratégicos de la entidad
 Identificación de los “Factores Claves de Éxito” de la entidad
 Análisis de amenazas (externas) de la entidad
Luego de identificados estos aspectos, se determina la tipología de riesgos que

evaluará la entidad. Para el caso del DPS, los tipos de riesgos por evaluar son:
 Riesgos relacionados con el cumplimiento de la función, misión y objetivos

institucionales (Calidad)
 Riesgos relacionados con el ambiente
 Riesgos relacionados con la Seguridad y Salud en el Trabajo
 Riesgos relacionados con la Seguridad de la Información
 Riesgos relacionados con la corrupción
3.2. Identificación de Riesgos
El Modelo Estándar de Control Interno define este elemento como “Elemento de

Control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la
Entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los agentes
generadores, las causas y los efectos de su ocurrencia.”
Para realizar la identificación de Riesgos, debe hacerse mediante la participación de

un grupo de personas de cada proceso, quienes sean conocedoras del mismo. La
metodología de Identificación de Riesgos sigue los siguientes pasos:
4
Versión: 03
3.2.1 Riesgos Estratégicos
La Identificación de Riesgos se efectúa de manera independiente en cada proceso

y por cada uno de los Tipos de Riesgo y se inicia con el análisis estratégico
empleando el siguiente cuadro:
Tipo de Riesgo:
Proceso:
AMENAZAS Y EVENTOS
OBJETIVOS (Situaciones
ESTRATÉGICOS potenciales que tienen CAUSAS (Agentes EFECTOS (Resultado
RELACIONADOS potencial de impedir o generadores) real o potencial)
CON EL TIPO DE dificultar el logro de los
RIESGO Objetivos)
Tabla 1: Identificación de los riesgos Estratégicos
5
Versión: 03
3.2.1. Riesgos Tácticos
La Identificación de Riesgos se efectúa de manera independiente en cada proceso y por

cada uno de los Tipos de Riesgo y se continúa con el análisis táctico empleando el
siguiente cuadro:
Tipo de Riesgo:
Proceso
Analizado:
EVENTOS (Situaciones
potenciales que tienen potencial
ACTIVIDADES CAUSAS (Agentes EFECTOS (Resultado real o
de impedir o dificultar la correcta
DEL PROCESO * generadores) potencial)
ejecución de la actividad
analizada)
Tabla 2: Identificación de Riesgos Tácticos.
Para efectos de realizar un análisis adecuado, cuando las tipologías de riesgo sean
la gestión ambiental, gestión de seguridad y salud en el Trabajo y la seguridad de
la información, deben considerarse actividades rutinarias y no rutinarias y en
ambos casos considerar condiciones de operación normal, anormal y de
emergencia para determinar los Eventos respectivos
6
Versión: 03
3.2.2. Análisis del Riesgo
El Modelo Estándar de Control Interno define este elemento como “Elemento de Control,
que permite establecer la probabilidad de ocurrencia de los eventos positivo y/o negativos y
el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la
capacidad de la Entidad Pública para su aceptación y manejo.”
Para efectos de hacer la estimación del riesgo, se emplean las siguientes tablas para la
determinación de la Probabilidad y la Consecuencia, empleando la metodología Semi-
Cuantitativa descrita en la norma NTC 5254:2006.
Riesgos relacionados con el cumplimiento de la función, misión y

3.2.3.
objetivos institucionales (Calidad)
VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

PROBABILIDAD entidad, la probabilidad es…)
Muy poco probable, de eventos similares no se tiene conocimiento en la
1
entidad en los últimos 5 años
Poco probable, de eventos similares no se tiene conocimiento en la entidad
2
pero si en otras entidades entre 5 y 1 año atrás
Medianamente probable, se tiene conocimiento de la ocurrencia de eventos
3
similares en otras entidades en el último año
Probable, eventos similares se han presentado en la entidad entre 5 y 1 años
4
atrás
Altamente probable, eventos similares se han dado en la entidad en el último
5
año

CONSECUENCIA entidad, la consecuencia es…)
Muy baja, los efectos causados serían imperceptibles para la entidad y para
1
sus ciudadanos socios (beneficiarios)
Baja, los efectos causados serían percibidos por la entidad pero no por los
2
ciudadanos socios (beneficiarios)
Media, los efectos causados serían percibidos por la entidad y por los
3
Alta, además de ser percibidos, los efectos causarían una pérdida media de
4
capacidad institucional para cumplir con sus funciones
Muy Alta, los efectos causados generarían una pérdida alta de capacidad
5 institucional para cumplir con sus funciones y se verían afectados los
Tabla 3. Ponderación de la Probabilidad y la Consecuencia
7
Versión: 03
3.2.4. Riesgos Relacionados con el Ambiente
Para efectos de la actividad de Identificación de Riesgos, bajo esta tipología, los “Eventos”
se denominan “Aspectos Ambientales” y los “Efectos” se denominan “Impactos
Ambientales”, según se ha definido en la norma ISO 14001:2004.

