Presentacion Administracion de Riesgos 2020 Metodologia

DIRECCIÓN DE COMUNICACIONES ESTRATÉGICAS
ADMINISTRACIÓN
DE RIESGOS
RESERVADO
AGENDA
1. Marco Normativo.
2. Definición del Riesgo.
3. Proceso Administración del Riesgo.
4. Política de Calidad.
5. Contexto Estratégico.
6. Identificación de Riesgos.
7. Matriz Estratégica de Riesgos.
8. Análisis del Riesgo.
9. Seguimiento y Revisión.
10. Plazos Seguimiento Administración de Riesgos.
RESERVADO
1.
MARCO
NORMATIVO
RESERVADO
MARCO NORMATIVO
Usar: Arial Narrow, negrita

TÍTULO - 24 puntos
Ley 87 de 1993. Artículo 2 Objetivos del Control
Ley 1474 de 2011. Estatuto Anticorrupción.
Interno. Literal a). Proteger los recursos de la
Artículo 73 “Plan Anticorrupción y de Atención al
organización, buscando su adecuada administración
Ciudadano” que deben elaborar anualmente todas
ante posibles riesgos que los afectan.
las entidades, incluyendo el mapa de riesgos de
corrupción, las medidas concretas para mitigar
Literal f). Definir y aplicar medidas para prevenir los
esos riesgos, las estrategias anti trámites y los
riesgos, detectar y corregir las desviaciones que se
mecanismos para mejorar la atención al
presenten en la organización y que puedan afectar el
ciudadano.
logro de los objetivos.
Directiva Permanente No. 0119000003105 del 18

Norma ISO 31.000:2018 Gestión de Riesgos. de junio de 2019. Lineamientos generales para la
administración de riesgos del Comando General de
las Fuerzas Militares.
CEDE5 - FECHA 02-18-2020 RESERVADO

MARCO NORMATIVO
Guía para la Administración del Riesgo de

Directiva Permanente No. 000115 del 03 de Gestión, Corrupción y Seguridad Digital y,
Diciembre de 2019. Lineamientos Generales para Diseño de Controles en Entidades Públicas.
la Administración de Riesgos en el Ejército Nacional. Departamento Administrativo de la Función
Pública (DAFP). Versión 04 - 2018
Decreto 124 de 2016. Por el cual se sustituye el

Decreto 1499 del 2017 Modelo Integrado de
Titulo 4 de la Parte 1 del Libro 2 del Decreto 1081
Planeación y Gestión. Versión 2.
de 2015, relativo al “Plan Anticorrupción y de
Atención al Ciudadano”.
Manual Operativo Modelo Integrado de Planeación
y Gestión. Agosto 2018.

2.
DEFINICIÓN DE
RIESGOS
RESERVADO
MARCO NORMATIVO
Definición
Riesgo Posibilidad de que
suceda algún evento que
tendrá un impacto sobre
el cumplimiento de los
objetivos. Se expresa en
términos de probabilidad
y consecuencias.
Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág. 8

3.
PROCESO
ADMINISTRACIÓN
DE RIESGOS
RESERVADO
PROCESO ADMINISTRACIÓN DE RIESGOS
2. Alcance, contexto,
criterios
Evaluación del Riesgo
1. Comunicación y consulta
8. Seguimiento y revisión
3. Identificación del Riesgo
4. Análisis del Riesgo
5. Valoración del Riesgo
6. Tratamiento del Riesgo
7. REGISTRO E INFORME

4.
POLITICA DE
CALIDAD
RESERVADO
COMPROMISOS CON EL SIG
Política de Calidad
El Ejército Nacional con la finalidad primordial de defender la soberanía, la independencia y la
integridad territorial, cumple su misión en el marco del desarrollo de operaciones militares,
regido por la Constitución Nacional, el respeto absoluto por los DD.HH. y acatamiento del DIH,
honor militar, disciplina, ética en todas las actuaciones, compromiso, fe en la causa y
persistencia en el empeño, comprometido con el desarrollo y mejora continua del Sistema
Integrado de Gestión (SIG), la administración de los riesgos de gestión y corrupción,
cumpliendo con los requerimientos de las partes interesadas con un alto nivel de calidad,
innovación y competitividad, mediante prácticas de legalidad y transparencia; garantizando
protección a la población, neutralización de amenazas internas y externas, coadyuvando a la
legalidad, el emprendimiento y la equidad, como la Fuerza eje de acción unificada en
operaciones terrestres conjuntas, coordinadas, interagenciales y multilaterales para alcanzar la
unidad de esfuerzo.

5.
CONTEXTO
ESTRATÉGICO
RESERVADO
CONTEXTO ESTRATÉGICO
1. Contexto Estratégico
Se determinan las características o aspectos esenciales del entorno en el cual opera la

entidad. A partir de los factores que se definan es posible establecer las causas de los
riesgos a identificar.
Contexto Externo Contexto Interno
Económicos Financiero
Políticos Personal
Social Procesos
Tecnológicos Tecnológico
Medio Ambientales Normatividad
Comunicación Ext Comunicación Int.
Imagen Infraestructura

TIPOS DE RIESGOS
Tipos de Riesgos
Se establece los tipos de riesgo que se va a manejar por proceso, así:
Apoyo: Son aquellos eventos que requieren de acciones preventivas

para que se logre o contribuya a la materialización y/o producción de
un bien o servicio. Estos van relacionados directamente con los
procesos que sirven de soporte del cumplimiento de los que
conforman la cadena de valor de la entidad.
Corrupción: Posibilidad de que por acción u omisión, se use el poder

para desviar la gestión de lo público hacia un beneficio privado.
Cumplimiento: Posibilidad de ocurrencia de eventos que afectan la

situación jurídica o contractual de la organización debido a su
incumplimiento o desacato a la normatividad legal y las obligaciones
contractuales.

