LINEAMIENTOS PARA LA ADMINISTRACION DEL RIESGO · 2019-08-06 · Desde la perspectiva de la Norma...

49
LINEAMIENTOS PARA LA ADMINISTRACION DEL RIESGO BOGOTÁ D.C, AGOSTO DE 2019

Transcript of LINEAMIENTOS PARA LA ADMINISTRACION DEL RIESGO · 2019-08-06 · Desde la perspectiva de la Norma...

  • Código

    Versión

    LINEAMIENTOS PARA LA ADMINISTRACION

    DEL RIESGO

    BOGOTÁ D.C, AGOSTO DE 2019

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    1

    CONTENIDO

    1. OBJETIVO ...................................................................................................... 3

    2. ALCANCE ....................................................................................................... 3

    3. TERMINOS Y DEFINICIONES .......................................................................... 3

    4. ADMINISTRACION DEL RIESGO ...................................................................... 5

    5. POLITICA DE ADMINISTRACIÓN DE RIESGOS PRESIDENCIA DE LA REPÚBLICA 6

    6. GESTIÓN DEL RIESGO .................................................................................... 6

    6.1. CONTEXTO DEL RIESGO ............................................................................................. 7

    6.2. IDENTIFICACIÓN DEL RIESGO .................................................................................... 9

    6.2.1. Causas y Efectos Asociadas a los Riesgos .......................................................... 12

    6.3. ANÁLISIS DEL RIESGO .................................................................................................. 14

    6.3.1. Probabilidad ........................................................................................................ 14

    6.3.2. Impacto ............................................................................................................... 15

    6.3.3. Calificación del Riesgo Inherente y Residual (antes y después de controles) . 18

    6.4. VALORACIÓN DEL RIESGO ........................................................................................... 19

    6.4.1. Controles ............................................................................................................. 19

    6.4.2. Evaluación de Controles ..................................................................................... 20

    6.4.3. Calificación del riesgo residual, después de aplicar controles ......................... 21

    6.5. MANEJO DEL RIESGO .................................................................................................. 24

    6.5.1. Selección de opciones de manejo o tratamiento ............................................. 24

    6.5.2. Formulación de Plan de Contingencia ............................................................... 24

    6.6. MONITOREO DEL RIESGO ............................................................................................ 26

    6.6.1. Materialización ................................................................................................... 26

