Escolar Documentos
Profissional Documentos
Cultura Documentos
Febrero de 2018
1
Contenido Pagina
Objetivos 3
Antes de iniciar con la metodología 4
Acerca de la metodología 6
Monitoreo y Revisión 62
Reporte Plan de Tratamiento de Riesgos 67
Información Comunicación y Reporte 70
Referencias Bibiográficas 73
Anexos 74
2
Objetivos.
• Suministrar una metodología útil que permita a todas las entidades gestionar de manera efectiva los riesgos que afectan el
logro de los objetivos estratégicos y de proceso.
• Ofrecer herramientas de trabajo que permitan identificar, analizar, mitigar y evaluar los riesgos que deban ser tratados por
los servidores responsables en cada entidad (Esquema de las Líneas de Defensa).
• Suministrar lineamientos que permitan a la alta dirección de las entidades tener una seguridad razonable en el logro de sus
objetivos, con base en una adecuada gestión del riesgo.
• Unificar los aspectos comunes que existen con los riesgos de corrupción, para facilitarle a las entidades la identificación de
cada uno de estos riesgos, así como, su mejor tratamiento fortaleciendo el enfoque preventivo
3
¿QUÉ ESTABLECE MIPG?
En el numeral 2.2.1 “Política de Planeación institucional” de la De igual forma se menciona en esta dimensión que, para
dimensión “Direccionamiento Estratégico y Planeación” llevar a cabo el ejercicio de planeación, la entidad debe
menciona que, para responder a la pregunta ¿Cuáles son las documentar el ejercicio de planeación en donde se describa la
prioridades identificadas por la entidad y señaladas en los parte conceptual u orientación estratégica; y la parte
planes de desarrollo nacionales y territoriales?, se deben operativa en la que se señale de forma precisa los objetivos,
formular las metas de largo plazo, tangibles, medibles, las metas y resultados a lograr, las trayectorias de
audaces y coherentes con los problemas y necesidades que implantación o cursos de acción a seguir, cronogramas,
deben atender o satisfacer, evitando proposiciones genéricas responsables, indicadores para monitorear y evaluar su
que no permitan su cuantificación y definiendo los posibles cumplimiento y los riesgos que pueden afectar tal
riesgos asociados al cumplimiento de las prioridades. cumplimiento y los controles para su mitigación.
Importante
En atención a lo que establece COSO ERM 2017, los planes,
programas o proyectos deben contemplar los riesgos para
su ejecución y logro de sus objetivos.
4
Conocimiento y análisis de la entidad
5
ESQUEMA 1
ESQUEMA 2
3.4 Seguimiento
Riesgos de Reportes periódicos 6
Corrupción
Importante
MIPG establece que esta es una tarea propia del equipo directivo y
se debe hacer desde el ejercicio de Direccionamiento Estratégico y de
Planeación. En este punto, se deben emitir los lineamientos precisos
para el tratamiento, manejo y seguimiento a los riesgos que afectan
el logro de los objetivos institucionales.
7
Importante
Los riesgos de corrupción no admiten aceptación del riesgo, siempre debe conducir a un tratamiento.
La alta dirección debe definir cuáles procesos son susceptibles frente a los riesgos de corrupción, no todos los procesos lo
son, pues depende de la complejidad y dinámica de la entidad. 8
Conceptos básicos relacionados con el Riesgo
Plan Anticorrupción y de
Consecuencia: los efectos o
Atención al Ciudadano: plan que
situaciones resultantes de la
contempla la estrategia de lucha Mapa de Riesgos: documento con
materialización del riesgo que
contra la corrupción que debe ser la información resultante de la
impactan en el proceso, la
implementada por todas las gestión del riesgo.
entidad, sus grupos de valor y
entidades del orden nacional,
demás partes interesadas.
departamental y municipal.
Fuente: ICONTEC INTERNACIONAL. (2011). NORMA TÉCNICA COLOMBIANA NTC ISO 31000. Bogotá D.C.: Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC).
ICONTEC Internacional. (2011). NORMA TÉCNICA COLOMBIANA GTC 137. GESTIÓN DEL RIESGO. VOCABULARIO. Bogotá D.C.: Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)
9
Paso 2: Identificación
de Riesgos
Nuñez, A. C. (9 de 11 de 2016). Inboundlead Blog. Obtenido de Los 7 Mejores Ejemplos de Objetivos SMART: https://blog.inboundlead.com/los-7-mejores-ejemplos-de-objetivos-
smart-o-inteligentes-para-empresas
Importante
Los objetivos deben incluir el qué, cómo, para qué, cuándo, cuánto.
Si no están bien definidos los objetivos, no se puede continuar con la metodología de gestión del riesgo.
10
ESQUEMA 4 Aspectos a desarrollar en la Identificación del Riesgo
Anexo 2
ESQUEMA 4 Aspectos a desarrollar en la Identificación del Riesgo Técnicas para Establecimiento del Contexto y Valoración
del Riesgo
Importante
Debe analizarse en cada entidad el contexto particular al que se enfrentan los procesos ante los riesgos
11
de corrupción, conforme a la misionalidad, tamaño y recursos que administra.
MIPG sugiere que se identifiquen las capacidades de la entidad
para desarrollar su gestión y lograr un desempeño acorde con
los resultados que debe conseguir para la generación de valor
público y para ello se debe analizar el contexto interno y externo
de la entidad para la identificación de los riesgos y sus posibles
causas.
12
13
Identificación del riesgo
La identificación del riesgo se realiza determinando las causas con
base en el contexto interno, externo y del proceso que pueden afectar
el logro de los objetivos. Algunas causas externas no controlables por
la entidad se podrán evidenciar en el análisis del contexto externo,
para ser tenidas en cuenta en el análisis y valoración del riesgo.