Muy poco probable, de impactos ambientales similares no se tiene
1
conocimiento en la entidad en los últimos 5 años
Poco probable, de impactos ambientales similares no se tiene conocimiento en
2
la entidad pero si en otras entidades entre 5 y 1 año atrás
Medianamente probable, se tiene conocimiento de la ocurrencia de impactos
3
ambientales similares en otras entidades en el último año
Probable, impactos ambientales similares se han presentado en la entidad
4
entre 5 y 1 años atrás
Altamente probable, impactos ambientales similares se han dado en la entidad
5
en el último año

Muy baja, los impactos ambientales causados serían imperceptibles
1
Baja, los impactos ambientales causados serían percibidos por la entidad pero
2
sin generar costos adicionales en la operación
Media, los impactos ambientales causados serían percibidos por la entidad por
3
cuanto podrían generar sobrecostos en la operación normal
Alta, además de ser percibidos y de generar sobrecostos, los impactos
4
ambientales causarían una pérdida media de imagen institucional
Muy Alta, los impactos ambientales causados generarían una pérdida alta de
5
imagen institucional y se expondría a la entidad a sanciones
8
Versión: 03
3.2.5. Riesgos relacionados con la Seguridad y Salud en el Trabajo
Para efectos de la actividad de Identificación de Riesgos, bajo esta tipología, los “Eventos”
se denominan “Peligros”, según se ha definido en la norma OHSAS 18001:2007.

Muy poco probable, de efectos similares no se tiene conocimiento en la entidad
1
en los últimos 5 años
Poco probable, de efectos similares no se tiene conocimiento en la entidad
2
pero si en otras entidades entre 5 y 1 años atrás
Medianamente probable, se tiene conocimiento de la ocurrencia de efectos
3
Probable, efectos similares se han presentado en la entidad entre 5 y 1 años
4
atrás
Altamente probable, efectos similares se han dado en la entidad en el último
5
año

Muy baja, los efectos causados serían imperceptibles. No hay lesiones ni
1 daños a la infraestructura.
Baja, los efectos causados podrían generar lesiones leves (no incapacitantes)
2
o daños leves a la infraestructura (que no requieren de intervención mecánica)
Media, los efectos causados podrían causar lesiones con incapacidad menor a
3
tres días o daños a la infraestructura que generan sobrecostos a la entidad
Alta, los efectos causados pueden llevar a lesiones con incapacidad mayor a 3
4
días y menor a 30 días o deterioro medio de la imagen institucional
Muy Alta, los efectos causados podrían estar asociados con la muerte, lesiones
5 permanentes, incapacidad permanente o deterioro grave a la imagen
institucional
9
Versión: 03
3.2.6. Riesgos relacionados con la Seguridad de la Información
Para efectos de la actividad de Identificación de Riesgos, bajo esta tipología, las

“Actividades” se refieren a los “Activos”, los “Eventos” se denominan “Amenazas” y las
“causas” se asimilan a la “Vulnerabilidad”, según se ha definido en la norma ISO IEC
27001:2005. Las Amenazas se refieren a factores existentes o conocidos (un ladrón, un
hacker, agua, etc.) y las vulnerabilidades son el punto débil de un activo de información que
es aprovechada por las amenazas, las vulnerabilidades potencializan las amenazas.

Muy poco probable, de amenazas similares no se tiene conocimiento en la
1
entidad en los últimos 5 años
Poco probable, de amenazas similares no se tiene conocimiento en la entidad
2
pero si en otras entidades entre 5 y 1 años atrás
Medianamente probable, se tiene conocimiento de la ocurrencia de amenazas
3
Probable, amenazas similares se han presentado en la entidad entre 5 y 1
4
años atrás
Altamente probable, amenazas similares se han dado en la entidad en el último
5
año

Muy baja, los daños causados por las amenazas serían imperceptibles. No
1 hay pérdidas de información, ni pérdida de activos, ni daños a la
infraestructura.
Baja, los daños causados por las amenazas podrían generar pérdidas no
2 significativas de información o de activos no contables o daños leves a la
infraestructura (que no requieren de intervención mecánica)
Media, los daños causados por las amenazas podrían generar pérdidas
3 sensibles de información sin reserva legal o daños a la infraestructura que
generan sobrecostos a la entidad
Alta, los daños causados por las amenazas podrían llevar a la pérdida de
4
información con reserva legal o deterioro medio de la imagen institucional
Muy Alta, los daños causados por las amenazas podrían causar la pérdida de
5
activos contables o un deterioro alto a la imagen institucional
10
Versión: 03
3.2.7. Riesgos relacionados con la Corrupción
En este tipo de riesgos, se busca identificar un conjunto sistemático de eventos que por sus
características, pueden originar prácticas corruptas en la Entidad.