    7. APROBACIÓN DE RIESGOS NUEVOS EN EL APLICATIVO SIGEPRE................. 26

    7.1. PASO 0: CREACIÓN DE LA SOLICITUD DE APROBACIÓN DEL RIESGO NUEVO ........... 27

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    2

    7.2 PASO 1: SOPORTE DE LA CREACIÓN DEL RIESGO NUEVO ........................................ 29

    7.2. PASO 2: APROBACIÓN DEL RIESGO NUEVO ............................................................. 29

    7.3. PASO 3: REVISIÓN METODOLÓGICA Y TÉCNICA DEL RIESGO NUEVO ...................... 30

    7.4. PASO 4: PARTICIPACIÓN DE LA CREACIÓN DEL RIESGO ........................................... 31

    7.5. PASO 5: APROBACIÓN Y LIBERACIÓN DEL RIESGO NUEVO ...................................... 32

    8. ADMINISTRACIÓN DE LOS RIESGOS CONTRACTUALES ................................ 33

    9. ADMINISTRACION DE LOS RIESGOS DE SEGURIDAD Y SALUD EN EL TRABAJO 33

    10. ADMINISTRACIÓN DE RIESGOS EN EL APLICATIVO SIGEPRE ..................... 33

    9.1. NUEVO – IDENTIFICACIÓN ...................................................................................... 34

    9.2. IDENTIFICADO – ANÁLISIS ....................................................................................... 37

    9.3. CALIFICADO Y EVALUADO – VALORACIÓN ............................................................... 39

    9.4. VALORADO – MANEJO ............................................................................................ 42

    9.5. GESTI0NADO - MONITOREADO ............................................................................... 44

    9.6. REGISTRAR MATERIALIZACIÓN ................................................................................ 45

    11. MODIFICACIÓN O DESACTIVACIÓN DE RIESGOS ...................................... 46

    12. MARCO LEGAL ......................................................................................... 49

    13. REQUISITOS TÉCNICOS ............................................................................. 49

    14. DOCUMENTOS ASOCIADOS ..................................................................... 49

    15. RESPONSABLE DEL DOCUMENTO ............................................................ 49

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    3

    1. OBJETIVO Establecer disposiciones y criterios institucionales que orienten al Departamento Administrativo de la Presidencia de la Republica en la correcta identificación, análisis, valoración y administración de los riesgos, que pueden afectar de forma positiva o negativamente el logro de los objetivos institucionales en el marco de los procesos, proyectos y planes.

    2. ALCANCE Los lineamientos presentados en este documento aplican para todos los procesos y dependencias del Departamento Administrativo de la Presidencia de la Republica.

    3. TERMINOS Y DEFINICIONES

    Activo: En el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital.

    Administración del Riesgo: Actividades encaminadas a la intervención de los riesgos de la entidad, a través de la identificación, valoración, evaluación, manejo y monitoreo de los mismos de forma que se apoye el cumplimiento de los objetivos de la entidad.

    Amenazas: Situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.

    Análisis de Riesgos: Determinación del impacto en función de la consecuencia o efecto y de la probabilidad de ocurrencia del riesgo.

    Confidencialidad: Propiedad de la información que la hace no disponible, es decir, divulgada a individuos, entidades o procesos no autorizados.

    Consecuencias: Hechos o acontecimientos que se derivan o resultan de la ocurrencia o la materialización de un riesgo.

    Corrupción: Uso del poder para desviar la gestión de lo público hacia el beneficio privado.

    Causas: Medios, circunstancias, situaciones o agentes generadores del evento.

    Control: Acciones encaminadas a reducir la probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo.

    Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una entidad.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    4

    Evento: Hecho que se genera durante la gestión de un proceso afectando el logro del objetivo del mismo, tiene relación directa con las actividades críticas de los planes operativos, las actividades de ruta crítica de los Proyectos de Inversión y las actividades críticas de control de los procesos.

    Frecuencia: Periodicidad con que ha ocurrido un evento.

    Gestor del Riesgo: Funcionario líder de la dependencia, quien apoya al responsable del riesgo.

    Identificación del Riesgo: Descripción de la situación no deseada.

    Identificación de activos de seguridad digital: Son activos de Seguridad Digital: aplicaciones de la entidad pública, servicios Web, redes, información física o digital, Tecnologías de la Información TI- o Tecnologías de la Operación TO.1

    Impacto: Magnitud de las consecuencias que pueden ocasionar a la entidad la materialización del riesgo.

    Integridad: Propiedad de exactitud y completitud.

    Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos por proceso, haciendo la descripción de cada uno de ellos, las posibles consecuencias y su forma de tratamiento.

    Políticas de manejo del Riesgo: Son los criterios que orientan la toma de decisiones para tratar, y en lo posible minimizar, los riesgos en la entidad, en función de su evaluación.

    Probabilidad: Medida para estimar la posibilidad de que ocurra un evento.

    Responsable del riesgo: Es el encargado de identificar, valorar y definir el plan de contingencia, el manejo y monitoreo para cada uno de los riesgos del proceso bajo su responsabilidad.

    Riesgo: Posibilidad de ocurrencia del evento que tiene un efecto positivo o negativo sobre el producto o servicio generado de un proceso o el cumplimiento de los objetivos institucionales.

    Riesgo Inherente: Es el riesgo puro, al cual no se han aplicado controles, para controlarlo y buscar evitar su materialización.

