CODIGO: E-SGI-F006

VERSION: 7
FORMATO MATRIZ DE RIESGOS
FECHA: 29/12/2020

PAGINA 1 de 1

Valoración del Fuente de

No. Tipo Proceso Riesgo Causa Consecuencia Probabilidad Impacto Controles Impacto después del control Seguimiento
Riesgo Verificación
*La no detección y corrección de
desviaciones al interior de la
organización.
El diseño del Plan Anual de *Ocultamiento de información o *Presentación del Plan Anual de Auditoria o *Los procesos
*Priorización inadecuada de los procesos a evaluar por parte de la OCI
Auditorias para la evolución del situaciones generadoras de riesgo en sus modificaciones, con los criterios para la priorizados son
*Presiones indebidas
Evaluación y el Sistema de control interno y la el funcionamiento del Instituto priorización de los procesos críticos. Cambie el valor de la consignados en el
27 Operativo *Abuso de Poder Raro Moderado BAJO Preventivo Manual Probabilidad Control Adecuado 0 0 0 #N/A
Mejoramiento Continuo verificación del cumplimiento de *Falta de segregación de funciones, *Presentación de los criterios tenidos en probabilidad formato de Plan Anual
*Injerencia por parte del CICCI en la formulación del Plan Anual de
objetivos y metas, se realice de forma Falta de reconocimiento de las cuenta en la priorización de los procesos, al de Auditorias.
Auditorias, para favorecer un tercero
subjetiva y sesgada. funciones de ley de la oficina. Comité Institucional de Control Interno. *Actas del CICI
*Perdida de Independencia en el
funcionamiento y pronunciamiento de
la OCI

*Nivel de desempeño bajo, se *Correo con aprobación

cometen errores y se extiende el o devolución del
tiempo de realización de la actividad Informe de Auditoría
*Falta de capacitación, formación y debido cuidado profesional del Auditor *Remitir el informe de forma previa al Jefe
Presentar informes de auditorias, de *Beneficios particulares *Actas de reuniones de
*Conductas contrarias al Código de Ética del Auditor, por parte de los de la Oficina de Control Interno
cumplimiento y seguimiento a *Dificultad para la evaluación de la trabajo y listas de
Evaluación y el funcionarios de la OCI *Socializar y capacitar sobre el Código de Cambie el valor de la
28 Corrupción objetivos, metas, procesos, planes y información, reducción en los tiempos Raro Catastrófico ALTO Preventivo Manual Probabilidad Control Adecuado asistencia 0 0 0 #N/A
Mejoramiento Continuo *Inoportunidad e inconsistencias por parte del auditado en la entrega de Ética del Auditor probabilidad
proyectos con inconsistencias y/u establecidos para realizar los *Sistema de gestión
la información *Manifestar si se posee o no impedimentos
omitiendo información análisis. documental o correo
* Conflictos de intereses que afecte el desarrollo de la auditoría.
*Que las recomendaciones, hallazgos electrónico
sean formulados de manera *Formato Conflicto de
subjetiva. intereses

*Recomendaciones no se encuentren *Conformar el grupo de auditores con

justificadas (jurídica, técnica, servidores que tengan formación en
financieramente) para sustentar una auditorias y experiencia en auditorias de
Las recomendaciones formuladas no *Falta personal idóneo para emitir las recomendaciones correspondientes *Formato de
toma de decisión gestión.
Evaluación y el contribuyen al mejoramiento * Análisis subjetivo o débil de la información que soporta la auditoría. Cambie el valor de la Anteproyecto de PPTO
29 Estratégico *La toma de decisiones no fortalece Raro Moderado BAJO *Aprobar las observaciones o Preventivo Manual Probabilidad Control Adecuado 0 0 0 #N/A
Mejoramiento Continuo continuo y al fortalecimiento *Las recomendaciones no se entregan de forma oportuna y/o no se probabilidad *Correo electrónico
los procesos del Instituto recomendaciones por parte del Jefe de la
institucional encuentren alineadas con los planes y objetivos de la entidad *Programa de Auditoria
*No se puedan implementar Oficina de Control Interno.
oportunamente medidas correctivas *Proyectar el objetivo, alcance y
y/o preventivas. cronograma del Programa de Auditoria