Posible: La situación podría llegar a ocurrir en algún momento (baja
2
probabilidad)
Casi seguro: Se espera que la situación ocurra en la mayoría de las
4
circunstancias (Probabilidad media o alta)

5 La consecuencia de todo riesgo de corrupción siempre es inaceptable
La evaluación del Riesgo de Corrupción en todos los casos debe llevar a estrategias
de prevención de la corrupción.
11
Versión: 03
3.3. Valoración del Riesgo y Políticas de Administración del Riesgo
El Modelo Estándar de Control Interno, define la valoración del riesgo como el “Elemento de Control,
que determina el nivel o grado de exposición de la Entidad Pública a los impactos del riesgo,
permitiendo estimar las prioridades para su tratamiento”, así mismo define las Políticas de
Administración del Riesgo como “Elemento de Control, que permite estructurar criterios orientadores
en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la Entidad
Pública”.
El Riesgo, resulta de multiplicar las variables de “Probabilidad” y “Consecuencia”, por tal motivo se
puede observar que, según las tablas anteriormente expuestas, el máximo valor de Riesgo es 25.
Para el DPS y a manera de sugerencia para otras entidades, se emplea la siguiente tabla:
VALOR OBTENIDO
VALORACIÓN DEL RIESGO (CRITERIO DE ACEPTABILIDAD)
DE RIESGO
Riesgo aceptable, no se requiere tomar más acciones por cuanto las
1 – 12 actuales son suficientes para mantener bajo control la actividad, el
objetivo o el activo.
Riesgo inaceptable, se requiere tomar acciones adicionales a las
actuales, las cuales deberían estar orientadas a disminuir la probabilidad
13 – 20 o la consecuencia o ambas, teniendo como orden de prioridad lo
siguiente: Evitar, Sustituir, disminuir la probabilidad, disminuir la
consecuencia, transferir.
Riesgo crítico, además del establecimiento de acciones de mitigación, el
21 – 25 tema debe ser abordado por la Alta Dirección.
Es importante tener en consideración que este análisis se ha efectuado bajo el

concepto del Riesgo Residual, lo cual implica que cuando se hace la
determinación de la probabilidad y las consecuencias (en la escala numérica de 1
a 5), se han tenido en cuenta los controles existentes para la estimación del
riesgo.
12
Versión: 03
3.4. Tablas para el esquema completo de gestión del Riesgo por cada Tipología
3.4.1. Riesgo Estratégico por cada Tipología
Tipo de Riesgo:
Proceso:
EVENTOS
OBJETIVOS (Situaciones
ESTRATÉGICOS potenciales que CAUSAS EFECTOS
PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN ACCIONES PARA
RELACIONADOS tienen potencial (Agentes (Resultado real o
CON EL TIPO DE (P) (C) (P*C) DEL RIESGO MITIGAR
de impedir o generadores) potencial)
RIESGO dificultar el logro
de los Objetivos)
3.4.2. Riesgo Táctico por cada Tipología
Tipo de Riesgo:
Proceso:
EVENTOS
(Situaciones
potenciales que
tienen potencial
de impedir o
CAUSAS EFECTOS
ACTIVIDAD / dificultar la PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN ACCIONES PARA
(Agentes (Resultado real o
ACTIVO correcta (P) (C) (P*C) DEL RIESGO MITIGAR
generadores) potencial)
ejecución de la
actividad
analizada o
afectar al Activo
analizado)
13
Versión: 03
EJEMPLO DE APLICACIÓN – RIESGO ESTRATÉGICO
Tipo de Riesgo: Cumplimiento de la función, misión y objetivos institucionales

Proceso: Direccionamiento estratégico
EVENTOS
(Situaciones
OBJETIVOS potenciales que
ESTRATÉGICOS tienen potencial de CAUSAS EFECTOS
RELACIONADOS impedir o dificultar (Agentes (Resultado real o (P) (C)
CON EL TIPO DE el logro de los (P*C) DEL RIESGO MITIGAR
RIESGO Objetivos y
Factores Claves de
Éxito)
Ineficacia de los
Disminución de los Mantenimiento o programas Pérdida de
índices de pobreza incremento de las aplicados desde credibilidad de la Riesgo
2 5 10 Ninguna adicional
extrema en el país cifras de pobreza el DPS y las comunidad en la aceptable
(Objetivo) extrema en el país entidades del gestión del Sector
sector
Generar Desaceleración de
capacidades, la capacidad No se tiene
Disminución de la
oportunidades y productiva de la suficiente
efectividad Riesgo
acceso a activos a población capacidad de 2 5 10 Ninguna adicional
institucional en su aceptable
la población en beneficiaria al autogestión en
función misional
condición de retirar el apoyo del la población
pobreza DPS
Pérdida de
Los beneficiarios capacidad
no asumen el institucional de Riesgo
Pérdida de activos 3 3 9 Ninguna adicional
activo como generar aceptable
propio capacidades
sosteniblemente
Demoras en el
establecimiento
Coordinar la Realización de Descompensación
de las
reparación a las actividades de de recursos para
actividades y por Riesgo
víctimas del reparación de las actividades y 3 4 12 Ninguna adicional
lo tanto se aceptable
conflicto armado en víctimas por programas
pronuncia
Colombia mandato judicial planificados
primero el
aparato judicial
No logro de la Falta de Generar un plan
Incremento del
cobertura de consolidación de de acción
problema social de Riesgo
reparación de bases de datos 3 5 15 orientado por la
las víctimas del inaceptable
víctimas en el oficiales de definición de un
conflicto
tiempo previsto víctimas mecanismo legal
14
Versión: 03

