ADMINISTRACIÓN SISTEMA DE

EVALUACIÓN Y MEJORAMIENTO CONTINUO

GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 1 de 9

1. OBJETIVO

Definir las actividades requeridas para la administración del riesgo, a partir del desarrollo de una metodología
para la identificación, análisis y valoración del riesgo con el fin de definir e implementar planes de acción para
mitigar los riesgos que pueden llegar a generar desviaciones de los procesos e incumplir con la Política para la
Gestión Integral del Riesgo del Invima, los objetivos institucionales o los objetivos de los macroprocesos y
procesos que hacen parte del Sistema de Gestión Integrado del Invima.

2. ALCANCE

Este procedimiento tiene alcance para todos los procesos del Invima y va desde la identificación de los eventos
y riesgos de proceso hasta la implementación de los planes de acción o los controles a que haya lugar, para
mitigar los riesgos y su posterior monitoreo.

No se consideran dentro de este procedimiento los riesgos sanitarios, que son aquellos asociados a los
establecimientos y tipos de productos vigilados por el Invima, debido a que se identifican y administran con la
metodología IVC-SOA.

3. DEFINICIONES

Administración de riesgos1: Conjunto de elementos de control que al interrelacionarse, permiten a la entidad

pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro
de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor
cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes
elementos le permite a la entidad pública autocontrolar aquellos eventos que puedan y la magnitud de sus
consecuencias.

Activo2: Todo aquello que tiene valor para la organización.

Causas: Medios, circunstancias y agentes generadores de riesgo.

Contexto Estratégico: Insumo básico para la identificación de los riesgos en los procesos y actividades, el
análisis se realiza a partir del conocimiento de situaciones del entorno de la institución, tanto de carácter social,
económico, cultural, de orden público, político, legal y /o cambios tecnológicos, entre otros.

Consecuencia: Son los efectos ocasionados por la ocurrencia de un riesgo que afecta los objetivos o procesos
de la entidad. Pueden ser una pérdida, un daño, un perjuicio, un detrimento. La consecuencia se convierte en
un insumo de la mayor importancia, toda vez que es la base para determinar el impacto.

Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de ocurrencia del riesgo, el
impacto de los riesgos y/o asegurar la continuidad del servicio en caso de llegarse a materializar el riesgo.

 Control detectivo: Identifican los eventos en el momento en que se presentan.

 Control preventivo: Anticipan eventos no deseados antes de que sucedan.

 Control correctivo: Aquellos que permiten, después de ser detectado el evento no deseado, el
restablecimiento de la actividad.

Evaluación: Nivel en que se encuentra el riesgo resultado de calificarlo con base a la probabilidad y el impacto
de ellos.

Evaluación del control: Verificación y evaluación del control, determinar la calidad y efectividad de los
controles internos a nivel de los procesos y de cada área organizacional responsable, permitiendo emprender
las acciones de mejoramiento del control requeridas.

Evento: presencia o cambio de un conjunto particular de circunstancias.

Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha
ocurrido un evento en un tiempo dado.

1
Guía para la administración del riesgo, Departamento Administrativo de la Función Pública (DAFP). 2011
2
ISO/IEC 27000:2009, Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la información.
Visión General y vocabulario

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 2 de 9

Impacto: Grado en que las consecuencias pueden generar pérdidas al Invima si se llega a materializar el
riesgo.

Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de
materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.

Probabilidad: Grado en el cual es probable que ocurra un evento, este se debe medir a través de la relación
entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir. La Probabilidad puede ser
medida con criterios de Frecuencia, si se ha materializado o de Factibilidad teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Riesgo: Es la posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de
las funciones de la entidad y le impidan el logro de sus objetivos

 Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de control para
modificar su probabilidad o impacto. Es el riesgo intrínseco de cada actividad, sin tener en cuenta los
controles que de éste se hagan a su interior.

 Riesgo residual: Nivel de riesgo que permanece luego de tomar medidas de control y opciones de
tratamiento de riesgo.

Valoración: Resultado de confrontar el riesgo con la calidad de los controles existentes.

