FORMATO

MATRIZ DE RIESGOS DE RIESGOS Y OPORTUNIDADES POR PROCESOS

ANÁLISIS DEL RIESGO VALORACIÓN DEL RIESGO RESIDUAL

(3) CONTEXTO ESTRATÉGICO IDENTIFICACIÓN DEL RIESGO Y OPORTUNIDADES ANALISIS DEL RIESGO RESIDUAL ACCIONES ASOCIADAS
RIESGO INHERENTE
(1)TIPO DE PROCESO

IDENTIFICACIÓN DE CONTROLES
(2)PROCESO

(7)IMPACTO
(4) RIESGO / CLASIFICACION DEL RIESGO INHERENTE EVALUACION DEL RIESGO CALIFICACION DEL RIESGO RESIDUAL EVALUACION DEL RIESGO RESIDUAL
EXTERNOS

(EN CASO DE MATERIALIZACIÓN DEL RIESGO / OPORTUNIDAD)

INTERNOS

(5) CLASIFICACIÓN / OPORTUNIDADDEL RIESGO

OPORTUNIDAD
DESCRIPCIÓN GENERAL
(6) CAUSAS TIPO DE CONTROL DESCRIPCIÓN DEL CONTROL RESPONSABLE FECHA ESTABLECIDA
DE LA ACCIÓN
¿Con el control existente disminuye
la probabilidad del riesgo o el
(8) CONSECUENCIAS POTENCIALES (9) TIPO (10) NIVEL PROBABILIDAD IMPACTO CALIFICACION ZONA DE RIESGO OPCIONES DE MANEJO DEL RIESGO PROBABILIDAD IMPACTO CALIFICACION ZONA DE RIESGO OPCIONES DE MANEJO DEL RIESGO
impacto del riesgo, o disminuyen
ambas variables?

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

0 BAJA 0 BAJA

GIT DESARROLLO ORGANIZACIONAL F12100-XX/14.V7

 CONTEXTO ESTRATÉGICO
FACTORES EXTERNOS FAC

Económicos: disponibilidad de capital,emisión de

deuda o no pago de la misma, liquidez, mercados Infraestructura: disp
de los activos, acces
financieros, desempleo, competencia.

Medioambientales: emisiones y residuos, energía, Personal: capacidad

catástrofes naturales, desarrollo sostenible.

Políticos: cambios de gobierno, legislación, políticas Procesos: capacidad

públicas, regulación. entradas, salidas, co

Sociales: demografía, responsabilidad social,

terrorismo.
Tecnología: integrid
Tecnológicos: interrupciones, comercio desarrollo, de datos y sist
producción, mantenimiento electrónico, datos mantenimiento.
externos, tecnología emergente.

REGRESAR AL MAPA DE RIESGOS

 RATÉGICO
FACTORES INTERNOS

nfraestructura: disponibilidad de activos, capacidad

e los activos, acceso al capital.

ersonal: capacidad del personal, salud, seguridad.

rocesos: capacidad, diseño, ejecución, proveedores,

ntradas, salidas, conocimiento.

ecnología: integridad de datos datos, disponibilidad

e datos y sistemas, desarrollo, producción,
mantenimiento.

E RIESGOS
 CLASIFICACIÓN DEL RIESGO
( Muestra las clases de riesgos que se pueden presentar)

Son aquellos que se asocian con toda posibilidad de que suceda algo relacionado con el cumplimiento de los objetivos estratégicos y la misión institucional, la
ESTRATÉGICOS sostenibilidad y subsistencia de la entidad en el corto, mediano y largo plazo.

Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la entidad, tiene que ver con conocimiento de prácticas corruptas, manejo desacertado
IMAGEN de los medios de comunicación, insatisfacción ciudadana por el mal servicio, incumplimiento de planes, programas y proyectos.

Son aquellos relacionados con la parte operativa y técnica de la entidad que provienen de la operación cotidiana y específica de cada proceso. Dentro de ellos se pueden
OPERATIVO encontrar deficiencias en los flujos de información y comunicación, cifras, así como desarticulación entre procesos, debilidades en infraestructura, dotación y talento
humano, lo cual conduce a ineficiencias, corrupción e incumplimiento de los objetivos institucionales.

Son los relacionados con la Gestión Financiera de la entidad, los cuales pueden estar relacionados con transferencias, ejecución presupuestal, pagos, tesorería,
FINANCIERO ineficiencias en el manejo de bienes, pérdidas económicas.

Son todos los relacionados con la capacidad de la entidad para cumplir con los requisitos, aca están inmersos los requisitos regulativos, legales, contractuales, políticas
CUMPLIMIENTO internas, solicitudes de información, ética, calidad, entre otros.