Proceso: Direccionamiento estratégico
EVENTOS
(Situaciones
OBJETIVOS potenciales que
ESTRATÉGICOS tienen potencial de CAUSAS EFECTOS
RELACIONADOS impedir o dificultar (Agentes (Resultado real o (P) (C)
CON EL TIPO DE el logro de los (P*C) DEL RIESGO MITIGAR
RIESGO Objetivos y
Factores Claves de
Éxito)
de focalización de
atención de
víctimas y en el
mejoramiento de
la
interoperabilidad
de las bases de
datos de víctimas
Ausencia de
Ineficacia del
Incremento de las acciones
sector frente a su
Apoyar la acciones violentas concretas desde
papel estratégico Riesgo
reconciliación de los y no disminución el sector para 1 5 5 Ninguna adicional
en el desarrollo aceptable
Colombianos del conflicto atender el tema
sostenible de la
armado de la
nación
reconciliación
Apoyar las acciones
para incrementar la Disminución de la
No presencia
confianza percepción de Recrudecimiento
institucional en
ciudadana en la presencia del del conflicto Riesgo
sitios donde 2 5 10 Ninguna adicional
labor del estado en Estado en armado y de la aceptable
realmente es
territorios afectados territorios de ilegalidad
requerida
por el conflicto y los conflicto
cultivos ilícitos
15
Versión: 03
EJEMPLOS DE APLICACIÓN – RIESGO TÁCTICO

Proceso: Direccionamiento Estratégico
EFECTOS
CAUSAS (Agentes PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN ACCIONES
ACTIVIDAD EVENTOS (Resultado real
generadores) (P) (C) (P*C) DEL RIESGO PARA MITIGAR
o potencial)
No se disponga de
No se tiene una No se logra el
Construir los un plan
clara delimitación máximo impacto
lineamientos y estratégico
conceptual de los en la población
metodología para la institucional Riesgo
objetivos del sector vulnerable por el 3 4 12 Ninguna adicional
planeación ajustado a la aceptable
dentro del Plan conflicto y los
estratégica de la realidad de las
Nacional de hechos
Entidad necesidades del
Desarrollo victimizantes
sector
Establecer un
plan de acción
Presencia de Disminución de basado en el
Construir y aprobar Deficiencias en la
asimetrías en la la capacidad acompañamiento
la propuesta de planificación de las Riesgo
asignación de institucional de 3 5 15 de parte de la
distribución del actividades de la inaceptable
recursos frente a cumplir con su OAPME a todas
techo presupuestal entidad
las necesidades objeto misional las dependencias
en el proceso de
planeación
Que la plataforma
estratégica Deficiencias en el
Comunicar la
institucional no proceso de Desarticulación
plataforma Riesgo
sea conocida en comunicación de la de las acciones 2 5 10 Ninguna adicional
estratégica definida aceptable
toda entidad en el plataforma institucionales
y ajustada
nivel nacional y estratégica
regional
Que no se
interprete
La información esté
adecuadamente la Dificultad en el
redactada de Riesgo
plataforma logro de la 3 4 12 Ninguna adicional
manera no aceptable
estratégica en estrategia
comprensible
algunas áreas de
la Entidad
No detección Ausencia de
Realizar
oportuna de indicadores
seguimiento a las
posible apropiados para Sanciones por Riesgo
políticas, metas y 2 5 10 Ninguna adicional
incumplimiento de evaluar el logro de no ejecución aceptable
estrategias de la
metas de la metas y de la
Entidad
entidad estrategia
16
Versión: 03