Tipos de riesgos en el Invima:

 Estratégicos (RE): son los riesgos que se generan a partir de las condiciones estratégicas y de
soberanía de la empresa. Pueden afectar el logro de los objetivos y las metas de las direcciones
misionales, riesgos asociados a disponibilidad de capital y a la continuidad del negocio. Usualmente
estos riesgos se identifican en los procesos estratégicos.

 Corrupción (RC): Son los riesgos que se generan de la posibilidad de que por acción u omisión,
mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de
una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

 Operacionales de Calidad (RO): Son los riesgos que se generan a partir de los procesos y servicios,
incluyendo los aspectos relacionados con el funcionamiento y desarrollo de las operaciones.

 Ambientales (RA): Son los riesgos que se generan a partir de las actividades realizadas y que pueden
ocasionar alguna forma de cambio al medio ambiente.

 Seguridad de la Información (RI): Son los riesgos que se generan a partir de la disponibilidad,
protección, integridad y acceso a la información de la organización a través de su infraestructura,
métodos y procesos de generación, almacenamiento, transporte, consulta y análisis. Son aquellos
riesgos que atenten contra la disponibilidad, confidencialidad e integridad de la información
independiente del medio en que esta se encuentre. Este tipo de riesgos serán analizados en conjunto
con la Oficina de Tecnologías de la Información y las comunicaciones.

 Tecnológicos (RT): Son los riesgos que se relacionados con la capacidad tecnológica del Instituto y
que le permite soportar la operación y toma de decisiones de cada una de sus área. Generalmente
asociadas con los sistemas de información, aplicaciones, programas, plataforma tecnológica y de
comunicaciones. Este tipo de riesgos serán analizados en conjunto con la Oficina de Tecnologías de la
Información y las comunicaciones.

 Seguridad y Salud en el Trabajo (RS): Son los riesgos generados en las actividades realizadas y que
pueden afectar el bienestar social, mental y físico de los trabajadores. El grupo de Talento Humano será
el responsable del manejo de los riesgos laborales, sicosociales, riesgos por accidentes de trabajo y
enfermedades laborales bajo las condiciones de organización, a las que pueden estar expuestos sus
trabajadores, contratistas, clientes, usuarios o comunidad ubicada en el área de influencia y serán
reportados en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles
modelo según Norma GTC 45 ICONTEC, publicada en Intranet.

Tratamiento de Riesgos:

 Evitar: tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera

alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales
por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 3 de 9

emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de
los equipos, desarrollo tecnológico, etc.

 Reducir: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de

prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el
método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas
y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de
controles.

 Transferir: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones o
dependencias, como en el caso de los contratos de seguros o a través de otros medios que permiten
distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por
ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de
ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.

 Asumir: luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se
mantiene, en este caso, el líder del proceso simplemente acepta la pérdida residual probable y elabora
planes de contingencia para su manejo. No aplica para los riesgos de corrupción.

4. DOCUMENTOS DE REFERENCIA

Ver Matriz de Requisitos Legales y Otros

Ver Requisitos Normas del Sistema de Gestión Integrado

5. CONTENIDO O DESARROLLO DEL PROCEDIMIENTO

ACTIVIDAD DESCRIPCIÓN RESPONSABLE

Analizar los factores internos o externos del proceso

que pueden generar riesgos que afecten el
cumplimiento de sus objetivos; para esto, se debe
analizar la plataforma estratégica, las metas, objetivos
estratégicos, objetivos asociados a las políticas
Analizar el entorno institucionales y objetivos de cada uno de los procesos.
Servidor Público de todos
estratégico del El análisis del contexto estratégico se realiza a partir los procesos
proceso del conocimiento e identificación de situaciones del
entorno tanto de carácter social, económico, cultural, de
orden público, ambiental, seguridad y salud en el
trabajo, político, legal y /o cambios tecnológicos que
afectan o pueden afectar al cumplimiento de los
objetivos definidos en el Instituto.