A partir de este contexto se identifica el riesgo, el cual estará asociado
a aquellos eventos o situaciones que pueden entorpecer el normal
desarrollo de los objetivos del Proceso.
Las preguntas claves para la identificación del riesgo permiten
determinar:
¿QUÉ PUEDE SUCEDER? Identificar la afectación del cumplimiento del
objetivo estratégico o del proceso según sea el caso.
¿CÓMO PUEDE SUCEDER? Establecer las causas a partir de los factores
determinados en el contexto
¿CUÁNDO PUEDE SUCEDER? Determinar de acuerdo al desarrollo del Importante
En la descripción del riesgo se deben tener en cuenta las respuestas a
proceso las preguntas arriba mencionadas.
¿QUÉ CONSECUENCIAS TENDRÍA SU MATERIALIZACIÓN? Determinar
los posibles efectos por la materialización del riesgo
ELABORACIÓN: Departamento Administrativo de la Función Pública
14
Riesgo de Corrupción
Definición de riesgo de corrupción: Los riesgos de corrupción se establecen sobre procesos. El
riesgo debe estar descrito de manera clara y precisa. Su
Riesgo de Corrupción: posibilidad de que por acción redacción no debe dar lugar a ambigüedades o confusiones
con la causa generadora de los mismos.
u omisión, se use el poder para desviar la gestión de lo
público hacia un beneficio privado.
Con el fin de facilitar la identificación de riesgos de
“Esto implica que las prácticas corruptas son realizadas por corrupción y de evitar que se presenten confusiones entre
un riesgo de gestión y uno de corrupción, se sugiere la
actores públicos y/o privados con poder e incidencia en la
utilización de la Matriz de definición de riesgo de
toma decisiones y la administración de los bienes públicos”.
corrupción, que incorpora cada uno de los componentes
(Conpes N° 167 de 2013) de su definición. Si en la descripción del riesgo, las casillas
son contestadas todas afirmativamente, se trata de un
Es necesario que en la descripción del riesgo concurran los riesgo de corrupción, así:
componentes de su definición, así:
15
Paso 2: Identificación
de Riesgos
Riesgos Gerenciales: posibilidad de ocurrencia de eventos que afecten los CORRUPCIÓN LEGAL
PELIGRO
procesos misionales de la entidad. PARA
DE
HUMANOS OTRAS MERCADO
TIPOLOGÍAS
DE RIESGOS
Riesgos Financieros: posibilidad de ocurrencia de eventos que afecten los estados EJEMPLO
financieros y todas aquellas áreas involucradas con el proceso financiero como
presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc.
SEGURIDAD
DE LIQUIDEZ
ALIMENTICIA
ANÁLISIS DE CAUSAS
mantener actualizada la base de mayor frecuencia de reinducción • 5 porqué o 3 porqué
datos de proveedores y el registro para actualizar al personal ante los
de contrataciones. cambios normativos. • Matriz de priorización
Estrategias FO (Crecimiento) Estrategias DA (Fuga) • Análisis de causa raíz RCA
F1O1: Adquirir software con sus D1,2A1,2: Convocar en forma
• Espina de pescado
códigos fuentes para que los extraordinaria un comité • Tormenta de ideas
ingenieros de sistema de la Institucional de Coordinación de • Análisis de árbol de fallos
compañía realicen los desarrollos Control Interno para analizar y
a la medida de la organización. aplicar medidas inmediatas que, • Análisis de causa y efecto
dentro de la legalidad, permitan el • Análisis de árbol de eventos
reabastecimiento inmediato de • Análisis qué pasa si
bienes y servicios.
• Árboles de decisión
Fuente: adaptado de Celis, Ó. B. (2012). Gestión Integral de Riesgos. Bogotá D.C.: Consorcio Gráfico Ltda. • Análisis de modo y efecto de la falla
• Delphi
Importante
Las estrategias DO y FA podrán ser utilizadas mas adelante como
acciones de control para el tratamiento de riesgos, por cuanto están
Fuente: ICONTEC Internacional. (2013). NORMA TÉCNICA COLOMBIANA NTC-IEC/ISO 31010. GESTION
atacando las causas (debilidades y amenazas), y las estrategias DA, DE RIESGOS. TÉCNICAS DE VALORACIÓN DEL RIESGO. Bogotá D.C.: Instituto Colombiano de
pueden servir para la formulación de acciones de contingencia para Normas Técnicas y Certificación (ICONTEC).
reestablecer la normalidad de manera inmediata al momento que el
riesgo se materialice. Importante
Ver caja de herramientas anexa a la Guía, que explica varias de estas
metodologías. 19
Paso 2: Identificación
de Riesgos
Priorización de causas Nro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom
Las causas identificadas en el establecimiento del contexto, sirven de
1 Insuficiente capacitación 10 8 9 7 10 9 53 8,8
base para determinar las causas raíz o causas subyacentes, para ello es del personal de contratos.
indispensable priorizarlas. A continuación presentamos a manera de 2 Fallas en la radicación de 1 6 2 6 5 6 26 4,3
Importante
Otro método utilizado para hacer análisis y priorización de causas son los 3
Fuente: ICONTEC Internacional. (2013). NORMA TÉCNICA COLOMBIANA NTC-IEC/ISO 31010. GESTION porqué, en el que se pregunta porqué se puede materializar el riesgo, en tres
DE RIESGOS. TÉCNICAS DE VALORACIÓN DEL RIESGO. Bogotá D.C.: Instituto Colombiano de 20
Normas Técnicas y Certificación (ICONTEC).
ocasiones hasta encontrar la causa raíz.