Son los relacionados con la capacidad de la entidad, para que la tecnología disponible y proyectada satisfaga las necesidades actuales, futuras y de soporte de la entidad.
TECNOLOGÍA Esto tiene que ver con Software (compatibilidad, configuración), Hardware (capacidades, desempeños, obsolescencia), Sistemas (Diseños, especificidades, complejidad)

Son aquellos que se relacionan con el daño generado por la pérdida de conocimiento e información vital para el desarrollo de las actividades de la entidad. En esta
CONOCIMIENTO clasificación se encuentran los riesgos en los activos y la seguridad de la información.

Son aquellos generados por la exposición a factores internos y externos que afectan el medio ambiente de la entidad (la contaminación, ambientes poco saludables, malos
SSTA hábitos) inherentes a las actividades que desarrolla en cada proceso.

REGRESAR AL MAPA DE RIESGOS

 TABLA DE PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN (FACTIBILIDAD)

1 RARO El evento puede ocurrir solo en circunstancias excepcionales

2 IMPROBABLE El evento puede ocurrir en algún momento.

3 POSIBLE El evento podría ocurrir en algún momento.

4 PROBABLE El evento probablemente ocurrirá en la mayoría de las circunstancias.

5 CASI SEGURO Se espera que el evento ocurra en la mayoría de las circunstancias.

REGRESAR AL MAPA DE RIESGOS

REGRESAR AL MAPA DE RIESGOS
ILIDAD
FRECUENCIA

No se ha presentado en los últimos 5 años.

Al menos de 1 vez en los últimos 5 años.

Al menos de 1 vez en los últimos 2 años.

Al menos de 1 vez en el último año.

Más de 1 vez al año.

DE RIESGOS
PA DE RIESGOS
 TABLA DE IMPACTO
NIVEL DESCRIPTOR

1 INSIGNIFICANTE

2 MENOR

3 MODERADO

4 MAYOR

5 CATASTOFICO
 TABLA DE IMPACTO
DESCRIPCION

Si el hecho llegara a presentarse, tendría consecuencias o efectos

mininos en la organización

Si el hecho llegara a presentarse, tendría bajo impacto o efecto

sobre la organización

Si el hecho llegara a presentarse, tendría medianas consecuencias o

efectos sobre la organización

Si el hecho llegara a presentarse, tendría altas consecuencias o

efectos sobre la organización

Si el hecho llegara a presentarse, tendría desastrosas consecuencias

o efectos sobre la organización
 MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

DETERMINACION ZONA DE RIESGO I

Impacto

Probabilidad Insignificante (1) Menor (2) Moderado (3) Mayor (4)

Casi seguro (5) Moderada (5) Alta (10) Extrema (15) Extrema (20)

Probable (4) Moderada (4) Alta (8) Alta (12) Extrema (16)

Posible (3) Baja (3) Moderada (6) Alta (9) Alta (12)

Improbable (2) Baja (2) Moderada (4) Moderada (6) Alta (8)

Rara vez (1) Baja (1) Baja (2) Baja (3) Moderada (4)
 OPCIONES DE MANEJO DEL RIESGO

Implica que se ACEPTAN las consecuencias o efectos de la materialización del

ASUMIR EL
RIESGO riesgo; en este caso no es necesario tomar medidas para seguir disminuyendo la
probabilidad e impacto del riesgo.

Implica tomar medidas encaminadas a DISMINUIR tanto la PROBABILIDAD, como

el IMPACTO. La reducción del riesgo es probablemente el método más sencillo y
REDUCIR EL
RIESGO económico para superar las debilidades antes de aplicar medidas más costosas y
difíciles. Por ejemplo: a través de la mejora u optimización de los procedimientos,
la implementación de acertados controles y acciones de manejo complementarias.

Implica tomar medidas encaminadas a PREVENIR que el riesgo se materialice,

evitar la materialización del riesgo es la primera alternativa a considerar, y esto se
logra cuando al interior del proceso se generan CAMBIOS SUSTANCIALES, tales
EVITAR EL
RIESGO como: mejoramiento a raiz de ajustes drásticos, rediseños o eliminaciones
realizados en procedimientos u otros controles establecidos. Por ejemplo: el control
de calidad, manejo de los insumos, mantenimiento preventivo de los equipos,
desarrollo tecnológico, etc.

Implica tomar medidas que REDUZCAN EL IMPACTO de la materialización del

riesgo, a través del COMPARTIR O TRASPASO de las pérdidas potenciales a otras
COMPARTIR organizaciones o entidades, como en el caso de los contratos de seguros (Pólizas)
O o a través de otros medios que permiten distribuir una porción del riesgo con otra
TRANSFERIR entidad, como en los contratos a riesgo compartido. Por ejemplo, tercerización
EL RIESGO (Outsourcing), la información de gran importancia se puede duplicar y almacenar
en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un
solo lugar.