    1 Anexo4 lineamientos para la gestión del riesgo de seguridad digital en las entidades públicas, para realizar la identificación de los activos de Seguridad Digital.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    5

    Riesgo residual: Es aquel que continúa aún después de aplicar controles para mitigar el riesgo.

    Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder para poder desviar la gestión de lo público hacia un beneficio privado.

    Riesgo de seguridad de la información: Posibilidad de que una amenaza concreta que pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información; estos daños consisten en la afectación de la confidencialidad, integridad o disponibilidad de la información. Cuando la amenaza se convierta en una oportunidad se debe tener en cuenta el beneficio que se genera. También se puede generar riesgo positivo en la seguridad de la información por el aprovechamiento de oportunidades y fortalezas que se presenten.

    Riesgo Positivo: Posibilidad de ocurrencia de un evento o situación que permita optimizar los procesos y/o la gestión institucional, a causa de oportunidades y/o fortalezas que se presentan en beneficio de la entidad.

    Tratamiento: Opciones que determinan el tipo de acciones a implementar para administrar el riesgo.

    Valoración: Grado de exposición al riesgo con la clasificación de probabilidad e impacto aplicando los controles existentes.

    Vulnerabilidad: Es una debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una o más amenazas contra los activos.

    4. ADMINISTRACION DEL RIESGO El concepto de Administración del Riesgo se introduce en las entidades públicas, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia o generar un beneficio. Desde la perspectiva de la Norma Técnica NTC-ISO 31000 e ISO 9001 se interpreta que los sistemas de gestión se deben enfocar bajo el pensamiento basado en riesgos, considerado como una herramienta preventiva. La administración de riesgos es la base para la planificación, como un proceso natural de la misma, contribuyendo con el logro de los objetivos institucionales propuestos para la implementación y mejora de los procesos. Adicionalmente, permite identificar, analizar y abordar las oportunidades que se presenten en el desarrollo del riesgo y permite conducir a la adopción de nuevas prácticas para el cumplimiento de la misión, visión y funciones.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    6

    Para la administración de los riesgos es necesario contar con el apoderamiento y participación de los líderes de proceso y Jefes de las dependencias de la Entidad, la contribución de los equipos de trabajo, de las partes interesadas y el compromiso de los servidores públicos de la Entidad. Teniendo en cuenta lo anterior, el Departamento Administrativo de la Presidencia de la Republica, administrará sus riesgos a través del Aplicativo Sigepre – Modulo Gestión del Riesgo.

    5. POLITICA DE ADMINISTRACIÓN DE RIESGOS PRESIDENCIA DE LA REPÚBLICA El Departamento Administrativo de la Presidencia de la Republica, se compromete a controlar todos aquellos riesgos que pueden impedir el cumplimiento de los objetivos institucionales, o la identificación de oportunidades, mediante una efectiva administración de los mismos, como herramienta de gestión que responda a las necesidades de la Entidad, contando con la participación activa de los servidores públicos responsables de los procesos, planes y proyectos quienes deberán identificar, analizar y definir acciones.

    6. GESTIÓN DEL RIESGO Según la Norma Técnica ISO 31000 la Gestión del Riesgo se define como “Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo2” La gestión del riesgo en la Entidad se define como el proceso mediante el cual se identifican, analizan, valoran, se da tratamiento y se efectúa el monitoreo a los riesgos que puedan afectar o generar un beneficio para el cumplimiento de los objetivos institucionales y el desempeño de los procesos. A continuación, se presenta el Esquema General de Gestión del riesgo en el DAPRE Grafico 1:

    Gráfico 1: Esquema General de Gestión del riesgo

    2 ISO 31000:2009. Numeral 2, Términos y definiciones. Página 4

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    7

    6.1. CONTEXTO DEL RIESGO

    Antes de iniciar cualquier identificación de riesgos, es necesario estudiar el contexto del riesgo, el cual sirve para identificar las fuentes que pueden dar origen a los riesgos; este contexto incluye: el contexto estratégico (Análisis DOFA), el plan estratégico y planes de acción, los proyectos de inversión, los procesos y los servicios misionales de la Entidad y su información, definiendo los límites sobre los cuales la administración va a centrar sus esfuerzos para la gestión de los riesgos. Así mismo, es necesario tener en cuenta los requisitos legales asociados a los elementos anteriormente expuestos; así como las quejas, denuncias o sugerencias realizadas por la ciudadanía para el mejoramiento y optimización de la prestación de los servicios de la Entidad. Para la definición del contexto del riesgo se deben contemplar los siguientes aspectos (Ver Gráfico 2: Contexto del riesgo):

    Gráfico 2: Contexto del riesgo

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    8

    Contexto Estratégico: del análisis DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas), ver Guía para formulación y seguimiento a la Planeación Institucional G-DE-02, se deben tener en cuenta de acuerdo a las situaciones particulares presentadas en la dependencia, se deberán considerar las que tengan relación directa con el cumplimiento del Plan de Acción de la Dependencia, Proyectos de inversión (Si aplica) y procesos. Plan de Acción: de acuerdo con las ponderaciones establecidas en las actividades de los planes de acción, identifique las actividades con mayor ponderación (Actividades Críticas – AC para identificar el riesgo positivo o negativo) y priorícelas teniendo en cuenta:

    Que la actividad esté asociada a una estrategia alineada o priorizada para el Plan Estratégico. Que la actividad afecte o beneficie directamente el cumplimiento de los indicadores de

    metas de gobierno (SINERGIA) contenidos en el Plan Estratégico Institucional. Que la actividad esté alineada con un proyecto de inversión (Si aplica).

    Proyectos de inversión: se deben tener en cuenta las Actividades de Ruta Crítica - ARC identificadas en los proyectos de inversión y priorizarlas teniendo en cuenta:

    Que el cumplimiento de la actividad tenga una relación directa con los indicadores asociados al proyecto.

    La asignación de recursos (A mayor recursos la actividad se debe priorizar). Cuando se generen beneficios por ingreso de recursos adicionales.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    9

    Procesos: toda Actividad Crítica de Control – ACC identificada en la caracterización del proceso deberá tener un riesgo asociado (positivo o negativo), para determinar las ACC consulte la Guía para la elaboración y control de documentos del SIGEPRE G-DE-01. Producto y/o servicio No conforme: De acuerdo con la frecuencia de identificación de Productos y/o servicios No conformes se pueden documentar posibles riesgos positivos o negativos, ver Procedimiento P-AU-01 Caracterización y seguimiento de productos y/o servicios misionales y M-AU-01 Manual de Servicios Misionales Para todos los casos deben identificarse las quejas, denuncias o sugerencias efectuadas en el último año.

    6.2. IDENTIFICACIÓN DEL RIESGO Teniendo claro el contexto del riesgo el Jefe de la Dependencia, Gerente del proyecto, Líder del proceso y su equipo de trabajo determinan los riesgos teniendo en cuenta las siguientes clases3:

    1. Riesgos Estratégicos: posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos de la organización pública y por tanto impactan toda la Entidad.

    2. Riesgos de imagen o reputacionales: posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre o reputación de una organización ante sus clientes y partes interesadas.

    3. Riesgos Operativos: comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias.

    4. Riesgos Financieros: posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc..

    5. Riesgos de Cumplimiento: posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.

    6. Riesgos de Tecnología: posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc.) de una entidad.

    Es importante resaltar que dentro de las clases de riesgos mencionadas están inmersos los riesgos de corrupción. “posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.” Otro riesgo inmerso es el de seguridad de la información y dentro de este el riesgo de seguridad digital, el cual se define como: “posibilidad de combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados

    3 Guía para la administración del riesgo y el diseño de controles en entidades públicas”, del Departamento Administrativo de la Función Pública - DAFP

