PROCEDIMIENTO

Código:PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025
1. OBJETIVO
Establecer el marco de referencia para gestionar el riesgo en la entidad, que incluye su
identificación, análisis, evaluación, tratamiento y monitoreo, con el fin de cumplir con los
objetivos institucionales.

2. ALCANCE

Este procedimiento aplica para toda actividad que realice la entidad, desde el
establecimiento de la planeación estratégica y toma de decisiones a nivel directivo, hasta
la gestión de activos, procesos, proyectos y la prestación de los servicios a los usuarios.

3. RESPONSABLES

• El comité directivo del Sistema Integrado de gestión es responsable de asegurarse

que se establezca e implemente la política de Gestión del Riesgo en la entidad.

• Los subdirectores, jefe de oficina asesora y asesor son responsables de asegurar que
se establezca e implemente el proceso para la gestión del riesgo en los proceso/s,
proyecto/s o actividades que tengan a cargo.

• El asesor de control interno es responsable de monitorear y revisar la gestión del

riesgo en la entidad.

• Los profesionales de las dependencias de la entidad son responsables en el proceso

en que se desempeñen de establecer el contexto para la gestión del riesgo, valorar los
riesgos y establecer e implementar los respectivos planes de tratamiento.

4. DEFINICIONES

• Evento: presencia o cambio de un conjunto particular de circunstancias.

• Probabilidad: oportunidad de que algo suceda.

• Consecuencia: resultado de un evento que afecta a los objetivos.

• Incertidumbre: es el estado de deficiencia de información relacionada con la

comprensión o el conocimiento de un evento, su consecuencia o probabilidad.

• Riesgo: efecto de la incertidumbre sobre los objetivos institucionales. A menudo el

riesgo está caracterizado por la referencia a eventos potenciales y sus consecuencias.

• Parte interesada: persona u organización que puede afectar, verse afectada o

percibirse a sí misma como afectada por una decisión o actividad de la organización.
Una persona que toma decisiones puede ser una parte interesada
FO-071
V-02 Página 1 de 14
• Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización
con respecto al riesgo.
 PROCEDIMIENTO
Código :PR-054 •
GESTIÓN DE RIESGO Versión 01 P
Fecha 10/07/2025
olítica para la gestión del riesgo: declaración de la dirección y las intenciones
generales de una organización con respecto a la gestión del riego.

• Contexto externo: ambiente externo en el cual una organización busca alcanzar sus
objetivos. Esto incluye ambiente social y cultural, político, legal y reglamentario,
financiero, económico, natural y competitivo, bien sea internacional, nacional, regional
o local; además de las tendencias claves que tienen impacto en los objetivos de la
organización y las relaciones con las partes interesadas externas incluyendo sus
percepciones y valores.

• Contexto interno: ambiente interno en el cual una organización busca alcanzar sus
objetivos. Esto incluye la manera en que se dirige la organización, la plataforma
estratégica y los planes operativos, la estructura organizacional, funciones y
responsabilidades; capacidades en términos de recursos y conocimientos
(presupuesto, activos, tiempo, talento humano, procesos, sistemas y tecnologías); las
relaciones con las partes involucradas internas y sus percepciones y valores; la cultura
organizacional; sistemas de información, flujos de información y procesos de toma de
decisiones; normas, directrices y modelos adoptados por la organización (Sistemas de
gestión), forma y extensión de las relaciones contractuales.

• DOFA (debilidades, oportunidades, fortalezas y amenazas): la matriz DOFA es una

herramienta utilizada en la planificación estratégica, la cual presenta las oportunidades
y amenazas del entorno y las fortalezas y debilidades internas. Se emplea
comúnmente para definir las estrategias de la organización.
• Fuente de riesgo: elemento que solo o en combinación tiene el potencial intrínseco
de originar un riesgo.

• Identificación del riesgo: proceso para encontrar, reconocer y describir el riego.

• Análisis del riesgo: proceso para comprender la naturaleza del riesgo y determinar el
nivel de riesgo.