EFECTOS
CAUSAS (Agentes PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN ACCIONES
ACTIVIDAD EVENTOS (Resultado real
generadores) (P) (C) (P*C) DEL RIESGO PARA MITIGAR
o potencial)
institucional
Establecer un
Articular el sistema Deficiente aplicación diseño del SGI
El Sistema de No credibilidad
de gestión integral de la metodología apropiado a la
Gestión Integral en la entidad
de acuerdo con los de procesos y no Riesgo naturaleza de la
no sea adecuado hacia el Sistema 4 4 16
objetivos articulación del SGI inaceptable entidad, basado
para la dinámica de Gestión
estratégicos con el objeto en metodologías
de la entidad Integral
definidos misional simples y
funcionales
Adelantar No se llega a un
No se dispone de
seguimientos No evaluar direccionamient
indicadores e
periódicos a la adecuadamente la o apropiado de
información Riesgo
gestión, a través de gestión de la la entidad a 1 5 5 Ninguna adicional
adecuadamente aceptable
Comités de entidad en los partir de la
procesada para la
Direccionamiento Comités evaluación de la
toma de decisiones
Estratégico gestión
Realizar la
No se tiene una Ausencia de un
evaluación del
cobertura de todos método eficaz que Incumplimiento
cumplimiento de los Riesgo
los requisitos permita mantener de requisitos 1 5 5 Ninguna adicional
requisitos legales aceptable
legales aplicables actualizados los legales
en medio ambiente
a la entidad requisitos legales
y salud laboral
Seguimiento a la Deficiencia de
Incumplimiento del
implementación del recursos para Riesgo
Plan de Acción de Sanciones 1 5 5 Ninguna adicional
plan de acción de aplicar el Plan de aceptable
Gobierno en Línea
Gobierno en Línea Acción
17
Versión: 03
EJEMPLOS DE APLICACIÓN – RIESGO TÁCTICO
Tipo de Riesgo: Ambientales

ASPECTOS CAUSAS IMPACTOS
ACTIVIDAD AMBIENTALES (Agentes AMBIENTALES
(P) (C) (P*C) DEL RIESGO MITIGAR
(EVENTOS) generadores) (Efectos)
Construir los
Uso de equipos
lineamientos y
de cómputo, de Generación de
metodología para Consumo de
impresión e gases Efecto 2 2 4 Riesgo aceptable Ninguna adicional
la planeación energía eléctrica
iluminación Invernadero
estratégica de la
artificial
Entidad
Contaminación
2 3 6 Riesgo aceptable Ninguna adicional
del aire
Afectación de
ecosistemas 2 2 4 Riesgo aceptable Ninguna adicional
acuáticos
Hábitos de
Generación de Implementar
Consumo de impresión de Riesgo
residuos 5 3 15 Campañas cero
papel documentos para Inaceptable
innecesarios papel
revisión
Generación de
gases efecto 2 2 4 Riesgo aceptable Ninguna adicional
invernadero
Generación de Consumo de
Presión sobre el
residuos alimentos en las 3 3 9 Riesgo aceptable Ninguna adicional
relleno sanitario
ordinarios oficinas
Mantener labores de
Generación de
separación en la
ingresos a 5 5 25 Riesgo positivo
fuente de los
Recicladores
residuos reciclables
Generación de
residuos Impresión de Contaminación
peligrosos documentos de otros residuos
(tonner)
Contaminación
de suelos
18
Versión: 03
Tipo de Riesgo: De Seguridad y Salud en el Trabajo

CAUSAS
PELIGROS PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN ACCIONES PARA
ACTIVIDAD (Agentes EFECTOS
(EVENTOS) (P) (C) (P*C) DEL RIESGO MITIGAR
generadores)
Construir los
lineamientos y
Trabajo continuo Programa de pausas
metodología para la Presión del Riesgo
frente a un equipo Cefaleas 5 3 15 activas en todas las
planeación tiempo Inaceptable
de cómputo sedes de la Entidad
estratégica de la
Entidad
Agotamiento de Programa de salud
Riesgo
la capacidad 5 3 15 visual en todas las
Inaceptable
visual sedes de la Entidad
Posiciones Programa de
disergonómicas en Espacios Lesiones Riesgo ergonomía individual
4 4 16
reuniones y lugar reducidos musculares Inaceptable en todas las sedes de
de trabajo la Entidad
Pérdida de
agudeza visual
Posturas
inapropiadas
Caídas al entrar o
Pisos Lesiones osteo -
salir del sitio de 3 4 12 Riesgo aceptable Ninguna adicional
discontinuos musculares
reunión
Falta de
Lesiones osteo -
señalización 3 4 12 Riesgo aceptable Ninguna adicional
musculares
preventiva
19
Versión: 03
Tipo de Riesgo: Corrupción (Prevención de la corrupción)