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    10

    con el ambiente físico, digital y las personas”. En el Sistema de Gestión de Seguridad de la Información del Departamento Administrativo de la Presidencia de la República, se encuentran definidos los riesgos de seguridad de la información, dentro de los cuales se gestionan los riesgos de seguridad digital, identificados con la sigla SGSI. También se puede generar riesgo positivo en la seguridad de la información por el aprovechamiento de oportunidades y fortalezas que se presenten. Para la identificación de los riesgos de seguridad de la información y de seguridad digital, se cuenta con la asesoría y acompañamiento del Área de Tecnología y Sistemas de Información. Enmarcado en lo anterior, la Presidencia de la República, definió la siguiente estructura para definir el nombre de los riesgos:

    De acuerdo con la “Guía para la administración del riesgo y el diseño de controles en entidades públicas”, del Departamento Administrativo de la Función Pública - DAFP, se establecen las siguientes técnicas para la redacción del riesgo:

    “Evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten un factor de riesgo (causa) tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”, “insuficiente”, “deficiente”, “debilidades en…”

    “Objetivo del proceso: si el objetivo del proceso es “adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su continua operación” un riesgo puede ser: “Inoportunidad en la adquisición de los bienes y servicios requeridos por la entidad”.”

    “Generar en el lector o escucha la imagen del evento como si ya estuviera sucediendo.”

    “Ejemplo de riesgo de corrupción: posibilidad de recibir o solicitar cualquier dádiva o beneficio a nombre propio o de terceros con el fin de celebrar un contrato.”

    Adicionalmente, en el momento de la identificación se puede llevar a cabo el siguiente ejercicio respondiendo estas preguntas:

    1. ¿Qué puede suceder?

    Identificar la afectación del cumplimiento del objetivo estratégico o del proceso según sea el caso

    2. ¿Cómo puede suceder? Establecer las causas a partir de los factores determinados en el contexto

    3. ¿Cuándo puede suceder? Determinar de acuerdo al desarrollo del proceso

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    11

    4. ¿Qué consecuencias tendría su materialización?

    Determinar los posibles efectos por la materialización del riesgo

    Nota: para identificar el riesgo positivo, Ver procedimiento Formulación, Seguimiento y Evaluación de Planes de Mejoramiento P-EM-06 y Guía para la Formulación, Seguimiento y Evaluación de Planes de Mejoramiento G-EM-01.

    a) BIEN, SERVICIO O ACCIÓN

    Describe el objeto, el servicio o la acción donde podrá ocurrir un evento de riesgo, que al materializarse se afecte el desarrollo de las funciones de la dependencia, sus servicios o productos a entregar, así como el incumplimiento del objetivo del proceso o de los objetivos estratégicos institucionales.

    b) SITUACIÓN NO DESEADA

    La situación no deseada es aquella condición que en términos de gestión no queremos que se presente por ningún motivo o que conlleve impedir el logro de los objetivos en desarrollo de las funciones, planes, proyectos y/o procesos. A continuación, se presentan los siguientes ejemplos entre otros:

    Retrasos Incrementos no

    previstos Incumplimiento

    (Legales, compromisos, técnicos, presupuestales, otros)

    Incendio Pérdida Falta de

    oportunidad Baja Cobertura Daño Deficiente Atrasos

    Adulteración Falsificación Favorecimientos Uso Indebido Hurto Fraude Alteración Trafico de

    influencias

    Las situaciones no deseadas de Seguridad de la Información, son las siguientes:

    Pérdida de Confidencialidad Ejemplos: o Divulgación de información de carácter privada y semi-privada (Información

    clasificada)4 o Acceso de personas no autorizadas a información (que se puede presentar por las

    situaciones: bloqueo de equipo en ausencia de personal, compartir contraseña, visualización de información que se encuentra en escritorio, contraseña fácil de adivinar).

    o Publicación de información clasificada

    4 G-GD-02 Guía para la calificación de la Información, numeral 3. Términos y definiciones

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    12

    o Visualización de información clasificada en hojas dejadas en impresoras desatendidas de la Entidad.