• Criterios del riesgo: términos de referencia frente a los cuales se evalúa la

importancia de un riesgo. Los criterios del riesgo se basan en los objetivos y el
contexto externo e interno de la organización, y se pueden derivar de normas, leyes,
políticas y otros requisitos.

• Nivel de riesgo: magnitud de un riesgo o de una combinación de riesgos, expresada

en términos de la combinación de las consecuencias y su probabilidad.

• Evaluación del riesgo: proceso de comparación de los resultados del análisis del
riesgo con los criterios de riesgo, para determinar si el riesgo, su magnitud o ambos
son aceptables o tolerables.

FO-071 Página 2 de 14
V-02
 PROCEDIMIENTO
Código :PR-054 •
GESTIÓN DE RIESGO Versión 01 V
Fecha 10/07/2025
aloración del riesgo: proceso global de identificación del riesgo, análisis del riesgo y
evaluación del riesgo.

• Tratamiento del riesgo: proceso para modificar el riesgo.

• Riesgo residual: riesgo remanente después del tratamiento del riesgo.

• Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones

de la Dirección para modificar su probabilidad o impacto.

• Control: medida que modifica el riesgo.

• Clases de riesgos:

 Riesgos estratégicos: son aquellos que se asocian con toda posibilidad de que
suceda algo relacionado con el cumplimiento de los objetivos estratégicos, la
continuidad del negocio, la sostenibilidad y subsistencia de la entidad y organismo
distrital en el corto, mediano y largo plazo.
 Riesgos operativos: son aquellos relacionados con la parte técnica que provienen
de la operación cotidiana y específica de cada proceso. Dentro de ellos se pueden
encontrar deficiencias en los sistemas de información, insuficiencias en la
comunicación o desarticulación en el modelo de operación, lo cual conduce a
ineficiencias, corrupción e incumplimiento de los objetivos institucionales
 Riesgos financieros: son aquellos que representen un daño económico a la entidad
y organismo distrital y/o un detrimento patrimonial. Pueden estar relacionados con
temas tales como la ejecución presupuestal, pagos, ineficiencias operacionales o
manejo de excedentes y bienes.
 Riesgos normativos: son aquellos que se relacionan tanto con los daños
generados por la violación de una prescripción u obligación legal, incumplimientos
a políticas internas, como con la volatilidad normativa. Dentro de este tipo se
pueden agrupar los incumplimientos a obligaciones tributarias, a tiempos en la
presentación de estados financieros a solicitudes de información y demás
incumplimientos legales aplicables.
 Riesgos tecnológicos: son aquellos que tienen que ver con la capacidad de la
entidad y organismo para que la tecnología disponible satisfaga sus necesidades
actuales y futuras en aras de garantizar el cumplimiento de su misión y objetivos
institucionales.
 Riesgos de conocimiento: son aquellos que se relacionan con el daño generado
por la pérdida de conocimiento e información vital para el desarrollo de las
actividades de la entidad y organismo distrital. En esta clasificación se encuentran
los riesgos en los activos y la seguridad de la información.

 Riesgos ambientales y de salud ocupacional: son aquellos generados por la

exposición a factores internos y externos que afectan el medio ambiente de la
FO-071 Página 3 de 14
V-02
 PROCEDIMIENTO
Código :PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025
entidad y organismo distrital (la contaminación, ambientes poco saludables,
malos hábitos) inherentes a las actividades que desarrolla en cada proceso.
• Ciclo PHVA: ciclo de mejora continua planear, hacer, verificar y actuar.

• SIG: sistema integrado de gestión

• Autoevaluación: es el componente de control que le permite a cada responsable del

proceso, programas y/o proyectos y sus funcionarios medir la efectividad de sus
controles y los resultados de la gestión en tiempo real, verificando su capacidad para
cumplir las metas y los resultados a su cargo y tomar las medidas correctivas que
sean necesarias para el cumplimiento de los objetivos previstos por la entidad.

