Matriz Mapa de Riesgos

Teniendo en cuenta que con la expedición del Decreto 1499 de 2017 “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglam
artículo 133 de la Ley 1753 de 2015”, se crea un solo Sistema de Gestión y se alinea con el Sistema de Control Interno, hoy todas las entidades públi
que incorpora el Modelo Estándar de Control Interno MECI a través de la 7a dimensión del mismo. En este marco general, el proceso de administrac
ejercicio que inicia con la formulación de la política de Administración del Riesgo, la cual incluye los niveles de responsabilidad frente al seguimiento y
la Dimensión 7.

Teniendo en cuenta lo anterior y dada la necesidad de las entidades frente a la estructuración de los mapas de riesgos, como herramienta fundament
contenidos metodológicos de la Guía para la Administración del Riesgo y el diseño de controles V5. El formato cuenta con celdas parametrizadas y p

Orientaciones Generales

Antes de iniciar con el diligenciamiento de la información en la matriz, se requiere haber avanzado en el análisis del proceso, su objetivo,
del riesgo, donde se explica ampliamente las bases para adelanter este análisis.
Así mismo, considere en el Paso 3: valoración del riesgo los lineamientos para definir el No. de veces que se hace la actividad con la cu
paso se analizan los controles que deben responder a los atributos de eficiencia e informativos.
NOTA: Si lo considera pertinente, es posible agregar hojas de trabajo adicionales al presente formato que permitan incluir la traza de esto

El archivo contiene las siguientes hojas:

- Hoja 1 Instructivo
- Hoja 2 Mapa Final: Encontrará la totalidad de la estructura para la identificación y valoración de los riesgos por proceso, programa o proyecto, ac

Columna
Proceso

Objetivo
Alcance

Referencia

Impacto

Causa Inmediata

Causa Raíz
Descripción del Riesgo

Clasificación del Riesgo

Frecuencia con la cual se lleva a cabo la actividad

Criterios de Impacto

Zona de Riesgo Inherente

Descripción del Control

Afectación

ATRIBUTOS EFICIENCIA
Tipo

ATRIBUTOS EFICIENCIA
Implementación

ATRIBUTOS EFICIENCIA
Implementación

ATRIBUTOS EFICIENCIA
Calificación

ATRIBUTOS INFORMATIVOS
Documentación

ATRIBUTOS INFORMATIVOS
Frecuencia

ATRIBUTOS INFORMATIVOS
Registro

Evaluación del Nivel de Riesgo - Nivel de Riesgo Residual

 Tratamiento

Plan de Acción
Responsable, fecha implementación, fecha seguimiento,
seguimiento.

Estado

- Hoja 3 Matriz de Calor Inherente: En esta hoja, en la medida en que ese diligencia el Mapa Final, se verán reflejados los riesgos en su

- Hoja 4 Matriz de Calor Residual: En esta hoja, en la medida en que ese diligencia el Mapa Final, se verán reflejados los riesgos en su

- Hoja 5 Tabla de probabilidad: Tabla referente para todos los cálculos (no se diligencia)

- Hoja 6 Tabla de Impacto: Tabla referente para todos los cálculos (no se diligencia)

- Hoja 7 Tabla de Valoración de Controles: Tabla referente para todos los cálculos (no se diligencia)
 Matriz Mapa de Riesgos

cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el
con el Sistema de Control Interno, hoy todas las entidades públicas requieren actualizar y/o implementar el Modelo Integrado de Planeación y Gestión MIPG, modelo
ón del mismo. En este marco general, el proceso de administración del riesgo es un esfuerzo conjunto entre la Alta Dirección y los servidores en todos sus niveles,
ual incluye los niveles de responsabilidad frente al seguimiento y evaluación, aspectos que deberán definirse acorde con el Esquema de Líneas de Defensa vinculado a

cturación de los mapas de riesgos, como herramienta fundamental frente a la gestión del riesgo, el presente formato desarrolla un esquema completo acorde con los
e controles V5. El formato cuenta con celdas parametrizadas y permite contar con los respectivos mapas de calor para riesgo inherente y riesgo residual.

iere haber avanzado en el análisis del proceso, su objetivo, alcance, actividades clave, considere los lineamientos establecidos en el Paso 2: identificación
is.
a definir el No. de veces que se hace la actividad con la cual se relaciona el riesgo y su impacto en términos económicos o reputacionales. En este mismo
cia e informativos.
ales al presente formato que permitan incluir la traza de estos análisis.

y valoración de los riesgos por proceso, programa o proyecto, acorde con el nivel de desagregación que la entidad considere necesaria.