Indisponibilidad de la información de *Juicios a priori, conducentes a

*Manipulación de información por parte de personal externo a la Oficina.
Evaluación y el la Oficina de Control Interno ubicada conclusiones equivocadas Socializar y capacitar sobre el la Política de Cambie el valor de la
30 Seguridad digital *Pérdida de información necesaria para los procesos internos de la Raro Moderado BAJO Preventivo Manual Probabilidad Control Adecuado Listas de asistencia 0 0 0 #N/A
Mejoramiento Continuo en el repositorio de Información, *Incumplimientos e inoportunidades y manejo de la información a los auditores probabilidad
Oficina
destinado para tal fin en el desarrollo de la gestión

HISTORIAL DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN

01 15/03/2012 Creación del documento
02 15/12/2014 Actualización del documento
03 22/09/2015 Actualización del documento
04 01/11/2016 Actualización del documento

05 02/05/2017 Actualización del documento por creación del Proceso Gestión del SGI

Actualización del documento por creación del Proceso Gestión de Cooperación y Asuntos Internacionales e
06 01/08/2020
inclusión del mapa de calor y Estratégias para el tratamiento del riesgo

Actualización del documento, se ingresan nuevos riesgos de los procesos Generación de Conocimiento e
Investigación, Generación de Datos e Información Hidrometeorológica y Ambiental para la Toma de
07 29/12/2020 Decisiones, se ajustan los riesgos al proceso de Gestión Financiera (Contabilidad) y Gestión a la Aatención
al Ciudadano, se ajusta el riesgo de corrupción de la planeación acorde a la metodología del DAFP (Mapa
de Calor), se incluye el nuevo riesgo estratégico del sistema ambiental en el proceso del SGI .

REVISÓ: APROBÓ:
ELABORÓ:

Daniel Díaz Díaz

Telly de Jesús Month Telly de Jesús Month
Contratista OAP Sistema de Gestión Integrado
Jefe Oficina Asesora de Planeación. Jefe Oficina Asesora de Planeación
PROBABILIDAD
Casi seguro MAPA CALOR

5 ALTO ALTO MUY ALTO MUY ALTO MUY ALTO

Probable

4 MEDIO ALTO ALTO MUY ALTO MUY ALTO

APLICA PARA
RIESGOS DE
Posible

3 BAJO MEDIO ALTO CORRUPCIÓN

MUY ALTO MUY ALTO
Improbable

2 BAJO BAJO MEDIO ALTO ALTO

Rara vez

1 BAJO BAJO BAJO MEDIO ALTO

1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico

IMPACTO
 ESTRATEGIAS PARA EL TRATAMIENTO DEL RIES

REDUCIR
EVITAR
COLOR ZONA DE RIESGO ROLES Y RESPONSABILDADES

MUY ALTO/ Los riesgos extremos deben ponerse en

ROJO X
INACEPTABLE conocimiento.

Los riesgos Altos requieren la atención de

NARANJA ALTO/ IMPORTANTE X X
jefes de oficina.

Los riesgos Moderados deben ser objeto de

AMARILLO MEDIO/ TOLERABLE Seguimiento adecuado por parte de los X
Líderes y Todos los funcionarios.

Los riesgos Bajos deben ser Objeto de

VERDE BAJO/ ACEPTABLE seguimiento por parte de todos los
funcionarios

NOTA: Los unicos Riesgos que NO SE ACEPTAN sin importar su nivel , son los Riesgos de C
CUATRIMESTRAL, para evitar su materialización por parte de los proc
 COMPARTIR O TRANSFERIR
TRATAMIENTO DEL RIESGO

ACEPTAR
ACCIONES DE CONTROL

Realizar acciones de control y atención de forma inmediata. Son

X
objeto de seguimiento permanente.

Establecer acciones de control y evaluar las medidas propuestas,

X asignar recursos que permitan EVITAR la materialización del
riesgo.

Gestionar mediante acciones de control anticipadas, como

procedimientos, instructivos, monitoreo y/o mantenimiento de
acciones que permitan REDUCIR la probabilidad o el impacto de
ocurrencia del riesgo, se hace seguimiento CUATRIMESTRAL. 