• Activo: cualquier cosa que tiene valor para la organización.

5. CONDICIONES GENERALES

La gestión del riesgo en la entidad tendrá como referente los lineamientos establecidos
por la alta dirección en la política de gestión del riesgo.

Dentro del proceso de gestión del riesgo se debe emplear la comunicación y consulta con
las partes interesadas para conocer su opinión y percepción de los riesgos institucionales.

La identificación de riesgos debe incluir todos los riesgos a los que este expuesta la
entidad, independientemente de que su origen este o no bajo el control del IPES.

Se debe hacer como mínimo una evaluación anual de los riesgos por parte del
responsable del proceso, debido a que el contexto cambia o puede haber nueva
información disponible sobre el riesgo, La eficacia de los controles también debe ser
monitoreada y documentada

La valoración, tratamiento y monitoreo de los riesgos ambientales y de seguridad y salud

ocupacional, se controlaran de acuerdo a lo establecido en el procedimiento para la
identificación y valoración de los aspectos e impactos ambientales y los panoramas de
riesgos elaborados por la entidad para los equipamientos que administra el IPES.

5.1 CRITERIOS DE GESTIÓN DE RIESGO

A continuación se establecen los criterios con los que se va a analizar y evaluar la

importancia de los riesgos en la entidad.

5.1.1 CRITERIO PARA DETERMINAR PROBABILIDAD

Para medir la probabilidad de que un determina evento ocurra se va a emplear la siguiente

escala.
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA

FO-071 Página 4 de 14
V-02
 PROCEDIMIENTO
Código :PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025
El evento puede ocurrir solo en circunstancias No se ha presentado en los
1 Raro excepcionales. últimos 5 años.

Al menos de 1 vez en los

2 Improbable El evento puede ocurrir en algún momento últimos 5 años.

Al menos de 1 vez en los

3 Posible El evento podría ocurrir en algún momento últimos 2 años.

El evento probablemente ocurrirá en la mayoría Al menos de 1 vez en el

4 Probable de las circunstancias último año.

Se espera que el evento ocurra en la mayoría de

5 Casi Seguro las circunstancias Más de 1 vez al año.

5.1.2 CRITERIOS PARA DETERMINAR CONSECUENCIAS (IMPACTO)

Para medir los efectos de la ocurrencia de un evento determinado sobre los objetivos de la
entidad o el proceso, se van a emplear las siguientes escalas:

 CRITERIOS GENERALES PARA DETERMINAR CONSECUENCIAS (IMPACTO)

NIVEL DESCRIPTOR DESCRIPCIÓN

Si el hecho llegara a presentarse, tendría consecuencias o efectos

1 Insignificante
mínimos sobre la entidad.

Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la

2 Menor
entidad.

Si el hecho llegara a presentarse, tendría medianas consecuencias o

3 Moderado
efectos sobre la entidad.

Si el hecho llegara a presentarse, tendría altas consecuencias o efectos

4 Mayor
sobre la entidad

Si el hecho llegara a presentarse, tendría desastrosas consecuencias o

5 Catastrófico
efectos sobre la entidad.

La tabla anterior da una referencia general para cuantificar las consecuencias, pero se
pueden desarrollar criterios específicos dependiendo de la clase de riesgos analizados,
como los establecidos en las tablas relacionadas a continuación.

 CRITERIOS PARA DETERMINAR CONSECUENCIAS DE LOS RIESGOS DE

CONOCIMIENTO - CONFIDENCIALIDAD DE LA INFORMACIÓN

Hace referencia a información sensible o reservada institucional

FO-071 Página 5 de 14
V-02
 PROCEDIMIENTO
Código :PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025