Paso 2: Identificación
de Riesgos
Formato de descripción del riesgo
Importante
La descripción del riesgo consolida los pasos vistos en la
metodología de gestión del riesgo y facilita su análisis.
21
Paso 2: Identificación
de Riesgos
Formato de descripción del riesgo
Importante
En la descripción de los riesgos de corrupción deben concurrir TODOS los componentes de su definición:
Acción u omisión + uso del poder + desviación de la gestión de lo público + el beneficio privado.
22
Paso 3: valoración del
riesgo En este paso los integrantes del equipo de trabajo, a menos que posean
datos históricos sobre el número de eventos que se hayan materializado
Análisis de la Probabilidad en un periodo de tiempo, deben calificar en privado, (para no generar
Se analiza qué tan posible es que ocurra el riesgo, se expresa en términos polémica o influencia en el criterio de los otros), el nivel de probabilidad
de frecuencia o factibilidad, donde frecuencia implica analizar el número en términos de factibilidad, de forma similar a la priorización de causas,
de eventos en un periodo determinado, se trata de hechos que se han para definir el nivel de probabilidad de cada riesgo, de acuerdo con la
materializado o se cuenta con un historial de situaciones o eventos tabla de criterios establecida.
asociados al riesgo; factibilidad implica analizar la presencia de factores Matriz de priorización probabilidad
internos y externos que pueden propiciar el riesgo, se trata en este caso Nro RIESGO P1 P2 P3 P4 P5 P6 Tot Prom
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la - Pérdida de Información crítica para la entidad que no se puede recuperar.
entidad en un valor ≥50% - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente presupuestal.
regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad. - Imagen institucional afectada en el orden nacional o regional por actos o hechos de
corrupción comprobados.
- Impacto que afecte la ejecución presupuestal en un valor ≥20% - Interrupción de las operaciones de la Entidad por más de dos (2) días.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la - Sanción por parte del ente de control u otro ente regulador.
MAYOR
entidad en un valor ≥20% - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente metas de gobierno.
regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad. - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la
prestación del servicio a los usuarios o ciudadanos.
- Impacto que afecte la ejecución presupuestal en un valor ≥5% - Interrupción de las operaciones de la Entidad por un (1) día.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%. - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes
MODERADO
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la reguladores o una demanda de largo alcance para la entidad.
entidad en un valor ≥5% - Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente - Reproceso de actividades y aumento de carga operativa.
regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad. - Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del
servicio a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
- Impacto que afecte la ejecución presupuestal en un valor ≥1% - Interrupción de las operaciones de la Entidad por algunas horas.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%. - Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias.
MENOR
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la - Imagen institucional afectada localmente por retrasos en la prestación del servicio a los
entidad en un valor ≥1% usuarios o ciudadanos.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5% - No hay interrupción de las operaciones de la entidad.
INSIGNIFICANTE
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%. - No se generan sanciones económicas o administrativas.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la - No se afecta la imagen institucional de forma significativa.
entidad en un valor ≥0,5%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
24
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
Paso 3: valoración del
riesgo
Importante
Matriz de criticidad de 5x5 significa la matriz para ubicar el nivel de FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
riesgo que cuenta con 5 niveles en probabilidad y 5 niveles en impacto.
25
Nro PREGUNTA: Respuesta
Paso 3: valoración del Si el riesgo de corrupción se materializa podría...
SI NO
riesgo
1 ¿Afectar al grupo de funcionarios del proceso? X
Importante
Aunque se utilice el mismo mapa de calor , para los riesgos de gestión y
de corrupción, a estos últimos sólo les aplican las columnas de impacto
Moderado, Mayor y Catastrófico.
Fuente: Secretaría de Transparencia de la Presidencia de la República
27
Tratamiento del
Riesgo
¿Qué es Tratamiento del Riesgo?
Es la respuesta establecida por la Primer Línea de Defensa para la mitigación de los diferentes riesgos, incluyendo los riesgos de
Corrupción. A la hora de evaluar las opciones existentes en materia de tratamiento del riesgo, y partiendo de lo que establezca la
política de administración del riesgo, los dueños de los procesos tendrán en cuenta la importancia del riesgo, lo cual incluye el
efecto que puede tener sobre la entidad, la probabilidad e impacto del riesgo, y la relación costo beneficio de las medidas de
tratamiento. Pero en caso de que una respuesta ante el riesgo, derive en un riesgo residual que supere los niveles aceptables para
la dirección, se deberá volver a analizar y revisar dicho tratamiento. En todo los casos para los riesgos de corrupción, la respuesta
será evitar, compartir o reducir el riesgo. Ningún riesgo de corrupción podrá ser aceptado. El tratamiento o respuesta dada al
riesgo, se enmarca en las siguientes categorías:
Aceptar el Riesgo. Reducir el Riesgo
Se adoptan medidas para reducir la
No se adopta ninguna medida que afecte probabilidad o el impacto del riesgo, o
la probabilidad o el impacto del riesgo. ambos; por lo general conlleva a la
implementación de controles.
Tratamiento
del Riesgo
Evitar el Riesgo Compartir el Riesgo
Se abandonan las actividades que dan Se reduce la probabilidad o el impacto del
lugar al riesgo, decidiendo no iniciar o no riesgo, transfiriendo o compartiendo una
continuar con la actividad que causa el parte del riesgo.
riesgo. 28
Tratamiento del Riesgo
Aceptar El Riesgo
Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser
aceptado. Esto debería aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.