TIPOS DE RIESGOS
Tipos de Riesgo
Estratégico: Posibilidad de ocurrencia de eventos que afecten los

objetivos estratégicos de la organización pública y por tanto impactan
toda la entidad.
Evaluación: Incluyen aquellos procesos necesarios para medir y

recopilar datos destinados a realizar el análisis del desempeño y la
mejora de la eficacia y la eficiencia y son una parte integral de los
procesos estratégicos, misionales y de apoyo.
Financiero: Posibilidad de ocurrencia de eventos que afecten los

estados financieros y todas aquellas áreas involucradas con el
proceso financiero como presupuesto, tesorería, contabilidad, cartera,
central de cuentas, costos, etc.
Operativos: Posibilidad de ocurrencia de eventos que afecten los

procesos misionales de la entidad.

TIPOS DE RIESGOS
Tipos de Riesgo
Imagen o Reputacional: Posibilidad de ocurrencia de un evento que

afecte la imagen, buen nombre o reputación de una organización,
ante sus clientes y partes interesadas.
Tecnológico: Posibilidad de ocurrencia de eventos que afecten la

totalidad o parte de la infraestructura tecnológica (hardware, software,
redes, etc) de una entidad.
Seguridad de la Información: Posibilidad de que por una amenaza

concreta pueda explotar una vulnerabilidad para causar una pérdida o
daño en un activo de información. Suele considerarse como una
combinación de la probabilidad de un evento y sus consecuencias.

TIPOS DE RIESGOS
Tipos de Riesgo
Ambiental: Posibilidad de ocurrencia de un evento de forma natural o

antrópica que afecte los recursos naturales y la salud humana,
incumpliendo la normatividad ambiental legal vigente.
Gerencial:Posibilidad de ocurrencia de eventos que afectan los

procesos gerenciales y/o la alta dirección.

6.
IDENTIFICACIÓN
DE RIESGOS
RESERVADO
RESERVADO
IDENTIFICACIÓN DEL RIESGO
2. Identificación del Riesgo

El objetivo de esta fase de la administración de riesgos es generar
una lista detallada de los posibles riesgos que pueden afectar el
correcto funcionamiento de las actividades del proceso, para ello se
deben determinar de la siguiente manera:
Identificación del proceso: Determinar cuál es el proceso al

que se le determina el riesgo.
Objetivo del proceso: Tener presente el objetivo de acuerdo a

la caracterización del proceso.
Identificar los riesgos: Se identifica el riesgo que podría afectar

el cumplimiento del objetivo del proceso y/o misión Institucional.
Establecer las causas: Descripción de los factores internos y/o

externos que generan los riesgos.
Determinar los efectos o consecuencias: Consecuencias que

puede dejar la ocurrencia del evento sobre la organización.

7.
MATRIZ
ESTRATEGICA DE
RIESGOS
RESERVADO
RESERVADO
MATRIZ ESTRATÉGICA DE RIESGOS
Matriz Estratégica de Riesgos
Esta herramienta facilita la visualización y control

de manera general de los riesgos que impactan al
Ejército Nacional, con el fin de generar acciones
para su mitigación desde el nivel estratégico hasta
el nivel táctico.

MATRIZ ESTRATÉGICA DE RIESGOS

8.
ANÁLISIS DEL
RIESGO
RESERVADO
ANÁLISIS DEL RIESGO
3. Análisis del Riesgo
En esta etapa se busca el desarrollo y la comprensión del riesgo, tomando como

entrada la información obtenida de la identificación del riesgo. Dos aspectos
fundamentales se deben definir dentro de este proceso:
Probabilidad: Posibilidad de ocurrencia del riesgo.
Impacto: Las consecuencias que puede ocasionar a la

organización la materialización del riesgo.

TABLA DE PROBABILIDAD
DESCRIPTOR NIVEL DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir solo en No se ha presentado en

Rara vez 1
circunstancias excepcionales. los últimos 5 años.
El evento puede ocurrir en algún Al menos 1 vez en los
Improbable 2
momento. últimos 5 años.
El evento podría ocurrir en algún Al menos 1 vez en los
Posible 3
momento. últimos 2 años.
El evento probablemente
Al menos 1 vez en el
Probable 4 ocurrirá en la mayoría de las
último año.
circunstancias.
Se espera que el evento ocurra

Casi seguro 5 en la mayoría de las Más de 1 vez al año.
circunstancias.
Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital. Pág. 39

TABLA DE IMPACTO
DESCRIPTOR NIVEL DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría

Insignificante 1 consecuencias o efectos mínimos sobre la
entidad.
Si el hecho llegara a presentarse, tendría bajo
Menor 2
impacto o efecto sobre la entidad.
Moderado 3 medianas consecuencias o efectos sobre la
entidad.
Si el hecho llegara a presentarse, tendría altas
Mayor 4
consecuencias o efectos sobre la entidad.
Catastrófico 5 desastrosas consecuencias o efectos sobre la
entidad.
Fuente: Guía para la Administración del Riesgos DAFP. Pág. 28.