Hacer una lluvia de ideas para después listar los

eventos que puedan generar desviación en las
actividades del proceso en estudio, estos eventos
pueden impedir o retrasar el logro de los objetivos del
proceso, se debe realizar con la participación de los
ejecutores de las actividades de los procesos y el
acompañamiento del grupo del Sistema de Gestión
Integrado, basados en sus experiencias, registros y
Líder de proceso o
análisis del procedimiento y lineamientos del proceso,
servidor público de todos
Identificar y registrar lluvia de ideas, reunión de expertos, listas de
los procesos y Grupo de
los eventos verificación, análisis de peligros, controles de proceso
sistema de gestión
existentes, estudios críticos, análisis de escenarios
integrado.
resultados de indicadores, auditorías internas y
externas entre otros.
Las fuentes de información para identificar estos
eventos, entre otras son:
1. Análisis de las actividades que agreguen valor
y/o que el líder del proceso considere criticas
de cada uno de los procedimientos del proceso.

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 4 de 9

ACTIVIDAD DESCRIPCIÓN RESPONSABLE

2. Caracterización del proceso y macroproceso:
Información general, objetivos, alcance
Información relacionada y partes interesadas.
3. Indicadores y Salidas No Conformes: A partir
de esta información se puede evidenciar la
materialización de los eventos.
4. Matriz de identificación de aspectos y
valoración de impactos ambientales y el
panorama de riesgos.
5. Controles asociados a los procedimientos.
6. Entorno del proceso.
Estos eventos se registran en el Formato Evaluación de
Eventos SGI-EMC-FM011, donde se identifican sus
posibles causas, posibles consecuencias para
determinar cuáles son los eventos que requieren
especial atención, los cuales serán priorizados y
tratados como riesgos.
Nota 1: Si, se identifica un evento de Seguridad de la
Información o Tecnológico se debe informar a la Oficina
de Tecnologías de la Información, para tener en cuenta
inicialmente el establecimiento de activos de
información críticos asociados al proceso en análisis,
para determinar si es un proceso crítico para la
seguridad y privacidad de la información.

Revisar la redacción de los eventos priorizados para

ajustarlos y describirlos como riesgos y las posibles
causas y consecuencias, teniendo en cuenta:
Descripción del riesgo:
 Estar escrito en un lenguaje común y
comprensible para toda la Entidad.
 Evitar expresiones de negaciones. Ejemplo:
No afiliar oportunamente.

 Inoportunidad en la afiliación
 Responder fácilmente a la pregunta si ocurre el
riesgo ¿Qué pérdida se genera? Es decir,
permita identificar la pérdida potencial de
dinero, imagen institucional, credibilidad,
Revisar y ajustar los estatus sanitario del país, perdidas de Grupo de Sistemas de
eventos información, etc. Gestión integrado
 Permitir establecer su probabilidad de
ocurrencia e impacto en caso de
materialización.
Descripción de las posibles causas:
Internas:
 Mano de Obra (competencia, suficiencia):
desmotivación de los servidores, falta de
incentivos, carrera administrativa sin
posibilidades de ascenso, falta de capacitación
para desarrollar proyectos o procesos, alta
rotación
 Materia Prima (información confiable, oportuna,
suficiente): falta de control sobre los canales
establecidos, falta de registros de resultados de
reuniones, demoras en consecución de