EVENTOS EFECTO
ACCIONES
(Lesión de los CAUSAS (Agentes INDESEABLE CONSECUENCIA RIESGO VALORACIÓN
ACTIVIDAD PROBABILIDAD (P) PARA
intereses de la generadores) (Obtención de un (C) (P*C) DEL RIESGO
MITIGAR
entidad) beneficio particular)
Construir los No se proveen los
lineamientos y Demoras métodos pertinentes
metodología para la injustificadas en la Desconocimiento causando Riesgo Ninguna
2 5 10
planeación construcción de de los métodos improvisación en la aceptable adicional
estratégica de la las metodologías ejecución del
Entidad presupuesto
Implementaci
ón de
controles de
Manipulación de
Construir y aprobar la Construcción de Visualizar vigilancia
procesos de
propuesta de documentos poco oportunidad de Riesgo desde la
contratación para 4 5 20
distribución del techo claros e práctica desleal Inaceptable oficina de
obtener beneficios
presupuestal inespecíficos con la Entidad Control
personales
Interno
previos a la
aprobación
Conocimiento de
pocas personas
Visualizar
Comunicar la No comunicar la sobre las
oportunidad de Riesgo Ninguna
plataforma estratégica plataforma actuaciones 2 5 10
práctica desleal aceptable adicional
definida y ajustada estratégica estratégicas de la
con la Entidad
Entidad, facilitando
la manipulación
20
Versión: 03
En el análisis de riesgos de corrupción, conviene incluir dentro de las

situaciones por analizar, algunas tales como:
Direccionamiento Estratégico (Alta Dirección)
 Concentración de autoridad o exceso de poder.

 Extralimitación de funciones.
 Ausencia de canales de comunicación.
 Amiguismo y clientelismo.
Financiero (Está relacionado con áreas de Planeación y

Presupuesto).
 Inclusión de gastos no autorizados.

 Inversiones de dineros públicos en entidades de dudosa solidez
financiera, a cambio de beneficios indebidos para servidores públicos
encargados de su administración. Inexistencia de registros auxiliares
que permitan identificar y controlar los rubros de inversión.
 Archivos contables con vacíos de información.
 Afectar rubros que no corresponden con el objeto del gasto en
beneficio propio o a cambio de una retribución económica.
De Contratación (Como proceso o los procedimientos ligados

a éste).
 Estudios previos o de factibilidad superficiales.

 Estudios previos o de factibilidad manipulados por personal
interesado en el futuro proceso de contratación. (Estableciendo
necesidades inexistentes o aspectos que benefician a una firma en
particular).
 Pliegos de condiciones hechos a la medida de una firma en
particular.
 Disposiciones establecidas en los pliegos de condiciones que
permiten a los participantes direccionar los procesos hacia un grupo
en particular, como la media geométrica.
 Restricción de la participación a través de visitas obligatorias
innecesarias, establecidas en el pliego de condiciones.
21
Versión: 03
 Adendas que cambian condiciones generales del proceso para

favorecer a grupos determinados.
 Urgencia manifiesta inexistente.
 Designar supervisores que no cuentan con conocimientos suficientes
para desempeñar la función.
Concentrar las labores de supervisión de múltiples contratos en poco
personal
 Contratar con compañías de papel, las cuales son especialmente
creadas para participar procesos específicos, que no cuentan con
experiencia, pero si con músculo financiero.
De Información y Documentación
 Concentración de información de determinadas actividades o

procesos en una persona.
 Sistemas de información susceptibles de manipulación o adulteración.
 Ocultar a la ciudadanía la información considerada pública.
 Deficiencias en el manejo documental y de archivo.
De Investigación y Sanción.
 Fallos amañados.
 Dilatación de los procesos con el propósito de obtener el vencimiento
de términos o la prescripción del mismo.
 Desconocimiento de la ley, mediante interpretaciones subjetivas de
las normas vigentes para evitar o postergar su aplicación.
 Exceder las facultades legales en los fallos.
 Soborno (Cohecho).
De Actividades Regulatorias.
 Decisiones ajustadas a intereses particulares.
 Tráfico de influencias, (amiguismo, persona influyente).
 Soborno (Cohecho).
22
Versión: 03
De Trámites y/o Servicios Internos y Externos.

 Cobro por realización del trámite, (Concusión).
 Falta de información sobre el estado del proceso del trámite al
interior de la entidad.
De Reconocimiento de un Derecho, como la Expedición de

Licencias y/o Permisos.
 Cobrar por el trámite, (Concusión).