EVALUACIÓN DEL RIESGO

EVALUACIÓN IMPACTO RIESGO DE CORRUPCIÓN
IMPACTO DE LOS RIESGOS DE CORRUPCIÓN
Respuesta
Si el riesgo de corrupción se materializa podría...
SI NO
1. ¿Afectar al grupo de funcionarios del proceso?
2. ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3. ¿Afectar el cumplimiento de misión de la Entidad?
4. ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?
5. ¿Generar pérdida de confianza de la Entidad, afectando su reputación?
6. ¿Generar pérdida de recursos económicos?
7. ¿Afectar la generación de los productos o la prestación de servicios?
8. ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien o
servicios o los recursos públicos?
9. ¿Generar pérdida de información de la Entidad?
10. ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente?
11. ¿Dar lugar a procesos sancionatorios?
12. ¿Dar lugar a procesos disciplinarios?
13. ¿Dar lugar a procesos fiscales?
14. ¿Generar pérdida de credibilidad del sector?
15. ¿Generar pérdida de credibilidad de la entidad?
16. ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17. ¿Afectar la imagen regional?
18. ¿Afectar la imagen nacional?
CALIFICACIÓN DE RIESGO DE CORRUPCIÓN IMPACTO

Respuestas Descripción Nivel
Entre 1-5 Moderado 0
Entre 6-11 Mayor 1
Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital. Pág. 46
Entre 12-18 Catastrófico 2

EVALUACIÓN DEL RIESGO
3.1. Evaluación del riesgo
Permite comparar los resultados de su calificación en

términos de probabilidad y impacto, para tener un primer
resultado cuantitativo y cualitativo del estado actual del
riesgo sin haber tomado acción alguna para su manejo y
así posteriormente poder tomar decisiones y definir los
controles a ejecutar.

MATRIZ DE RIESGO
MATRIZ DE RIESGO

TRATAMIENTO DEL RIESGO
Tratamiento del Riesgo
Aceptar el riesgo: No se adopta ninguna medida que afecte la probabilidad o

el impacto del riesgo. Ningún riesgo de corrupción podrá ser aceptado.
Reducir el riesgo: Se adoptan medidas para reducir la probabilidad o el

impacto del riesgo, o ambos; por lo general conlleva a la implementación de
controles.
Evitar el riesgo: Se abandonan las actividades que dan lugar al riesgo,

decidiendo no iniciar o no continuar con la actividad que causa el riesgo.
Compartir el riesgo: Se reduce la probabilidad o el impacto del riesgo,

transfiriendo o compartiendo una parte del riesgo.
Los riesgos de corrupción se pueden compartir pero no se pueden transferir su

responsabilidad.
Fuente: Guía para la Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y, Diseño de Controles en Entidades Públicas. Pág 68

CONTROLES
Medida que modifica al riesgo (Procesos, políticas, dispositivos, prácticas u otras

Controles: acciones).
Son las acciones establecidas a través

de políticas y procedimientos que
contribuyen a garantizar que se lleven a
Qué son cabo las instrucciones de la dirección
para mitigar los riesgo que inciden en el
actividades cumplimiento de los objetivos.
de control?:
La actividad de control debe por si
sola mitigar o tratar la causa del
riesgo y ejecutarse como parte del día
a día de las operaciones.
Actividades de control documentadas en:
POLÍTICAS PROCEDIMIENTOS
Las políticas establecen las líneas generales Los procedimientos son los que llevan dichas
del control interno. políticas a la práctica.

CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL
CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROL:
CONTROLES PREVENTIVOS:
Controles que están diseñados para evitar un evento no deseado en el momento en que
se produce. Este tipo de controles intentan evitar la ocurrencia de los riesgos que
puedan afectar el cumplimiento de los objetivos.
CONTROLES DETECTIVOS:
Controles que están diseñados para identificar un evento o resultado no previsto

después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se tomen las acciones
correspondientes.
NOTA 1: Se deben seleccionar actividades de control preventivas y detectivas que por

sí solas ayuden a la mitigación de las causas que originan los riesgos.
NOTA 2: El evento no deseado esta identificado en las causas que originan el

riesgo.

ANÁLISIS PRELIMINAR (RIESGO INHERENTE)
Análisis preliminar
Al momento de definir las actividades de control por parte de los

lideres de los procesos y su equipo de trabajo, es importante
considerar estén bien diseñados, es decir, que mitigan las causas
que hacen que el riesgo se materialice.
Riesgo antes de controles: Se identifican los riesgos inherentes o

subyacentes que pueden afectar el cumplimiento de los objetivos
estratégicos y de proceso.
Causas o fallas: Se identifican las causas o fallas que pueden dar

origen a la materialización del riesgo.
Controles: Para cada causa se identifica el control o controles.
Riesgos después de controles: Evaluar si los controles están bien

diseñados para mitigar el riesgo y si estos se ejecutan como fueron
diseñados.

DISEÑO DE CONTROLES
Diseño de Controles
Al momento de definir si un control o los controles mitigan de manera
adecuada el riesgo, se debe considerar desde la redacción del mismo,
las siguientes variables:
PASO 1 Debe tener definido el responsable de realizar la actividad de control.
PASO 2 Debe tener una periodicidad definida para su ejecución.
PASO 3 Debe indicar cuál es el propósito del control.
PASO 4 Debe establecer el cómo se realiza la actividad de control.
PASO 5
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
PASO 6 Debe dejar evidencia de la ejecución del control.

IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO

ANÁLISIS Y EVALUACIÓN DE LOS CONTROLES PARA LA MITIGACIÓN DE LOS RIESGOS
CRITERIO DE
ASPECTO A EVALUAR EN EL DISEÑO DEL CONTROL OPCIONES DE RESPUESTA
EVALUACIÓN
¿Existe un responsable asignado a la ejecución del control? Asignado No asignado

1. Responsable
¿El responsable tiene la autoridad y adecuada segregación de
Adecuado Inadecuado
funciones en la ejecución del control?
¿La oportunidad en que se ejecuta el control ayuda a prevenir la

2. Periodicidad mitigación del riesgo o a detectar la materialización del riesgo de Oportuna Inoportuna
manera oportuna?
¿Las actividades que se desarrollan en el control realmente buscan

Prevenir o No es un
3. Propósito por si sola prevenir o detectar las causas que pueden dar origen al
detectar control
riesgo, ejemplo Verificar, Validar Cotejar, Comparar, Revisar, etc.?
4. Como se realiza la ¿La fuente de información que se utiliza en el desarrollo del control
Confiable No confiable
actividad de control es información confiable que permita mitigar el riesgo?
No se
5. Que pasa con las ¿Las observaciones, desviaciones o diferencias identificadas como Se investigan y investigan y
observaciones o resultados de la ejecución del control son investigadas y resueltas resuelven resuelven
desviaciones de manera oportuna? oportunamente oportunamente
6. Evidencia de la ¿Se deja evidencia o rastro de la ejecución del control, que permita Incompleta / no
Completa
ejecución del control a cualquier tercero con la evidencia, llegar a la misma conclusión?. existe

PESO O PARTICIPACIÓN DE CADA VARIABLE EN EL DISEÑO DE CONTROL PARA LA
MITIGACIÓN DEL RIESGO
Opción de respuesta al criterio de Peso en la evaluación del

Criterio de evaluación.
evaluación diseño del control
Asignado 15
1.1 Asignación del responsable
No Asignado 0
1.2 Segregación y Autoridad Adecuado 15

del Responsable. Inadecuado 0
Oportuna 15
2. Periodicidad
Inoportuna 0
Prevenir 15
3. Propósito
Detectar 10
4. Como se realiza la actividad Confiable 15

de control. No confiable 0
5. Que pasa con las Se investigan y resuelven oportunamente 15

observaciones o No se investigan y resuelven
desviaciones 0
oportunamente
Completa 10
6. Evidencia de la ejecución del
Incompleta 5
control.
No existe 0

RESULTADOS DE LA EVALUACIÓN EN E DISEÑO Y EJECUCIÓN DEL CONTROL
Diseño: El resultado de cada variable de Rango de Resultado - Peso en la

Calificación evaluación del
diseño, a excepción de la evidencia, va a del Diseño Diseño del Control
afectar la calificación del diseño del control,
ya que deben cumplirse todas las variables, Fuerte Calificación entre 96 y 100
para que un control se evalué como bien Moderado Calificación entre 86 y 95
diseñado. Débil Calificación entre 0 y 85
El resultado de las calificaciones del control o promedio en el diseño de los controles, que este por debajo
de 96 %, se debe establecer un plan de acción que permita tener un control o controles bien diseñados.
Ejecución: Aunque un control este bien Rango de

diseñado, este debe ejecutarse de manera Calificación Resultado - Peso de la
consistente, de tal forma que se pueda de la Ejecución del control
mitigar el riesgo. No basta solo con tener Ejecución
controles bien diseñados, debe asegurarse El control se ejecuta de manera
por parte del líder del proceso y su equipo Fuerte consistente por parte del
de trabajo que el control se ejecute. Al responsable.
momento de determinar si el control se
El control se ejecuta algunas
ejecuta, inicialmente es una confirmación Moderado
veces por parte del responsable.
por parte del responsable del proceso, y
posteriormente se confirma con las El control no se ejecuta por parte
actividades de evaluación realizadas por Débil
del responsable.
Auditoría Interna o Control Interno.

SOLIDEZ DEL CONJUNTO DE CONTROLES PARA LA ADECUADA
MITIGACIÓN DEL RIESGO
Dado que un riesgo puede tener varias causas y a su vez varios controles y la calificación
se realiza al riesgo, es importante evaluar el conjunto de controles asociados al riesgo.
Diseño de Ejecución Solidez individual Solidez del conjunto

Riesgos Causas o Fallas Controles
control del control del control de controles
Control 1 Fuerte Fuerte Fuerte

¿Cómo
Causa 1 evaluamos la
Control 2 Fuerte Moderado Moderado solidez del
RIESGO conjunto de
los controles?
Causa 2 Control 3 Débil Fuerte Débil
Solidez del Conjunto de los Controles
Calificación de la Solidez del conjunto de controles.

Importante.
La solidez del conjunto El promedio de la solidez individual de cada control al
Fuerte
de controles se obtiene sumarlos y ponderarlos es igual a 100.
calculando el promedio El promedio de la solidez individual de cada control al ESQUEMA 11
Moderado
aritmético simple de los sumarlos y ponderarlos la calificación está entre 50 y 99 Solidez del conjunto de
controles
controles por cada El promedio de la solidez individual de cada control al
riesgo. Débil
sumarlos y ponderarlos la calificación es menor a 50.

NIVEL DE RIESGO (RIESGO RESIDUAL)
Desplazamiento del riesgo Inherente para calcular el Riesgo Residual: Dado que ningún
riesgo con una medida de tratamiento se evita o se elimina, el desplazamiento de un
riesgo inherente en su probabilidad o impacto para el calculo del riesgo residual, se
realizará de acuerdo a la siguiente tabla:
Resultados de los posibles desplazamientos de la probabilidad

y del impacto de los riesgos.
Controles ayudan a # Columnas en la matriz de # Columnas en la matriz
Solidez del conjunto Controles ayudan a
disminuirla riesgo que se desplaza en el de riesgo que se desplaza
de los controles. disminuir Impacto
probabilidad eje de la Probabilidad en el eje de Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente NoDisminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente NoDisminuye 1 0
Moderado No disminuye Directamente 0 1
Nota: Si la solidez del conjunto de los controles es Débil, este no disminuirá ningún cuadrante del impacto o
probabilidad asociado al riesgo.

VALORACIÓN DE CONTROLES Y DEL RIESGO
MATRIZ DE RIESGO
Zona de
valoración del Registro Seguimiento
riesgo
Extrema Administración de riesgos Mensualmente
Alta Administración de riesgos Bimestral
Moderado Administración de riesgos Trimestralmente
Baja Administración de riesgos Semestralmente
NOTA 1: Se deben identificar mínimo dos (02) acciones con periodicidad establecida en la zona
de acuerdo al cuadro en cada nivel de la Institución. (Departamento, División, Brigada,
Batallón).
NOTA 2: En la valoración del riesgo de corrupción su seguimiento será mensual.

ACCIONES Y SEGUIMIENTO RIESGOS
ACCIONES:
En esta parte de la metodología se definen las acciones que se van a tomar para mitigar el riesgo, así:
Disminuir la probabilidad: Acciones encaminadas a gestionar las causas del riesgo.
Disminuir el impacto: Acciones encaminadas a disminuir las consecuencias del riesgo.
NOTA 1: En caso que el control en su evaluación del diseño de FUERTE, se deberá

colocar el control también como acciones, para que se ejecuten y se les pueda realizar el
seguimiento.
NOTA 2: Si el control en la evaluación del diseño da DÉBIL ó MODERADO, se deberá

documentar más acciones para fortalecer el control.
NOTA 3: Las acciones adicionales deben ser actividades diferentes a las establecidas
en la caracterización, procedimiento y reglamentación interna (Reglamentos, normas,
directivas permanentes).

ACCIONES Y SEGUIMIENTO
Acción de Control Número 1:
Descripción: Responsable: Evidencia Periodicidad: Fecha de Inicio: Fecha Final:

Director de Gestión de
Calidad
Oficial Gestión de Informe Trimestral 2020 Ene 1 2020 Dic 31
Verificar el cumplimiento de las directrices emitidas en la Directiva de implementación, Calidad
mantenimiento y mejora DIV-BR
Asociada a: Causa: Efecto
Disminuir la probabilidad 12, 80, 81, 86, 116
Seguimiento:
TRIM I: Se elaboro el informe N° XXX de fecha XXX mediante el cual se verificó el cumplimiento de la directriva de implementación, mantenimiento y mejora, en los temas XXX.
TRIM II: Se elaboro el informe N° XXX de fecha XXX mediante el cual se verificó el cumplimiento de la directriva de implementación, mantenimiento y mejora, en los temas XXX.
TRIM III: Se elaboro el informe N° XXX de fecha XXX mediante el cual se verificó el cumplimiento de la directriva de implementación, mantenimiento y mejora, en los temas XXX.
TRIM IV: Se elaboro el informe N° XXX de fecha XXX mediante el cual se verificó el cumplimiento de la directriva de implementación, mantenimiento y mejora, en los temas XXX.
Acción de Control Número 2:
Descripción: Responsable: Evidencia Periodicidad: Fecha de Inicio: Fecha Final:
Director de Gestión de
Informe Trimestral 2020 Ene 1 2020 Dic 31
Calidad
Verificar el cumplimiento de la revisión, actualización y/o difusión de los documentos del
Sistema Integrado de Gestión. Asociada a: Causa: Efecto
Disminuir la probabilidad 12, 13, 80, 81, 86, 116
Seguimiento:

9.
SEGUIMIENTO Y
REVISIÓN
RESERVADO
COMUNICACIÓN Y CONSULTA
Procesos continuos y reiterativos que una organización lleva a cabo para

suministrar, compartir u obtener información e involucrarse en un diálogo con
las partes involucradas con respecto a la gestión del riesgo. Este análisis debe
garantizar que se tienen en cuenta las necesidades de los usuarios o
Comunicación y consulta
ciudadanos.
Elaborar y difundir documentos para la administración de riesgos.
Informes periódicos del seguimiento de los riesgos.
Informe final administración de riesgos.
Los Departamentos establecen los riesgos que van a ser estandarizados a los
procesos de las Unidades
Los Departamentos que estandarizan riesgos a las Unidades, serán los

directamente responsables del seguimiento y si se materializa, documentarán
solicitud de acción correctiva de acuerdo al procedimiento de mejora continua.

