PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

Establecer actividades en marco de la metodología de Administración de Riesgos Institucionales, que permita la adecuada identificación, análisis,
OBJETIVO evaluación, tratamiento, monitoreo y seguimiento periódico, con el fin de prevenir la ocurrencia o minimizar su impacto en el cumplimiento de los
objetivos y metas institucionales

Inicia con la definición o actualización de la Política de Administración de Riesgos Institucionales y finaliza con el seguimiento y evaluación a los
ALCANCE controles y acciones asociadas a los riesgos de gestión, corrupción, fiscales y seguridad de la Información

ÁMBITO DE Riesgos de Gestión, Riesgos de Corrupción, Riesgos Fiscales y Riesgos de Seguridad de la Información del Ministerio de Salud y Protección
APLICACIÓN Social.

LÍDER Jefe Oficina Asesora de Planeación y Estudios Sectoriales.

ADMINISTRACIÓN DE RIESGOS: Es el proceso continuo basado en

GESTOR FISCAL: Son los servidores públicos y las personas de
el conocimiento, evaluación y tratamiento de los riesgos que mejora la
derecho privado que manejen y administren recursos o fondos Públicos,
toma de decisiones organizacionales.
desarrollando actividades económicas, jurídicas y tecnológicas,
ACEPTACIÓN DEL RIESGO: Decisión informada de asumir un riesgo
tendientes a la adecuada y correcta adquisición, planeación,
concreto.
conservación, administración, custodia, explotación, enajenación,
ACTIVO: En el contexto de seguridad digital son elementos tales como
consumo, adjudicación, gasto, inversión y disposición, así como, a la
aplicaciones de la organización, servicios web, redes, hardware,
recaudación, manejo e inversión de sus rentas, en orden a cumplir los
información física o digital, recurso humano, entre otros, que utiliza la
fines esenciales del estado.
organización para funcionar en el entorno digital
GESTOR PÚBLICO: Es todo aquel que participa, concurre, incide o
ACTIVO DE INFORMACIÓN: En relación con la seguridad digital, se
contribuye directa o indirectamente en el manejo o administración de
refiere a cualquier información o elemento relacionado con el
DEFINICIONES bienes, recursos o intereses patrimoniales de naturaleza pública, sean o
tratamiento de la misma (sistemas, soportes, edificios, personas...) que
no gestores fiscales, por lo tanto, son todos los gestores públicos y no
tenga valor para la organización.
sólo los que desarrollan gestión fiscal, los llamados a prevenir riesgos
AMENAZA: situación potencial de un incidente no deseado, el cual
fiscales.
puede ocasionar daño a un sistema o a una organización.
IMPACTO: las consecuencias que puede ocasionar a la organización la
APETITO DE RIESGO: es el nivel de riesgo que la entidad puede
materialización de un riesgo.
aceptar, teniendo en cuenta sus objetivos, el marco legal y las
INTERESES PATRIMONIALES DE NATURALEZA PÚBLICA: son
disposiciones de la Alta Dirección y del Órgano del Gobierno. El apetito
expectativas razonables de beneficio, que en condiciones normales se
del riesgo puede ser diferente para los distintos tipos de riesgo que la
espera obtener o recibir y que sean susceptible de estimación
entidad debe o desea gestionar
económica. A diferencia del recurso público los intereses patrimoniales
ANÁLISIS DEL RIESGO: proceso para comprender la naturaleza del
de naturaleza pública son expectativas.
riesgo y determinar el nivel del riesgo.