    Pérdida de Integridad Ejemplos:

    o Visualización incompleta de la información o Hurto de dispositivo móvil que contenga información de la Entidad o Desaparición de información

    Pérdida de disponibilidad

    Ejemplos: o Ataque informático o Fuga de información o Negación de acceso a la información o Eliminación de Información de forma voluntaria e involuntaria

    Los riesgos de seguridad de la información pueden ser de todas las clases especificadas anteriormente. Cuando se identifique un riesgo cuya situación no deseada sea de seguridad de la información, se debe documentar en el aplicativo Sigepre. Cuando los riesgos sean de seguridad de la información se debe agregar en el nombre las siglas SGSI al final, con el fin de identificarlos en el momento que se requiera. Ejemplos de bienes, servicios o acciones con situaciones no deseadas:

    a) b) Metas de indicadores de producto de los proyectos de inversión

    +

    no cumplidos

    Requisitos de la norma ISO 9001 incumplidos

    Contratar los bienes, servicios u obras requeridos

    sin las especificaciones técnicas y de calidad necesarias

    Emitir Estados financieros que no reflejen la realidad de la entidad

    Generación de lineamientos que no contribuye al logro del objetivo

    institucional

    Base de datos de nómina Adulterada, alterada, manipulada

    Para gestionar Riesgo Positivo a partir de Seguridad la Información, ver Guía para la Formulación, Seguimiento y Evaluación de Planes de Mejoramiento G-EM-01.

    6.2.1. Causas y Efectos Asociadas a los Riesgos Una vez identificados los riesgos se debe determinar:

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    13

    a) CAUSAS (FACTORES INTERNOS O EXTERNOS)

    Son los medios, las circunstancias y agentes generadores de riesgo, se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Si en este paso se identifican riesgos que pueden tener la connotación de “Riesgo de Corrupción”, se debe establecer las causas teniendo en cuenta las debilidades (factores internos) y las amenazas (factores externos) que pueden influir en los procesos y procedimientos que generan una mayor vulnerabilidad frente a riesgos de corrupción.5 Como sugerencia, en el momento de identificar las causas del riesgo, con la participación de más de 3 personas se puede elaborar una matriz de priorización, como la del siguiente ejemplo:

    No. Causas P1 P2 P3 Pn Prom

    1 Insuficiente capacitación del personal de contratos 10 8 7 9 8,5

    2 Fallas en la radicación de propuestas 5 8 3 6 5,5

    3 Inadecuadas políticas de operación 6 6 5 2 4,8

    4 Desconocimiento de los cambios en la regulación contractual 7 3 4 4 4,5

    N Carencia de controles en el procedimiento de contratación 2 4 6 4 4,0

    Cada persona califica la causa de 1 a 10, siendo 10 las de mayor relevancia, se calcula un promedio por cada causa con el valor asignado por cada persona, y las de mayor puntaje, es decir, aquellas que se encuentren con un valor mayor o igual del promedio total, serán las causas reales del riesgo; para el ejemplo, el promedio es igual a 5,46, causas 1 y 2. Para realizar la identificación de las causas se pueden utilizar las herramientas definidas en la Guía para la formulación, seguimiento y evaluación de planes de mejoramiento G-EM-01

    b) EFECTOS (CONSECUENCIAS)

    Constituyen las consecuencias de la ocurrencia del riesgo sobre el logro de los objetivos, planes, proyectos y/o procesos de la Entidad; generalmente se dan sobre las personas o los bienes con incidencias importantes tales como daños físicos, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio, daño ambiental, otras. Ejemplo:

    5 Presidencia de la Republica, 2012, Estrategias para la construcción del plan anticorrupción y de atención al ciudadano, página 9.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    14

    6.3. ANÁLISIS DEL RIESGO

    Se busca establecer la probabilidad de ocurrencia del riesgo y sus consecuencias o impacto, con el fin de estimar la zona de riesgo inicial (RIESGO INHERENTE), es decir, haciendo un supuesto que no se cuenta con controles.

