*20265000129491*

 

Al contestar por favor cite estos datos:

 

Radicado No.: 20265000129491

 

Fecha: 07-04-2026 02:14 pm

 

Referencia: Solicitud de concepto sobre la política de riesgos de una entidad. Radicado No. 20262060119902 del 03 de marzo de 2026.

 

Cordial Saludo,

 

En atención a su comunicación de la referencia, en la cual Solicita concepto frente a la Política de Riesgos que debe adoptar en una entidad, a continuación, doy respuesta en los siguientes términos:

 

CONSULTA:

 

“¿La política de riesgos debe limitarse únicamente a los riesgos de gestión, fiscales y de seguridad de la información, mientras que el SIGRIP debe desarrollarse como un instrumento independiente enfocado en los riesgos de integridad?”

 

Dada la naturaleza de su entidad, la cual corresponde a una Corporación Autónoma Regional – CAR, frente a su inquietud, le respondo lo siguiente:

 

ANÁLISIS.

 

En materia de control Interno, la Constitución Política de Colombia establece la obligatoriedad de las entidades públicas para implementarlo, en los siguientes términos:

 

“ARTICULO 209. (...) Las autoridades administrativas deben coordinar sus actuaciones para el adecuado cumplimiento de los fines del Estado. La administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale la ley.”

 

De igual manera, el artículo 269 señala:

 

“ARTÍCULO 269. En las entidades públicas, las autoridades correspondientes están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno, de conformidad con lo que disponga la ley, la cual podrá establecer excepciones y autorizar la contratación de dichos servicios con empresas privadas colombianas.”

 

De conformidad con la disposición constitucional, la Administración Pública, en todos sus órdenes debe tener un control interno, en los términos que señala la Ley, y están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno, de acuerdo con lo dispuesto por la normatividad vigente.

 

Considerando lo anterior, es posible determinar que el Representante Legal en las entidades públicas tiene la responsabilidad de asegurar que se implementen y se mantengan adecuados métodos y procedimientos de control interno, es decir que se cuente con un Sistema de Control Interno acorde a los lineamientos establecidos en la regulación.

 

Dado el objeto de su consulta, resulta pertinente referirnos al ejercicio de control interno en las entidades del estado. En primer lugar, la Ley 87 de 1993, dispone:

 

“ARTICULO 5. CAMPO DE APLICACIÓN. La presente Ley se aplicará a todos los organismos y entidades de las Ramas del Poder Público en sus diferentes órdenes y niveles, así como en la organización electoral, en los organismos de control, en los establecimientos públicos, en las empresas industriales y comerciales del Estado, en las sociedades de economía mixta en las cuales el Estado posea el 90% o más de capital social, en el Banco de la República y en los fondos de origen presupuestal.

 

ARTICULO 6. RESPONSABILIDAD DEL CONTROL INTERNO. El establecimiento y desarrollo del Sistema de Control Interno en los organismos y entidades públicas, será responsabilidad del representante legal o máximo directivo correspondiente. No obstante, la aplicación de los métodos y procedimientos al igual que la calidad, eficiencia y eficacia del Control Interno, también será de responsabilidad de los jefes de cada una de las distintas dependencias de las entidades y organismos.

 

(...)

 

ARTÍCULO 9. DEFINICIÓN DE LA UNIDAD U OFICINA DE COORDINACIÓN DEL CONTROL INTERNO. Es uno de los componentes del Sistema de Control Interno, de nivel gerencial o directivo, encargado de medir y evaluar la eficiencia, eficacia y economía de los demás controles, asesorando a la dirección en la continuidad del proceso administrativo, la reevaluación de los planes establecidos y en la introducción de los correctivos necesarios para el cumplimiento de las metas u objetivos previstos.

 

De conformidad con las anteriores disposiciones es posible determinar que:

 

a. El Representante Legal en las entidades públicas tiene la responsabilidad de asegurar que se implementen y se mantengan adecuados métodos y procedimientos de control interno, es decir que se cuente con un Sistema de Control Interno acorde a los lineamientos establecidos en la normatividad.

 

b. La unidad u oficina de coordinación del control interno es uno de los componentes del Sistema de Control Interno, de nivel gerencial o directivo, encargado de medir y evaluar la eficiencia, eficacia y economía de los demás controles, asesorando a la dirección en la continuidad del proceso administrativo, la revaluación de los planes establecidos y en la introducción de los correctivos necesarios para el cumplimiento de las metas u objetivos previstos.

 

c. Finalmente, los servidores públicos en todos los niveles de la organización tienen la responsabilidad de aplicar los métodos y procedimientos de control interno diseñados para asegurar de forma razonable que se cumplirán los objetivos y metas institucionales.

 

De otra parte, sobre el Programa de Transparencia y Ética Pública, es pertinente señalar que la Ley 2195 de 2022 “Por medio de la cual se adoptan medidas en materia de transparencia, prevención y lucha contra la corrupción y se dictan otras disposiciones”, en su artículo 31 modifica el artículo 73 de la Ley 1474 de 2011 en el siguiente sentido:

 

ARTÍCULO 31. PROGRAMAS DE TRANSPARENCIA Y ETICA EN EL SECTOR PUBLICO. Modifíquese el Artículo 73 de la Ley 1474 de 2011, el cual quedara así:

 

Artículo 73. Cada entidad del orden nacional, departamental y municipal, cualquiera que sea su régimen de contratación, deberá implementar Programas de Transparencia y Ética Publica con el fin de promover la cultura de la legalidad e identificar, medir, controlar y monitorear constantemente el riesgo de corrupción en el desarrollo de su misionalidad. Este programa contemplara, entre otras cosas:

 

a. Medidas de debida diligencia en las entidades del sector público.

 

b. Prevención, gestión y administración de riesgos de lavado de activos, financiación del terrorismo y proliferación de armas y riesgos de corrupción, incluidos los reportes de operaciones sospechosas a la UIAF, consultas en las listas restrictivas y otras medidas específicas que defina el Gobierno Nacional dentro del año siguiente a la expedición de esta norma;

 

c. Redes interinstitucionales para el fortalecimiento de prevención de actos de corrupción, transparencia y legalidad;

 

d. Canales de denuncia conforme lo establecido en el Artículo 76 de la Ley 1474 de 2011;

 

e. Estrategias de transparencia, Estado abierto, acceso a la información pública y cultura de legalidad;

 

f. Todas aquellas iniciativas adicionales que la Entidad considere necesario incluir para prevenir y combatir la corrupción.

 

PARAGRAFO 1. En aquellas entidades en las que se tenga implementado un Sistema Integral de Administración de Riesgos, este deberá articularse con el Programa de Transparencia y Ética Pública. (sub rayado y negrilla es nuestro)

 

PARAGRAFO 2. Las entidades del orden territorial contaran con el termino máximo de dos (2) años y las entidades del orden nacional con un (1) año para adoptar Programa de Transparencia y Ética Pública.

 

PARAGRAFO 3. La Secretaria de Transparencia de la Presidencia de la Republica será la encargada de señalar las características, estándares, elementos, requisitos, procedimientos y controles mínimos que deben cumplir el Programa de Transparencia y Ética Pública de que trata este Artículo, el cual tendrá un enfoque de riesgos. El Modelo Integrado de Planeación y Gestion (MIPG) o modelos sucesores deberá armonizarse con el Programa de Transparencia y Ética Pública.

 

(...).

 

De acuerdo con lo anterior, las entidades del orden nacional, departamental y municipal, cualquiera que sea su régimen de contratación, deberán implementar los Programas de Transparencia y Ética Pública, con el fin de promover la cultura de la legalidad e identificar, medir, controlar y monitorear constantemente los riesgos para la integridad pública en el desarrollo de su misionalidad, conforme a los lineamientos impartidos por la Secretaría de Transparencia de la Presidencia de la República.

 

Por su parte, este Departamento Administrativo, en cumplimiento de su objeto misional, elaboró y emitió en septiembre de 2025 la “Guía para la Gestión Integral del Riesgo en Entidades Públicas” – versión 7, en la cual, se desarrollan aspectos clave que habilitan el esquema metodológico propuesto, lo que exige analizar e intervenir elementos básicos, en cuanto a la planeación estratégica institucional, la estructura organizacional, los procesos, la gestión del talento humano, recursos y bienes utilizados para la prestación del servicio, así como el conocimiento claro de los grupos de valor que atiende las diferentes entidades públicas. En este sentido, se orienta sobre el desarrollo y mejora de la plataforma estratégica y los modelos de operación por procesos que pueden variar dependiendo de la complejidad y estructura de las entidades. Así mismo, se explican de forma detallada los aspectos mínimos a incluir en la estructura de la política para la gestión integral del riesgo.

 

De igual forma, se precisa el esquema de articulación para las tipologías de riesgos que se desagregan, a partir de una metodología común que permitirá la gestión integral de riesgos, eje esencial para el desarrollo de los capítulos específicos sobre riesgos para la integridad pública, riesgos fiscales, riesgos de seguridad de la información y otros riesgos que se asocian a sectores regulados, como es el Sector Financiero y de Salud. En la misma guía, el capítulo que desarrolla los lineamientos y metodología aplicable para los Riesgos Generales de la Gestión, constituye la base para la identificación y valoración de las demás tipologías de riesgos ya señalados, como elementos comunes para alcanzar la gestión integral de riesgos, esencia de esta guía.

 

Es de aclarar que, la política para la gestión integral de riesgos puede estructurarse mediante instructivos o manuales internos, con el fin de desplegar una serie de elementos que son claves para la implementación de riesgos en todos los niveles organizacionales y para su posterior seguimiento y monitoreo, en el marco del Esquema de Líneas, eje articulador de la política de control interno que desarrolla MIPG. Es importante que este documento incluya aspectos, que la misma Guía1 señala y que a continuación se explican.

 

“2.5 Articulación ámbitos para la gestión integral de riesgos:

 

Para el análisis integral de los riesgos que pueden afectar el cumplimiento de las funciones y objetivos de la entidad, donde se involucra, la afectación al patrimonio público, la posible vulneración a activos de información, así como la afectación a la confianza de las múltiples partes interesadas en el uso del entorno digital y aquellas conductas asociadas a comportamientos no éticos que van en contravía del ejercicio íntegro del servicio público,” (...)

 

Frente al manejo y administración de los riesgos del Sistema de Gestión de Riesgos para la Integridad Pública –SIGRIP, en la misma Guía, el Capítulo VI desarrollado por la Secretaría de Transparencia, como entidad líder y responsable de emitir lineamientos sobre el particular, se define:

 

“Sistema de Gestión de Riesgos para la Integridad Pública -SIGRIP

 

Teniendo en cuenta la expedición de la Ley 2195 de 2022, que hace obligatorio para las entidades públicas la “prevención, gestión y administración de riesgos de lavado de activos, financiación del terrorismo y proliferación de armas y riesgos de corrupción, incluidos los reportes de operaciones sospechosas a la UIAF, consultas en las listas restrictivas y otras medidas específicas que defina el Gobierno nacional” (artículo 31), la Secretaría de Transparencia de la Presidencia de la República sugiere a las entidades obligadas a implementar un Programa de Transparencia y Ética Pública contar con un sistema de gestión que le permita prevenir, detectar y corregir los eventos que amenazan el ejercicio íntegro del servicio público (riesgos asociados a Corrupción) o la integridad de las instituciones del Estado (riesgos de lavado de activos, financiación del terrorismo y proliferación de armas y riesgos de corrupción), de manera integral. Para eso, ha diseñado el Sistema de Gestión de Riesgos para la Integridad Pública -SIGRIP, que se desarrolla a continuación.

 

Resaltamos que, en todo caso, atendiendo a lo dispuesto en el parágrafo 1 del artículo 73 de la Ley 1474 de 2011, modificado por el artículo 31 de la Ley 2195 de 2022, en aquellas entidades en las que se tenga implementado un Sistema Integral de Administración de Riesgos, este deberá articularse con el Programa de Transparencia y Ética Pública y, en consecuencia, con el Sistema de Gestión de Riesgos para la Integridad Pública -SIGRIP.

 

(...)

 

6.3. Sistema de Gestión del Riesgo

 

Teniendo en cuenta las diferentes amenazas para la integridad pública, que pueden generar peligro o daño, es necesario que, desde un enfoque basado en riesgos, se gestionen los eventos que pueden ocurrir dentro de una organización. La gestión implica que las entidades deben identificar, analizar y valorar los riesgos, partiendo de la existencia de eventos que pueden convertirse en factores de riesgo.

 

En este sentido, es necesario que las entidades cuenten con un sistema en el que se interrelacionen e interactúen diferentes elementos para asegurar una gestión integral del riesgo. En esa medida, las entidades deberán contar con un Sistema de Gestión de Riesgos para la Integridad Pública - SIGRIP.

 

El SIGRIP busca articular la Política para la Gestión Integral de Riesgos que formule cada entidad, mediante la cual se gestionan los Riesgos Generales de la Gestión, la Gestión Preventiva de Riesgos Fiscales y los Riesgos de Seguridad de la Información, con los demás elementos que son necesarios para gestionar los riesgos para la integridad pública, que se describen a continuación. Al final, un riesgo de gestión, un riesgo fiscal o un riesgo de seguridad de la información puede tener como causa el soborno, el fraude, un conflicto de intereses gestionado inadecuadamente o la corrupción. Además, puede también favorecer el lavado de activos, la financiación del terrorismo o la financiación de la proliferación de armas de destrucción masiva. Por esta razón, es necesario abordar los riesgos para la integridad pública de forma integral y en estrecha articulación con la gestión institucional del riesgo. (sub rayado es nuestro)

 

El Sistema de Gestión de Riesgos para la Integridad Pública – SIGRIP contempla que la entidad adopte una serie de instrumentos de gestión del riesgo, que actúe con diligencia en el conocimiento de sus contrapartes y que integre en su operación una función de cumplimiento, todo esto además de la identificación y valoración de los riesgos según la metodología definida en la Política para la Gestión Integral de Riesgos que adopte. Todos estos elementos interactúan para asegurar que la gestión pública se realice de forma íntegra, es decir, con el pleno cumplimiento de la ley en toda la gestión institucional.

 

El SIGRIP, además, permite a las entidades dar cumplimiento a los lineamientos establecidos para la gestión de riesgos en los Programas de Transparencia y Ética Pública, según lo dispuesto por la Secretaría de Transparencia de la Presidencia de la República. En la medida que se implemente plenamente el Sistema, la entidad estará acreditando la gestión de riesgos para la integridad pública, de riesgos LA/FT/FP, canales de denuncia y debida diligencia.

 

Conforme a lo anterior, es claro que la Gestión de Riesgos para la Integridad Pública es uno de los aspectos fundamentales que debe estar articulado en la Política para la Gestión Integral de Riesgos de la entidad, sin perjuicio de las particularidades propias del SIGRIP que enfatiza en herramientas que ha denominado políticas y procedimientos en temas específicos como el lavado de activos, la financiación del terrorismo, la financiación de la proliferación de armas, el soborno, el fraude, la gestión de conflictos de interés, el reporte de operaciones sospechosas y la operación de canales de denuncias.

 

CONCLUSIÓN:

 

Empezamos con precisar lo siguiente, dada la naturaleza de su entidad, debido a que es una Corporación Autónoma Regional – CAR, el Representante Legal tiene la responsabilidad de asegurar que se implementen y se mantengan adecuados métodos y procedimientos de control interno, es decir que se cuente con un Sistema de Control Interno acorde a los lineamientos establecidos en la regulación, en los cuales la gestión del riesgo cobra especial relevancia.

 

El Sistema de Control Interno se implementa a través del Modelo Estándar de Control Interno – MECI cuya estructura se fundamenta en cinco componentes: ambiente de control, evaluación del riesgo, actividades de control, información y comunicación y actividades de monitoreo. Esta estructura está acompañada de un esquema de asignación de responsabilidades y roles para la gestión del riesgo y el control, la cual se distribuye en diversos servidores de la entidad, basando se en el esquema de líneas de defensa, no siendo ésta una tarea exclusiva de las oficinas de control interno. Particularmente, la Línea estratégica de defensa está conformada por la Alta Dirección y el Comité Institucional de Coordinación de Control Interno. La responsabilidad de esta línea de defensa se centra en la emisión, revisión, validación y supervisión del cumplimiento de políticas en materia de control interno, gestión del riesgo, seguimientos a la gestión y auditoría interna para toda la entidad.

 

Las entidades del orden nacional, departamental y municipal, cualquiera que sea su régimen de contratación, deberán implementar los Programas de Transparencia y Ética Pública, con el fin de promover la cultura de la legalidad e identificar, medir, controlar y monitorear constantemente el riesgo de corrupción en el desarrollo de su misionalidad, marco en el cual define una serie de acciones y estrategias que reemplazan los antiguos Planes Anticorrupción y de Atención al Ciudadano.

 

Este Departamento Administrativo, elaboró y emitió la “Guía para la Gestión Integral del Riesgo en Entidades Públicas” - v7, instrumento metodológico desarrollado en articulación con la Secretaría de Transparencia de la Presidencia de la República y el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC).

 

La Guía en mención incluye aspectos metodológicos y de articulación en el marco del Modelo Integrado de Planeación y Gestión MIPG y de la Dimensión de Control Interno, con el fin de orientar a las entidades para que en su implementación se aplique una visión sistémica para la gestión del riesgo, así como para involucrar el monitoreo y evaluación desde una perspectiva preventiva y, para ello, mantiene la estructura conceptual y metodológica general, cuyos elementos son ahora comunes para la gestión integral de todas las tipologías de riesgo (gestión, fiscales, de seguridad de la información y para la integridad pública).

 

Frente al manejo y administración de los riesgos del Sistema de Gestión de Riesgos para la Integridad Pública –SIGRIP, en la misma Guía se desarrolla el Capítulo VI, autoría de la Secretaría de Transparencia, para orientar a las entidades en el cumplimiento de la Ley 2195 de 2022, que hace obligatoria la “prevención, gestión y administración de riesgos de lavado de activos, financiación del terrorismo y proliferación de armas y riesgos de corrupción, incluidos los reportes de operaciones sospechosas a la UIAF, consultas en las listas restrictivas y otras medidas específicas que defina el Gobierno nacional” (artículo 31). Para ello, las entidades deben implementar un Programa de Transparencia y Ética Pública y contar con un sistema de gestión que le permita prevenir, detectar y corregir los eventos que amenazan el ejercicio íntegro del servicio público (riesgos asociados a Corrupción) o la integridad de las instituciones del Estado (riesgos de lavado de activos, financiación del terrorismo y proliferación de armas y riesgos de corrupción), de manera integral. Para eso, ha diseñado el Sistema de Gestión de Riesgos para la Integridad Pública –SIGRIP.

 

Ahora bien, frente a su solicitud y conforme a lo anteriormente descrito, me permito responder lo siguiente.

 

PREGUNTA:

 

“¿La política de riesgos debe limitarse únicamente a los riesgos de gestión, fiscales y de seguridad de la información, mientras que el SIGRIP debe desarrollarse como un instrumento independiente enfocado en los riesgos de integridad?”

 

RESPUESTA:

 

Mencionado anteriormente, el propósito de esta guía y fundamento de la misma, es que se haga una gestión de riesgos de forma integral al interior de las entidades, que se tengan en cuenta, desde el diseño de la política, e involucre la integralidad de la metodología (general) con los diferentes aspectos de la entidad, precisando para cada categoría de riesgos los lineamientos técnicos y legales aplicables. De esta manera, se propicia el análisis y gestión integral de todos los riesgos que afecten el alcance de los objetivos de la organización.

Por su parte el SIGRIP es el sistema de gestión de riesgos para la integridad pública, el cual le va a permitir a la entidad prevenir, detectar y corregir los eventos que amenazan el ejercicio íntegro del servicio público (riesgos asociados a Corrupción) o la integridad de las instituciones del Estado (riesgos de lavado de activos, financiación del terrorismo y proliferación de armas y riesgos de corrupción), de manera integral. Por tanto, su implementación parte de la articulación en la política de gestión integral de riesgos de la entidad y la aplicación de la metodología general de identificación y valoración de riesgos, manteniendo la precisión de las particularidades conceptuales y técnicas contenidas en los lineamientos de la Secretaría de Transparencia.

 

El anterior concepto se imparte en los términos del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

Cordialmente,

 

LUZ DAIFENIS ARANGO RIVERA

Directora de Gestión y Desempeño Institucional

 

Datos de quien Proyectó	Albeniz Salinas Sosa -DGDI
Datos de quien Revisó	Ana Yolanda Garzón Gachancipá - DGDI
Datos de Vo.Bo.	N/A
Código TRD	11302.8.2

 

NOTAS DE PIE DE PÁGINA

 

1 Guía para la Gestión Integral del Riesgo en Entidades Públicas, Capítulo II Aspectos clave antes de aplicar la metodología