Descripción - Lineamientos para el diligenciamiento

Diligencie el nombre del proceso al cual se le identificarán y valorarán los riesgos.

Diligencie el objetivo del proceso.

Diligencie el alcance del proceso.

Permite definir unl consecutivo de riesgos.

Una entidad puede ir en el riesgo 150, pero tener 70 riesgos, lo que permite llevar una
traza de los riesgos. Esta información la debe administrar la oficina asesora de
planeación o gerencia de riesgos. Cuando un el riesgo salga del mapa no existirá otro
riesgo con el mismo número.

Analice las consecuencias que puede ocasionar a la organización la materialización del

riesgo, redacte de la forma más concreta posible.

Circunstancias bajo las cuales se presenta el riesgo, es la situación más evidente frente
al riesgo, redacte de la forma más concreta posible.
Causa principal o básica, corresponde a las razones por la cuales se puede presentar
el riesgo, redacte de la forma más concreta posible.
Consolida o resume los análisis sobre impacto + causa inmediata + causa raíz,
permitiendo contar con una redacción clara y concreta del riesgo indentificado. Tenga
en cuenta la estructura de alto nivel establecida en al guía, inicia con POSIBILIDAD DE
+ Impacto para la entidad (Qué) + Causa Inmediata (Cómo) + Causa Raíz (Por qué)

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Daños Activos Fisicos, ii)Ejecucion y Administracion de procesos, iii)Fallas
Tecnologicas, iv)Fraude Externo, v)Fraude Interno, vi)Relaciones Laborales,
vii)Usuarios, productos y practicas organizacionales.

Defina el # de veces que se ejecuta la actividad durante el año, (Recuerde la

probabilidad e ocurrencia del riesgo se defien como el No. de veces que se pasa por el
punto de riesgo en el periodo de 1 año). La matriz automáticamente hará el cálculo para
el nivel de probabilidad inherente (Columnas H-I)

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones

de la tabla de Impacto en la Hoja 6 del presente documento. La matriz automáticamente
hará el cálculo para el nivel de impacto inherente (Columnas L-M)

Teniendo en cuenta que ingresó la información de PROBABILIDAD e IMPACTO, la

matriz automáticamente hará el cálculo para la zona de riesgo inherente (Columna N)

Recuerde que el control se define como la medida que permite reducir o mitigar un
riesgo. Defina el control (es) que atacan la causa raíz del riesgo, considere la estructura
explicada en la guía: Responsable de ejecutar el control + Acción + Complemento

Esta casilla no se diligencia, depende de la selección en la columna R.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Preventivo, ii)Detectivo, iii)Correctivo.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Automático, ii)Manual.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Automático, ii)Manual.

La matriz automáticamente hará el cálculo para el control analizado (Columna T)

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Documentado, ii)Sin documentar.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Continua, ii)Aleatoria.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Con Registro, ii) Sin Registro.

La matriz automáticamente hará el cálculo, acorde con el control o controles definidos

con sus atributos analizados, lo que permitirá establecer el nivel de riesgo inherente
(Columnas Y- Z- AA -AB- AC).
 Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las
opciones: i)Aceptar, ii)Evitar, iii)Reducir (compartir), iv)Reducir (mitigar).

Esta casilla dependerá del tratamiento establecido, si es Aceptar no se requieren

acciones adicionales, en caso de escoger Reducir (mitigar) se deben diligenciar las
acciones que se adelantarán como complemento a los controles establecidos, no
necesariamente son controles adicionales. Para Reducir (compartir), es viable
diligenciar la acción que deriva de esta (ejemplo póliza seguros, terceración), indicando
información relevante.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las

opciones: i)Finalizado, ii)En curso, la selección en este caso dependerá de las acciones
del plan que se hayan establecido en cada caso.

ligencia el Mapa Final, se verán reflejados los riesgos en su zona correspondiente. Esta hoja no se diligencia se genera de manera automática.
gencia el Mapa Final, se verán reflejados los riesgos en su zona correspondiente. Esta hoja no se diligencia se genera de manera automática.
e diligencia)
gencia)
culos (no se diligencia)
o con el Sistema de Gestión establecido en el
ntegrado de Planeación y Gestión MIPG, modelo
rección y los servidores en todos sus niveles,
con el Esquema de Líneas de Defensa vinculado a

esarrolla un esquema completo acorde con los

a riesgo inherente y riesgo residual.

