GUIA PARA LA ADMINISTRACIÓN DEL RIESGO EMSER E.S.P.

GUIA PARA LA ADMINISTRACIÓN DEL RIESGO EMSER E.S.P.

ADELA FAHYZARI BEDOYA TÉLLEZ ASESORA MIPG 04 de junio de 2020

GUIA PARA LA ADMINISTRACIÓN DEL

RIESGO EMSER E.S.P.

Código:

Versión:

GERENCIA Página 1 de 32

INDICE

INTRODUCCIÓN 2

1. OBJETIVOS 3

1.1 OBJETIVO GENERAL 3

1.2 OBJETIVOS ESPECIFICOS 3

2. ALCANCE 3

3. NORMATIVIDAD 4

4. TERMINOS Y DEFINICIONES 5

5. RESPONSABILIDADES 7

6. METODOLOGIA-GUIA PARA LA GESTION RIESGO- 10

6.1 PASO 1: POLITICA DE ADMINISTRACIÓN DE RIESGOS 10

6.2 PASO 2: IDENTIFICACION DE RIESGOS 13

6.2.1 Descripción del Riesgo 14

6.2.2 Tipología del riesgo 15

6.3 PASO 3: VALORACION DE LOS RIESGOS 16

6.3.1 Análisis del Riesgos 18

6.3.2 Evaluación del Riesgo 20

6.3.3 Monitoreo y Revisión 26

7. COMUNICACIÓN Y CONSULTA 29

8. ESTRATEGIAS 30

9. BIBLIOGRAFIA 31

INDICE DE TABLAS TABLA N° 1 Factores Internos y Externos para establecer las causas 14 TABLA N° 2 Probabilidad de ocurrencia del Riesgo 18 TABLA N° 3 Impacto del Riesgo 19 TABLA N° 4 Mapa de Calor para estimar el nivel del Riesgo 21 TABLA N° 5 Análisis y Evaluación de los controles para la mitigación del Riesgo 23 TABLA N° 6 Resultados de la evaluación del diseño del Control 23 TABLA N° 7 Categorías para el Tratamiento del Riesgo 25

INDICE DE ESQUEMA ESQUEMA N° 1 Metodología para la Administración de Riesgos en EMSER E.S.P. 12 ESQUEMA N° 2 Identificación del riesgo 13 ESQUEMA N° 3 Tipos de riesgos 15 ESQUEMA N° 4 Identificación de Activos de Seguridad de la Información 16

ESQUEMA N° 5 Valoración del riesgo 17 ESQUEMA N° 6 Acciones de tratamiento del Riesgo 23 ESQUEMA N° 7 Clasificación de las Actividades de Control 26 ESQUEMA N° 8 Responsables de Monitorear y revisar la gestión de los riesgos

27

INDICE DE FIGURAS Figura N° 1 Cómo hallar el Nivel de Riesgo inherente 22 Figura N° 2 Mapa de Riesgos Inherentes y Residuales

24

INDICE DE IMAGEN IMAGEN N° 1 Matriz de Riesgos 30


RIESGO EMSER E.S.P.

Código:

Versión:


INTRODUCCIÓN

Una organización del estado deberá partir del análisis del contexto interno y externo entre otros para establecer sus objetivos de manera clara y medible, alineados con la Planeación Estratégica y dirigidos al cumplimiento de la normatividad vigente, este ejercicio deberá ser liderado por el equipo directivo con la colaboración de todos los servidores de la entidad. Esta planeación tendrá en cuenta que se enfrentarán incertidumbres para el logro de las metas por los riesgos derivados del desarrollo de las actividades que pueden originarse a raíz de factores internos y/o externos, estos riesgos se identificarán, valorarán y controlarán para gestionarlos de acuerdo a lo establecido dentro de la política institucional de administración del riesgo, dicho de otra manera se deberá determinar cómo responder al riesgo.

Para la Gestión del Riesgo se debe partir del conocimiento del objetivo de la entidad y de cada proceso, pensando cuál será el o los eventos que pueden afectar su logro, de esa misma manera se deberán evaluar los riesgos que pueden ser de gestión, de corrupción y de seguridad digital contando con los mecanismos para establecer el nivel de riesgo inherente o residual. Esta gestión del riesgo se fortalece a partir del desarrollo de la dimensión de Gestión con valores para el resultado.

EMSER E.S.P, establece la Política para la Administración del Riesgo conforme a los lineamientos de la Guía para la Administración del Riesgo y el diseño de controles en entidades públicas, versión 4, del Departamento de la Función Pública – DAFP, la herramienta “Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano V2” contemplado en el Decreto Nacional 1081 DE 2015, la Guía para la Gestión del Riesgo de Corrupción propuesta en el Decreto 124 DE 2016 y el Manual Operativo del Modelo Integrado de Planeación y Gestión de 2019 Versión 3.

El Modelo Integrado de planeación y Gestión -MIPG- dispone que la Administración del Riesgo es una tarea propia del equipo directivo y se debe hacer desde el ejercicio de Direccionamiento Estratégico y de Planeación, emitiendo los lineamientos precisos para el tratamiento, manejo y seguimiento a los riesgos que afectan el logro de los objetivos institucionales.

El presente documento técnico establece los lineamientos para la identificación, análisis, valoración, evaluación y tratamiento de los riesgos que puedan afectar la misión y los objetivos institucionales.


RIESGO EMSER E.S.P.

Código:

Versión:


1. OBJETIVOS

1.1 OBJETIVO GENERAL Establecer los lineamientos básicos y metodológicos para una adecuada gestión del riesgo en EMSER E.S.P., a partir de su identificación, análisis, valoración, intervención y monitoreo, para el logro de los objetivos institucionales.

1.2 OBJETIVOS ESPECÍFICOS

Reconocer los riesgos de la entidad, identificarlos, evaluarlos, valorarlos y establecer acciones para la prevención y/o mitigación.

Valorar los controles existentes y mejorarlos para minimizar la materialización de los riesgos con seguimiento y evaluación periódicos y sistemáticos.

Ejecutar actividades de monitoreo permanente para su evaluación y mejora.

Evitar las prácticas inadecuadas que atenten contra la transparencia de la gestión y conlleven a sanciones que afectan la imagen de la entidad y posibles detrimentos económicos por sanciones.

Fortalecer el autocontrol y la autoevaluación en la entidad con el seguimiento a las acciones planteadas para gestionar el riesgo.

2. ALCANCE

La política de Gestión del Riesgo de EMSER E.S.P, se aplicará en toda la organización, será de carácter prioritario y estratégico, aplicable a todos los procesos y programas, así como a todas las acciones desarrolladas por los servidores durante el ejercicio de sus funciones u objeto contractual, además se podrá aplicar en cualquier momento, garantizando un adecuado conocimiento y control de los riesgos. En el caso de los riesgos de seguridad digital, estos se deben gestionar de acuerdo a los criterios diferenciales descritos en el modelo de seguridad y privacidad de la información de MIPG.


RIESGO EMSER E.S.P.

Código:

Versión:


3. NORMATIVIDAD

NORMA OBJETO

Ley 87 de 1993

Normatiza el ejercicio de control interno Art 2 literal A: proteger los recursos de la organización administrando adecuadamente los riesgos. Art 2 literal F: definir y aplicar las medidas para prevenir riesgos, detectar y corregir desviaciones que puedan afectar el logro institucional.

Ley 489 de 1998 Estatuto Básico C.I. Decreto 1499 de 2017 Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único

Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión y actualiza el Modelo Integrado de Planeación y Gestión.

Decreto 2145 de 1999 Normatiza el sistema Nacional de control interno en entidades y organismos de la Administración pública en el Estado Nacional y Subnacionales. Modificado D.2593/2000 y por el artículo 8º.de la Ley 1474 de 2011.

Decreto 1537 de 2001 Reglamenta parcialmente la ley 87, especialmente en cuanto a elementos técnicos y administrativos que fortalezcan el Control Interno.

Decreto 4485 de 2009 Por medio de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública NTC GP1000:2009.

Decreto 1499 de 2017 Modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015.

Decreto 4485 de 2009 Por medio de la cual se adopta la actualización de la Norma Técnica de Calidad en la Gestión Pública NTC GP1000:2009.

REQUISITOS TÉCNICOS

NORMA OBJETO NTC-ISO 1000:2009 Actualización de la NTC-ISO 1000-2004

NTC-ISO 31000:2018 Principios y directrices para la Gestión del Riesgo.

NTC-ISO 9000:2015 Conceptos fundamentales, los principios y el vocabulario para los Sistemas de gestión de la Calidad.

NTC-ISO 9001:2015 Sistemas de Gestión de la Calidad Fundamentos y Vocabularios.

Guía Técnica Colombiana 137. Gestión del Riesgo Guía para la Administración del riesgo y el diseño de controles en entidades públicas del DAFP vigente.

Riesgos de Gestión, Corrupción y Seguridad Digital

Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación.

Colombia Compra Eficiente.

Manual Operativo del Sistema de Gestión del Modelo Integrado de Planeación y Gestión. V3

Marco de referencia para que las entidades ejecuten y hagan seguimiento a su gestión para el beneficio del ciudadano.


RIESGO EMSER E.S.P.

Código:

Versión:


4. TÉRMINOS Y DEFINICIONES

Administración del Riesgo: Actividades encaminadas a la intervención de los riesgos de la entidad, a través de la identificación, valoración, evaluación, manejo y monitoreo de los mismos de forma que se apoye el cumplimiento de los objetivos de la entidad.

Análisis de Riesgos: Determinación del impacto en función de la consecuencia o efecto y de la probabilidad de ocurrencia del riesgo.

Corrupción: Uso del poder para desviar la gestión de lo público hacia el beneficio privado. Causas: Medios, circunstancias, situaciones o agentes generadores del evento.

Control: Acciones encaminadas a reducir la probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo. Medida que modifica el riesgo. Son las políticas, acciones, procesos, prácticas que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de los objetivos.

Evaluación del Riesgo: Proceso usado para determinar las prioridades de gestión del riesgo mediante la comparación de los Resultados del análisis del riesgo (calificación) con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables (Grado de exposición al Riesgo).

Evento: Hecho que se genera durante la gestión de un proceso afectando el logro del objetivo del mismo, tiene relación directa con las actividades críticas de los planes operativos, las actividades de ruta crítica de los Proyectos de Inversión y las actividades críticas de control de los procesos.

Frecuencia: Periodicidad con que ha ocurrido un evento.

Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos por proceso, haciendo la descripción de cada uno de ellos, las posibles consecuencias y su forma de tratamiento.

Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.

Parte Involucrada: Persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o una actividad.


RIESGO EMSER E.S.P.

Código:

Versión:


Plan de Contingencia: Parte del plan de manejo de los riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la Entidad.

Plan de Manejo de Riesgos: Plan de acción propuesto por el grupo de trabajo, cuya evaluación beneficio costo resulta positivo y es aprobado por la gerencia.

Política para la Gestión del Riesgo: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo.

Políticas de manejo del Riesgo: Son los criterios que orientan la toma de decisiones para tratar, y en lo posible minimizar, los riesgos en la entidad, en función de su evaluación.

Probabilidad: Medida para estimar la posibilidad de que ocurra un evento.

Responsable del riesgo: Es el encargado de identificar, valorar y definir el plan de contingencia, el manejo y monitoreo para cada uno de los riesgos del proceso bajo su responsabilidad.

Riesgo: Posibilidad de ocurrencia del evento que tiene un efecto positivo o negativo sobre el producto o servicio generado de un proceso o el cumplimiento de los objetivos institucionales.

Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder para poder desviar la gestión de lo público hacia un beneficio privado.

Riesgo de seguridad de la información: Posibilidad de que una amenaza concreta pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información; estos daños consisten en la afectación de la confidencialidad, integridad o disponibilidad de la información.

Riesgos Seguridad Digital: Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.

Riesgo Positivo: Posibilidad de ocurrencia de un evento o situación que permita optimizar los procesos y/o la gestión institucional, a causa de oportunidades y/o fortalezas que se presentan en beneficio de la entidad.

Tratamiento: Opciones que determinan el tipo de acciones a implementar para administrar el riesgo.

Valoración del Riesgo: Grado de exposición al riesgo con la clasificación de probabilidad e impacto aplicando los controles existentes.


RIESGO EMSER E.S.P.

Código:

Versión:


5. RESPONSABILIDADES

La responsabilidad se define según las líneas de defensa de la siguiente manera:

Líneas de Defensa

Responsable Responsabilidad frente al Riesgo

Línea Estratégica

Gerencia

Comité de Gestión y Desempeño

Comité Institucional de Control Interno

Definir y aprobar el marco general para la gestión del riesgo y el control.

Analizar los riesgos, las vulnerabilidades y las amenazas institucionales para el cumplimiento de los objetivos estratégicos, planes y metas de la ESP.

Definir y aprobar la política para la administración del riesgo.

Garantizar el cumplimiento de los planes de la entidad.

Primera Línea

Líderes de proceso

Identificar, valorar, evaluar y actualizar cuando se requiera, los riesgos que pueden afectar los objetivos y programas del proceso.

Definir, adoptar, aplicar y hacer seguimiento a los controles para mitigar los riesgos identificados y proponer mejoras para su gestión.

Supervisar la ejecución de los controles que el equipo de trabajo debe aplicar en la gestión del día a día, detectar las falencias de los controles y determinar las acciones de mejora a que haya lugar, es decir ejecutar el autocontrol.

Ejecutar autoevaluación para establecer la eficiencia, eficacia y efectividad de los controles seleccionados para el tratamiento de los riesgos identificados.

Informar a la oficina de planeación (segunda línea) sobre los riesgos materializados de los procesos a cargo.

Segunda Línea

Oficina de Planeación

Asesorar a la línea estratégica en el análisis del contexto interno y externo, para la definición de la política de riesgo, el establecimiento de los niveles de impacto y el nivel de aceptación del riesgo residual

Consolidar el Mapa de riesgos institucional (riesgos de mayor criticidad frente al logro de los objetivos) y presentarla para análisis y seguimiento.

Presentar al Comité de Control Interno el resultado de la medición del nivel de eficacia de los controles para el tratamiento de los riesgos identificados en todos los procesos.

Acompañar, orientar y entrenar a los líderes de procesos en la identificación, análisis, valoración y evaluación del riesgo.

Supervisar en coordinación con los demás responsables de esta segunda línea de defensa, que la primera línea identifique, analice, valore, evalué y realice el tratamiento de los riesgos, que se adopten los controles para la mitigación de los riesgos identificados y se apliquen las acciones pertinentes para reducir la probabilidad o impacto de los riesgos.


RIESGO EMSER E.S.P.

Código:

Versión:


Monitorear los controles establecidos por la primera línea de defensa acorde con la información suministrada por los líderes de procesos.

Evaluar si la gestión de los riesgos está acorde con la presente política de la entidad y que sean monitoreados por la primera línea de defensa.

Promover ejercicios de autoevaluación para establecer la eficiencia, eficacia y efectividad de los controles seleccionados para el tratamiento de los riesgos identificados.

Jefes de Direcciones

Coordinadores

Supervisores de Contratos

Acompañar a los líderes de procesos en la identificación, análisis, valoración, evaluación del riesgo y la definición de controles en los temas a su cargo. Incluyendo el enfoque en la prevención del daño antijurídico.

Monitorear los riesgos identificados y controles definidos por la primera línea de defensa acorde con la estructura de los temas a su cargo.

Realizar el seguimiento al mapa de riesgos de su proceso.

Registrar los avances en la gestión del riesgo.

Proponer las acciones de mejora a que haya lugar posterior al análisis, valoración, evaluación o tratamiento del riesgo.

Supervisar la implementación de las acciones de mejora o la adopción de buenas prácticas de gestión del riesgo asociado a su responsabilidad.

Supervisar que la primera línea de defensa identifique, valore,

evalué y gestione los riesgos en los temas de su competencia.

Supervisar la implementación de las acciones de mejora o la adopción de buenas prácticas de gestión del riesgo asociado a su responsabilidad.

Comunicar al equipo de trabajo a su cargo la responsabilidad y resultados de la gestión del riesgo.

Tercera Línea

Control Interno

Asesorar a la primera línea de defensa de forma coordinada con la Oficina de Planeación, en la identificación de los riesgos y diseño de controles.

Llevar a cabo el seguimiento a los riesgos consolidados en los mapas de riesgos de conformidad con el Plan Anual de Auditoria y reportar los resultados al Comité Institucional de Control Interno.

Recomendar mejoras de ser necesario a la Política de Operación para la Administración del Riesgo.


RIESGO EMSER E.S.P.

Código:

Versión:


Responsabilidad sobre la Identificación de Riesgos. La oficina de Planeación, llevará a cabo las siguientes acciones:

Socializar la metodología para la gestión de riesgos, los lineamientos de la primera línea de defensa frente al riesgo, objetivo del proceso, comunicación de los planes y proyectos del proceso.

Capacitar al grupo de trabajo de cada dependencia para la gestión del riesgo.

Liderar las mesas de trabajo de identificación del riesgo.

Verificar que las acciones de control se documenten conforme a los requerimientos de la metodología.

Identificar claramente, junto con el equipo de trabajo, los responsables de las acciones y las fechas de realización y registrarlas.

Elaborar o condensar el Mapa de Riesgos Institucional la entidad con toda la información a partir de la información construida con los equipos de trabajo, con los riesgos Extremos, Altos, Moderados y de Corrupción.

El Líder de la dependencia, llevará a cabo las siguientes acciones:

Asegurar, por parte del líder de proceso, que al interior de su grupo de trabajo se reconozca el concepto de “Administración del Riesgo”, la Política y la metodología definida, los actores y el entorno del proceso aprobados por la primera línea de defensa.

Delegar las personas que se encargarán de la identificación, monitoreo, reporte y socialización de los riesgo asociados.


RIESGO EMSER E.S.P.

Código:

Versión:


6. METODOLOGÍA -GUIA PARA LA GESTIÓN DEL RIESGO-

La Gestión del Riesgo debe tener un enfoque sistemático, estructurado y oportuno

que la alta gerencia direccionará a través de la formulación de lineamientos y

estrategias que permitan evitar o minimizar el riesgo que impida el logro de su

propósito fundamental y las metas estratégicas, para que se cumplan a través de

una secuencia de actividades humanas asignadas de acuerdo a la líneas de

defensa del MECI, consolidando de esta manera el sistema de control interno a

través de una cultura de autocontrol y autoevaluación con características como:

Debe ser parte de la Planeación, la Gestión y el seguimiento y evaluación de

los procesos en la entidad.

Crea y protege el valor, siendo dinámica y receptiva al cambio.

Es parte integral de todos los procesos en la organización.

Es parte de la toma de decisiones, facilitando la mejora continua de la

organización.

Aborda la incertidumbre

Toma en cuenta los factores Humanos y culturales.

La Metodología para la Administración del Riesgo requiere de un análisis inicial relacionado con el estado actual de la estructura de riesgos y su gestión en la entidad, el conocimiento de la misma desde el punto de vista estratégico, de la aplicación de tres pasos básicos para su desarrollo y de la definición e implantación de estrategias de comunicación transversales a la entidad para que su efectividad pueda ser evidenciada. A continuación se puede observar la estructura completa con sus desarrollos básicos Ver Esquema N°1

6.1 PASO 1: POLÍTICA DE ADMINISTRACIÓN DE RIESGOS La política de Administración del Riesgo de EMSER E.S.P., es una política de operación para la entidad y aplicable a todos sus procesos, proyectos y programas, que establece los lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos de acuerdo a la metodología proporcionada por la Guía para la administración del riesgo y el diseño de controles en entidades públicas versión 4 de la Función Pública.


RIESGO EMSER E.S.P.

Código:

Versión:


La alta dirección debe proponer, orientar, direccionar y vigilar la aplicación de la Política de Gestión del Riesgo en la entidad.

La Gestión del Riesgo será responsabilidad y obligación de todos los directivos, Líderes de procesos y colaboradores.

Los Líderes de los procesos identificarán, valorarán y controlarán los riesgos que puedan afectar el normal funcionamiento de sus procesos respectivos y rendirán cuentas de su gestión, midiendo los controles en cuanto a eficiencia, eficacia y efectividad para identificar si debe modificarse o ajustarse.

Si se surten cambios en los controles de los riesgos, los Líderes deben comunicarlo para hacer el ajuste en el Mapa respectivo.

Control interno realizará seguimiento y evaluación a la Gestión del Riesgo semestralmente.

La Política y sus acciones se revisarán y ajustarán si es necesario cada vez que se den cambios en la entidad o en la normatividad.

POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE EMSER E.S.P. “La Empresa de servicios Públicos de Acueducto, Alcantarillado y Aseo EMSER E.S.P., se compromete a administrar los riesgos de gestión, de corrupción y de Seguridad Digital, asociados a los objetivos estratégicos, planes, proyectos, programas y procesos de la entidad, de acuerdo a la metodología propia para su gestión, cumpliendo los requisitos legales y reglamentarios, con lineamientos claros y precisos para desarrollar acciones de control detectivas y preventivas para evitar la materialización, así mismo ejercer una actuación oportuna para corregir las eventualidades con el objeto de mitigar consecuencias y mantener los niveles de riesgo aceptables”. Una vez estructurada la Política de Gestión del Riesgo institucional será comunicada para que sea entendida y aplicada por todo el personal que labora en la entidad. La metodología para el tratamiento, manejo y seguimiento de los riesgos que se implementará en la entidad será la siguiente:


RIESGO EMSER E.S.P.

Código:

Versión:


Esquema N°1 Metodología para la Administración de Riesgos en EMSER E.S.P.

Fuente: Guía para la administración y Gestión del Riesgo Función Pública 2018

MET

OD

OLO

GÍA

PA

RA

LA

A

DM

INIS

TRA

CIÓ

N D

E R

IESG

OS

ANTES DE INICIAR CON LA

METODOLOGÍA

CONOCIMIENTO DE LA ENTIDAD

*Misión.

*Visión.

*Objetivos Estratégicos.

*Planeación institucional.MODELO DE

OPERACIÓN POR PROCESOS *Caracterización de los procesos.

*Objetivo de los procesos.

*Planes, programas o proyectos asociados.POLÍTICA DE

ADMINISTRACIÓN DE RIESGOS

Lineamientos de la Política

IDENTIFICACIÓN DE RIESGOS

2.1 Establecimiento del contexto

2.1.1 Contexto Interno

2.1.2 Contexto Externo

2.1.3 Contexto del Proceso

2.1.4 Identificación de activos

2.2 Identificación de riesgos

2.2.1 Técnicas para la redacción de riesgos

2.2.2 Tipología de riesgos

VALORACIÓN DE RIESGOS

3.1 Análisis de riesgos Análisis de impacto

3.2 Evaluación de riesgos

3.2.1 Análisis preliminar (riesgo inherente)

3.2.2 Valoración de los controles

3.2.3 Nivel de riesgo (riesgo residual)

3.3 Monitoreo y Revisión

Matriz de responsabilidades

3.4 Seguimiento Reportes Periódicos

COMUNICACIÓN Y CONSULTA (ASPECTO

TRANSVERAL)

Paso 2 1

Paso

1

Paso 3

231

Paso

1

Paso 1 1

Paso

1


RIESGO EMSER E.S.P.

Código:

Versión:


6.2 PASO 2: IDENTIFICACIÓN DE RIESGOS La Segunda línea de Defensa analizará los objetivos estratégicos para revisar que se encuentren alineados con la Misión y Visión institucional e identificar los posibles riesgos que afecten su cumplimiento, así mismo analizará con los líderes de los procesos los objetivos a cargo de ellos para constatar que estén alineados con la Misión y Visión y asegurando que estos contribuyan a los objetivos estratégicos, ver Esquema N°2. Adicional a los riesgos operativos, es importante identificar los riesgos de corrupción y de seguridad digital entre otros.

Esquema N°2 Identificación del Riesgo

Identificación del Riesgo

En qué Consiste

En éste paso se deben establecer las fuentes o factores de riesgo, los riesgos, sus causas y

consecuencias.

Elementos que lo

desarrollan

Establecimiento del Contexto para establecer las causas del riesgo

Contexto del Proceso

Objetivo del Proceso

Alcance del Proceso

Interrelación con otros procesos

Procedimientos asociaddos

Responsable del Proceso

Activos de Seguidad Digital

del Proceso.

Contexto Interno

Estructura Organizacional

Modelo de Operación

Procesos y Procedimientos

Planes y Programas

Talento Humano

Relaciones con las Partes

Interesadas.

Contexto Externo

Factor Político

Económicos y Financieros

Sociales y Culturales

Tecnológicos

Ambientales

Legales y Reglamentarios

Identificación del Riesgo


RIESGO EMSER E.S.P.

Código:

Versión:


6.2.1 Descripción del Riesgo

Detallar en forma clara, sencilla y precisa lo que puede suceder y cómo, durante

la ejecución de actividades, que puedan afectar el logro del objetivo del proceso.

Las preguntas claves para la identificación y descripción del riesgo son:

Causas: Se deben tener en cuenta los factores internos y externos que afecten la entidad como se muestra en la siguiente tabla:

Tabla N°1 Factores Internos y Externos para establecer las causas

Factores Externos Factores Internos

Económicos: Disponibilidad de capital, no pago de la deuda, liquidez, desempleo, competencia.

Infraestructura: Adecuación, vulnerabilidad, mantenimiento.

Medioambientales: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

Financieros: Disponibilidad de activos, capacidad de los activos, acceso al capital.

Políticos: Cambios de gobierno, legislación, políticas públicas, regulación.

Talento Humano: Capacidad del personal, salud, seguridad.

Sociales: Demografía, terrorismo y responsabilidad social. Procesos: Capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento.

Tecnológicos: Interrupciones, ataques virales, desarrollo, producción, datos externos, mantenimiento electrónico, tecnología emergente.

Tecnología: Sistemas de Información, flujos de información, integridad y disponibilidad de datos y sistemas, desarrollo, producción y mantenimiento.

Comunicación externa: Baja accesibilidad a los canales de comunicación o que sean insuficientes, ausencia de un equipo encargado de la información que se envía al exterior de la entidad.

Comunicación Interna: Falta de planeación de las comunicaciones internas, baja efectividad en los canales internos, información dispersa, falta de control sobre los canales establecidos, poca efectividad en los canales internos.

Fuente: Guía para la administración y Gestión del Riesgo Función Pública 2018

•Identificar la afectación

del cumplimiento del objetivo

estratégico o del proceso

Qué pudede suceder?

•Establecer las causas a partir de los factores

determinados en el contexto y que puedan dar origen a la materialización

del riesgo, revisando cuáles son las actividades más

críticas

Cómo puede suceder?

•Determinar de acuerdo con el desarrollo del proceso.

Cuándo puede suceder?

• Se deben determinar los posibles efectos de la materialización del

riesgo sobre los objetivos del proceso, que de presentarse

tendrían incidencias importantes en bienes materiales e

inmateriales como pérdidas de información, de bienes,

interrupción del servicio y un aspecto de gran importancia para la entidad, como es la

percepción ciudadana de la mala prestación del servicio lo que genera una imagen negativa y

pérdida de credibilidad

Qué consecuencias tendría su

materialización?


RIESGO EMSER E.S.P.

Código:

Versión:


6.2.2 Tipología del Riesgo

De acuerdo con la naturaleza de EMSER E.S.P., los objetivos institucionales, el

objetivo de cada proceso y la normatividad vigente se identifican los siguientes

tipos de riesgos que se deben documentar en la casilla de clasificación del

riesgo. Ver Esquema N°3.

Esquema N°3 Tipos de Riesgos

Fuente Cartilla DAFP

Riesgos de Corrupción: Para facilitar la identificación de los riesgos de corrupción y evitar con los riesgos de gestión, se utilizará la siguiente matriz:

MATRIZ DE DEFINICÓN DEL RIESGO DE CORRUPCIÓN Descripción del Riesgo Acción u

Omisión Uso del Poder Desviar la gestión

de lo público Beneficio Privado

• Posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos y las políticas institucionales, impactando toda la organización

Estratégicos

• Provenientes de los procesos, de la articulación entre dependencias, de los sistemas de información y de la estructura de la entidad, afectando los procesos misionales.

Operativos

• Relacionados con la capacidad tecnológica de la Entidad (hardware, software, redes, etc.), para las necesidades actuales y futuras.

Tecnológicos

• Asociados al manejo de los recursos de la entidad como la ejecución presupuestal, los estados financieros, los pagos, costos, manejos de excedentes de tesorería y manejo sobre los bienes.

Financieros

• Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

De Cumplimiento

• Asociados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

De imagen

Riesgos de Seguridad Digital Posibilidad de combinación de amenazas y

vulnerabilidades en el entorno digital, puede debilitar

el logro de objetivos económicos y sociales.

Riesgos de Corrupción Posibilidad de que, por acción u omisión, se use el

poder para desviar la gestión de lo público hacia un beneficio privado.

Ambientales

RIE

SGO

S D

E G

EST

IÓN

/OP

ERA

CIÓ

N


RIESGO EMSER E.S.P.

Código:

Versión:


Riesgos de Seguridad Digital Los riesgos de Seguridad Digital se identifican de acuerdo a la afectación de tres criterios en un activo o grupo de activos dentro del proceso y son:

Integridad

Confidencialidad

Disponibilidad

Para la identificación y gestión de los riesgos de seguridad digital se debe tener en cuenta los activos de seguridad de la información como se muestra en el siguiente esquema:

Esquema N°4 Identificación de Activos de Seguridad de la Información

6.3 PASO 3. VALORACIÓN DE LOS RIESGOS

En la Valoración de Riesgos se estima la Probabilidad de ocurrencia del riesgo y

el nivel de consecuencia o Impacto, para obtener la zona de Riesgo Inicial o

RIESGO INHERENTE. Ver Esquema N° 5.

Listar los activos por

cada proceso

Identificar el dueño de los

activos

Clasificar activos

Clasificar la información

Determinar la criticidad del

activo

Identificar si existe infraestructura crítica

cibernética


RIESGO EMSER E.S.P.

Código:

Versión:


Esquema N°5 Valoración del Riesgo

Fuente: Guía para la Administración del Riesgo Función Pública

Elementos que lo desarrollan

VALORACIÓN DE RIESGOS

EVALUACIÓN DE RIESGOS

Busca confrotar los resultados del análisis del riesgo inicial frente a los controles establecidos, con el fin de

dterminar la zona de riesgo final

(RIESGO RESIDUAL)

ANÁLISIS DE RIESGOS

Busca establecer la probabilidad de ocurrencia del riesgo y sus

consecuencias o impacto, con el fin de estimar la zona de riesgo inicial.

(RIESGO INHERENTE)

ASPECTOS A TENER EN CUENTA

Tabla para determinar probabilidad.

Tabla para determinar el impacto o consecuencias (de acuerdo con la política de riesgos institucional).

Matriz de Evaluación de Riesgos.

Elaboración del Mapa

de riesgos

Para el análisis de los controles se sugiere

el uso de la matriz desarrollada para su

calificación

Análisis y

evaluación de

controles


RIESGO EMSER E.S.P.

Código:

Versión:


6.3.1 Análisis del Riesgo Determinar la Probabilidad o frecuencia: Posibilidad de ocurrencia del

riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. La Probabilidad y el Impacto se determinan con base en la amenaza, no en las vulnerabilidades.

Tabla N° 2 Probabilidad de Ocurrencia del Riesgo

Nivel Descriptor Descripción Frecuencia

5 Casi Seguro Se espera que el evento ocurra en la mayoría de las circunstancias.

Más de una vez al año.

4 Probable Es viable que el evento ocurra en la mayoría de las circunstancias.

Al menos 1 vez en el último año.

3 Posible El evento podrá ocurrir en algún momento.

Al menos 1 vez en los últimos 2 años.

2 Improbable El evento podrá ocurrir en algún momento, es poco común.

Al menos 1 vez en los últimos 5 años.

1 Rara vez El evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales).

No se ha presentado en los últimos 5 años.

Frecuencia: Número de eventosen un periodo determinado, sonhechos que se han materializado y secuenta con historial

Factibilidad: Se analiza lapresencia de factores internos yexternos que pueden propiciar elriesgo, puede ser un hecho que nose ha presentado pero es posibleque se dé.


RIESGO EMSER E.S.P.

Código:

Versión:


Determinar el Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo, se debe analizar y calificar a partir de las consecuencias identificadas en la fase de descripción del riesgo. Para los riesgos de corrupción solo se les aplican las columnas de impacto Moderado, Mayor y Catastrófico.

Tabla N°3 Impacto del Riesgo

Nivel Valor del

Impacto Consecuencias Cuantitativas Consecuencias Cualitativas

5 Catastrófico

Si el hecho llegara a presentarse tendría desastrosas

consecuencias o efectos sobre la organización.

*Sobre la ejecución presupuestal en un valor > o igual

a un 50%.

*Pérdida de > o igual al 50%cobertura en la prestación del servicio *Pago de indemnizaciones a terceros que afecten el

presupuesto total en un valor > o igual a 50%.

*Pago de sanciones económicas por incumplimiento

de la normatividad que afecta el presupuesto general

de la entidad en un valor > o igual a 50%.

*Interrupción de las operaciones de la entidad por más de cinco (5) días. *Intervención por parte de un ente de control u otro ente regulador. *Pérdida de información crítica para la entidad que no se puede recuperar. *Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal. * Imagen institucional afectada por actos o hechos de corrupción comprobados.

4 Mayor

Si el hecho llegara a presentarse tendría altas



a un 50%.

*Pérdida de > o igual al 20%cobertura en la

prestación del servicio

*Pago de indemnizaciones a terceros que afecten el

presupuesto total en un valor > o igual a 20%.



de la entidad en un valor > o igual al 20%.

*Interrupción de las operaciones de la entidad por más de dos (2) días. *Intervención por parte de un ente de control u otro ente regulador. *Pérdida de información crítica que puede ser recuperada en forma parcial o incompleta. *Incumplimiento en las metas y objetivos Institucionales y gubernamentales. *Imagen institucional afectada por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

3 Moderado

Si el hecho llegara a presentarse tendría medianas



a un 5%.

*Pérdida de > o igual al 10% cobertura en la

prestación del servicio

*Pago de indemnizaciones a terceros que afecten el

presupuesto total en un valor < o igual a 5%.



de la entidad en un valor > o igual al 5%.

*Interrupción de las operaciones de la entidad por un (1) día. *Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. * Inoportunidad en la información, ocasionando retrasos en la atención a los usuarios. *Reproceso de actividades y aumento de carga operativa. *Imagen institucional afectada por retrasos en la prestación del servicio a los usuarios o ciudadanos. *Investigaciones penales, fiscales o disciplinarias.


RIESGO EMSER E.S.P.

Código:

Versión:


Nivel Valor del

Impacto Consecuencias Cuantitativa Consecuencias Cualitativas

2 Menor

*Impacto que afecte la ejecución presupuestal en un

valor ≥1%.

*Pérdida de cobertura en la prestación de los

servicios de la entidad ≥5%.

*Pago de indemnizaciones a terceros por acciones

legales que pueden afectar el presupuesto total de la

entidad en un valor ≥1%.


en la normatividad aplicable ante un ente regulador,

las cuales afectan en un valor ≥1% del presupuesto

general de la entidad.

*Interrupción de las operaciones de la entidad por algunas horas. *Reclamaciones o quejas de los usuarios, que implican investigaciones internas disciplinarias. * Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

1 Insignificante

Si el hecho llegara a presentarse, tendría

consecuencias o efectos mínimos sobre la entidad.

*Impacto que afecte la ejecución presupuestal en un valor ≥0,5%. * Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%. * Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥0,5%. *Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥0,5% del presupuesto general de la entidad.

No hay interrupción de las operaciones de la entidad. *No se generan sanciones económicas o administrativas. *No se afecta la imagen institucional de forma significativa.

Fuente: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004

Para el caso de los Riesgos Digitales, las variables confidencialidad,

integridad y disponibilidad se definen de acuerdo con el modelo de seguridad

y privacidad de la información de la estrategia de Gobierno Digital (GD) del

Ministerio de Tecnologías de la Información y las Comunicaciones.

6.3.2 Evaluación del Riesgo.

Estimar el Nivel de Riesgo Inicial o Inherente: Es la calificación del Riesgo una vez se ha puntuado la probabilidad y el impacto del riesgo en la Matriz, la calificación de probabilidad se ubica en la fila y la de impacto en las columnas correspondientes para establecer el punto de intersección de las dos y este punto corresponderá al nivel de riesgo inherente.


RIESGO EMSER E.S.P.

Código:

Versión:


Mapa de Calor: Es la matriz de criticidad de 5x5 significa que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto. Ver Tabla N°3

Aunque se utilice el mismo mapa de calor, para los riesgos de gestión y de corrupción, a estos últimos solo se aplican las columnas de impacto Moderado, Mayor y Catastrófico.

Tabla N°4 Mapa de Calor para estimar el nivel del Riesgo

IMPACTO

PROBABILIDAD

Insignificante Menor Moderado Mayor Catastrófico

1 2 3 4 5

Casi Seguro 5

Zona de Riesgo

Alto

Zona de Riesgo

Alto

Zona de Riesgo

Extremo

Zona de Riesgo

Extremo

Zona de Riesgo

Extremo

Probable 4

Zona de Riesgo

Moderada

Zona de Riesgo

Alta

Zona de Riesgo

Alta

Zona de Riesgo

Extremo

Zona de Riesgo

Extremo

Posible 3

Zona de Riesgo

Baja

Zona de Riesgo

Moderada

Zona de riesgo

Alta

Zona de Riesgo

Extremo

Zona de Riesgo

Extremo

Improbable 2

Zona de Riesgo

Baja

Zona de Riesgo

Baja

Zona de Riesgo

Moderada

Zona de riesgo Alta

Zona de Riesgo

Extremo

Rara vez 1

Zona de Riesgo

Baja

Zona de Riesgo

Baja

Zona de Riesgo

Moderada

Zona de riesgo Alta

Zona de Riesgo

Extremo

Fuente: Adaptado de la Guía para la administración del riesgo. Función Pública 20


RIESGO EMSER E.S.P.

Código:

Versión:


Para hallar el punto de intersección, ver la siguiente figura:

Figura N°1 Cómo hallar el Nivel de Riesgo inherente

Zonas de Riesgo

Zona de Riesgo Extremo

Zona de Riesgo Alta

Zona de Riesgo Moderada

Zona de Riesgo Baja

Valoración de los Controles: Los controles son definidos por la primera línea de defensa y deben estar bien diseñados para la mitigación de las causas del riesgo, el control tiene el propósito de verificar, validar, cotejar, comparar y revisar que siempre se ejecuten como fueron diseñados y se debe dejar evidencia de la ejecución. El control debe estar asignado a un cargo específico con una periodicidad específica (Diaria, mensual, anual, etc.), indicando cuál es su propósito y su ejecución debe ser oportuna para mitigar el riesgo.

Esquema N° 6 Acciones de Tratamiento del Riesgo


RIESGO EMSER E.S.P.

Código:

Versión:


Para la adecuada mitigación de los riesgos, el control debe estar bien diseñado y

debe ejecutarse por los responsables. Ver esquema N°7

Tabla N°5 Análisis y Evaluación de los controles para la mitigación del Riesgo.

Criterios de Evaluación Opción de Respuesta al criterio de evaluación

Peso en la Evaluación del Diseño del Control

Asignación del responsable de ejecutar la actividad de control

Asignado 15

No asignado 0

Segregación y autoridad del responsable

Adecuado 15

Inadecuado 0

Periodicidad Oportuna 15

Inoportuna 0

Propósito

Prevenir 15

Detectar 10

No es un control 0

Cómo se realiza la actividad de control

Confiable 15

No confiable 0

Qué pasa con las observaciones o desviaciones

Se investigan y resuelven oportunamente 15

No se investigan y resuelven oportunamente 0

Evidencia de la ejecución del control

Completa 10

Incompleta 5

No existe 0

El resultado de cada variable afectará la calificación del diseño del control, pues se deben

cumplir con todas las variables para que el control se evalúe como bien diseñado.

Tabla N°6 Resultados de la evaluación del diseño del Control

Rango de Calificación del Diseño Resultado- Peso en la Evaluación del Diseño del Control

Fuerte Calificación entre 96 y 100

Acciones de Tratamiento

Acciones encaminadas a gestionar las causas del riesgo

Disminuyen la Probabilidad

Acciones encaminadas a disminuir las consecuencias del riesgo

Disminuyen el Impacto


RIESGO EMSER E.S.P.

Código:

Versión:


Moderado Calificación entre 86 y 95

Débil Calificación entre 0 y 85

Si el resultado de las calificaciones del control, o el promedio en el diseño de los controle, está por debajo de 96%, se debe establecer un nuevo control bien diseñado o establecer Plan de acción.

Nivel de Riesgo Residual – Desplazamiento del riesgo inherente para calcular el riesgo residual.

Después de la valoración de los controles para la mitigación del riesgo se denomina

Riesgo Residual, en esta etapa se puede llevar a cabo la priorización a fin de

establecer aquellos riesgos que puedan causar mayor impacto a la entidad en caso

de materializarse.

La determinación del nivel de Riesgo Residual o Final es el producto de confrontar

los resultados de la evaluación del riesgo inicial (inherente) con los Controles

existentes al interior de los diferentes procesos, para formular las políticas y

estrategias que definan su manejo. En esta etapa se deben tener muy claros los

puntos de control existentes en los diferentes procesos, los cuales permiten obtener

información para efectos de la toma decisiones.

Ningún riesgo con un tratamiento se evita o elimina, hay un desplazamiento en su

probabilidad o impacto. Si los controles son débiles no disminuirán ningún cuadrante

de impacto o probabilidad. En los riesgos de Corrupción sólo disminuyen la

probabilidad. A continuación se ejemplariza un caso ver figura N°2.

Figura N°2 Mapa de Riesgos Inherentes y Residuales

Resultados del Mapa de Riesgos Inherentes

Se identifican los riesgos inherentes o subyacentes que pueden afectar el cumplimiento de los objetivos estratégicos y de proceso.

Resultados del Mapa de Riesgo Residual

Una vez analizados y evaluados los controles para saber si están bien diseñados para mitigar el riesgo y si estos se ejecutan como fueron diseñados, se procede a la elaboración del Mapa de Riesgos Residual.


RIESGO EMSER E.S.P.

Código:

Versión:


Se identifican las causas o fallas que pueden dar origen a la materialización del riesgo.

Para cada causa se identifica el control o controles. El riesgo inherente arroja un riesgo con impacto en zona de

Riesgo Extremo para la entidad.

Suponiendo que existen controles bien diseñados, que siempre se ejecutan, disminuyen de manera directa la probabilidad un cuadrante, pasa de probable a posible y un cuadrante de impacto, pasa de mayor a moderado.

El Riesgo pasa a zona de riesgo Extremo a Zona de Riesgo Alto para la entidad.

El análisis del resultado obtenido en cuanto al nivel de severidad, mostrará que

probablemente el evento puede producirse por no existir controles documentados

o no son efectivos los controles establecidos al no ser aplicados por parte de los

responsables de la ejecución de los procesos, de ahí que se debe diseñar un

tratamiento contingente que induzca a cumplir con los objetivos del proceso.

Cada causa de riesgo se debe trabajar de manera separada y debe tener un control.

Tratamiento del Riesgo

Es la respuesta establecida por la primera línea de defensa para la mitigación de

los diferentes riesgos, incluyendo los de corrupción, es decir son las acciones

requeridas según la zona de riesgo identificada para EMSER E.S.P., y se

fundamentan en:

Disminuir la Probabilidad: acciones encaminadas a gestionar las causas del riesgo.

Disminuir el Impacto: acciones encaminadas a disminuir las consecuencias dl riesgo.

Tabla N°7 Categorías para el Tratamiento del Riesgo

Respuesta al

Riesgo Descripción

Aceptar o

Asumir el Riesgo

Sera una opción viable para los riesgos bajos y para los que no se les puede aplicar controles, en ambos casos debe haber seguimiento. No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo.


RIESGO EMSER E.S.P.

Código:

Versión:


Debe haber un seguimiento continuo, no se aplica para los riesgos de corrupción.

Mitigar o Evitar

el Riesgo

Se abandonan las actividades que dan lugar al riesgo y se decide no iniciar o no continuar con las actividades que lo causan, éste tratamiento es simple, la menos arriesgada y menos costosa. Se deben implementar controles adicionales como parte del fortalecimiento de los actuales.

Compartir el

Riesgo

Se reduce la probabilidad o el impacto del riesgo y se transfiere o comparte una parte de este. Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable o se carece de conocimientos necesarios para gestionarlo, puede ser compartido con otra parte interesada que pueda gestionarlo con más eficacia. No se puede transferir la responsabilidad del riesgo. Se puede compartir o transferir por seguros y tercerización, deben ser formalizados por acuerdo contractual.

Reducir el

Riesgo

Se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos, esto conlleva a la implementación de controles, se requiere de acciones inmediatas que permitan reducir la probabilidad y el impacto de materialización.

En todos los casos para los tratamientos de Riesgos de Corrupción la respuesta será evitar, compartir o reducir el riesgo.

Para mitigar los Riesgos de Seguridad Digital se deben emplear los controles del

anexo A de la ISO/IEC 27001:2013 o en el anexo 4. “Lineamientos para la gestión

del riesgo de seguridad digital de la Guía para la Administración del riesgo” de la

Función Pública.

Actividades de Control Son acciones que se establecen para garantizar la mitigación de los riesgos

y ejecutar las políticas impartidas por la alta dirección. Se deben seleccionar actividades de control preventivo o detectivo que

por sí solas ayuden a la mitigación de las causas que originan los riesgos, es decir deben ser factibles y efectivas para garantizar el cumplimiento de las instrucciones de la gerencia para mitigar los riesgos que inciden en el cumplimiento de los objetivos y pueden ser: definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros.

Una política debe desplegarse a través de procedimientos documentados y debe ejecutarse como parte del día a día de las operaciones.


RIESGO EMSER E.S.P.

Código:

Versión:


6.3.3. Monitoreo y Revisión

La Primera línea de defensa (gerentes y Líderes de Procesos), deben monitorear y

revisar periódicamente las acciones establecidas para mitigar el riesgo con el fin de

asegurar el logro de los objetivos institucionales y de procesos anticipándose a los

eventos negativos relacionados con la gestión de la entidad de acuerdo a los roles

y las responsabilidades de todos los actores del riesgo y control de la entidad. Ver

esquema N°8.

La Dirección Técnica y Planeación tendrá la tarea de monitorear, de acuerdo a la

matriz que se desplegué y el seguimiento será semestral.

Indicadores para medir la Política Los indicadores que miden la política, a su vez sirven para medir el desempeño global, de los procesos institucionales y de las personas y son:

Porcentaje de procesos que gestionaron el riesgo.

Porcentaje de cumplimiento de las acciones preventivas que se formularon para mitigar los riesgos.

Controles Preventivos

Evitan un evento no deseado en el momento en que se produce. Estos controles intentan evitar

la ocurrencia de los riesgos .

Controles Detectivos

Identifican un evento o resultado no previsto después

que que se ha producido. Buscan detectar la situación no deseada para que se corrija y se

tomen las acciones correspondientes.

Esquema N° 7 Clasificación de las Actividades de Control


RIESGO EMSER E.S.P.

Código:

Versión:


El Mapa de Riesgos de Corrupción es una estrategia que la entidad deberá desarrollar dentro de su Plan Anticorrupción y de Atención al Ciudadano para cada vigencia y es la herramienta que permite identificar, analizar y controlar los posibles hechos generadores de corrupción, en las actividades que se desarrollan dentro de los procesos institucionales.

A la Gestión del Riesgo se le debe realizar un seguimiento periódico y constante vigilando la efectividad de los controles establecidos.

Reporte del Plan de Tratamiento de Riesgos

Línea Estratégica Define el marco general para lagestión del riesgo y el control ysupervisa su cumplimiento a cargode Gerencia y Comité institucional deControl Interno.

1a. Línea de Defensa

Identifica, analiza, valora,monitorea los controles ypropone y ejecuta acciones demejora a cargo del Gerente,Lideres de Procesos,Programas y Proyectos de laentidad.

Además gestiona de maneradirecta en el día a día losriesgos.


Asegura que los controles y losprocesos de gestión de riesgosimplementados por la primeralínea de defensa, estén diseñadosapropiadamente y funcionen, esdecir monitorea la gestión delriesgo y control ejecutada por la1a línea de defensacomplementando su trabajo, acargo de Jefes de planeación,supervisores e internentores decontratos o proyectos, comitésde contratación, etc.


Proporciona información sobrela efectividad del S.C.I., a travésde un enfoque basado enriesgos, validando que la líneaestratégica, la 1a. y 2a. línea dedefensa cumplan con susresponsabilidades en la gestiónde los riesgos, se realiza demanera independiente yobjetiva , a cargo de la Oficinade Control Interno.

Esquema N°8 Responsables de Monitorear y revisar la gestión de los riesgos


RIESGO EMSER E.S.P.

Código:

Versión:


El reporte de la gestión del Riesgo de Corrupción y de Seguirdad Digital se debe realizar para su comprensión y tratamiento y la metodología se debe aplicar de acuerdo a ésta guía. El responsable de Seguridad Digital apoyará y acompañará a las diferentes líneas de defensa para el reporte, la gestión y el tratamiento de estos riesgos.

El seguimiento a los riesgos de corrupción los hará Control Interno y lo publicará en la página web institucional con cortes a:

Primer Seguimiento: 30 de abril y publicarse los 10 primeros días del mes de mayo.

Segundo Seguimiento: 31 de agosto con publicación los 10 primeros días del mes de septiembre.

Analizado el nivel de Riesgo Residual y definido el tratamiento con controles preventivos y detectivos

Se debe consolidar la Información en el Mapa de Riesgos que se inicia con el riesgo identificado, especificando la tipología y la clase de Riesgo, sus causas, consecuencias, probabilidad e impacto para calificar el riesgo inicial o inherente.

Se analizarán los controles existentes para determinar el riesgo residual, proponiendo la opción de manejo y las acciones preventivas con el período de tiempo para ejecutarlas así como el responsable, el indicador de cumplimiento y el periodo de seguimiento.

Si el riesgo llegara a materializarse se deben plantear acciones inmediatas

Registra el Seguimiento y evaluación


RIESGO EMSER E.S.P.

Código:

Versión:


Tercer Seguimiento: 31 de diciembre con publicación los 10 primeros días del mes de enero.

En caso de materializarse un riesgo de corrupción se debe:

Informar a las autoridades del hecho de corrupción Revisar el mapa de riesgos de corrupción –causas, riesgos y controles-. Verificar si se tomaron las acciones y se actualizó el mapa de riesgos de

corrupción. Llevar a cabo un monitoreo permanente.

7. COMUNICACIÓN Y CONSULTA

Fase sumamente importante para una retroalimentación adecuada y toma de

decisiones, por eso la construcción del Mapa de Riesgos debe realizarse de manera

participativa entre el líder y los colaboradores para la toma de decisiones de forma

asertiva. Es necesario generar un reporte que consolide la información clave del

proceso de gestión del riesgo en la siguiente Matriz de Riesgos.

Se debe hacer difusión, socialización, capacitación y/o entrenamiento de todos los

pasos de la metodollgía para la administración del riesgo, y se recomienda

conservar evidencia de la comunicación de la información y reporte de la

administración del riesgo en todas sus etapas. Los riesgos de Seguridad Digital

deberán ser reportados a las autoridades o instancias respectivas que el gobierno

disponga.

Productos Finales

El mapa de riesgos es una representación final de la Probabilidad e Impacto de

uno o más riesgos frente a un proceso, proyecto o programa.

Mapa Institucional de Riesgos: Contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la entidad, se alimenta con los riesgos residuales Extremos, Altos y Moderados de cada uno de los procesos que pueden afectar el cumplimiento de la misión institucional y objetivos de la entidad. En este mapa se deberán incluir los riesgos identificados como posibles actos de corrupción, en cumplimiento del artículo 73 de la Ley 1474 de 2011.

Mapa de riesgos por Proceso: Recoge los riesgos identificados para cada uno de los procesos, los cuales pueden afectar el logro de sus objetivos.


RIESGO EMSER E.S.P.

Código:

Versión:


Todas las acciones contempladas dentro del mapa, unido a la información reportada por los indicadores debe suministrar la información requerida para el seguimiento respectivo a los mapas.

Imagen N°1 Matriz de Riesgos

8. Estrategias La Gestión del Riesgo será parte fundamental en la Planeación

Institucional, en la formulación de proyectos y de los procesos de la entidad.

Homologar los conceptos y definiciones en EMSER E.S.P. que generen una estandarización en su actuar.

Educar, capacitar e incentivar al personal para la Gestión del Riesgo. Diseñar y establecer acciones de control, realizar seguimiento periódico

a éstas para mitigar el impacto o la ocurrencia de los riesgos. Analizar anualmente el comportamiento de sus riesgos, el cumplimiento

de las acciones de control y su efectividad en el tratamiento del riesgo.


RIESGO EMSER E.S.P.

Código:

Versión:


9. BIBLIOGRAFÍA

Manual Operativo Sistema de Gestión Modelo Integrado de Planeación y Gestión 2019.

Función Pública. Guía para la administración del Riesgo y el diseño de controles en entidades públicas. Versión 4, 2018.

Función Pública Política de Operación para la Administración del Riesgo en Función Pública Abril de 2019

ICONTEC Instituto Colombiano de Normas Técnicas y Certificación, Norma Técnica Colombiana NTC 31000:2011 Gestión del Riesgo.

GUIA PARA LA ADMINISTRACIÓN DEL RIESGO EMSER E.S.P.

Documents

Transcript of GUIA PARA LA ADMINISTRACIÓN DEL RIESGO EMSER E.S.P.