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 5 de 9

ACTIVIDAD DESCRIPCIÓN RESPONSABLE

información):
 Método (procedimientos no aplicados o
inexistentes): incoherencia entre procesos
establecidos y ejecutados, desconocimiento de
los procesos y procedimientos por parte de los
servidores, desactualización de documentos
 Maquinaria (software, hardware): sistemas de
gestión ineficientes, falta de optimización de
sistemas de información y tecnología, falta de
coordinación de necesidades de tecnología
 Administrativa y Dirección (Ausencia de
políticas, falta de aplicación o
desconocimiento de las Políticas): estructura
organizacional no acorde con procesos,
indicadores mal formulados que no aportan a la
gestión para la toma de decisiones,
desconocimiento y falta de aplicación de
políticas de operación por parte de los
servidores.
Externas
 Económicas: Disminución del presupuesto por
prioridades del Gobierno, Austeridad en el
gasto.
 Políticas: Cambio de gobierno con nuevos
planes y proyectos de Desarrollo, Falta de
continuidad en los programa establecidos,
Desconocimiento de la Entidad por parte de
otros órganos de gobierno.
 Sociales: Ubicación de la Entidad que dificulta
el acceso al personal y al público, constantes
marchas y paros en el centro de la ciudad.
 Tecnológicas: Falta de interoperabilidad con
otros sistemas, fallas en la infraestructura
tecnológica, falta de recursos para el
fortalecimiento tecnológico.
 Medio Ambientales: Contaminación por
sustancias perjudiciales para la salud, mala
práctica de clasificación de residuos.
 Comunicaciones Externas: Múltiples canales e
interlocutores de la Entidad con los usuarios,
servicio telefónico insuficiente, falta de
coordinación de canales y medios.
 Legales: Cambios legales y normativos
aplicables a la Entidad y a los procesos.
Descripción de la materialización:
 Posible resultado de la materialización,
responder la pregunta ¿en qué caso se puede
materializar el riesgo?
Descripción de las posibles consecuencias:
 Precisar los efectos ocasionados en caso de
que se materialice el riesgo identificado.
Nota 1: Para los riesgos de seguridad de la información
la oficina de Tecnologías de la información deben
determinar las causas desde el punto de vista de
identificación de las amenazas y vulnerabilidades. (Ver
Anexo 1). Para la identificación de las consecuencias

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 6 de 9

ACTIVIDAD DESCRIPCIÓN RESPONSABLE

derivadas de los riesgos de seguridad de la información
de sebe tener en cuenta adicionalmente:
1. Listado de activos de información y su relación con
cada proceso de la entidad.
2. Lista de amenazas y vulnerabilidades con respecto
a los activos y su pertenencia.

Una vez descritos los riesgos identificados se

Presentar propuesta
transcriben a la Matriz de Identificación y Valoración,
de riesgos Grupo de Sistemas de
Análisis y Tratamiento de Riesgos SGI-EMC-FM006 y
identificados por el Gestión integrado
se envía a los líderes de proceso para su aprobación y
proceso
gestión.
Se analizan y se seleccionan los riesgos que a criterio
del líder del proceso se deben gestionar diligenciando y
Seleccionar los
reportando la información en la Matriz de Identificación, Líder de proceso
riesgos a gestionar
Valoración, Análisis y Tratamiento de Riesgos SGI-
EMC-FM006.

Medir el riesgo inherente, que es el riesgo intrínseco de

cada actividad, sin tener en cuenta los controles que de
éste se hagan a su interior. El riego inherente se
analiza y se evalúa a partir de la identificación de:
Analizar y evaluar el Servidores Públicos de
 La probabilidad, entendida como la posibilidad
riesgo inherente. todos los procesos
de ocurrencia del riesgo.
 El impacto, referido al grado en que las
consecuencias pueden generar pérdidas al
Invima si se llega a materializar el riesgo.

Identificar los mecanismos, políticas, prácticas u otras

acciones actuales que se aplican para minimizar el
riesgo o potenciar oportunidades, con el fin de
garantizar el desarrollo y cumplimiento de las
actividades acorde a los requisitos institucionales.
Se debe seleccionar el tipo de control:
Preventivo: Anticipan eventos no deseados antes de
que sucedan.
Detectivo: Identifican los eventos en el momento en
que se presentan.
Identificar y valorar Correctivo: Aquellos que permiten, después de ser Servidor Público de todos
los controles detectado el evento no deseado, el restablecimiento de los procesos
la actividad. Este aplica para los Riesgos de Seguridad
de la Información y Riesgos Tecnológicos.
Este se debe describir teniendo en cuenta:
 Su objetivo: ¿Qué busca hacer el control?
 Procedimiento: ¿Cómo se lleva a cabo el
control?
 Responsable: ¿Quién lleva a cabo el control?
 Frecuencia: ¿Cada cuánto se realiza?
 Evidencia: Registro de la ejecución del control.