Página 1 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

BIEN PÚBLICO: Son aquellos muebles e inmuebles de propiedad PATRIMONIO PUBLICO: se entiende como el conjunto de bienes o
pública (este concepto comprende: bienes del Estado y aquellos recursos o intereses patrimoniales de naturaleza pública, susceptibles de
productos del ejercicio de una función Pública a cargo de particulares). estimación económica.
Estos se clasifican en bienes de uso público y bienes fiscales, definidos PLAN ANTICORRUPCIÓN Y ATENCIÓN AL CIUDADANO: Plan que
así: contempla la estrategia de lucha contra la corrupción, que debe ser
a) Bien de uso público: aquellos cuyo uso pertenece a todos los implementado por todas las entidades del orden Nacional,
habitantes del territorio Nacional. Ejemplo: calles, plazas, Departamental y Municipal.
puentes, vías, parques, etc. PUNTO DE RIESGO: Actividades en las que potencialmente se genera
b) Bienes Fiscales: aquellos están destinados al cumplimiento riesgo. Tratándose de riesgo fiscal los puntos de riesgo son todas las
de la funciones públicas o servicios públicos, es decir, afectos actividades que representen gestión fiscal, por ejemplo, aquellas de
al desarrollo de su misión y utilizados para sus actividades. administración, gestión, ordenación, ejecución, manejo, adquisición,
Ejemplo: los terrenos, edificios, Oficinas, construcciones, planeación, conservación, custodia, explotación, enajenación, consumo,
equipos, enseres, mobiliario, etc. adjudicación, gasto, inversión y disposición de los bienes o recursos
CALIFICACIÓN DEL RIESGO: establece el grado de exposición del públicos o intereses de naturaleza pública. Para la identificación y
Ministerio bajo criterios de probabilidad e impacto de los riesgos. priorización de los puntos de riesgo, la entidad deberá tener en cuenta
CAUSA: Todos aquellos factores internos y externos que solos o en aquellas actividades en las cuales se han presentado advertencias,
combinación con otros, pueden producir la materialización de un riesgo alertas, hallazgos fiscales y/o fallos con responsabilidad fiscal, así como,
CAUSA RAÍZ: Causa principal o básica, corresponde a las razones aquellas actividades que la organización identifique que pueden generar
por las cuales se puede presentar el riesgo. riesgos fiscales. Para facilitar el ejercicio de identificación de puntos de
Nota: Tratándose de riesgo fiscal, es el evento (acción u omisión) de riesgo consulte el Anexo: Catálogo Indicativo y Enunciativo de Puntos de
que presentarse es el generador directo de un efecto dañoso sobre los riesgo fiscal y Circunstancias Inmediatas.
bienes, recursos o intereses patrimoniales de naturaleza pública. Es la PROBABILIDAD: se entiende como la posibilidad de ocurrencia del
condición necesaria, de tal forma que, si ese hecho no se produce, el riesgo. Estará asociada a la exposición del riesgo, del proceso o
daño no se genera, así las cosas, la causa raíz se asocia con aquel actividad que se esté analizando. La probabilidad inherente será el
hecho potencial generador. número de veces que se pasa por el punto del riesgo en el periodo de un
CAUSA INMEDIATA: Circunstancias bajo las cuales se presenta el (1) año.
riesgo, pero no constituyen la causa principal o base para que se PROPIETARIO DEL ACTIVO DE INFORMACIÓN: área o rol que tiene
presente el riesgo. como responsabilidad velar por la protección del activo de información.
Nota: Tratándose de riesgo fiscal, se usa el término circunstancia PUNTO DE CONTROL: son las decisiones importantes que deben ser
inmediata. tomadas en un punto del proceso o procedimiento, donde la calidad del
CONFIDENCIALIDAD: propiedad de la información que la hace no producto o servicio puede ser afectada adversamente, y por ende el
disponible sea divulgada a individuos, entidades o procesos no objetivo del proceso o procedimiento.
autorizados