Gestionar mediante procedimientos, es improbable que se

X necesite la aplicación específica de recursos, y se realiza en el
reporte cuatrimestral de su desempeño.

u nivel , son los Riesgos de Corrupción, Periodicidad de seguimiento

ación por parte de los procesos a cargo de estos.
 INSTRUCCIONES DE DILIGENCIAMIENTO DEL FORMATO

Identificación del Riesgo

No. Escriba el código del riesgo que está siendo analizado por la matriz de riesgos.
De esta lista de valores elija el tipo de riesgo que se está evaluando. Esta lista corres
Tipo valores TIPO del riesgo: Administrativo, Operativo, Financiero, Legal, Tecnológico, Seg
Información, Corrupción.
Es una lista de valores que contiene los nombres de los procesos institucionales. Elija e
Proceso
proceso al cual pertenecen el riesgo que se está evaluando.
Escriba el nombre o descripción completa del riesgo. Recuerde que el nombre o descripció
Riesgo debe corresponder al posible evento que puede afectar los objetivos del proceso o al
objetivos institucionales.
En este campo escriba las acciones, tareas, influencias, vulnerabilidades o amenazas
Causa
hacer que se presente el riesgo que se está evaluando.

En este campo escriba con detalle el efecto o resultante de que las causas permitan que
concrete o materialice. Si esta consecuencia afecta alguno de los pilares de la seg
Consecuencia
información, al finalizar la descripción de la posible consecuencia entre parentesis esc
pilares que pueden verse afectados (Confidencialidad, Integridad o Disponibilidad).

Esta lista de valores muestra la posible frecuencia con que puede ocurrir o por registros
conoce que el riesgo evaluado se ha manifestado en el proceso. El valor de la probabilid
Probabilidad
deberá corresponder a las definiciones o parámetros identificados en la Guía Metodolog
Gestión del Riesgo - E-SGI-E003 vigente en el IDEAM.

Esta lista de valores muestra los posibles daños o afectaciones con que se puede me
evaluado en el proceso. El valor del impacto que elija deberá corresponder a las de
Impacto
parámetros identificados en la Guía Metodologica para la Gestión del Riesgo - E-SGI-E00
el IDEAM.

Este es un campo de cálculo automático, que toma como base la equivalencia numérica de
Valoración del
de Probabilidad e Impacto seleccionados en las columnas correspondientes, para entre
Riesgo
inherente del riesgo evaluado (antes de identificar o evaluar los controles o salvaguardas ap

Controles
En este campo se describe el control que puede aplicarse para que el riesgo evaluado no s
en el proceso. También puede ser identificada una salvaguarda o mecanísmo automatizad
Descripción directamente sobre las causas identificadas del riesgo, para evitar su materialización. Los
administrativos como instructivos, guías, manuales de usuario, protocolos de trabajo, tam
parte de los controles que pueden influir sobre el riesgo.

Este campo es una lista de valores que permite identificar la naturaleza o tipo de contro
identificado. Estos valores pueden ser Correctivo, cuando el control está encaminado a ate
causa o propiemente al riesgo despúes de que se ha materializado; Preventivo, cuando e
Naturaleza
diseñado para evitar que alguna causa o el riesgo se presente; y Detectivo, cuando el
diseñado para informar con antelación, cambios en las causas o en las mediciones del
pueden alertar sobre la posible materialización del riesgo.
 Esta lista de valores identifica la clase de control identificado. Esta clase puede ser Man
Clase que algún servidor del Ideam debe activar el control o Automático, es decir que el control
necesidad de la intervención de una persona.

Con esta lista de valores se evalúa al control respecto a su afectación sobre el valor de la P
Aplicado a es decir cambiado el valor de la frecuencia; o sobre el valor del Impacto, cambiando e
afectación del riesgo.

