*20255000292311*

Radicado No.: 20255000292311

Fecha: 16/06/2025 04:49:43 p.m.

 

Bogotá D.C.

 

 

Referencia: Aclaración sobre la interacción entre diferentes tipologías de riesgos en el marco de la gestión integral de riesgos. Radicado N° 20252060317502 del 14 de mayo de 2025

 

 

 

En atención a su comunicación de la referencia, a continuación, nos permitimos dar respuesta en los siguientes términos:

 

 

CONSULTA:

 

“De la manera más atenta me permito solicitar un concepto si los riesgos fiscales se deben alinear a los activos de información y sus principios,  así como con los riesgos de seguridad y privacidad de la información, teniendo en cuenta que la guía de riesgos V6 no lo indica y de acuerdo a las auditorías de la CGR  se han evidenciado en observaciones que la falta de integridad, confidencialidad, y disponibilidad de la información pueden generar omisiones y/o acciones que  redundan en responsabilidad fiscal, disciplinaria y/o penal.” 

 

 

ANÁLISIS:

 

Para dar respuesta a sus inquietudes es necesario hacer las siguientes precisiones:

 

En primer lugar, resulta pertinente aclarar algunos temas fundamentales relacionados con la gestión del riesgo y control como ejes esenciales para un efectivo Sistema de Control Interno; así mismo, es relevante dar claridad sobre la articulación entre el control fiscal que ejerce la Contraloría General de la República y las Contralorías en el orden territorial, que determina la necesidad de gestionar de forma preventiva posibles riesgos fiscales, como elemento estructural para la protección del patrimonio público.

 

Iniciamos por señalar que, la gestión del riesgo y el control adquiere esta connotación a la luz de la definición, objetivos, características y elementos definidos para el Sistema de Control Interno a través de la Ley 87 de 1993 “Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones” en la cual se menciona y aclara tanto su carácter preventivo como su responsabilidad colectiva tanto en su diseño como en su implementación.

 

En este sentido, frente a la Gestión del Riesgo, se debe señalar que la misma se incorpora como uno de los cinco componentes del Modelo Estándar de Control Interno MECI, aspecto relacionado de manera directa con la Dimensión de Direccionamiento Estratégico y Planeación, ya que desde esta se debe establecer la política de gestión del riesgo para la entidad, la cual define lineamientos claves para que en todos los niveles de la organización puedan ser implementados los respectivos mapas de riesgo; así mismo, esta dimensión permite definir los objetivos estratégicos o institucionales que deben desdoblarse a través de los procesos y los objetivos de estos, aspecto esencial para poder iniciar con una correcta identificación de riesgos.

 

Ahora bien, frente a la Guía para la administración del riesgo y el diseño de controles en entidades públicas versión 6, emitida por parte de este Departamento Administrativo, esta mantiene la misma estructura metodológica con algunos elementos fundamentales que se precisan para una mayor efectividad en su implementación, los más relevantes son los siguientes:

 

Estructura propuesta para la identificación y redacción del riesgo.

Incorporación del análisis de probabilidad basado en la exposición al riesgo y no en eventos.

Estructura para la redacción del control y su tabla actual de valoración.

Incorporación Matriz de calor que incluye zonas de severidad más críticas para el análisis final de los riesgos.

 

Ahora bien, dado el objeto de su consulta, es pertinente indicar que la Guía para la Gestión por Procesos en el marco de MIPG en su numeral 2 Gestión por procesos dentro del Modelo Integrado de Planeación y Gestión (MIPG) establece lo siguiente:

 

“(...) Para este efecto, la cadena de valor público se constituye en la herramienta principal a utilizar por parte de las entidades y fundamenta la gestión por procesos (Ver Figura 2). De acuerdo al Manual para el Fortalecimiento de la Cadena de Valor de la CEPAL (2016), una cadena de valor comprende la amplia variedad de actividades requeridas para que un producto o servicio transite a través de diferentes etapas, desde su concepción hasta su entrega a los consumidores y la disposición final después de su uso. A cada una de las etapas de la cadena de valor se les denomina eslabones. La cantidad de eslabones de una cadena de valor varía de manera sustancial según el tipo de industria. Sin embargo, para el caso de una entidad pública se establecen los eslabones ilustrados en la Figura 2. 

 

  Figura 1. Cadena de Valor MIPG. 

 

Fuente: Función Pública, Dirección de Gestión y Desempeño Institucional. 2017.