ACEPTAR
La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero
también pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por
29
ende, se acepta el riesgo. En ambos escenarios debe existir un seguimiento continuo del riesgo.
Tratamiento del Riesgo
Evitar El Riesgo
Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el
riesgo, mediante la cancelación de una actividad o conjunto de actividades.
RIESGO
MEDIDA DE TRATAMIENTO
ANTES DE
MEDIDA DE
TRATAMIENTO
EVITAR
NO HAY RIESGOS
DESPUES DE
MEDIDA DE
TRATAMIENTO
Compartir El Riesgo
Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para
gestionarlo, el riesgo puede ser compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que
normalmente no es posible transferir la responsabilidad del riesgo.
RIESGO
MEDIDA DE TRATAMIENTO
ANTES DE
MEDIDA DE
TRATAMIENTO
COMPARTIR
Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo:
seguros y tercerización. Estos mecanismos de transferencia de riesgos deberían estar
formalizados a través de un acuerdo contractual. 31
Tratamiento del Riesgo
Reducir El Riesgo
El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda
reevaluar como algo aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.
RIESGO
ANTES DE MEDIDA DE TRATAMIENTO
MEDIDA DE
TRATAMIENTO
REDUCIR
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
POLITICAS PROCEDIMIENTOS
y ejecutarse como parte del día a día de las operaciones. 2013 - Actividades de Control.
33
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
34
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
Las actividades de control, independiente de la tipología de riesgo a tratar, deben tener una adecuada combinación para prevenir que
la situación de riesgo se origine, o en caso de que la situación de riesgos se presente, esta sea detectada de manera oportuna.
CLASIFICACIÓN DE LAS
ACTIVIDADES DE CONTROL
PASO
Debe dejar evidencia de la ejecución del control.
6 37
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
¿Y como defino o establezco un control que mitigue el riesgo?
Al momento de definir si un control
PASO Debe tener definido el responsable de la actividad de
o controles mitigan de manera
1 control.
adecuada el riesgo, se debe
considerar desde la redacción del Responsable
mismo, las siguientes variables Persona asignada de ejecutar el control. Debe tener la
autoridad, competencias y conocimientos para ejecutar el
control dentro del proceso y sus responsabilidades deben ser
VARIABLES A EVALUAR adecuadamente segregadas o redistribuidas entre diferentes
PARA EL ADECUADO
individuos para reducir así el riesgo de error o de actuaciones
DISEÑO DE
irregulares o fraudulentas. Si ese responsable quisiera hacer algo
CONTROLES
indebido, por si solo, no lo podría hacer. Si la respuesta es que
cumple con esto, quiere decir que el control esta bien diseñado,
si la respuesta es que no cumple, tenemos que identificar la
situación y mejorar el diseño del control con relación a la
persona responsable de su ejecución.
38
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
Cuando un control se hace de manera manual (ejecutado Cuando el control lo hace un sistema o una aplicación de
por personas) es importante establecer el cargo manera automática a través de un sistema programado,
responsable de su realización. es importante establecer como responsable de ejecutar
el control, el sistema o aplicación.
IMPORTANTE 1
VARIABLES A EVALUAR ejecución debe ser consistente y oportuna para la mitigación del
Hay controles que no tienen una periodicidad especifica, como por ejemplo, los controles que se ejecutan en el proceso de contratación
de proveedores. Solo se ejecutan cuando se contratan proveedores. La periodicidad debe quedar redactada de tal forma que indique
que cada vez que se desarrolla la actividad, se ejecuta el control.
PASO
Debe tener una periodicidad definida para su ejecución
2
De igual forma hay controles
• El Profesional de Contratación cada vez que se va a realizar un contrato
automáticos que son programados para
con un proveedor de servicios. que se ejecuten en un tiempo
especifico, estos controles también
• El Auxiliar de Cartera mensualmente. tienen una periodicidad.
• El Coordinador de Operaciones diariamente
• La Coordinadora de Nomina quincenalmente • El sistema SAP cada vez que
se va a realizar un pago.
IMPORTANTE 1
• Todo los controles deben tener una periodicidad especifica. Si queda a criterio la periodicidad de la
realización del control, tendríamos un problema en el diseño del Control. 41
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
¿Y como defino o establezco un control que mitigue el riesgo?
Al momento de definir si un control
PASO Debe indicar cuál es el propósito del control.
o controles mitigan de manera
3
adecuada el riesgo, se debe
considerar desde la redacción del Propósito
mismo, las siguientes variables
El control debe tener un propósito que indique para qué se
realiza el control, y que ese propósito conlleve a prevenir las
causas que generan el riesgo (verificar, validar, conciliar,
VARIABLES A EVALUAR
PARA EL ADECUADO comparar, revisar, cotejar), o detectar la materialización del
Al momento de identificar los controles para mitigar el riesgo, debemos preguntarnos, si es una actividad o un control y para
diferenciarlo es importante que el control (verifica, valida, concilia, coteja, compara, etc.) ayude a la mitigación del riesgo, por eso es
importante que pensemos primero en tener controles preventivos antes que detectivos.
PASO
Debe indicar cual es el propósito del control.
3
• El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación.
• El Auxiliar de Cartera mensualmente verifica que los valores recaudados en Banco correspondan con los saldos
adeudados por los clientes.
Esto también aplica para controles que son realizados de manera automática a través de un sistema programado.
• El sistema SAP cada vez que se va a realizar un pago valida que el proveedor al cual se le va a girar el
pago no este reportado en listas restrictivas o de lavado de activos y financiación del terrorismo.