Determinar la probabilidad y el impacto del riesgo

después de la ejecución de los controles, es decir el
Valorar Riesgo riesgo residual. Servidor Público de todos
Residual los procesos
Para esto se debe evaluar el funcionamiento del
control, su adecuada ejecución y diseño para calcular
de nuevo la zona de riesgo residual, mediante las

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 7 de 9

ACTIVIDAD DESCRIPCIÓN RESPONSABLE

preguntas establecidas en la pestaña Ev_Del Control
de la Matriz de Identificación, Valoración, Análisis y
Tratamiento de Riesgos SGI-EMC-FM006.

Se debe decidir la opción para tratar los riesgos: Evitar,

reducir, asumir o transferir el riesgo, estableciendo las
acciones económicas, jurídicas y operativas viables
para confrontar el riesgo, las cuales son acciones
tendientes a reducir su probabilidad de ocurrencia o
Establecer las
impacto de los riesgos. Servidor Público de todos
opciones de Manejo
los procesos
del Riesgo Evitar
Reducir
Transferir
Asumir

De acuerdo con la zona del riesgo residual obtenida se

tendrán en cuenta los siguientes criterios para reportar
la acción de mejora:
Si la zona de riesgo residual es media, alta o extrema:
se debe reportar la Acción Preventiva, en el Formato de
Acciones Correctivas, Preventivas y de Optimización
Definir acciones para SGI-EMC-FM001 de acuerdo con el Procedimiento
Acciones Correctivas, Preventivas y de Optimización Servidor Público de todos
tratar el riesgo o
SGI-EMC-PR001. los procesos
mejorar el control
Los riesgos de zona baja se asumirán, a excepción de
los riesgos de corrupción los cuales se deben seguir
tratando.
Se debe identificar el plan de contingencia con el fin de
dar continuidad a los objetivos de la entidad si el riesgo
llegase a materializarse.

Cada vez que se identifique o modifique un riesgo se

debe enviar la Matriz de Identificación, Valoración,
Análisis y Tratamiento de Riesgos código SGI-EMC-
FM006 al correo electrónico
documentossgc@invima.gov.co.
El Grupo Sistema de Gestión Integrado consolida la
información en el Mapa de Riesgos, la cual es
publicada en el link
https://www.invima.gov.co/procesos/.
En el caso de que el riesgo reportado sea de
Corrupción, este se debe publicar además en el Plan
de Anticorrupción y Atención al Ciudadano, ubicado en
el enlace de Transparencia y Acceso a la Información Líder del Proceso
Reportar Matriz de Pública de la página Web del Invima.
Riesgos Grupo Sistema de Gestión
Nota 1: Los riesgos contenidos en la Matriz de
Integrado
identificación de peligros, valoración de riesgos y
determinación de controles de Riesgos de Seguridad y
Salud en el Trabajo, se pueden visualizar en la
caracterización del proceso Seguridad y Salud en el
trabajo o el anexo del presente procedimiento y su
tratamiento se realizará de acuerdo al procedimiento
Seguridad y Salud en el Trabajo GTH-SST-PR001.
Nota 2: La matriz de riesgos de los proyectos que se
creen en el procedimiento Formulación y Seguimiento
al Plan Estratégico del Invima GDI-DIE-PR006,
estarán descritos en las hojas de vida de los proyectos
y se gestionaran según la metodología del instituto.
Nota 3: Los riesgos de seguridad de la información se

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 8 de 9

ACTIVIDAD DESCRIPCIÓN RESPONSABLE

reportaran en el proceso de gestión de la seguridad
informática.