    A continuación se explica la probabilidad y el impacto del riesgo, que se debe establecer en esta etapa de análisis (riesgo inherente) y en la etapa de valoración (riesgo residual).

    6.3.1. Probabilidad

    Se analiza qué tan posible es que ocurra el riesgo, se expresa en términos de frecuencia o factibilidad, donde frecuencia implica analizar el número de eventos en un periodo determinado, se trata de hechos que se han materializado o se cuenta con un historial de situaciones o eventos asociados al riesgo; factibilidad implica analizar la presencia de factores internos y externos que pueden propiciar el riesgo, se trata en este caso de un hecho que no se ha presentado pero es posible que suceda.

    Para valorar la probabilidad de ocurrencia se utilizan los siguientes criterios:

    Nivel Concepto Descripción Frecuencia

    1 Raro El evento puede ocurrir solo en circunstancias

    excepcionales (poco comunes o anormales) No se ha presentado en los últimos 5 años

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    15

    Nivel Concepto Descripción Frecuencia

    2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los

    últimos 5 años.

    3 Moderado (Posible)

    El evento podrá ocurrir en algún momento Al menos 1 vez en los

    últimos 2 años

    4 Probable Es viable que el evento ocurra en la mayoría

    de las circunstancias Al menos 1 vez en el

    último año

    5 Casi certeza (casi

    seguro) Se espera que el evento ocurra en la mayoría

    de las circunstancias Más de 1 vez al año

    Para determinar la probabilidad de materialización de los riesgos de corrupción se considerarán únicamente los conceptos de probabilidad moderado (Posible), probable y casi certeza (casi seguro) de acuerdo con las orientaciones del documento “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano”.

    6.3.2. Impacto

    El impacto se debe analizar y calificar a partir de las consecuencias o efectos identificados en la fase de descripción del riesgo.

    El impacto está en función de los efectos generados a la Entidad por la materialización de los riesgos. De acuerdo con lo anterior, se cuenta con los siguientes criterios:

    a) Niveles para calificar el Impacto de los riesgos de gestión

    Concepto Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

    Insi

    gnif

    ican

    te

    - Impacto que afecte la ejecución presupuestal en un valor ≥0,5%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥0,5%. - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥0,5% del presupuesto general de la entidad.

    - No hay interrupción de las operaciones de la entidad. - No se generan sanciones económicas o administrativas. - No se afecta la imagen institucional de forma significativa.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    16

    Concepto Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

    Men

    or

    - Impacto que afecte la ejecución presupuestal en un valor ≥1%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥1%. - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥1% del presupuesto general de la entidad.

    - Interrupción de las operaciones de la entidad por algunas horas. - Reclamaciones o quejas de los usuarios, que implican investigaciones internas disciplinarias. - Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

    Mo

    der

    ado

    - Impacto que afecte la ejecución presupuestal en un valor ≥5%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥5%. - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.

    - Interrupción de las operaciones de la entidad por un (1) día. - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. - Inoportunidad en la información, ocasionando retrasos en la atención a los usuarios. - Reproceso de actividades y aumento de carga operativa. - Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos. - Investigaciones penales, fiscales o disciplinarias.

    May

    or

    - Impacto que afecte la ejecución presupuestal en un valor ≥20%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20%. - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.