IMPORTANTE 1
43
• El control debe tener un propósito (verifica, valida, coteja, compara, revisa) para mitigar la causa de la materialización del riesgo.
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
¿Y como defino o establezco un control que mitigue el riesgo?
Al momento de definir si un control
PASO
o controles mitigan de manera Debe establecer el como se realiza la actividad de control.
4
adecuada el riesgo, se debe
considerar desde la redacción del Como se realiza
mismo, las siguientes variables El control debe indicar el como se realiza, de tal forma que se
pueda evaluar si la fuente u origen de la información que sirve
para ejecutar el control, es confiable para la mitigación del
VARIABLES A EVALUAR
riesgo.
PARA EL ADECUADO
DISEÑO DE Cuando estemos evaluando el control, debemos preguntarnos,
CONTROLES si la fuente de información utilizada ¿Es información confiable?,
imaginémonos, que la validación de que si el proveedor cumple
con los requisitos de contratación, no la estemos realizando con
una lista de chequeo, si no de memoria, por que los requisitos
no los sabemos de memoria, o que la conciliación la realicemos
con un extracto de Bancos que fue suministrado por la misma
44
área de cartera o a través de un archivo en Excel.
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
PASO
Debe establecer el como se realiza la actividad de control.
4
• El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.
• El auxiliar de Cartera mensualmente verifica que los valores recaudados en Banco correspondan con los saldos
adeudados por los clientes, extractando la información directamente del portal Bancario del extracto y
generando el auxiliar contable de cuentas por cobrar del aplicativo, identificando las cuentas x cobrar pendientes
de pago que fueron canceladas según extracto bancarios.
• El sistema SAP cada vez que se va a realizar un pago valida que el proveedor al cual se le va a girar el pago no
este reportado en listas restrictivas comparando el Numero de Identificación Tributaria (NIT) o Cedula con la
información cargada en el aplicativo de las listas de clientes reportados en temas de Lavado de Activos y
45
Financiación del Terrorismo.
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
¿Y como defino o establezco un control que mitigue el riesgo?
Al momento de definir si un control
PASO Debe indicar que pasa con las observaciones o desviaciones
o controles mitigan de manera
5 resultantes de ejecutar el control.
adecuada el riesgo, se debe
considerar desde la redacción del Que pasa con las observaciones
mismo, las siguientes variables o desviaciones
• El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación.
• El auxiliar de Cartera mensualmente verifica que los valores recaudados en Banco correspondan con los saldos
adeudados por los clientes, extractando la información directamente del portal Bancario del extracto y
generando el auxiliar contable de cuentas por cobrar del aplicativo, identificando las cuentas x cobrar pendientes
de pago que fueron canceladas según extracto bancarios. En caso de observar cuentas de cobro que a la fecha no
se ha recibido el pago, lista las cuentas pendientes de pago y realiza llamadas a los clientes y solicita que le
indiquen la fecha para el pago oportuno de las mismas. 47
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
• El sistema SAP cada vez que se va a realizar un pago valida que el proveedor al cual se le va a girar el pago no este
reportado en listas restrictivas comparando el Numero de Identificación Tributaria (NIT) o Cedula con la
información cargada en el aplicativo de las listas de clientes reportados en temas de Lavado de Activos y
Financiación del Terrorismo. En caso de encontrar coincidencias el sistema no permite realizar el pago.
1
IMPORTANTE
PARA EL ADECUADO pueda evaluar que el control realmente fue ejecutado de acuerdo a
PASO
Debe dejar evidencia de la ejecución del control.
6
• El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información
suministrada por el proveedor corresponda con los requisitos establecidos de contratación, a través de una
lista de chequeo donde están los requisitos de información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar información faltante, requiere al proveedor a través
de correo para el suministro de la información y poder continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos que aplique.
50
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
PASO
Debe dejar evidencia de la ejecución del control.
6
• El auxiliar de Cartera mensualmente verifica que los valores recaudados en Banco correspondan con los
saldos adeudados por los clientes, extractando la información directamente del portal Bancario del
extracto y generando el auxiliar contable de cuentas por cobrar del aplicativo, identificando las cuentas x
cobrar pendientes de pago que fueron canceladas según extracto bancarios. En caso de observar cuentas
de cobro que a la fecha no se ha recibido el pago, lista las cuentas pendientes de pago y realiza llamadas a
los clientes y solicita que le indiquen la fecha para el pago oportuno de las mismas. Como evidencia queda
listado de cuentas por cobrar pendientes de pago en Excel con los compromisos acordados con los clientes
y extracto bancario.
51
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
PASO
Debe dejar evidencia de la ejecución del control.
6
Hay controles que su evidencia queda en un flujo a través de una aplicación como un aprobado o revisado o que la evidencia
cuando es un control automático es la configuración y programación de la aplicación.
• El sistema SAP cada vez que se va a realizar un pago valida que el proveedor al cual se le va a girar el
pago no este reportado en listas restrictivas, comparando el Numero de Identificación Tributaria (NIT) o
Cedula con la información cargada en el aplicativo de las listas de clientes reportados en temas de
Lavado de Activos y Financiación del Terrorismo. En caso de encontrar coincidencias el sistema no
permite realizar el pago. Como evidencia queda programación interna del aplicativo y reporte de
coincidencia con listas restrictivas.
52
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
IMPORTANTE
• Para la adecuada mitigación de los riesgos, no basta con que un control este bien diseñado, el control debe ejecutarse por
parte de los responsables tal como se diseño. Por que un control que no se ejecute, o un control que se ejecute y este mal
53
diseñado, no va a contribuir a la mitigación del riesgo.