NIVEL DESCRIPTOR DESCRIPCIÓN

1 Insignificante Pérdida o revelación de la información personal

2 Menor Pérdida o revelación de la información del grupo de trabajo

3 Moderado Pérdida o revelación de la información relativa al proceso

4 Mayor Pérdida o revelación de la información institucional

5 Catastrófico Pérdida o revelación de la información estratégica

 CRITERIOS PARA DETERMINAR CONSECUENCIAS DE LOS RIESGOS DE

ESTRATÉGICOS – CREDIBILIDAD E IMAGEN DE LA ENTIDAD

Se refiere a la perdida de la misma frente a diferentes actores sociales o dentro del a

entidad
NIVEL DESCRIPTOR DESCRIPCIÓN

1 Insignificante Grupo de Funcionarios

2 Menor Todos los funcionarios

3 Moderado Usuarios Ciudad

4 Mayor Usuarios Región

5 Catastrófico Usuarios País

 CRITERIOS PARA DETERMINAR CONSECUENCIAS DE LOS RIESGOS

NORMATIVOS
NIVEL DESCRIPTOR DESCRIPCIÓN

1 Insignificante Multas

2 Menor Demandas

3 Moderado Investigación Disciplinaria

4 Mayor Investigación Fiscal

NIVEL DESCRIPTOR DESCRIPCIÓN

5 Catastrófico Intervención – Sanción

 CRITERIOS PARA DETERMINAR LAS CONSECUENCIAS DE LOS RIESGOS

OPERATIVOS
NIVEL DESCRIPTOR DESCRIPCIÓN

FO-071 Página 6 de 14
V-02
 PROCEDIMIENTO
Código :PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025
1 Insignificante Ajustes a una actividad concreta

2 Menor Cambios en Procedimientos

3 Moderado Cambios en la interacción de los procesos

4 Mayor Intermitencia en el Servicio

5 Catastrófico Paro total del Proceso o la prestación del servicio

5.1.3 MATRIZ DE EVALUACIÓN DE RIESGO - NIVEL DE RIESGO

De acurdo a la cuantificación de la probabilidad de ocurrencia de un evento y el grado de

severidad de sus consecuencias en los objetivos institucionales o de proceso, se
establece el nivel de riesgo, el cual es producto de la aplicación de la siguiente formula:

IMPACTO

PROBABILIDAD Menor Moderado Mayor Catastrófico

(2) (3) (4) (5)

Raro (1) 2 3 4 5

Improbable (2) 4 6 8 10

Moderado (3) 6 9 12 15

Probable (4) 8 12 16 20

Casi certeza (5) 10 15 20 25

PROBABILIDAD
IMPACTO

Menor Moderado Mayor Catastrófico

(2) (3) (4) (5)

Raro (1) B M A A

Improbable (2) B M A E

Moderado (3) M A E E

Probable (4) A A E E

Casi certeza (5) A E E E

FO-071 Página 7 de 14
V-02
 PROCEDIMIENTO
Código :PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025
ZONA DE RIESGO

BAJO (B)

MODERADO (M)

ALTO (A)

EXTREMO (E)

5.1.4 EVALUACIÓN RIESGO - OPCIONES DE MANEJO

A continuación se relacionan las opciones de manejo sugeridas de acuerdo al nivel de

riesgo establecido.

ZONA DE RIESGO OPCIONES DE MANEJO

BAJO (B) • Asumir el riesgo

• Asumir el riesgo
MODERADO (M)
• Reducir el riesgo

• Reducir el riesgo
ALTO (A) • Evitar el riesgo
• Compartir o transferir

• Evitar el riesgo
EXTREMO (E) • Reducir el riesgo
• Compartir o transferir
• Asumir el riesgo: en riesgos de nivel bajo o moderado se hace mediante una decisión
informada, se pueden mantener los controles ya establecidos.

• Reducir el riesgo: tomando acciones para reducir la probabilidad de ocurrencia y/o los
efectos de sus consecuencias.
• Evitar el riesgo: retirando la fuente del riesgo o decidiendo no iniciar o continuar la
actividad que lo origino.
• Compartir el riesgo: se hace mediante suscripción de pólizas, o transfiriendo el riesgo
a otras partes (contractual), o mediante la transferencia física a otros lugares (ejemplo:
transferir a un tercero la protección y custodia de activos de información – archivos de
seguridad).
• Tomar o incrementar el riesgo para perseguir una oportunidad, en este caso se
elabora un plan de tratamiento del riesgo con las opciones antes enunciadas.