Realizar revisión y control sobre el comportamiento del

riesgo identificado con el objetivo de:
 Asegurar que los controles sean eficaces y
eficientes en el diseño y funcionamiento.
 Obtener más información para mejorar la
evaluación de riesgos
 Aprender lecciones a partir de los eventos, los
cambios, las tendencias, los éxitos y los
fracasos.
 Detectar cambios en el contexto interno y
externo.
Monitoreo y Control
de los riesgos  Valorar de nuevo el riesgo con base en la
implementación de las mejoras o nuevos Líder del proceso
identificados en el
proceso controles
Adicionalmente, se debe revisar el cumplimiento del
plan de acción que haya sido definido si fuere el caso,
de acuerdo con lo establecido en el Procedimiento
Acciones Correctivas, Preventivas y de Optimización
SGI-EMC-PR001, lo que permite verificar que ejecuten
las actividades planeadas.
Nota 1: En caso que se materialice un riesgo, se debe
generar y reportar una acción correctiva, de acuerdo
Procedimiento Acciones Correctivas, Preventivas y de
Optimización SGI-EMC-PR001 y se debe iniciar este
procedimiento desde la actividad “Analizar y Evaluar el
Riesgo Inherente”.

Adelantar seguimiento a la Matriz de Riesgos

Institucional, para vigilar el comportamiento de los
riesgos, sus controles y la ejecución de las acciones de
mejora.
Seguimiento a la
Nota 1: Las auditorías internas son una de las formas
Matriz de
de seguimiento a los riesgos institucionales donde se Servidor Público asignado
Identificación,
pueden revisar los controles asociados a los riesgos y de la Oficina de Control
Valoración, Análisis y
el tratamiento de los mismos y además permiten Interno
Tratamiento de
detectar nuevos riesgos.
Riesgos
Nota 2: El seguimiento a los riesgos de corrupción se
realiza de acuerdo con la estrategia para la
construcción del plan anticorrupción y de atención al
ciudadano.

6. TIEMPO MÁXIMO DEL PROCEDIMIENTO

Lo establecido en el plan de acción de cada riesgo identificado

7. PUNTOS DE CONTROL

Control Responsable Frecuencia Evidencia

Evaluar los eventos
Líder de proceso y Formato Diligenciado de
identificados para
Servidor Público de todos Cada vez que se requiera Evaluación de Eventos
determinar su
los procesos SGI-EMC-FM011
priorización
Revisar y ajustar los Grupo Sistema de Matriz de Identificación,
Cada vez que se requiera
eventos y describirlos Gestión Integrado Valoración, Análisis y

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos
 ADMINISTRACIÓN SISTEMA DE
EVALUACIÓN Y MEJORAMIENTO CONTINUO
GESTIÓN INTEGRADO
PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES
Código: SGI-EMC-PR003 Versión: 03 Fecha de Emisión: 17/05/2017 Página 9 de 9

como riesgos. Tratamiento de Riesgos”

SGI-EMC-FM006
entregada a cada líder de
proceso
Visto bueno del líder del Correo electrónico
proceso a los riesgos Líder de Proceso Cada vez que se requiera enviando a publicar la
identificados matriz de riesgos
Realizar seguimiento a
las acciones Matriz de seguimientos
Grupo Sistema de
preventivas generadas Mensual grupo Sistema de gestión
Gestión Integrado
a partir de los riesgos integrado
identificados
Seguimiento a la Matriz
de Identificación,
Jefe de Oficina de Control Informe de control
Valoración, Análisis y Semestral
Interno interno.
Tratamiento de Riesgos
publicada.
Matriz de Identificación,
Realizar el monitoreo de Valoración, Análisis y
Líder de proceso Cada vez que se requiera
los riesgos Tratamiento de Riesgos”
SGI-EMC-FM006

8. REGISTROS O DOCUMENTOS ASOCIADOS

Procedimiento Acciones Correctivas, Preventivas y de Optimización SGI-EMC-PR001

Formato de Acciones Correctivas, Preventivas y de Optimización SGI-EMC-FM001
Plan de Mejoramiento - Consolidado Acciones Correctivas, Preventivas y de Optimización SGI-EMC-FM002
Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos SGI-EMC-FM006
Formato Evaluación de Eventos SGI-EMC-FM011

9. ANEXOS

Anexo 1. Amenazas y Vulnerabilidad para el análisis de los Riesgos de Seguridad de Información y Riesgos
Tecnológicos.
Matriz de identificación de peligros, valoración de riesgos y determinación de controles de Riesgos de
Seguridad y Salud en el Trabajo.

ESTE DOCUMENTO IMPRESO ES UNA COPIA NO CONTROLADA

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos