Pregunta
que dia es ho
Guía para la
administración del
riesgo y el diseño
de controles en
entidades públicas
VICEPRESIDENCIA
- D O C U M E N T O O F I C I A L -
2
D E PA R TA M E N TO
A D M I N I S T R AT I V O
D E L A F U N C I Ó N
P Ú B L I C A
B O G OTÁ , C O L O M B I A
O C T U B R E 2 0 1 8
- F U N C I Ó N P Ú B L I C A -
3
Presidencia de la República
Alfonso Prada Gil
Secretario General de la Presidencia de la
República
Andrés José Rugeles Pineda
Secretario de Transparencia
Ministerio de las Tecnologías de la
Información y las Comunicaciones
Sylvia Cristina Constaín Rengifo
Ministra TIC
Carlos Eduardo Rozo Bolaños
Director de Gobierno Digital
Departamento Administrativo de la
Función Pública
Fernando Antonio Grillo Rubiano
Director
María del Pilar García González
Directora de Gestión y Desempeño
Institucional
Equipo de trabajo
Presidencia de la República -
Secretaria de Transparencia
Martha Ligia Ortega Santamaría
Ana Paulina Sabbagh Acevedo
María Victoria Sepúlveda Rincón
Ministerio de las Tecnologías de la
Información y las Comunicaciones
- Grupo Interno de Seguridad y
Privacidad de la Información
Juan Carlos Valenzuela Buitrago
Senen Niño Gil
Ángela Janeth Cortés Hernández
Albert Cuesta Gómez
Departamento Administrativo
de la Función Pública
Carrera 6 No 12-62, Bogotá, D.C., Colombia
Conmutador: 739 5656 / 86 - Fax: 739 5657
Web: www.funcionpublica.gov.co
eva@funcionpublica.gov.co
Línea gratuita de atención al usuario: 018000 917770
Bogotá, D.C., Colombia.
Departamento Administrativo de la Función
Pública – Dirección de Gestión y Desempeño
Institucional, Grupo de Análisis y Política
Diana María Caldas Gualteros
Dolly Amaya Caballero
Eva Mercedes Rojas Valdés
Myrian Cubillos Benavides
Dorley Enrique León López
Edwin Arley Giraldo
Edición
Carolina Mogollón Delgado
Dirección de Gestión del Conocimiento
Diseño y diagramación
Susana Bonilla Guzmán
Oficina Asesora de Comunicaciones
- D O C U M E N T O O F I C I A L -
4
Contenido
Presentación..........................................................................................................................................6
Objetivos.................................................................................................................................................7
Conceptos básicos..................................................................................................................................8
Antes de iniciar la metodología..........................................................................................................10
Acerca de la metodología ...................................................................................................................13
PA S O 1 . P O L Í T I C A A DMI N I S T R A C I Ó N D E R I E S G O S ..................................................14
PA S O 2 . I D E N T I F I C A C I Ó N D E R I E S G O S ..........................................................................17
2.1. Establecimiento del contexto..................................................................................................19
2.1.1. Contexto interno................................................................................................................16
2.1.2. Contexto externo...............................................................................................................19
2.1.3. Contexto del proceso........................................................................................................19
2.1.4. Identificación de activos de seguridad de la información............................................21
2.2. Identificación de riesgos - técnicas para la identificación de riesgos de gestión y corrupción..22
2.2.1. Técnicas para la redacción de riesgos............................................................................27
2.2.2. Tipología de riesgos..........................................................................................................28
PA S O 3 . VA L O R A C I Ó N D E R I E S G O S .................................................................................. 36
3.1. Análisis de riesgos....................................................................................................................37
3.1.1 Análisis de causas..............................................................................................................37
3.1.2. Cálculo de la probabilidad............................................................................................... 38
3.1.3. Análisis del impacto (riesgos de gestión y corrupción).............................................. 44
3.2. Evaluación de riesgos.............................................................................................................. 48
3.2.1. Análisis preliminar (riesgo inherente)........................................................................... 48
3.2.2. Valoración de los controles (diseño de controles)....................................................... 49
3.2.3. Nivel de riesgo (riesgo residual).................................................................................... 66
3.3. Monitoreo y revisión .................................................................................................................75
3.4. Seguimiento de riesgos de corrupción ..................................................................................87
Comunicación y consulta................................................................................................................ 88
Información, comunicación y reporte ........................................................................................... 90
Referencias......................................................................................................................................... 92
Anexos.................................................................................................................................................. 93
- F U N C I Ó N P Ú B L I C A -
5
Índice de tablas
Tabla 1. Factores para cada categoría del contexto............................................................................. 20
Tabla 2. Criterios para calificar la probabilidad.................................................................................... 39
Tabla 3. Criterios para calificar el impacto - Riesgos de gestión......................................................40
Tabla 4. Criterios para calificar el impacto - Riesgos de seguridad digital .................................... 42
Tabla 5. Criterios para calificar el impacto - Riesgos de corrupción................................................ 46
Tabla 6. Análisis y evaluación de los controles para la mitigación de los riesgos........................ 60
Tabla 7. Peso o participación de cada variable en el diseño del control para la mitigación del riesgo...61
Tabla 8. Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos... 66
Índice de esquemas
Esquema 1. Conocimiento y análisis de la entidad...................................................................11
Esquema 2. Metodología para la administración del riesgo....................................................13
Esquema 3. Estructuración de la política de administración de riesgos...............................14
Esquema 4. Aspectos a desarrollar en la identificación del riesgo........................................18
Esquema 5. Análisis del contexto externo, interno y del proceso..........................................19
Esquema 6. Redacción del riesgo................................................................................................27
Esquema 7. Valoración de riesgos ............................................................................................. 36
Esquema 8. Análisis de riesgos...................................................................................................37
Esquema 9. Riesgo antes y después de controles................................................................... 48
Esquema 10. Pasos para diseñar un control............................................................................. 49
Esquema 11. Valoración de los controles para la mitigación de los riesgos........................ 59
Esquema 12. Solidez del conjunto de controles ...................................................................... 64
Esquema 13. Consolidación del Plan de Tratamiento de Riesgos...........................................81
Esquema 14. Comunicación y consulta - aspecto transversal............................................... 89
Esquema 15. Responsabilidades por línea de defensa para la información, comunicación y
reporte............................................................................................................................................. 90
- D O C U M E N T O O F I C I A L -
6
Presentación
El Consejo Asesor del Gobierno nacional en materia de control
interno consideró necesario unificar la metodología existente para la
administración del riesgo de gestión y corrupción, con el fin de hacer más
sencilla la utilización de esta herramienta gerencial para las entidades
públicas y así, evitar duplicidades o reprocesos.
Igualmente, en respuesta a las conclusiones emitidas por la Contraloría
General de la República que, producto de su labor como ente de control
fiscal durante las últimas vigencias, encontró una marcada debilidad en el
ejercicio del control interno efectuado por las entidades públicas, tanto del
orden nacional como territorial. Es decir, se hizo evidente la importancia
de fortalecer la metodología para diseñar y aplicar controles que permitan
asegurar el logro de los objetivos.
También, con ocasión de la entrada en vigencia del Modelo Integrado de
Planeación y Gestión (MIPG), que integra los Sistemas de Gestión de la
Calidad y de Desarrollo Administrativo, crea un único Sistema de Gestión
y, lo articula con el Sistema de Control Interno, el cual se actualiza y
alinea con los mejores estándares internacionales, como son