Página 2 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

CONSECUENCIA: Efectos o situaciones resultantes de la RECURSO PÚBLICO: Para efectos del capítulo de riesgos fiscales,
materialización del riesgo que impactan en el proceso, la entidad, sus entiéndase como recurso público, los dineros comprometidos y
grupos de valor y demás partes interesadas. ejecutados en ejercicio de la función pública. Ejemplos: Los recursos de
Nota: tratándose de riesgo fiscal, el impacto siempre será económico inversión y recursos de funcionamiento de cada entidad; los recursos
y se identificará en la redacción como efecto dañoso, sobre bienes generados por actividades comerciales, industriales y de prestación de
públicos, recursos públicos o intereses patrimoniales públicos. servicios, por parte de entidades estatales; los recursos parafiscales; los
CONTEXTO DE LA ENTIDAD: Definición de las características o recursos que resultan del ejercicio de funciones públicas por particulares.
aspectos esenciales del entorno interno y externo en el cual opera la RIESGO: efecto que se causa sobre los objetivos de las entidades,
entidad. debido eventos potenciales. Los eventos potenciales hacen referencia a
CONTEXTO DEL PROCESO: se determinan las características o la posibilidad de incurrir en pérdidas por deficiencias, fallas o
aspectos esenciales del proceso y sus interrelaciones. inadecuaciones en el recurso humano, los procesos, la tecnología, la
CONTROL: medida que permite reducir o mitigar un riesgo infraestructura, o por la ocurrencia de acontecimientos externos.
CONTROL PREVENTIVO: acción y/o mecanismo ejecutado antes que RIESGO DE CORRUPCIÓN: Posibilidad que, por acción u omisión, se
se realice la actividad originadora del riesgo, que busca establecer use el poder para poder desviar la gestión de lo público hacia un
condiciones que aseguren el resultado final esperado. En general beneficio privado
estos controles actúan sobre las causas del riesgo. RIESGO DE SEGURIDAD DE LA INFORMACIÓN: Posibilidad de que una
CONTROL DETECTIVO: acción y/o mecanismo ejecutado que amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida
permite detectar el riesgo durante la ejecución del proceso y puede o daño de un activo de información, suele considerarse como una
disminuir la materialización de dicho riesgo. Estos controles detectan combinación de la probabilidad de un evento y sus consecuencias.
el riesgo, pero genera reprocesos RIESGO FISCAL: es el efecto dañoso sobre los recursos públicos y/o
CONTROL CORRECTIVO: acción que se ejecuta después que se los bienes y/o intereses patrimoniales de naturaleza pública, a causa de
materializa el riesgo y en la mayoría de ocasiones permiten reducir el un evento potencial.
impacto de dicho riesgo RIESGO INHERENTE: Nivel de riesgo propio de la actividad. El
DISPONIBILIDAD: propiedad de la información de estar accesible y resultado de combinar la probabilidad con el impacto, permite determinar
utilizable cuando lo requiera una entidad autorizada el nivel de riesgo inherente, dentro de unas escalas de severidad.
EVALUACIÓN DE RIESGOS: etapa de la gestión del riesgo que busca RIESGO RESIDUAL: Es el resultado de aplicar la efectividad de los
confrontar los resultados del análisis del riesgo inicial frente a los controles al riesgo inherente.
controles establecidos, con el fin de determinar la zona de riesgo final TOLERANCIA AL RIESGO: son los niveles aceptables de desviación
ocurrencia. relativa a la consecución de objetivos. Pueden medirse y a menudo
FACTORES DE RIESGO: Fuentes generadoras de riesgo. resulta mejor, con las mismas unidades que los objetivos
GESTIÓN DE RIESGO: Proceso efectuado por la alta dirección de la correspondientes. Para el riesgo de corrupción la tolerancia es
entidad y por todo el personal, para proporcionar a la administración inaceptable.
un aseguramiento razonable con respecto al logro de objetivos TRATAMIENTO DEL RIESGO: Es la respuesta establecida para la

Página 3 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

GESTIÓN DEL RIESGO FISCAL: son las actividades que debe mitigación de los diferentes riesgos: Aceptar, reducir, evitar y compartir.
desarrollar cada Entidad y todos los gestores públicos (ver concepto VALORACIÓN O ANÁLISIS DE RIESGOS: Etapa de la gestión del
de gestor público) para identificar, valorar, prevenir y mitigar los riesgos riesgo que consiste en establecer la probabilidad de ocurrencia del riesgo
fiscales (probabilidad de efecto dañoso sobre los bienes, recursos y/o y el nivel de consecuencia o impacto, con el fin de estimar la zona de
intereses patrimoniales de naturaleza pública, a causa de un evento riesgo inicial.
potencial). VULNERABILIDAD: Representa la debilidad de un activo o un control
que puede ser explotada por una o más amenazas.
ZONA DE RIESGO: es el nivel de exposición al riesgo, mediante el cruce
entre la probabilidad y el impacto.