Como se observa en la Figura 2, los componentes principales de la cadena de valor público incluyen insumos, procesos, productos, resultados e impactos. Bajo esta estructura estos aspectos operan de manera interrelacionada y secuencial, partiendo de una serie de insumos que a través de un proceso de transformación que les agrega valor, se convierten en productos que impactan de manera directa a los beneficiarios que los reciben. Por esta razón, el impacto del producto debe ser medido sobre la necesidad del beneficiario al cual se destina. (Subrayado fuera del texto)

 

En este sentido, MIPG toma como eje fundamental a los grupos de valor, en el entendido que las entidades para sus procesos de transformación (cadena de valor) y de prestación del servicio deben considerar sus derechos, problemas y necesidades, a fin de incorporar actividades clave en dicha cadena de valor que permita generar resultados que garanticen sus derechos y se resuelvan de manera efectiva sus necesidades y problemas, lo que permitirá al Estado en su conjunto mejorar la confianza de los ciudadanos en sus instituciones. (...)”.

 

De conformidad con lo anterior, es importante que al momento de identificar y describir los riesgos en los procesos se analicen los anteriores aspectos, ya que pueden existir procesos muy complejos, donde participan varias áreas, por lo que es posible que se analicen riesgos que atiendan las actividades clave del proceso y de este modo el mapa de riesgos tiene una mayor efectividad a la hora de llevar a cabo los respectivos seguimientos a los controles que se hayan establecido, así como para la definición de sus responsables.

 

De otro lado, es relevante mencionar que la identificación del riesgo busca establecer las fuentes o factores de riesgo, los eventos o riesgos, sus causas y sus consecuencias, lo que exige tener una visión sistémica de la estructura de procesos de la entidad, para lo cual la cadena de valor, arriba explicada es una fuente esencial, ya que es posible determinar para los procesos sus interrelaciones con otros procesos y, si bien pueden existir riesgos que se repiten en varios de ellos, sus controles varían de conformidad con cada área involucrada, de manera tal que se es viable mitigar el riesgo de forma adecuada, sobre todo el temas que son transversales y que puedan afectar los resultados en diferentes ámbitos.

 

Ahora bien, dado el objeto de su consulta, la Guía en mención en su Paso 2: Identificación del riesgo, establece una serie de elementos mínimos para poder adelantar una correcta identificación del riesgo e indica:

 

“Esta etapa tiene como objetivo identificar los riesgos que estén o no bajo el control de la organización, para ello se debe tener en cuenta el contexto estratégico en el que opera la entidad, la caracterización de cada proceso que contempla su objetivo y alcance y, también, el análisis frente a los factores internos y externos que pueden generar riesgos que afecten el cumplimiento de los objetivos.” (Subrayado fuera del texto).

 

En virtud de lo anterior, se requiere consultar la caracterización de cada proceso, donde se define el objetivo y alcance, así como sus actividades clave y su interrelación con otros procesos dentro de la entidad.

 

De este modo, para el tema que indica en su consulta conviene ahora referirnos a la definición de estas dos tipologías de riesgos a fin de comprender, como si bien se trata de dos tipologías de riesgos diferentes, en la operación estos eventos potenciales están relacionados entre sí.

 

En este sentido iniciamos con el esquema general que el capítulo 4 define para la identificación de riesgos fiscales, donde en el numeral 4.2 establece:

 

4.2 Definición y elementos del riesgo fiscal: teniendo en cuenta la estructura y elementos de la definición de riesgos que tiene la presente guía, la cual es armónica con la norma ISO 31000, se define riesgo fiscal, así:  

 

Efecto dañoso sobre recursos públicos o bienes o intereses patrimoniales de naturaleza pública, a causa de un evento potencial.

 

A continuación, se describen los elementos que componen la definición de riesgo fiscal:

 

Efecto: es el daño que se generaría sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública, en caso de ocurrir el evento potencial.

 

Evento Potencial: hechos inciertos o incertidumbres, refiriéndonos a riesgo fiscal, se relaciona con una potencial acción u omisión que podría generar daño sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública. En esta guía, el evento potencial es equivalente a la causa raíz. Lo anterior se puede resumir de la siguiente manera:

Riesgo Fiscal = Evento Potencial (Potencial Conducta) +

Efecto dañoso (Potencial Daño)

 

 

Se debe tener especial cuidado en no confundir el riesgo fiscal, con el daño fiscal; por lo tanto, la definición debe estar orientada hacia el efecto de un evento potencial (potencial acción u omisión) sobre los recursos públicos y/o los bienes o intereses patrimoniales de naturaleza pública. (...)”