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
Peso o participación de cada variable en el diseño del control para la adecuada mitigación del riesgo.
Criterio de evaluación. Opción de respuesta al criterio de evaluación Peso en la evaluación del diseño
del control
1.1 Asignación del Responsable. Asignado 15
No Asignado 0
1.2 Segregación y Autoridad del Adecuado 15
Responsable. Inadecuado 0
2. Periodicidad Oportuna 15
Inoportuna 0
3. Propósito Prevenir 15
Detectar 10
No es un Control 0
4. Como se realiza la actividad de Confiable 15
control. No Confiable 0
5. Que pasa con las observaciones Se investigan y resuelven oportunamente 15
o desviaciones.
No se investigan y resuelven oportunamente. 0
6. Evidencia de la ejecución del Completa 10
control. Incompleta 5
No Existe 0
55
Ver KIT de Herramientas de Gestión de Riesgos – Matriz de Riesgos y Controles.
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
diseño del control, ya que deben cumplirse toda las Fuerte Calificación entre 96 y 100
variables, para que un control se evalué como bien Moderado Calificación entre 86 y 95
El resultado de las calificaciones del control o promedio en el diseño de los controles, que este por debajo de 96 %, se debe
establecer un plan de acción que permita tener un control o controles bien diseñados.
responsable del proceso, y posteriormente se confirma con Débil El control no se ejecuta por parte del
responsable.
las actividades de evaluación realizadas por Auditoría Interna
56
o Control Interno
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
Peso del diseño individual o El Control se ejecuta de manera Solides individual de cada control Aplica plan de acción
promedio de los Controles. consistente por los responsables. Fuerte:100 para fortalecer el
(DISEÑO) (EJECUCION) Moderado:50 Control
Si / NO
Debil:0
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte No
Fuerte
Moderado ( Algunas veces) Fuerte + Moderado = Moderado Si
Calificación Entre 96 y 100
Débil (No se ejecuta) Fuerte + Débil = Débil Si
Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado Si
Moderado Moderado (Algunas veces) Moderado + Moderado = Moderado Si
Calificación Entre 86 y 95
Débil (No se ejecuta) Moderado + Débil = Débil Si
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil Si
Débil
Moderado (Algunas veces) Débil + Moderado = Moderado Si
Entre 0 y 85
Débil (No se ejecuta) Débil + Débil = Débil Si 57
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
Solidez del conjunto de controles para la adecuada mitigación del riesgo.
Dado que un riesgo puede tener varias causas y a su vez varios controles y la calificación se realiza al riesgo, es importante evaluar
el conjunto de controles asociados al riesgo.
Diseño del Ejecución Solidez individual Solidez del Conjunto
Riesgos Causas o Fallas Controles
Control del Control del Control de Controles
Siempre se va a encontrar mas controles que disminuyen directamente la probabilidad que el impacto, si no existieran controles
para disminuir la probabilidad del riesgo, el impacto de un riesgo por el numero de eventos que se llegarían a materializarse seria
mayor, en nuestro ejemplo si no existiera el control de verificar que la información suministrada por el proveedor corresponda con
los requisitos establecidos de contratación, para poder asignar un contrato, el numero de contratos que se incumplirían, seria
mayor, por tal razón y para efectos de la elaboración de la matriz y al momento de evaluar si los controles ayudan a disminuir el
impacto o la probabilidad, estos controles se calificarán que de manera indirecta disminuyen también el impacto.
59
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
Dado que ningún riesgos con una medida de tratamiento se evita o elimina, el desplazamiento de un riesgo inherente en su
probabilidad o impacto para el calculo del riesgo residual, se realizara de acuerdo a la siguiente tabla:
Si la solidez del conjunto de los controles es Débil, este no disminuirá ningún cuadrante de impacto o probabilidad asociado al
60
riesgo.
Tratamiento del Riesgo – Rol de la Primera Línea de Defensa.
Resultados del Mapa de Riesgo Residual.
Una vez realizado el análisis y evaluación de los controles para la mitigación de los riesgos, procedemos a la elaboración del
mapa de riesgo residual (después de los controles ).
¿Quiénes son los asignados para monitorear y revisar la Gestión de Riesgos y Cuales son sus roles?
El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el
MECI a través de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad
como sigue:
LINEA ESTRATÉGICA
Define el marco general para la gestión del riesgo y el control y supervisa su cumplimiento, esta a cargo de la Alta Dirección, el
equipo directivo, incluyendo el Comité Institucional de Gestión y Desempeño y el Comité Institucional de Coordinación de Control
Interno.
1ª. Línea de Defensa 2ª. Línea de Defensa 3ª. Línea de Defensa
Conformada por servidores responsables de Conformada por la Oficina de Control
A cargo de los Gerentes públicos y
monitoreo y evaluación de controles y Interno o Auditoría Interna de la Entidad.
líderes de procesos o gerentes
gestión del riesgo, jefes de planeación,
operativos de programas y proyectos
supervisores o interventores de contrato o 62
de la entidad
proyectos y coordinadores de otros sistemas.
Monitoreo y Revisión – Rol de las Líneas de Defensa.
Rol de la Línea Estratégica en el Monitoreo y Revisión de los riesgos y actividades de Control
LINEA ESTRATÉGICA
Define el marco general para la gestión del riesgo y el control y supervisa su cumplimiento, esta a cargo de la Alta Dirección, el
equipo directivo, incluyendo el Comité Institucional de Gestión y Desempeño y el Comité Institucional de Coordinación de Control
Interno.