 Imposibilitar el otorgamiento de una licencia o permiso.
 Ofrecer beneficios económicos para acelerar la expedición de una
licencia o para su obtención sin el cumplimiento de todos los
requisitos legales.
23
Versión: 03
3.5. Plan de Manejo del Riesgo
El Plan de Manejo del Riesgo se basa en la ejecución de las tareas definidas como “Acciones para
Mitigar” definidas en las tablas de identificación de riesgos. Para tal fin deben establecerse los
responsables de éstas y fijar fechas para su implementación. Los responsables también deben velar
por el cumplimiento en el desarrollo e implementación de las tareas propuestas.
El Plan de Manejo del Riesgo se presenta según la tabla siguiente:
Tipo de Riesgo:
Proceso:
PLAN DE MANEJO DEL RIESGO SEGUIMIENTO 1 SEGUIMIENTO 2
ACCIONES FECHA DE
EVENTO RESPONSABLES* FECHA RESULTADOS FECHA RESULTADOS
PARA MITIGAR CULMINACIÓN
*Se incluyen aquí dependencias internas así como personas naturales o jurídicas externas
(operadores, contratistas, aliados, etc.) cuando sea pertinente.
3.5.1. VALIDACIÓN DE ACCIONES
A partir del cuadro anterior y previo a la aprobación del mismo, se debe evaluar si las “Acciones
para Mitigar” no generan eventos con riesgos inaceptables para la operación (Calidad), el
ambiente, la Seguridad y Salud en el Trabajo, la Seguridad de la Información y la prevención de
la Corrupción.
Así mismo, cuando se emprenden acciones correctivas o preventivas de cualquier naturaleza,

las acciones se deben evaluar por las matrices de riesgos.
Para lograr esto, es necesario que se evalúen estas “Acciones para Mitigar” y las acciones
correctivas y preventivas de manera independiente en el siguiente cuadro replicado para
Calidad, Ambiental, SST, SI y Prevención de la Corrupción:
24
Versión: 03
Tipo de Riesgo:
Proceso:
EVENTOS
(Situaciones
potenciales que
tienen potencial
DECISIÓN (Se
ACCIONES de impedir o
CAUSAS EFECTOS mantiene el control,
PARA MITIGAR / dificultar la PROBABILIDAD CONSECUENCIA RIESGO VALORACIÓN
(Agentes (Resultado real o se cambia por otro,
ACCIONES DE correcta (P) (C) (P*C) DEL RIESGO
generadores) potencial) se adicionan
MEJORA ejecución de la
controles adicionales)
actividad
analizada o
afectar al Activo
analizado)
Se repite el análisis por cada eje (Calidad, Ambiental, SST, SI y Prevención de la Corrupción).
Si el Riesgo resulta aceptable, se mantiene el control o la acción correctiva o preventiva (queda validado).
Si el Riesgo llegare a resultar Inaceptable o Crítico, se debe decidir sobre alguna de las siguientes opciones para validar
los controles (Acciones para Mitigar, Acciones Correctivas o Preventivas):
a) Cambiar la “Acción para mitigar”, la acción correctiva o la acción preventiva por otra cuyo Riesgo resulte aceptable,
para lo cual se debe repetir el análisis, o
b) Adicionar otras “Acciones para mitigar”, acciones correctivas o acciones preventivas a las inicialmente definidas,
para que estas últimas controlen los nuevos riesgos generados.
25
Versión: 03
3.5.2. COMUNICACIÓN DE RESPONSABILIDADES
Una vez elaborados los Planes de Manejo del Riesgo, cada dependencia líder del proceso debe
realizar una difusión de las actividades hacia otras dependencias involucradas; así mismo, debe
comunicar a los Supervisores de Contratos y Convenios la información referente a las
obligaciones de los contratistas y ejecutores (entidad ejecutante del convenio o similar) frente a
los procedimientos a seguir y requisitos que deben cumplir frente a los eventos, aspectos o
peligros significativos según sea el caso, sin perjuicio de su obligación de cumplimiento legal.
3.5.2. MONITOREO DE RIESGOS
El monitoreo debe realizarse mínimo dos veces por año y debe estar a cargo de los
responsables de los procesos que hayan hecho el análisis y los respectivos Enlaces
GAC. Su finalidad es la de sugerir y aplicar los correctivos y ajustes necesarios para
asegurar un efectivo manejo del riesgo; sin embargo, las matrices de riesgos deben ser
revisadas como mínimo trimestralmente en cada proceso y consecuentemente se deben
actualizar los Planes de Manejo del Riesgo, acumulando las acciones que estén
propuestas de análisis previos. Las matrices y Planes de Manejo del Riesgo se deben
remitir actualizadas vía correo electrónico a gestionintegral@dps.gov.co trimestralmente
o cada vez que se actualicen.
26
Versión: 03
Otras referencias:
 MECI 1000 de 2005