REGRESAR AL
 ZONA DE
RIESGO OPCIONES DE MANEJO DEL RIESGO

Se asume el riesgo.
* Asumir el
BAJA
riesgo Nota: Si el riesgo inherente se ubica en la zona baja, se debe revisar si éste riesgo a
que se incluya en el mapa de riesgos, para su administración.

Se asume el riesgo.
* Asumir el
riesgo
Se implementan controles y sus acciones de manejo del riesgo orientadas a
MODERADA
* Reducir el probabilidad de materialización del riesgo Y/O controles y sus acciones de manejo
riesgo orientadas a disminuir el impacto de la materialización del riesgo. Lo anterior con el p
llevar el riesgo a la zona baja.

Se implementan controles y sus acciones de manejo del riesgo, orientadas a disminu

* Reducir el materialización del riesgo Y/O controles y sus acciones de manejo del riesgo o
riesgo disminuir o evitar el impacto de la materialización del riesgo. Lo anterior con el p
llevar el riesgo a zona moderada.
* Evitar el
ALTA riesgo
En lo relacionado con compartir o transferir el riesgo, se podría establecer el mante
* Compartir o pólizas (contratos de seguros), tercerización, entre otras; como controles o acciones
transferir el del riesgo enfocadas a la protección. Esta opción de manejo se deberá tener en cuen
riesgo en la capacidad del proceso y/o la entidad, para asumir las consecuencias del impact
por la materialización del riesgo.

* Reducir el Se implementan controlesy sus acciones de manejo del riesgo, orientadas a disminu
riesgo materialización del riesgo Y/O controles y sus acciones de manejo del riesgo o
disminuir o evitar el impacto de la materialización del riesgo.
* Evitar el
EXTREMA riesgo En lo relacionado con Compartir o transferir el riesgo, teniendo en cuenta que en e
riesgo se pueden producir pérdidas considerables para el proceso y/o la entida
* Compartir o necesario que se implementen controles de protección y sus acciones de manejo del ri
transferir el cuales se involucren pólizas, tercerizaciones, entre otras medidas que protejan el pro
riesgo entidad.

EGRESAR AL MAPA DE RIESGOS

 OPCIONES DE MANEJO DEL RIESGO

esgo.

go inherente se ubica en la zona baja, se debe revisar si éste riesgo amerita o no,
en el mapa de riesgos, para su administración.

esgo.

an controles y sus acciones de manejo del riesgo orientadas a disminuir la

e materialización del riesgo Y/O controles y sus acciones de manejo del riesgo ,
sminuir el impacto de la materialización del riesgo. Lo anterior con el propósito de
a la zona baja.

n controles y sus acciones de manejo del riesgo, orientadas a disminuir o evitar la

del riesgo Y/O controles y sus acciones de manejo del riesgo orientadas a
evitar el impacto de la materialización del riesgo. Lo anterior con el propósito de
a zona moderada.

ado con compartir o transferir el riesgo, se podría establecer el mantenimiento de

tos de seguros), tercerización, entre otras; como controles o acciones de manejo
cadas a la protección. Esta opción de manejo se deberá tener en cuenta, con base
d del proceso y/o la entidad, para asumir las consecuencias del impacto producido
zación del riesgo.

n controlesy sus acciones de manejo del riesgo, orientadas a disminuir o evitar la

del riesgo Y/O controles y sus acciones de manejo del riesgo orientadas a
ar el impacto de la materialización del riesgo.

ado con Compartir o transferir el riesgo, teniendo en cuenta que en esta zona de
den producir pérdidas considerables para el proceso y/o la entidad, se hace
se implementen controles de protección y sus acciones de manejo del riesgo, en los
lucren pólizas, tercerizaciones, entre otras medidas que protejan el proceso y/o la

OS
 TIPOS DE CONTROL

Gestión

Operativo

Legal / Normativo

REGRESAR AL MAPA DE RIE

IPOS DE CONTROL
Políticas claras aplicadas
Seguimiento al plan estratégico y operativo
Indicadores de gestión
Tableros de control
Seguimiento al cronograma
Evaluación del desempeño
Informes de gestión
Estrategias efectivas de comunicación
Monitoreo de riesgos
Conciliaciones
Consecutivos
Verificación de firmas
Listas de chequeo
Registro controlado
Segregación de funciones
Niveles de autorización
Custodia apropiada
Procedimientos formales aplicados
Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
Normas claras y aplicadas
Control de términos

L MAPA DE RIESGOS