 

Conforme con lo anterior, el riesgo fiscal deberá analizarse en el desarrollo de los procesos, programas o proyectos, y tenerse en cuenta el posible menoscabo, disminución, perjuicio, detrimento, pérdida o deterioro, en relación con los recursos o bienes o intereses patrimoniales de naturaleza públicos involucrados para su desarrollo u operación.

 

En este orden de ideas, en desarrollo de la operación de todas las entidades se tienen procesos relacionados con la gestión fiscal, los cuales se definen teniendo en cuenta que se trata de todas aquellas “(...) actividades económicas, jurídicas y tecnológicas, que realizan los servidores públicos y las personas de derecho privado que manejen o administren recursos o fondos públicos, tendientes a la adecuada y correcta adquisición, planeación, conservación, administración, custodia, explotación, enajenación, consumo, adjudicación, gasto, inversión y disposición de los bienes públicos, así como a la recaudación, manejo e inversión de sus rentas en orden a cumplir los fines esenciales del Estado, con sujeción a los principios de legalidad, eficiencia, economía, eficacia, equidad, imparcialidad, moralidad, transparencia, publicidad y valoración de los costos ambientales. (Artículo 3°, Ley 610 de 2000).

 

De este modo, para su entidad, es necesario definir aquellos procesos que serían objeto de análisis frente a este tipo de riesgos, para lo cual se deben establecer los puntos de riesgo fiscal que correspondería a todas las actividades que representen gestión fiscal; así mismo, se deben tener en cuenta aquellas actividades en las cuales se han generado advertencias, alertas, hallazgos fiscales y/o fallos con responsabilidad fiscal.

 

Cabe indicar en este caso, que la guía define un anexo denominado Catálogo Indicativo y Enunciativo de Puntos de riesgo fiscal y Circunstancias Inmediatas, el cual ha sido construido como resultado del análisis de precedentes (aproximadamente 130 fallos con responsabilidad fiscal de contralorías territoriales y de la Contraloría General de la República) y debe ser utilizado como marco de referencia para la identificación y valoración de riesgos fiscales, siempre en atención a las particularidades, naturaleza, complejidad, recursos, usuarios o grupos de valor, portafolio de productos y servicios, sector en el cual se desenvuelva (contexto), así como otras condiciones específicas de cada entidad.

 

De acuerdo con los anteriores lineamientos, me permito aclararle que la gestión fiscal es parte inherente en todas las operaciones de la entidad y, por esto, lo que procede es la definición de los procesos, programas y proyectos que serán objeto frente a la identificación de este tipo de riesgos, que buscan la protección de los recursos y que se garantice el cumplimiento de los objetivos y metas a ellos asociados, así como proteger a los gestores fiscales frente a la ordenación del gasto que les corresponde, de manera tal que su toma de decisiones la hagan con datos e información y que se apliquen los controles que eviten situaciones frente a los organismos de control por posibles acciones u omisiones que afectan el patrimonio público.

 

Ahora bien, dado el objeto de su consulta, en relación con la gestión de los riesgos de seguridad de la información, la Guía en cuestión así como el anexo 4, Modelo Nacional de Gestión de Riesgo de Seguridad de la Información en entidades públicas del Ministerio de Tecnologías de la Información y Comunicaciones (MinTIC), cuyo propósito fundamental es el de guiar a todas las entidades públicas, tanto en el orden nacional como territorial, en la adopción de prácticas de Gestión de Riesgos de Seguridad de la Información, en relación con la identificación de esta tipología de riesgos, dispone lo siguiente:

 

“6.1. Identificación de los activos de seguridad de la información: como primer paso para la identificación de riesgos de seguridad de la información es necesario identificar los activos de información del proceso.

 

¿Qué son los activos?

¿Por qué identificar los activos?

Un activo es cualquier elemento que tenga valor para la organización, sin embargo, en el contexto de seguridad digital, son activos elementos tales como: -Aplicaciones de la organización -Servicios web -Redes -Información física o digital -Tecnologías de información TI -Tecnologías de operación TO que utiliza la organización para funcionar en el entorno digital.