Este es un campo calculado, que toma en cuenta la Naturaleza, la Clase y la Aplicación de

otorgar una valoración del control asociado al riesgo. Estre campo puede tener los valores
cuando no existe el control o el mismo no puede ser valorado en cuando a su natural
Efectividad
afectación; o Control Débil, cuando el control existente apenas es suficiente para atende
Control Adecuado, cuando el control existente opera de manera acertada sobre las
riesgo; o Control Fuerte, cuando el control opera completamente sobre las variables del rie

Este campo también es calculado, su resultado le indica al evaluador del riesgo com
identificado puede cambiar el valor de las variables del mismo, bien sea para se Cambie e
Acción para ajustar
probabilidad, o se Cambie el valor del impacto, o de manera paralela se Cambie
valor del riesgo
probabilidad e impacto, o no se realice ningún cambio a estas variables (Sin Acción), e
se debería proponer un plan de tratamiento, teniendo en cuenta el valor inherente del riesgo

Fuente de En este campo se describe la ubicación o medio de referencia usado para validar y valo
Verificación que se identificó para el riesgo.

Impacto después del control

En esta lista de valores que muestra la posible frecuencia con que puede ocurrir el riesgo e
Probabilidad deberá cambiar el valor de la probabilidad según el o los controles identificados y s
valoración.

En esta lista de valores se muestran los posibles daños o afectaciones con que se pue
Impacto riesgo evaluado en el proceso. El valor del impacto se deberá cambiar según el o l
identificados y su respectiva valoración.

Este campo de cálculo automático, toma como base la equivalencia numérica de los
Valoración del riesgo Probabilidad e Impacto seleccionados en las columnas correspondientes, para entregar
riesgo después de identificar o evaluar los controles o salvaguardas aplicables.

Seguimiento
Es la etapa en la cual se verifica el correcto funcionamiento de las actividades e instrument
Acciones
que permiten verificar que se están llevando a cabo correctamente y que no existan desvi
Adelantadas
Materialización o controles en Implementación).

Cargo de la persona que realiza el seguimiento para validar y valorar el control que se iden
Responsable
riesgo.
L FORMATO

la matriz de riesgos.
stá evaluando. Esta lista corresponde a los
anciero, Legal, Tecnológico, Seguridad de la

procesos institucionales. Elija el nombre del

o.
uerde que el nombre o descripción del riesgo
r los objetivos del proceso o alguno de los

s, vulnerabilidades o amenazas que pueden

de que las causas permitan que el riesgos se

alguno de los pilares de la seguridad de la
nsecuencia entre parentesis escriba el o los
egridad o Disponibilidad).

ue puede ocurrir o por registros históricos se

proceso. El valor de la probabilidad que elija
entificados en la Guía Metodologica para la

ctaciones con que se puede medir el riesgo

a deberá corresponder a las definiciones o
a Gestión del Riesgo - E-SGI-E003 vigente en

base la equivalencia numérica de los factores

nas correspondientes, para entregar el valor
ar los controles o salvaguardas aplicables).

para que el riesgo evaluado no se manifieste

uarda o mecanísmo automatizado que influya
ara evitar su materialización. Los documentos
suario, protocolos de trabajo, también hacen

car la naturaleza o tipo de control que se ha

o el control está encaminado a atender alguna
erializado; Preventivo, cuando el control está
resente; y Detectivo, cuando el control está
causas o en las mediciones del entorno que
 ado. Esta clase puede ser Manual, es decir
tomático, es decir que el control se activa sin

u afectación sobre el valor de la Probabilidad,

valor del Impacto, cambiando el valor de la

aleza, la Clase y la Aplicación del control para

e campo puede tener los valores Sin control,
alorado en cuando a su naturaleza, clase y
apenas es suficiente para atender el riesgo; o
de manera acertada sobre las variables del
amente sobre las variables del riesgo.

ica al evaluador del riesgo como el control

smo, bien sea para se Cambie el valor de la
de manera paralela se Cambie el valor de
a estas variables (Sin Acción), en cuyo caso,
uenta el valor inherente del riesgo.

rencia usado para validar y valorar el control

con que puede ocurrir el riesgo evaluado y se

o los controles identificados y su respectiva

s o afectaciones con que se puede medir el

e deberá cambiar según el o los controles

a equivalencia numérica de los factores de

correspondientes, para entregar el valor del
aguardas aplicables.

o de las actividades e instrumentos de control

ectamente y que no existan desviaciones (Por

ar y valorar el control que se identificó para el