La alta dirección y el equipo directivo, a través de sus comités deben monitorear y revisar el cumplimiento a los objetivos a
través de una adecuada gestión de riesgos con relación a lo siguiente:
✓ Revisar los cambios en el Direccionamiento Estratégico y como estos puedan generar nuevos riesgos o modificar los que ya se
Actividades de Monitoreo y Revisión a Realizar
tienen identificados.
✓ Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base
para llevar a cabo la identificación de los riesgos.
✓ Hacer seguimiento en el Comité Institucional y de Control Interno a la implementación de cada una de las Etapas de la Gestión
del Riesgos y los resultados de las evaluaciones realizadas por Control Interno o Auditoría Interna.
✓ Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en caso de que no se estén
cumpliendo, los posibles riesgos que se están materializando en el cumplimiento de los objetivos.
✓ Hacer seguimiento y pronunciarse por lo menos cada trimestre sobre el perfil de riesgo inherente y residual de la entidad,
incluyendo los riesgos de corrupción y de acuerdo a los políticas de tolerancia establecidas y aprobadas.
✓ Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han materializado en la entidad,
incluyendo los riesgos de corrupción, así como las causas que dieron origen a esos eventos de riesgos materializados, como
aquellas que están ocasionando que no se logre el cumplimiento de los objetivos y metas, a través del análisis de indicadores
asociados a dichos objetivos.
✓ Revisar los planes de acción establecidos para cada uno de los riesgos materializados, con el fin de que se tomen medidas
oportunas y eficaces para evitar en lo posible la repetición del evento. 63
Monitoreo y Revisión – Rol de las Líneas de Defensa.
Rol de la Primer Línea de Defensa en el Monitoreo y Revisión de los riesgos y actividades de Control
modificar los que ya se tienen identificados en cada uno de sus procesos, para la actualización de la matriz de riesgos de su
proceso.
✓ Revisión como parte de sus procedimientos de supervisión, la revisión del adecuado diseño y ejecución de los controles
establecidos para la mitigación de los riesgos.
✓ Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los procedimientos.
✓ Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempeño, e identificar en caso de que no se
estén cumpliendo, los posibles riesgos que se están materializando en el cumplimiento de los objetivos.
✓ Revisar y reportar a planeación, los eventos de riesgos que se han materializado en la entidad, incluyendo los riesgos de
corrupción, así como las causas que dieron origen a esos eventos de riesgos materializados, como aquellas que están
ocasionando que no se logre el cumplimiento de los objetivos y metas, a través del análisis de indicadores asociados a dichos
objetivos. Ver KIT de Herramientas – Reportes de Eventos de Riesgos Materializados.
✓ Revisar los planes de acción establecidos para cada uno de los riesgos materializados, con el fin de que se tomen medidas
oportunas y eficaces para evitar en lo posible la repetición del evento y lograr el cumplimiento a los objetivos.
✓ Revisar y hacer seguimiento al cumplimiento de las actividades y planes de acción acordados con la Línea Estratégica, Segunda
y Tercer Línea de Defensa con relación a la Gestión de Riesgos. 64
Monitoreo y Revisión – Rol de las Líneas de Defensa.
Rol de la Segunda Línea de Defensa en el Monitoreo y Revisión de los riesgos y actividades de Control
2ª. LINEA DE DEFENSA
Asiste y guía a la Línea Estrategia y la Primera Línea de Defensa en la Gestión adecuada de los Riesgos que pueden afectar el
cumplimiento de los objetivos institucionales y de sus procesos, incluyendo los riesgos de corrupción, a través del establecimiento
de directrices y apoyo en el proceso de identificar, analizar, evaluar y tratar los riesgos, y realiza un monitoreo independiente al
cumplimiento de las etapas de la gestión de riesgos. Esta conformada por servidores responsables de monitoreo y evaluación de
controles y gestión del riesgo (jefes de planeación, supervisores e interventores de contratos o proyectos, responsables de
sistemas de gestión, etc.)
Los jefes de planeación, supervisores e interventores de contratos o proyectos o responsables de sistemas de gestión deben
monitorear y revisar el cumplimiento de los objetivos institucionales y de procesos a través de una adecuada gestión de
Actividades de Monitoreo y Revisión a Realizar
✓ Revisión de la adecuada definición y desdoblamiento de los objetivos institucionales a los objetivos de los procesos, que han
servido de base para llevar a cabo la identificación de los riesgos, y realizar las recomendaciones a que haya lugar.
✓ Revisar el adecuado diseño de los controles para la mitigación de los riesgos que se han establecido por parte de la Primer
Línea de Defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos.
✓ Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este
por fuera del perfil de riesgo de la entidad.
✓ Hacer seguimiento a que las actividades de control establecidas para la mitigación de los riesgos de los procesos se encuentren
documentadas y actualizadas en los procedimientos.
✓ Revisar los planes de acción establecidos para cada uno de los riesgos materializados, con el fin de que se tomen medidas 65
oportunas y eficaces para evitar en lo posible que se vuelva a materializar el riesgo y lograr el cumplimiento a los objetivos.
Monitoreo y Revisión – Rol de las Líneas de Defensa.
Rol de la Tercera Línea de Defensa en el Monitoreo y Revisión de los riesgos y actividades de Control.
3ª. LINEA DE DEFENSA
Provee aseguramiento independiente y objetivo sobre la efectividad del sistema de gestión de riesgos, validando que la línea
estratégica, la primer línea y segunda línea de defensa cumplan con sus responsabilidades en la Gestión de Riesgos para el logro
en el cumplimiento de los objetivos institucionales y de proceso, a si como los riesgos de corrupción. Esta conformada por la
Oficina de Control Interno o Auditoria Interna.