 Norma NTC 5254 de 2006
 Norma ISO 31000 de 2009
 Norma ISO 14001:2004
 Norma OHSAS 18001:2007
 Norma ISO IEC 27001:2005
27
Versión: 03
CONTROL DE CAMBIOS
Razón del Cambio Versión Fecha de
Actualización
Se modifica el punto 3.2.8 relacionado con la
evaluación de los riesgos de corrupción conforme a las
directrices dadas en el documento “Estrategias para la
19/04/2013
construcción del Plan Anticorrupción y de Atención al 02
Ciudadano” de la Secretaría de Transparencia de la
Presidencia de la República, de diciembre de 2012
Se aclara en el aparte 3.5.2 que la revisión de los

mapas de riesgos se hace trimestralmente o cada vez
que sea necesario.
Se incluye en el capítulo 3.5 una aclaración de que se
debe incluir dentro de los responsables a entidades
externas cuando aplique (proveedores, operadores, 03 09/07/2013
aliados, etc).
Se adiciona el capítulo 3.5.1 “VALIDACIÓN DE
ACCIONES”.
Se adiciona el capítulo 3.5.2 “COMUNICACIÓN DE
RESPONSABILIDADES”.
28

GDPS-002-2012 Guia Gestión Del Riesgo V3

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

GDPS-002-2012 Guia Gestión Del Riesgo V3

Încărcat de

Drepturi de autor:

Formate disponibile

Código: G-DEST-GISA-GR-002

GUIA PARA LA GESTIÓN DEL RIESGO

OFICINA ASESORA DE PLANEACIÓN, MONITOREO Y

GUÍAS DE IMPLEMENTACIÓN, MANTENIMIENTO Y MEJORA DEL SISTEMA

Cítese como: Departamento para la Prosperidad Social – República de Colombia, Guías

1. OBJETO Y CAMPO DE APLICACIÓN

 Riesgo: Es el resultado de la combinación entre la probabilidad de ocurrencia de

 Probabilidad: Grado en que un Evento se puede presentar.

Nota 1: La probabilidad se puede encontrar con métodos determinísticos aplicando

 Evento: Suceso particular que se presenta o podría presentarse afectando

 Causa: Conjunto de hechos, recursos, actuaciones o condiciones que facilitaron o

 Efecto: Resultado real o potencial al presentarse un Evento.

Nota 2: En este modelo, el término “control” no es un sinónimo de evaluación; la

 Objetivo: Algo que se espera lograr o se pretende conseguir

 Riesgo Residual: El riesgo que queda luego de aplicar controles

 Tratamiento de Riesgo: Proceso de selección y puesta en aplicación de medidas

 Análisis de Riesgo Estratégico: Análisis de riesgo relacionado con el

 Análisis de Riesgo Táctico: Análisis de riesgo relacionado con el cumplimiento

 Estimación del Riesgo: Proceso de determinación de la probabilidad y la

 Valoración del Riesgo: Proceso de comparación del riesgo con el límite de

 Riesgo de Corrupción: Se entiende por Riesgo de Corrupción la posibilidad de

3.1. Contexto estratégico

El Modelo Estándar de Control Interno define el Contexto Estratégico como el

El establecimiento del contexto estratégico se realiza siguiendo los pasos

 Revisión de la Misión y Visión de la entidad

Luego de identificados estos aspectos, se determina la tipología de riesgos que

 Riesgos relacionados con el cumplimiento de la función, misión y objetivos

3.2. Identificación de Riesgos

El Modelo Estándar de Control Interno define este elemento como “Elemento de

Para realizar la identificación de Riesgos, debe hacerse mediante la participación de

3.2.1 Riesgos Estratégicos

La Identificación de Riesgos se efectúa de manera independiente en cada proceso

Tabla 1: Identificación de los riesgos Estratégicos

3.2.1. Riesgos Tácticos

La Identificación de Riesgos se efectúa de manera independiente en cada proceso y por

Tabla 2: Identificación de Riesgos Tácticos.

3.2.2. Análisis del Riesgo

Riesgos relacionados con el cumplimiento de la función, misión y

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

Tabla 3. Ponderación de la Probabilidad y la Consecuencia

3.2.4. Riesgos Relacionados con el Ambiente

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

Tabla 3. Ponderación de la Probabilidad y la Consecuencia

3.2.5. Riesgos relacionados con la Seguridad y Salud en el Trabajo

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

Tabla 3. Ponderación de la Probabilidad y la Consecuencia

3.2.6. Riesgos relacionados con la Seguridad de la Información

Para efectos de la actividad de Identificación de Riesgos, bajo esta tipología, las

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

Tabla 3. Ponderación de la Probabilidad y la Consecuencia

3.2.7. Riesgos relacionados con la Corrupción

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

VALOR DE DESCRIPCIÓN (A pesar de los controles que existen actualmente en la

Tabla 3. Ponderación de la Probabilidad y la Consecuencia

3.3. Valoración del Riesgo y Políticas de Administración del Riesgo

Es importante tener en consideración que este análisis se ha efectuado bajo el

3.4.1. Riesgo Estratégico por cada Tipología

3.4.2. Riesgo Táctico por cada Tipología

EJEMPLO DE APLICACIÓN – RIESGO ESTRATÉGICO