SEGUIMIENTO Y REVISIÓN
Seguimiento y Revisión
La entidad debe asegurar el logro de los objetivos, anticipándose a los eventos

negativos relacionados con la gestión de la entidad.
Teniendo en cuenta las líneas de defensa se define como un modelo de control

que establece los roles y responsabilidades de todos los actores del riesgo y
control en una entidad, proporcionando aseguramiento de la gestión y
previniendo la materialización de los riesgos en todos los ámbitos.
Seguimiento y revisión: Esta a cargo de los lideres de los procesos y sus

equipos quienes deben revisar periódicamente la administración de riesgos y si
es el caso ajustarlo, informando a CEDE5 mediante documento.
Administración de Riesgos - seguimiento: Permite llevar un control a los

resultados obtenidos en cada periodo de tiempo evaluado de acuerdo al
cumplimiento de las acciones y porcentaje de avance del proceso dado en la
suite visión empresarial modulo gestión del riesgo.

ANÁLISIS TRIMESTRAL ADMINISTRACIÓN DE RIESGOS
MINISTERIO DE DEFENSA NACIONAL Pág. de
COMANDO GENERAL DE LAS FUERZAS MILITARES ANÁLISIS TRIMESTRAL ADMINISTRACIÓN Código: FO-JEMPP-CEDE5-1291
EJERCITO NACIONAL
DEPARTAMENTO DE PLANEACIÓN
DE RIESGOS Versión: 0
Fecha de emisión: 2019-03-13
Unidad o Dependencia : Proceso o Sección:
Fecha de elaboración: Año: Mes: Día: Periodo:
Administración de riesgos:
Riesgos Identificados: Total Controles: Total Acciones:
Administración de riesgos
Apoyo AP
Riesgos Acciones Controles
Corrupción CO
1,2
Cumplimiento CU
Estratégico ES 1
Evaluación EV
0,8
Financiero FI
Imagen o Reputacional IM
0,6
Operativos OP
Tecnológico TE 0,4
Ambiental AM
0,2
Gerencial GR
Seguridad de la Información SE 0
AP CO CU ES EV FI IM OP TE AM GR SE
TOTAL 0 0 0
Materialización:
Nombre del riesgo:
R
Causas:
1
Plan de mejoramiento:
Nombre del riesgo:
R
Causas:
2
Plan de mejoramiento:
Eficacia de los controles:
Eficacia de los acciones:
Conclusiones y/o observaciones:
Elaboró: Revisó: Aprobó:

ANÁLISIS ANUAL ADMINISTRACIÓN DE RIESGOS
MINISTERIO DE DEFENSA NACIONAL Pág. de
COMANDO GENERAL DE LAS FUERZAS MILITARES ANÁLISIS ANUAL ADMINISTRACIÓN Código: FO-JEMPP-CEDE5-1393
EJERCITO NACIONAL DE RIESGOS Versión: 0
DEPARTAMENTO DE PLANEACIÓN Fecha de emisión: 2019-12-12
Unidad o Dependencia : Proceso:
Fecha de elaboración: Año: Mes: Día: Periodo:
Administración de riesgos:
Riesgos Identificados: Total Controles: Total Acciones:
Identificación de riesgos
Apoyo AP
Riesgos Controles Acciones
Corrupción CO
Cumplimiento CU
Estratégico ES
Evaluación EV
Financiero FI
Imagen o Reputacional IM
Operativos OP
Tecnológico TE
Ambiental AM
Gerencial GR
000
Seguridad de la Información SE
AP CO CU ES EV FI IM OP TE AM GR SE TO
TOTAL TO 0 0 0
Riesgos Materializados:
Nombre del riesgo: Plan de mejoramiento:
Eficacia de los controles:
Eficacia de los acciones:
Riesgos próxima vigencia:

Nombre del riesgo: Continúa: Justificación: Análisis de la evaluación del riesgo:
Conclusiones y/o observaciones:
Elaboró: Revisó: Aprobó:

LÍNEA ESTRATÉGICA
1ª. Línea de Defensa 2ª. Línea de Defensa 3ª. Línea de Defensa
Desarrolla e implementa procesos Asegura que los controles y los Proporciona información sobre la
de control y gestión de riesgos a procesos de gestión de riesgos efectividad del S.C.I., a través de un
través de su identificación, análisis, implementados por la primera línea de enfoque basado en riesgos, incluida
valoración, monitoreo y acciones de defensa, estén diseñados la operación de la primera y segunda
mejora. apropiadamente y funcionen como se línea de defensa
pretende
A cargo de los gerentes públicos y A cargo de los servidores que tienen A cargo de la oficina de control
líderes de los procesos, programas y responsabilidades directas en el interno, auditoría interna o quien
proyectos de la entidad. monitoreo y evaluación de los haga sus veces.
controles y la gestión del riesgo: Jefes
Rol principal: diseñar, implementar El rol principal: proporcionar un
de planeación, supervisores e
y monitorear los controles y aseguramiento basado en el más
interventores de contratos o proyectos,
gestionar de manera directa en el alto nivel de independencia y
coordinadores de otros sistemas de
día a día los riesgos de la entidad. objetividad sobre la efectividad del
gestión de la entidad, comités de
S.C.I.
Así mismo, orientar el desarrollo e riesgos (donde existan), comités de
implementación de políticas y contratación, entre otros. El alcance de este aseguramiento, a
procedimientos internos y asegurar través de la auditoría interna cubre
Rol principal: monitorear la gestión
que sean compatibles con las metas todos los componentes del S.C.I.
de riesgo y control ejecutada por la
y objetivos de la entidad y
primera línea de defensa,
emprender las acciones de
complementando su trabajo.
mejoramiento para su logro.

ACLARACIONES
A tener en cuenta.
En cada uno de los riesgos identificados, se debe tener presente que los indicadores
que van a medir la gestión son los del Informe de Gestión Plan de Acción.
Cuando un riesgo es materializado se deberá informar al Departamento mediante

oficio y enviar el plan de mejoramiento, quien será el responsable de validarlo y
aprobarlo e informar al Departamento de Planeación (CEDE5).
Por cada riesgo se deben identificar mínimo tres (03) controles y estar redactados de
acuerdo al diseño de controles.
Los análisis de riesgos se continúan elaborando trimestralmente y final:

Los Departamentos consolidan la información de su proceso de las Unidades Operativas
Mayores y elaboran un informe, teniendo en cuenta la eficacia de las acciones en la suite
visión empresarial modulo gestión del riesgo. Formato Análisis Trimestral
Administración de Riesgos y Formato Análisis Anual Administración de Riesgos.
El responsable de Control Interno o quien haga sus veces en las Unidades Operativas
Mayores consolida la información de los procesos y de acuerdo a su seguimiento
elabora el análisis de riesgos de la Unidad Operativa Mayor.

CONSIDERACIONES GENERALES
Los riesgos se deben identificar en coordinación con las dependencias o

unidades que participan en el proceso, por ejemplo: Unidades Operativas
Mayores, Menores, Tácticas, Escuelas de Formación, Capacitación y
Especialización, Brigadas Logísticas 1 y 2.
Los líderes de proceso deben considerar la identificación de riesgos aplicables a

las Fuerzas de Despliegue Rápido, Comando Específico del Caguán (CEC),
Comando Específico del Oriente (CEO), Comando de Apoyo de Operaciones
Urbanas (CAOUR), Comando de Apoyo de Fuegos (CAFUE), conforme a la
aplicabilidad del proceso.
Las Escuelas del CEMIL y el CENAE, deben identificar riesgos particulares,

conforme a la misionalidad y contexto de cada una.
El B3 de las Brigadas Logísticas 1 y 2, debe identificar riesgos a su nivel, para

el proceso operaciones logísticas.

Dentro del marco de la construcción del Plan Estratégico Institucional, se

deben identificar riesgos de tipo estratégico, conforme a la propuesta de
objetivos estratégicos.
Las unidades o dependencias, pueden identificar riesgos diferentes

a los estandarizados por el líder de proceso, para la vigencia 2020, los
cuales deben ser enviados al líder de proceso para su revisión y
validación.
Los riesgos identificados por los procesos de acuerdo a la matriz

estratégica de riesgos para la vigencia 2020, se deben documentar en el
formato Administración de Riesgos, código: FO-CEDE5-DIGEC-487, V6
del 2019-10-04, teniendo en cuenta la metodología de administración de
riesgos y diseño de controles.

Cada departamento o dependencia deberá revisar los riesgos y aclarar

cuales serán los estandarizados a las unidades, enviando mediante oficio
los riesgos que aún no han sido entregados junto con el archivo Excel
(administración de riesgos) que incluye las acciones y controles que
aplican a las unidades.
Los Departamentos de Comando Ejército, Unidades Operativas Mayores,

Escuelas de Formación y Capacitación (CENAE, CEMIL, ESMIC y
EMSUB), Brigadas Logísticas 1 y 2, Fuerza de Despliegue Rápido 2,
enviaran con oficio remisorio al Departamento de Planeación (CEDE5), la
información de los riesgos a administrar durante la vigencia 2020,
relacionando el proceso, nombre del riesgo, tipo, los controles, las
acciones con la fecha inicial, fecha final y cuales riesgos fueron
estandarizados, debidamente aprobados por el Comandante de la Unidad
de acuerdo a la Directiva Permanente 000115 del 03 de diciembre de
2019.