La oficina de control interno o auditoría interna monitorea y revisa de manera independiente y objetiva el cumplimiento de
los objetivos institucionales y de procesos, a través de la adecuada gestión de riesgos, incluyendo los riesgos de corrupción
con relación a lo siguiente:
Actividades de Monitoreo y Revisión a Realizar
✓ Revisar los cambios en el Direccionamiento Estratégico o en el entorno y como estos puedan generar nuevos riesgos o
modificar los que ya se tienen identificados en cada uno de los procesos, con el fin de que se identifiquen y actualicen las
matrices de riesgos por parte de los responsables.
✓ Revisión de la adecuada definición y desdoblamiento de los objetivos institucionales a los objetivos de los procesos, que han
servido de base para llevar a cabo la identificación de los riesgos, y realizar las recomendaciones a que haya lugar.
✓ Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los objetivos de los procesos,
incluyendo los riesgos de corrupción.
✓ Revisar el adecuado diseño y ejecución de los controles para la mitigación de los riesgos que se han establecido por parte de la
Primer Línea de Defensa y realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos.
✓ Revisar el perfil de riesgo inherente y residual por cada proceso y consolidado y pronunciarse sobre cualquier riesgo que este
por fuera del perfil de riesgo de la entidad o que su calificación del impacto o probabilidad del riesgo no es coherente con los
resultados de las auditorias realizadas.
✓ Hacer seguimiento a que las actividades de control establecidas para la mitigación de los riesgos de los procesos se encuentren
documentadas y actualizadas en los procedimientos y los planes de acción establecidos como resultados de las auditorias
realizadas, se realicen de manera oportuna, cerrando las causas raíz del problema, evitando en lo posible la repetición66 de
hallazgos o materialización de riesgos.
Reporte Plan de Tratamiento de Riesgos
al
Moderado
actualizar al personal ante los Humano actual - # de casos de
31012018
desabastecimiento
cambios normativos contables.
presentados periodo
Mayor
entidad
Catastrófico
administrativ Contratos mente
técnico multidisciplinario.
reglas, fórmulas
Probable de manejo de
o riesgos= ((# de casos
matemáticas, condiciones
Mayor
conformando de favorecimiento a
o requisitos comité proponentes
para favorecer a presentados periodo
determinados proponentes. actual - # de casos de
favorecimiento a
proponentes
presentados periodo
Pliegos que restringen Reducir Difusión y capacitación Actas de Director Del anterior) / # de casos
capacitación 01012018 de favorecimiento a
la participación a todos los Talento
al proponentes
o pluralidad de funcionarios del Humano 31032018 presentados periodo
ofertas. proceso. anterior ) x 100
69
Información, comunicación y reporte
Corresponde a los Jefes de Área y/o Grupo (primera línea de defensa) asegurarse de promover la participación de los funcionarios con mayor experticia, con
implementar esta metodología para mitigar los riesgos en la operación, reportando a la
segunda línea sus avances y dificultades el fin de que aporten su conocimiento en la identificación, análisis y
valoración del riesgo.
Adaptado de: Instituto de Auditores Internos de Colombia. (2017). MARCO INTERNACIONAL PARA LA 70
PRÁCTICA PROFESIONAL DE LA AUDITORÍA INTERNA. Bogotá D.C.
ESQUEMA 11 Comunicación y Consulta – Aspecto Transversal
71
Gestión del Riesgo de Corrupción.
72
Referencias Bibliográficas
Celis, Ó. B. (2012). Gestión Integral de Riesgos. Bogotá D.C.: Consorcio Gráfico Ltda.
COSO Committee of Sponsoring Organizations of the Treadway Commission. (2017). Enterprise Risk Management.
Integrating with Strategy and Performance. Durham: Association of International Certified Professional
Accountants.
COSO Committee of Sponsoring Organizations of the Treadway Commission. PwC. Instituto de Auditores Internos de
España. (2013). Control Interno - Marco Integrado. Marco y Apéndices. Instituto de Auditores Internos de España.
ICONTEC Internacional. (2011). NORMA TÉCNICA COLOMBIANA GTC 137. GESTIÓN DEL RIESGO. VOCABULARIO. Bogotá
D.C.: Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC).
ICONTEC Internacional. (2011). NORMA TÉCNICA COLOMBIANA NTC ISO 31000. GESTIÓN DEL RIESGO. PRINCIPIOS Y
DIRECTRICES. Bogotá D.C.: Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC).
ICONTEC Internacional. (2013). NORMA TÉCNICA COLOMBIANA NTC-IEC/ISO 31010. GESTION DE RIESGOS. TÉCNICAS DE
VALORACIÓN DEL RIESGO. Bogotá D.C.: Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC).
Instituto de Auditores Internos de Colombia. (2017). MARCO INTERNACIONAL PARA LA PRÁCTICA PROFESIONAL DE LA
AUDITORÍA INTERNA. Bogotá D.C.
Nuñez, A. C. (9 de 11 de 2016). Inboundlead Blog. Obtenido de Los 7 Mejores Ejemplos de Objetivos SMART:
https://blog.inboundlead.com/los-7-mejores-ejemplos-de-objetivos-smart-o-inteligentes-para-empresas
73
Anexos
74
Alineación de la Gestión del Riesgo con MIPG
Dimensiones Operativas
La gestión del riesgo en las organizaciones públicas se
desprende de la dimensión Direccionamiento Estratégico y
Planeación, en la cual se genera la política de administración
de riesgo, por la línea estratégica de defensa definida en la
Dimensión de Control Interno.
75
Principales estándares internacionales en los cuales se basa esta Guía
ISO 31000:2009
COSO ERM 2004
Gobierno y Cultura