POLÍTICAS DE OPERACIÓN:
1. Los riesgos deben ser revisados y monitoreados al menos cada tres meses por parte del líder del proceso. Los riesgos de enfoque de gestión, corrupción y fiscales,
el monitoreo se debe reportar en el aplicativo MiGestión,
2. La Oficina de Control Interno debe realizar seguimiento a los riesgos de corrupción aprobados, en los cortes 30 de abril, 31 de agosto y 31 de diciembre.
3. La Oficina de Control Interno debe realizar seguimiento a los riesgos de gestión, fiscales y de seguridad de la información por lo menos una vez al año. El informe
debe ser socializado a los líderes de proceso y llevar a la instancia de Comité Institucional de Coordinación Interno las alertas identificadas, que puedan impactar
las metas y objetivos Institucionales.
4. La solicitud de inactivación de los riesgos la debe realizar el líder de proceso, lo puede realizar en el cierre de vigencia o en el momento que considere necesario,
Para inactivar un riesgo debe existir argumento, que pueda evidenciar que el impacto en caso de materialización ya no afectaría los objetivos Institucionales y no
amerita realizar seguimiento a los controles,
5. En caso de materialización de riesgos de corrupción se debe reportar el evento de materialización e informar inmediatamente por parte del líder del proceso a la
segunda y tercera línea.
6. En caso de materialización de riesgos de gestión, fiscal y seguridad de la información, el líder de proceso debe aplicar controles correctivos (si tienen documentados)
reportar el evento de materialización como se establece en la Guía de administración de riesgos e informar a la segunda línea de defensa (según sea el caso). Todo
evento de materialización requiere formulación de acción correctiva.
7. En caso de presentarse eventos que conlleven al incumplimiento de los logros y objetivos institucionales y no se encuentren documentado en los riesgos del proceso,
el líder de proceso debe reportar a la segunda línea, según sea el caso y posteriormente iniciar la documentación del riesgo.
8. Los riesgos estratégicos se identifican y gestionan a partir del Contexto Estratégico Institucional, la administración y responsabilidades de los riesgos estratégicos
se establece en la formulación del Plan Estratégico Institucional.
Página 4 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

POLÍTICAS DE OPERACIÓN:
9. Los responsables de los riesgos Estratégicos deben reportar monitoreo de los riesgos de acuerdo solicitud de la segunda línea de Defensa (Grupo de Desarrollo
Organizacional)
10. Los riesgos se actualizarán como resultado del:1) monitoreo y revisión a cargo de los líderes de procesos. 2) seguimiento y evaluación realizado por la Oficina de
Control Interno y, 3) seguimiento y evaluación en el desarrollo de auditorías internas 4) cierre de vigencia 5) cambio de enfoque metodológico.
11. El proceso de identificación del riesgo es interactivo y debe estar en permanente revisión y actualización.
12. Los riesgos de enfoque de gestión se identifican a la totalidad de los procesos del Sistema Integrado de Gestión Institucional.
13. Las acciones de mejora formuladas de acuerdo a la opción de tratamiento de los riesgos y que fortalecen los controles, se cerrarán en la medida que el riesgo se
actualice o se actualicen los controles, ya sea por cierre de vigencia, cambio metodológico o necesidad del proceso, en caso que el riesgo se mantenga en valoración
residual alto o extremo se debe generar nueva acción de mejora.
14. Las estrategias de divulgación, entrenamiento y/o formación en las temáticas relacionadas a riesgos podrán emplear mecanismos presenciales y virtuales y estarán
sujetas a la disponibilidad de recursos institucionales para tal fin.
15. Los riesgos de corrupción se identifican para aquellos procesos que en su quehacer resulten con mayor vulnerabilidad a escenarios de corrupción, teniendo en
cuenta que mediante la acción u omisión: a) manipulen información privilegiada, b) concedan autorizaciones, permisos o facultades o, c) administren recursos.
16. Los riesgos de seguridad de la información, serán asesorados metodológicamente y monitoreados por parte de la Oficina de Tecnología de información y la
comunicación.
17. Es responsabilidad de los líderes de proceso el reporte oportuno de los monitoreos.
18. El Grupo de Desarrollo Organizacional deberá reportar trimestralmente el informe de monitoreo de Gestión de Riesgos y sus principales alertas a la Oficina de
Control Interno, Con la finalidad que se presente ante el Comité Institucional de Control Interno (si se requiere)
19. Los responsables de la segunda línea de Defensa, deben reportar a la Línea estratégica las alertas generadas que puedan impactar los objetivos y metas
institucionales, como gestión preventiva y poder tomar acciones oportunas.
20. Las responsabilidades en marco de la metodología de la Administración de Riesgos se encuentran contempladas en el esquema de Líneas de Defensa,
documentado en la política de Administración de Riesgos Institucionales.
21. Los hallazgos (no conformidades) generados a partir de auditorías externas realizadas por la Contraloría General de la Nación, se deben tomar como entrada para
analizar e identificar un posible riesgo fiscal.

Página 5 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

REQUISITOS LEGALES
REQUISITO DIRECTRIZ DE CUMPLIMIENTO
Ley 87 de 1993, Crea el Sistema Institucional de Control Interno y dota a la Artículo 2º.-Definir y aplicar medidas para prevenir los riesgos, detectar y corregir
administración de un marco para el control de las actividades estatales, las desviaciones que se presenten en la organización y que puedan afectar el logro
directamente por las mismas autoridades. de sus objetivos
Ley 489 de 1998, Fortalece el Control Interno, con la creación del Sistema
Capítulo IV. Sistema Nacional de Control Interno
Nacional de Control Interno.
Ley 1474 2011, Dicta normas orientadas a fortalecer los mecanismos de
Capítulo VI: Políticas institucionales y pedagógicas Artículo 73. Plan Anticorrupción
prevención, investigación y sanción de actos de corrupción y la efectividad del
y de Atención al Ciudadano. Cada entidad del orden nacional, departamental y
control de la gestión pública y ordena que las entidades del orden nacional,
municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción
departamental y municipal deberán elaborar anualmente una estrategia de lucha
y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el
contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará,
mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para
entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las
mitigar esos riesgos, las estrategias anti trámites y los mecanismos para mejorar la
medidas concretas para mitigar esos riesgos, las estrategias anti trámites y los
atención al ciudadano.
mecanismos para mejorar la atención al ciudadano.
Decreto 1083 de 2015, Determina que las entidades públicas establecerán y
aplicarán políticas de administración del riesgo, como parte integral del
fortalecimiento de los sistemas de control interno. Para tal efecto, la identificación
y análisis del riesgo debe ser un proceso permanente e interactivo entre la
administración y las unidades de control interno o quien haga sus veces, Título 21 Sistema de Control Interno. Cap. 5 Art. [Link].4 Administración de
evaluando aspectos, tanto internos como externos, que pueden llegar a riesgos.
representar amenaza para la consecución de los objetivos organizacionales, con
miras a establecer acciones efectivas, representadas en actividades de control.
Decreto 1499 2017, Articula el Sistema de Gestión en el marco del Modelo
Integrado de Planeación y Gestión –MIPG, a través de los mecanismos de control
y verificación que permiten el cumplimiento de los objetivos y el logro de resultados Dimensión 2: Direccionamiento Estratégico y Planeación
de las entidades. Actualiza el Modelo Estándar de Control Interno para el Estado Dimensión 3: Gestión con valores para resultados
Colombiano –MECI a través del Manual Operativo del Modelo Integrado de Dimensión 7 Control Interno Política de Control Interno
Planeación y Gestión –MIPG
Norma ISO 31.000 2018, Norma internacional que proporciona principios y
Toda la norma
directivas eficaces para el tratamiento y la gestión de riesgos.

Página 6 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

Guía para la Administración de Riesgos y el diseño de controles en las entidades

Públicas (DAFP). Dirección de Gestión y desempeño institucional. Versión 6 – Toda la norma
noviembre 2022.
Decreto 648 de 2017, regula la organización de las Oficinas de Control Interno,
su rol y actualiza lo relativo al Comité Institucional de Coordinación de Control Toda la norma
Interno.
Cartilla Estrategias para la construcción del Plan Anticorrupción y de Atención al Componente a) Gestión del Riesgo de Corrupción -Mapa de Riesgos Corrupción
Ciudadano. Secretaría de Transparencia-Presidencia de la República.
Guía rol de las unidades u oficinas de control interno, auditoría interna o quien
haga sus veces versión 3 – septiembre 2023

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
El jefe de la Oficina Asesora de Planeación y el Jefe de la Oficina
profesional a quien designe, realiza revisión y ajuste Asesora de Planeación
(si se requiere) de la Política de administración de y Estudios Sectoriales
riesgos Institucional, teniendo en cuenta los cambios
en el entorno, los objetivos estratégicos, el alcance, Jefe de Oficina de
niveles de aceptación del riesgo, niveles para calificar Control Interno ASIS06 Política de
el impacto, probabilidad, tratamiento al riesgo, niveles Administración de
Definir o actualizar la
de responsabilidad (líneas de Defensa) y periodicidad Jefe de Oficina de Riesgos
1 Política de Administración Planear
del seguimiento. Tecnología de la Institucionales
de Riesgos Institucionales
Información y revisada
Comunicación.
Una vez ajustada, la propuesta se presenta al jefe de
la Oficina de Tecnología de la Información y la
Jefe de Oficina de
Comunicación, Oficina de Control Interno, Oficina de
Control Interno
Control Interno Disciplinario, para su revisión y
Disciplinario
observaciones.
Aprobación y La política será presentada por la Oficina Asesora de Revisión y ASIS06 Política de
Comité Institucional de
Comunicación de la Política Planeación al Comité Institucional de Coordinación de aprobación de la Administración de
2 Planear Coordinación de
Administración de Riesgos Control Interno – CICCI, instancia encargada de su Política por parte Riesgos
Control Interno – CICCI
Institucionales aprobación. del Comité Institucionales,