Permite determinar qué es lo más importante que cada entidad y sus procesos poseen (sean bases de datos, archivos, servidores web o aplicaciones clave para que la entidad pueda prestar sus servicios).   La entidad puede saber qué es lo que debe proteger para garantizar tanto su funcionamiento interno como su funcionamiento de cara al ciudadano, aumentando así su confianza en el uso del entorno digital.

Fuente: Actualizado por la Dirección de Gestión y Desempeño Institucional de Función Pública y Ministerio TIC, 2020

(...)

 

6.2. Identificación del riesgo: se podrán identificar los siguientes tres (3) riesgos inherentes de seguridad de la información:

 

• Pérdida de la confidencialidad
• Pérdida de la integridad
• Pérdida de la disponibilidad

 

Para cada riesgo se deben asociar el grupo de activos, o activos específicos del proceso, y conjuntamente analizar las posibles amenazas y vulnerabilidades que podrían causar su materialización. (...)”

 

Así entonces, la identificación de los activos de información no solo constituye el punto de partida para la gestión de los riesgos de seguridad de la información, sino que también se establece como un componente esencial en el funcionamiento institucional. Estos activos que comprenden desde aplicaciones y redes hasta bases de datos y servicios digitales, son fundamentales para garantizar la continuidad operativa y la prestación de servicios al ciudadano. En este sentido, su adecuada gestión adquiere una dimensión aún más crítica cuando se considera su papel en el desarrollo de la gestión fiscal, definida en el artículo 3° de la Ley 610 de 2000, antes citada. Así, proteger los activos de información no solo fortalece la seguridad institucional, sino que también salvaguarda el cumplimiento de los fines esenciales del Estado.

 

De acuerdo con lo anterior, es importante precisar entonces que es viable que un proceso en su ejercicio de administración integral del riesgo identifique riesgos de seguridad de la información como fiscales dada la naturaleza de su operación, riesgos que deberán ser administrados de manera paralela para asegurar el cumplimiento de los objetivos institucionales entendiendo, a través de su monitoreo, la interacción que existe entre estos.

 

Para ellos, resulta procedente plantear el siguiente ejemplo para el proceso de gestión financiera, respecto del cual vamos a suponer que este ha identificado los siguientes riesgos:

 

Riesgo fiscal: Posibilidad de efecto dañoso sobre los recursos públicos por el pago de interés moratorios y/o mayores valores pagados de las obligaciones adquiridas a causa de la inoportunidad y/o errores u omisiones en la verificación de los soportes de pago.

 

Riesgo de seguridad de la información: Posibilidad de afectación económica y/o reputacional por la pérdida de la confidencialidad y/o integridad de la información financiera administrada en SIIF a causa de la perdida y/o uso inadecuado de los tokens de acceso.

 

A partir de los ejemplos presentados, se evidencia cómo un proceso financiero puede ser responsable de un activo de información estratégico para la administración y gestión de la información financiera y contable de la entidad, como lo es el sistema SIIF Nación. Sin embargo, debido a las funciones que desempeña, este proceso también está expuesto a diversos riesgos fiscales, como se muestra en el ejemplo. Esto nos permite comprender que, si llegara a materializarse un riesgo de seguridad de la información, es probable que un usuario no autorizado acceda a dicho activo, lo que podría derivar en una gestión inadecuada de la información financiera y contable y, en consecuencia, también se podría materializar el riesgo fiscal previamente identificado.

 

En este sentido, en concepto de esta Dirección Técnica, lo planteado por la Contraloría General de la Republica es pertinente, lo que de hecho pone en evidencia la necesidad de comprender la gestión integral del riesgo a fin de llevar a cabo una administración adecuada de estos en todas sus tipologías.

 

Finalmente, le extendemos una cordial invitación a explorar el Espacio Virtual de Asesoría (EVA), accesible a través del siguiente enlace: www.funcionpublica.gov.co/eva. En dicho entorno digital, tendrá acceso a una diversidad de recursos especializados, que incluyen normativas, jurisprudencia, conceptos, videos informativos y publicaciones vinculadas con la Función Pública. Estos recursos han sido meticulosamente elaborados con el propósito de ofrecer un sólido respaldo a su desempeño profesional y se constituyen en herramientas de gran valía para su gestión laboral.

 

El anterior concepto se imparte en los términos del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

 

 

LUZ DAIFENIS ARANGO RIVERA

Directora de Gestión y Desempeño Institucional 

Proyectó: Carmen Julia Páez Villamil

Revisó: Iván Arturo Márquez Rincón