FO-071 Página 8 de 14
V-02
 PROCEDIMIENTO
Código :PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025

6. DESCRIPCIÓN DEL
PROCEDIMIENTO

FO-071 Página 9 de 14
V-02
 PROFESIONALES DE LAS PROCEDIMIENTO
SUBDIRECTOR, JEFE OFICINA ASESORÍA DE CONTROL
DEPENDENCIAS DE LA ENTIDAD ASESORA O ASESOR INTERNO:PR-054
Código
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025
INICIO

1. ESTABLECER EL
CONTEXTO
ESTRATÈGICO

2. IDENTIFICAR RIESGOS

3. ANALIZAR RIEGOS 4. EVALIUAR RIEGOS

5. ESTABLECER
TRATAMIENTO DE
RIESGO

6. IMPLEMENTAR PLAN 7. MONITOREAR Y REVISAR

DE TRATAMIENTO DEL EL PLAN DE TRATAMIENTO
RIESGO DEL RIESGO

9. AJUSTAR EL PLAN DE NO 8. ¿El tratamiento ha

TRATAMIENTO DEL sido efectivo?
RIESGO

SI

FIN

FO-071 Página 10 de 14
V-02
 PROCEDIMIENTO
Código PR-054
GESTIÓN DE RIESGO Versión 01
Fecha
10/07/2025
6.1 TABLA EXPLICATIVA DEL PROCEDIMIENTO
Tiempo
Punto de
No. Nombre de la actividad Descripción de la Actividad Responsable Registro (Hora o
control
fracción)
Mediante la elaboración de un análisis DOFA se
establece el contexto externo (oportunidades y
ESTABLECER EL amenazas) e interno (fortalezas y debilidades) en que
1 CONTEXTO opera la entidad o el proceso, lo anterior se hace con el Profesionales de las FO-391 Matriz DOFA 8
ESTRATÈGICO objeto de identificar las fuentes potenciales de riesgos dependencias de la Entidad
para la entidad, el proceso, el proyecto o servicio
analizado.
De acuerdo a la información obtenida en la matriz
DOFA, se procede a elaborar por clases de riesgos
(estratégicos, operativos, financieros, normativos,
Profesionales de las
2 IDENTIFICAR RIESGOS tecnológicos, de conocimiento) una lista exhaustiva de FO-016 Matriz mapa de riesgos 8
dependencias de la Entidad
los posibles eventos que pueden afectar el cumplimiento
de los objetivos institucionales o del proceso, con sus
causas y consecuencias significativas.
Ya identificados los riesgos, se cuantifica la probabilidad
de ocurrencia y el impacto de sus consecuencias de
acuerdo a los criterios de riesgo establecidos en el
numeral 5.1 del presente documento, procediendo a
calcular de manera preliminar el nivel de riesgo, que es
el producto de multiplicar las calificaciones de la
probabilidad y la consecuencia, pudiendo quedar el Profesionales de las
3 ANALIZAR RIEGOS riesgo analizado en cualquiera de los niveles de la 1
dependencias de la Entidad
siguiente escala:
- Zona de bajo riesgo
- Zona de moderado riesgo
- Zona de alto riesgo
- Zona de riesgo extremo
4 EVALUAR RIEGOS Se evalúa el desempeño de los controles establecidos, Subdirector, jefe de Oficina 4
determinando si: están documentados, se están asesora y asesor
aplicado y son efectivos, de acuerdo a lo anterior se
vuelve a calcular el nivel de riesgo (probabilidad x
consecuencia).

FO-071
V-02
 PROCEDIMIENTO
Código PR-054
GESTIÓN DE RIESGO Versión 01
Fecha
10/07/2025
De acuerdo a lo anterior, se determina si se van a tomar

Tiempo
Punto de
No. Nombre de la actividad Descripción de la Actividad Responsable Registro (Hora o
control
fracción)
medidas adicionales para controlar el
riesgo, procediendo a evaluar las opciones de
manejo, entre las que tenemos:  Asumir el riesgo
• Reducir el riesgo
• Evitar el riesgo
• Compartir el riesgo
• Tomar o incrementar el riesgo para perseguir una
oportunidad

Evaluado el riesgo se establecen opciones para

modificar el mismo, seleccionando las más apropiadas.
Con base a la selección realizada, se procede a
elaborar un plan de acción para su implementación que
debe contener: acciones, recursos, fechas y
responsabilidades. Lo anterior puede implicar
implementar nuevos controles o modificarlos los
existentes, caso en el cual se modificaría el nivel de
riesgo después de implementar el plan de tratamiento.
ESTABLECER FO-264 Bitácora
Dentro de las acciones y controles establecidas en el Subdirector, jefe de Oficina
5 TRATAMIENTO DE plan de tratamiento del riesgo, podemos desarrollar 12
asesora y asesor
RIESGO entre otras: planes, programas, políticas de operación,
procedimientos, implementar herramientas tecnológicas,
modificar la infraestructura, adquirir pólizas, verificar las
características de calidad de los servicios, verificar el
cumplimiento de lo legal, evaluar el desempeño del
talento humano, indicadores de gestión, seguimiento a
planes y programas e informes de gestión.
Los anteriores planes de acción se deben estructurar en
el marco del ciclo PHVA.

FO-071
V-02
 PROCEDIMIENTO
Código PR-054
GESTIÓN DE RIESGO Versión 01
Fecha
10/07/2025
Se coordina la implementación de las actividades
establecidas en el plan de tratamiento del riego, De acuerdo a
IMPLEMENTAR PLAN DE
haciendo seguimiento al cumplimiento del cronograma Subdirector, jefe de Oficina las actividades
6 TRATAMIENTO DEL
establecido y a los resultados obtenidos de la asesora y asesor del
RIESGO
implementación de plan sobre el control del respectivo cronograma
riesgo, esto en el marco de los ejercicios de
Tiempo
Punto de
No. Nombre de la actividad Descripción de la Actividad Responsable Registro (Hora o
control
fracción)
autoevaluación del proceso.

MONITOREAR Y REVISAR La Asesoría de Control Interno será la responsable de

EL PLAN DE evaluar la efectividad de los planes de tratamiento del
7 Asesor de Control interno
TRATAMIENTO DEL riesgo establecidos a todos los niveles de la entidad.
RIESGO
¿El tratamiento SI: Pasa a la actividad FIN
8 ha sido
efectivo? NO: Pasa a la actividad 9

De acuerdo a las observaciones realizadas por la

Asesoría de Control interno y el ejercicio de
autoevaluación del proceso, se procede a realizar los
ajustes al plan de tratamiento del riesgo, los cuales
pueden derivarse de:
- Cambios en el contexto externo o interno de la
entidad.
AJUSTAR EL PLAN DE
- Cambios en los criterios de riesgo incluyendo sus Subdirector, jefe de Oficina
9 TRATAMIENTO DEL 8
prioridades de tratamiento. asesora y asesor
RIESGO
- Cambios en los riesgos o identificación de nuevos
riesgos.
- Lecciones aprendidas a partir de eventos (incluye
cuasi accidentes), cambios, tendencias, éxitos y
fracasos.
- El análisis de la efectividad de los controles.

FO-071
V-02
 PROCEDIMIENTO
Código PR-054
GESTIÓN DE RIESGO Versión 01
Fecha 10/07/2025

8. CONTROL DE CAMBIOS
VERSIÓN FECHA ÍTEM MODIFICADO DESCRIPCIÓN DEL CAMBIO

FO-071 Página 14 de 14
V-02