Página 7 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
Institucional de aprobada y
Coordinación de comunicada
Una vez aprobada se publica y comunica a nivel
Control Interno –
Institucional
CICCI Acta de Comité
Institucional de
Coordinación de
Control Interno
El análisis de Contexto se realizará a partir de la misión
y objetivos estratégicos institucionales, los procesos
identificarán la relación entre la gestión del proceso y
los objetivos y documentarán las actividades que se
realizan desde el proceso y que permiten alcanzar
total o parcialmente las metas establecidas en cada
uno de los objetivos estratégicos, de esta manera se
podrá realizar priorización de los riesgos a documentar
en el proceso y que pueden impactar los objetivos y Análisis de contexto
Definir el contexto del metas en caso de su materialización, así mismo, Líder del proceso y
3 Planear de proceso –
proceso y su priorización. identificar la pertinencia de los riesgos documentados. equipo de trabajo.
Formato ASIF09
Esta actividad se debe realizar cada vez que se
realizan cambios en los objetivos estratégicos
institucionales, cuando se van a identificar nuevos
riesgos o se realizan ajustes.
Posterior a la alineación con el contexto estratégico
realizado por el proceso, se debe realizar el análisis de
contexto del proceso a partir de la metodología DAFO
O DOFA.
Inventario de
Realizar el inventario y Se realiza una revisión documental de los diferentes Líder del proceso y controles - Formato
4 caracterización de controles que estén inmersos en el cumplimiento del Planear
equipo de trabajo. ASIF09 Ficha Integral
controles objetivo del proceso, de acuerdo con el formato del Riesgo.

Página 8 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
ASIF09 Ficha Integral del Riesgo “Inventario de
controles”:
En la documentación de os controles es importante
tener claridad en la clasificación según su tipología.
Control preventivo: control accionado en la entrada del
proceso y antes de que se realice la actividad
originadora del riesgo, se busca establecer las
condiciones que aseguren el resultado final esperado.
Control detectivo: control accionado durante la
ejecución del proceso. Estos controles detectan el
riesgo, pero generan reprocesos.
Control correctivo: control accionado en la salida del
proceso y después de que se materializa el riesgo.

El Líder del Proceso y su equipo de trabajo identifican

los riesgos, que pueden ser de enfoque de gestión,
corrupción, fiscales y seguridad de la información que
puedan afectar el logro del objetivo del proceso e
impactar objetivos y metas institucionales. La
identificación de los riesgos se debe realizar en Revisión por parte Líder de Proceso y Riesgos identificados
Identificar los riesgos del
5 coherencia con la alineación realizada con el contexto Hacer del líder del equipo de trabajo en los Formatos
proceso
estratégico Institucional y el análisis de contexto del proceso ASIF09 Ficha Integral
proceso del Riesgo.

Los riesgos de enfoque de gestión, fiscales y

corrupción se deben documentar en el formato
ASIF09.

De acuerdo con la tabla de probabilidad e impacto, Líder de Proceso y

Analizar los riesgos (Riesgo
6 definidas en la ASIG01 Guía para la administración Hacer equipo de trabajo. Análisis Inherente -
inherente)
integral de riesgos de procesos y la ASIS06 Política de Formatos ASIF09

Página 9 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
administración de riesgos institucionales, se analizan Ficha Integral del
los riesgos para determinar la zona de riesgo Riesgo
inherente.
ASIF17 Inventario de
Para el enfoque de seguridad de la información, el
Activos de Seguridad
impacto inherente se determina a partir de la
de la Información
valoración de los activos de seguridad de la
información de acuerdo con la ASIG03 Guía para el
levantamiento y valoración de activos de seguridad
información.