mientos establecidos en el Paso 2: identificación

s económicos o reputacionales. En este mismo

nsidere necesaria.
a se genera de manera automática.
se genera de manera automática.
Proceso:
Objetivo:

Alcance:
Identificación del riesgo
Referencia

Impacto Causa Inmediata Causa Raíz Descripción del Riesgo

1
2
3
4
5
6
7
8
9
10
*Nota: La columna referencia se sugiere para mantener el consecutivo de riesgos, así el riesgo salga del mapa no existirá otro riesgo co

Fuente: Adaptado de Curso Riesgo Operativo Universidad del Rosario por Dirección de Gestión y Desempeño Institucional de Función
 Análisis del riesgo inherente

Frecuencia con la cual Probabilidad

Clasificación del Riesgo % Criterios de impacto
se realiza la actividad Inherente
go salga del mapa no existirá otro riesgo con el mismo número. Una entidad puede ir en el riesgo 150 pero tener 70 riesgos, lo que permite llevar una traz

stión y Desempeño Institucional de Función Pública, 2020.

 Formato Mapa Riesgos

del riesgo inherente Evaluación del riesgo - Valoración de los contro

No. Control
Impacto Zona de Riesgo
% Descripción del Control Afectación
Inherente Inherente

2
3

6
1

4
5

2
3

6
1

4
5

2
3

6
1

4
5

2
3

6
1

4
5

2
3

6
1

4
 5

os, lo que permite llevar una traza de los riesgos. Esta información la debe administrar la Oficina Asesora de Planeación o Gerencia de Riesgos.
 Tipo

Implementación

- Valoración de los controles

Calificación

Documentación

Atributos
Frecuencia

Evidencia

Probabilidad Residual
Final

Impacto Residual Final

Zona de Riesgo Final

Evaluación del riesgo - Nivel del riesgo residual
ncia de Riesgos.
o residual Plan de Acción
Tratamiento

Plan de Acción Responsable Fecha Implementación Fecha Seguimiento

Seguimiento Estado
Matriz de Calor Inherente

Muy Alta
100%

Alta
80%
Probabilidad

Media
60%

Baja
40%

Muy Baja
20%
Muy Baja
20%

Leve
20%
Impacto
Menor Moderado Mayor
40% 60% 80%
Extremo

Alto

Moderado

Bajo
Mayor Catastrófico
80% 100%
Matriz de Calor Residual

Muy Alta
100%

Alta
80%
Probabilidad

Media
60%

Baja
40%
 40%

Muy Baja
20%

Leve
20%
Impacto
Menor Moderado Mayor
40% 60% 80%
Extremo

Alto

Moderad

Bajo
 Bajo

Mayor Catastrófico
80% 100%
Extremo

Alto

Moderado

Bajo
Bajo
 Tabla Criterios para definir el nivel de probabilidad

Muy Baja

Baja

Media

Alta

Muy Alta
 Tabla Criterios para definir el nivel de probabilidad

Frecuencia de la Actividad
La actividad que conlleva el riesgo se ejecuta como
máximos 2 veces por año
La actividad que conlleva el riesgo se ejecuta de 3 a
24 veces por año
La actividad que conlleva el riesgo se ejecuta de 24
a 500 veces por año
La actividad que conlleva el riesgo se ejecuta
mínimo 500 veces al año y máximo 5000 veces por
año
La actividad que conlleva el riesgo se ejecuta más
de 5000 veces por año
bilidad

Probabilidad
20%

40%

60%

80%

100%
 Ta

Insignificante Leve 20%

Menor-40%
Menor

Moderado 60%
Moderado

Mayor 80%
Mayor

Catastrófico 100%
Catastrófico

Afectación_Económica_o_presupuestal
Pérdida_Reputacional
Criterios
Afectación Económica o presupues
Afectación Económica o presupues
Afectación Económica o presupues
Afectación Económica o presupues
Afectación Económica o presupues
Pérdida Reputacional
Pérdida Reputacional
Pérdida Reputacional
Pérdida Reputacional
Pérdida Reputacional
#NAME?
#NAME?
#NAME?
 Tabla Criterios para definir el nive
Afectación Económica (o presupuestal)
Afectación menor a 10 SMLMV
Entre 10 y 50 SMLMV

Entre 50 y 100 SMLMV

Entre 100 y 500 SMLMV

Mayor a 500 SMLMV

Afectación menor a 10 SMLMV .

Entre 10 y 50 SMLMV
Entre 50 y 100 SMLMV
Entre 100 y 500 SMLMV
Mayor a 500 SMLMV
Subcriterios
Afectación menor a 10 SMLMV .
Entre 10 y 50 SMLMV
Entre 50 y 100 SMLMV
Entre 100 y 500 SMLMV
Mayor a 500 SMLMV
El riesgo afecta la imagen de alguna área de la organización
El riesgo afecta la imagen de la entidad internamente, de conocim
El riesgo afecta la imagen de la entidad con algunos usuarios de relevancia frente al log
El riesgo afecta la imagen de de la entidad con efecto publicitario sostenido a nivel de s
El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitarios sosten
ios para definir el nivel de impacto
Pérdida Reputacional
El riesgo afecta la imagen de alguna área de la organizació
El riesgo afecta la imagen de la entidad internamente
general, nivel interno, de junta dircetiva y accionistas y/o de
El riesgo afecta la imagen de la entidad con algunos usu
frente al logro de los objetivos

El riesgo afecta la imagen de de la entidad con efecto pub

nivel de sector administrativo, nivel departamental o municip

El riesgo afecta la imagen de la entidad a nivel na

publicitarios sostenible a nivel país

El riesgo afecta la imagen de alguna área de la organización

El riesgo afecta la imagen de la entidad internamente, de conocimiento general, nivel interno, de junta dircetiva y accionist
El riesgo afecta la imagen de la entidad con algunos usuarios de relevancia frente al logro de los objetivos
El riesgo afecta la imagen de de la entidad con efecto publicitario sostenido a nivel de sector administrativo, nivel departam
El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitarios sostenible a nivel país
 Criterios
Afectación Económica o presupuestal

Pérdida Reputacional
arios de relevancia frente al logro de los objetivos
ublicitario sostenido a nivel de sector administrativo, nivel departamental o municipal
con efecto publicitarios sostenible a nivel país
Subcriterios

Afectación menor a 10 SMLMV .

Entre 10 y 50 SMLMV
Entre 50 y 100 SMLMV
Entre 100 y 500 SMLMV
Mayor a 500 SMLMV

El riesgo afecta la imagen de alguna área de la organización

El riesgo afecta la imagen de la entidad internamente, de conocimiento general, nivel interno, de junta dircetiva y accionistas
El riesgo afecta la imagen de la entidad con algunos usuarios de relevancia frente al logro de los objetivos
El riesgo afecta la imagen de de la entidad con efecto publicitario sostenido a nivel de sector administrativo, nivel departamen
El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitarios sostenible a nivel país
(empty)
Afectación E Afectación Económica o presupuestal

❌
✔
 Tabla Atributos de para el diseño del control

Características

Preventivo

Detectivo
Tipo

Atributos de Correctivo
Eficiencia

Automático
Implementación

Manual

Documentado

Documentación
Sin Documentar

*Atributos de
Continua
Formalización
Frecuencia
Aleatoria

Con Registro
Evidencia
Sin Registro

*Nota 1: Los atributos de formalización se recogerán de manera informativa, con el fin de conocer el
complementar el análisis con elementos cualitativos; éstos no tienen una incidencia directa en su efectividad.
la Atributos de para el diseño del control

Descripción Peso
Va hacia las causas del riesgo, aseguran el resultado
25%
final esperado.
Detecta que algo ocurre y devuelve el proceso a los
controles preventivos. 15%
Se pueden generar reprocesos.
Dado que permiten reducir el impacto de la
materialización del riesgo, tienen un costo en su 10%
implementación.
Son actividades de procesamiento o validación de
información que se ejecutan por un sistema y/o aplicativo
25%
de manera automática sin la intervención de personas
para su realización.
Controles que son ejecutados por una persona., tiene
15%
implícito el error humano.
Controles que están documentados en el proceso, ya sea
en manuales, procedimientos, flujogramas o cualquier -
otro documento propio del proceso.

Identifica a los controles que pese a que se ejecutan en el

proceso no se encuentran documentados en ningún -
documento propio del proceso

Este atributo identifica a los controles que se ejecutan

-
siempre que se realiza la actividad originadora del riesgo.

Este atributo identifica a los controles que no siempre se

ejecutan cuando se realiza la actividad originadora del -
riesgo
El control deja un registro que permite evidenciar la
-
ejecución del control

El control no deja registro de la ejecución del control -

recogerán de manera informativa, con el fin de conocer el entorno del control y

ativos; éstos no tienen una incidencia directa en su efectividad.