10.
PLAZOS
SEGUIMIENTO
ADMINISTRACIÓN
DE RIESGOS
RESERVADO
PLAZOS SEGUIMIENTO ADMINISTRACIÓN DEL RIESGO
De Unidades
Operativas De Unidades Operativas
Zona de Mayores, Menores, Fuerzas de De Unidades
valoración del Seguimiento De Comando Comandos Despliegue Rápido, CEO y Tácticas a Unidades
riesgo Ejército - al CEDE5 Funcionales y de CEC a Unidades Operativas Operativas Menores
Apoyo a Mayores
Comando Ejército
Día 20 del mes Día 15 del mes Día 05 del mes

Extrema Mensual Día 10 del mes siguiente
siguiente siguiente siguiente
20 Marzo, 20 15 Marzo, 15 05 Marzo, 05

Mayo, 22 Julio, Mayo, 15 Julio, 10 Marzo, 10 Mayo, 10 Mayo, 05 Julio, 05
20 Septiembre, 15 Septiembre, Julio, 10 Septiembre, 10 Septiembre, 05
Alta Bimestral
20 Noviembre 15 Noviembre, Noviembre, 10 Enero año Noviembre, 05
y 20 Enero año 15 Enero año siguiente Enero año
15 Abril, 15
20 Abril, 22 Julio, 05 Abril, 05 Julio,
Julio, 15 10 Abril, 10 Julio, 10
20 Octubre y 20 05 Octubre y 05
Moderado Trimestral Octubre y 15 Octubre y 10 Enero año
Enero año Enero año
Enero año siguiente.
siguiente. siguiente.
siguiente.
22 Julio y 20 15 Julio y 15 05 Julio y 05
10 Julio y 10 Ene año
Baja Semestral Enero año Enero año Enero año
siguiente

Presentacion Administracion de Riesgos 2020 Metodologia

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Presentacion Administracion de Riesgos 2020 Metodologia

Caricato da

Copyright:

Formati disponibili

DIRECCIÓN DE COMUNICACIONES ESTRATÉGICAS

2. Definición del Riesgo.

3. Proceso Administración del Riesgo.

7. Matriz Estratégica de Riesgos.

8. Análisis del Riesgo.

10. Plazos Seguimiento Administración de Riesgos.

Usar: Arial Narrow, negrita

Directiva Permanente No. 0119000003105 del 18

CEDE5 - FECHA 02-18-2020 RESERVADO

Guía para la Administración del Riesgo de

Decreto 124 de 2016. Por el cual se sustituye el

CEDE5 - FECHA 02-18-2020 RESERVADO

CEDE5 - FECHA 02-18-2020 RESERVADO

Evaluación del Riesgo

4. Análisis del Riesgo

5. Valoración del Riesgo

6. Tratamiento del Riesgo

CEDE5 - FECHA 02-18-2020 RESERVADO

CEDE5 - FECHA 02-18-2020 RESERVADO

Se determinan las características o aspectos esenciales del entorno en el cual opera la

Contexto Externo Contexto Interno

Medio Ambientales Normatividad

Comunicación Ext Comunicación Int.

CEDE5 - FECHA 02-18-2020 RESERVADO

Se establece los tipos de riesgo que se va a manejar por proceso, así:

Apoyo: Son aquellos eventos que requieren de acciones preventivas

Corrupción: Posibilidad de que por acción u omisión, se use el poder

Cumplimiento: Posibilidad de ocurrencia de eventos que afectan la

CEDE5 - FECHA 02-18-2020 RESERVADO

Estratégico: Posibilidad de ocurrencia de eventos que afecten los

Evaluación: Incluyen aquellos procesos necesarios para medir y

Financiero: Posibilidad de ocurrencia de eventos que afecten los

Operativos: Posibilidad de ocurrencia de eventos que afecten los

CEDE5 - FECHA 02-18-2020 RESERVADO

Imagen o Reputacional: Posibilidad de ocurrencia de un evento que

Tecnológico: Posibilidad de ocurrencia de eventos que afecten la

Seguridad de la Información: Posibilidad de que por una amenaza

CEDE5 - FECHA 02-18-2020 RESERVADO

Ambiental: Posibilidad de ocurrencia de un evento de forma natural o

Gerencial:Posibilidad de ocurrencia de eventos que afectan los

CEDE5 - FECHA 02-18-2020 RESERVADO

2. Identificación del Riesgo

Identificación del proceso: Determinar cuál es el proceso al

Objetivo del proceso: Tener presente el objetivo de acuerdo a

Identificar los riesgos: Se identifica el riesgo que podría afectar

Establecer las causas: Descripción de los factores internos y/o

Determinar los efectos o consecuencias: Consecuencias que

CEDE5 - FECHA 02-18-2020 RESERVADO

Matriz Estratégica de Riesgos

Esta herramienta facilita la visualización y control

CEDE5 - FECHA 02-18-2020 RESERVADO

CEDE5 - FECHA 02-18-2020 RESERVADO

En esta etapa se busca el desarrollo y la comprensión del riesgo, tomando como

Probabilidad: Posibilidad de ocurrencia del riesgo.

Impacto: Las consecuencias que puede ocasionar a la

CEDE5 - FECHA 02-18-2020 RESERVADO

El evento puede ocurrir solo en No se ha presentado en

Se espera que el evento ocurra

CEDE5 - FECHA 02-18-2020 RESERVADO

Si el hecho llegara a presentarse, tendría

CEDE5 - FECHA 02-18-2020 RESERVADO

CEDE5 - FECHA 02-18-2020 RESERVADO

CALIFICACIÓN DE RIESGO DE CORRUPCIÓN IMPACTO