A partir del análisis del y el nivel de riesgo inherente,

se identifican controles conforme a los elementos
establecidos para su construcción, con la finalidad de
mitigar la probabilidad de ocurrencia del riesgo. Los
controles deben estar documentados en el inventario
de controles, cumpliendo y de allí se documentan en
la ficha de riesgo, es importante que el control
conserve la mismo tipología e información que se Riesgos valorados en
Documentar controles y contempla en el inventario de controles. Líder de Proceso y los Formatos ASIF09
7 Hacer
valorar el riesgo equipo de trabajo. Ficha Integral del
Posteriormente se realiza la calificación de los Riesgo
controles de acuerdo a los atributos establecidos y
valoración del riesgo de acuerdo con la Guía de
administración integral de riesgos de procesos
ASIG01 y la Política de Administración de Riesgos
Institucionales. A partir de la calificación de atributos
de los controles se establece la valoración del riesgo
(Nivel Residual)

Determinada la zona de riesgo residual se selecciona Validación Líder de Proceso y

Establecer las acciones de la opción más adecuada para el tratamiento de cada metodológica de equipo de trabajo Formatos ASIF09
8 Hacer
tratamiento uno de los riesgos, teniendo en cuenta lo establecido las acciones de Ficha Integral del
en la ASIS06 Política de Administración de Riesgos tratamiento Riesgo

Página 10 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
Institucionales y la ASIG01 Guía para la
Administración Integral de Riesgos en los Procesos,
las cuales pueden ser aceptar o reducir.
Líder de la metodología Registro en el
Las acciones de mejora establecidas de acuerdo al
de riesgos o asesor del aplicativo MiGestión
tratamiento, se deben formular teniendo en cuenta el
proceso (GDO). – etapa manejo.
procedimiento institucional de Planes de mejora y la
fuente siempre será Gestión de Riesgos.

El líder del proceso remite al líder metodología de la Líder de Proceso.

Registro de
Oficina Asesora de Planeación – Grupo de Desarrollo Validación
validación
9 Validar metodológicamente Organizacional el ASIF09 diligenciado para su Hacer metodológica de la Líder de la metodología
metodológica
validación metodológica y realiza los ajustes (si ficha de riesgos de Administración de
Correo electrónico
aplican) Riesgos

El Líder del Proceso envía mediante correo electrónico

a sig@[Link] indicando la aprobación de los Revisión de la Correo electrónico
Aprobar la Ficha de riesgos riesgos documentados o actualizados en el formato solicitud por parte Líder de Proceso aprobando la ASIF09
10 establecido. (ASIF09) Hacer
diligenciado del Líder de Ficha Integral del
Ver ASIG01 Guía para la Administración Integral de metodología Riesgo.
Riesgos en los procesos

El líder de la metodología de Administración de Correo electrónico de

Riesgos, carga la información en el módulo de riesgos Líder de la metodología aprobación por el
del aplicativo MiGestión, a partir de la ficha de riesgo de riesgos líder del proceso.
Cargar información en el
11 módulo de riesgo del diligenciada, validada y aprobada mediante correo Hacer
electrónico remitido por el líder del proceso. Profesional Grupo de Riesgo (s)
aplicativo MiGestión
Desarrollo documentado o
Al realizar el cargue de información se debe informar Organizacional actualizados en el
al líder del proceso para su revisión. aplicativo MiGestión
Realizar monitoreo a los Los líderes de proceso y sus respectivos equipos de Reporte de
12 Verificar
riesgos identificados. trabajo realizan el monitoreo frente a la gestión del monitoreo

Página 11 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
riesgo al menos una vez cada tres meses con el fin de presentado por el Líder de Proceso – Registro de
determinar: Líder del proceso Facilitadores monitoreo en al
aplicativo MiGestión
- Si el riesgo se ha materializado.
Alertas
- Los controles establecidos se encuentran
identificadas a
operando con seguridad.
partir del Profesional Grupo de
- Si se ha generado alguna alerta temprana
monitoreo Desarrollo Informe de Gestión
asociada a la posible materialización del riesgo.
realizado Organizacional. de Riesgos trimestral
(gestión, fiscales,
El monitoreo de riesgos de gestión, fiscales y de corrupción)
corrupción, se debe documentar en el aplicativo
MiGestión, en la etapa de monitoreo y programar el
próximo Monitoreo de acuerdo a la periodicidad
establecida. (Ver ASIG01 Guía para la Administración
Integral de Riesgos en los procesos). El reporte de
monitoreo se debe realizar por cada control
establecido, documentando las actividades realizadas
durante el periodo y que han permitido la operación
normal del control.
El Líder de metodología de administración de riesgos
realiza asesorías y acompañamientos en los reportes
de monitoreo, así mismo, alertas a los procesos de
incumplimientos o inconsistencias en los reportes de
monitoreo.
La Oficina Asesora de Planeación y Estudios
Sectoriales. Grupo de Desarrollo Organizacional,
realiza informes de gestión de riesgos (gestión,
fiscales y corrupción) trimestralmente y remite
información a la Oficina de Control Interno.
Oficina de Tecnología
La Oficina de Tecnología de Información y de Información y Informe de monitoreo
Comunicación realiza el monitoreo de riesgos de Comunicación de riesgo de

Página 12 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
seguridad de la Información con una frecuencia seguridad del
cuatrimestral, donde se generan dos reportes de Información
monitoreo y uno de cierre de vigencia cada año.
Correo al Sistema
Integrado, solicitando
Sí: Se inicia la actualización del documento con
acompañamiento y
acompañamiento del líder de metodología del Grupo
asesoría en la
de Desarrollo Organizacional –GDO (para riesgos de
¿El riesgo requiere ajustes actualización del
13 gestión de procesos, fiscales y de corrupción) y la Verificar Líder de proceso
durante la vigencia? riesgo (s).
Oficina de Tecnología de la Información y la
Comunicación –OTIC (para riesgos de seguridad de la
Ficha de riesgo
información).
actualizada, validada
y aprobada
Informe de
Seguimiento a los
riesgos
La Oficina de Control Interno realiza seguimiento de Institucionales
acuerdo a la periodicidad establecida a los riesgos publicado en la
institucionales, analizando las causas, la gestión de página Web del
los riesgos y su evolución, la efectividad de los Jefe de la Oficina de Ministerio.
Realizar seguimiento al controles incorporados y las acciones tomadas en Control Interno. y/o Memorando,
14 Mapa de Riesgos caso de materialización, entre otras. Verificar
Profesionales remitiendo el Informe
Institucional.
A partir del seguimiento realizado por la Oficina de asignados. de Seguimiento a los
Control Interno, se realiza (si se requiere) reporte de Mapas de Riesgos
alertas significativas a la Línea estratégica para toma Reporte de alertas
de acciones. ante la gestión de
Riesgos ante la Línea
estratégica, para
toma de acciones

Realizar cierre de Vigencia El líder del proceso debe realizar el cierre de Vigencia Registro de Cierre de
15 de los riesgos documentados en el proceso, a partir de Verificar Líderes de Proceso
de los Riesgos del Proceso Vigencia.
la directriz emitida por la Oficina Asesora de

Página 13 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

DESCRIPCIÓN DEL PROCEDIMIENTO

PUNTO DE
No ACTIVIDAD/TAREA DESCRIPCIÓN PHVA RESPONSABLE REGISTRO
CONTROL
Planeación. Grupo de Desarrollo Organizacional y la
guía de administración de riesgos institucionales.
En el cierre de vigencia, los procesos deben realizar
revisión del análisis de contexto, riesgos, controles y
valoración inherente y valoración residual y determinar
los cambios a realizar.

DOCUMENTOS ASOCIADOS
ASIC01, ASIG01, ASIF09, ASIF17, ASIG03, ASIF10, ASIF11, ASIP04, ASIM04, ASIS06.

ELABORADO POR: REVISADO POR: APROBADO POR:

Nombre y Cargo: Nombre y Cargo: Nombre y Cargo: Yenny Pilar Torres
Mayra Mercedes Alba García, Castro
Profesional- Grupo de Desarrollo Organizacional- Xiomara Muñoz Barrera, Coordinadora Grupo de Desarrollo Jefe de la Oficina Asesora de Planeación y
Oficina Asesora de Planeación y Estudios Organizacional - Oficina Asesora de Planeación y Estudios Estudios Sectoriales.
Sectoriales Sectoriales.
Leidy Prias Gaitan– jefe de la Oficina de Control Interno
Henry Díaz Dussan- Jefe Oficina de Tecnología de la
Información y la Comunicación

Fecha: 14 de octubre de 2022 Fecha: 18 de octubre de 2023

Fecha: 28 de diciembre de 2023

Página 14 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)
 PROCESO SISTEMA DE GESTIÓN Y MEJORAMIENTO INSTITUCIONAL Código: ASIP02

PROCEDIMIENTO ADMINISTRACIÓN INTEGRAL DE RIESGOS INSTITUCIONALES Versión: 08

Página 15 de 15 Una vez impreso o descargado este documento se considera copia no controlada ASIF02 Versión 2 (12 de julio de 2020)