    - Interrupción de las operaciones de la entidad por más de dos (2) días. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta. - Sanción por parte del ente de control u otro ente regulador. - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno. - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    17

    Concepto Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

    Cat

    astr

    ófi

    co

    - Impacto que afecte la ejecución presupuestal en un valor ≥50%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50%. - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

    - Interrupción de las operaciones de la entidad por más de cinco (5) días. - Intervención por parte de un ente de control u otro ente regulador. - Pérdida de información crítica para la entidad que no se puede recuperar. - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal. - Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

    b) Niveles para calificar el Impacto de los riesgos de Seguridad de la Información \ Seguridad Digital

    Concepto Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

    Insi

    gnif

    ic

    ante

    - Afectación ≥1% de la población. - Afectación ≥0,5% del presupuesto anual de la entidad.

    - No hay afectación medioambiental.

    -Sin afectación de la integridad.

    -Sin afectación de la disponibilidad.

    -Sin afectación de la confidencialidad.

    Men

    or

    -Afectación ≥5% de la población. -Afectación ≥1% del presupuesto anual de la entidad. -Afectación leve del medio ambiente requiere de ≥1% días de recuperación.

    -Afectación leve de la integridad. -Afectación leve de la disponibilidad. -Afectación leve de la confidencialidad.

    Mo

    der

    ado

    -Afectación ≥10% de la población. -Afectación ≥5% del presupuesto anual de la entidad. -Afectación leve del medio ambiente requiere de ≥5% semanas de recuperación.

    -Afectación moderada de la integridad de la información debido al interés particular de los empleados y terceros. - Afectación moderada de la disponibilidad de la información debido al interés particular de los empleados y terceros. -Afectación moderada de la confidencialidad de la información debido al interés particular de los empleados y terceros.

    May

    or

    -Afectación ≥20%.de la población. -Afectación ≥20%.del presupuesto anual de la entidad. -Afectación importante del medio ambiente que requiere de ≥20%.meses de recuperación.

    -Afectación grave de la integridad de la información debido al interés particular de los empleados y terceros. -Afectación grave de la disponibilidad de la información debido al interés particular de los empleados y terceros. -Afectación grave de la confidencialidad de la información debido al interés particular de los empleados y terceros.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    18

    Concepto Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

    Cat

    astr

    ófi

    co -Afectación ≥50% de la población.

    -Afectación ≥50% del presupuesto anual de la entidad. -Afectación muy grave del medio ambiente que requiere de ≥50% años de recuperación.

    -Afectación muy grave de la integridad de la información debido al interés particular de los empleados y terceros. -Afectación muy grave de la disponibilidad de la información debido al interés particular de los empleados y terceros. -Afectación muy grave de la confidencialidad de la información debido al interés particular de los empleados y terceros.

    c) Niveles para calificar el Impacto de los riesgos de corrupción

    Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en cuenta solamente los niveles “moderado”, “mayor” y “catastrófico”, dado que estos riesgos siempre serán significativos; en este orden de ideas, no aplican los niveles de impacto insignificante y menor, que sí aplican para los demás riesgos.

    Para medir el impacto se tiene en cuenta los niveles: Catastrófico, Mayor y Moderado, que determinan su calificación. De acuerdo con lo anterior, se debe diligenciar el formato F-DE-43 Evaluación impacto Riesgos de corrupción, el cual consta de 19 preguntas.

    Si el resultado es de 1 a 5 respuestas afirmativas, el impacto es Moderado

    Si el resultado es de 6 a 11 respuestas afirmativas, el impacto es Mayor

    Si el resultado es de 12 a 19 respuestas afirmativas, el impacto es Catastrófico

    6.3.3. Calificación del Riesgo Inherente y Residual (antes y después de controles)

    Esta se logra a través de la estimación de la probabilidad y el impacto que pueda causar la materialización del riesgo, de acuerdo con la siguiente tabla:

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    19

    6.4. VALORACIÓN DEL RIESGO La valoración del riesgo es el producto de confrontar los resultados del análisis del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas.

    6.4.1. Controles

    Para realizar la valoración de los controles es necesario recordar que éstos se clasifican en:

    Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

    Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

    Detectivos: aquellos que registran un evento después de presentado; sirven para descubrir resultados no previstos y alertar sobre la presencia de un riesgo6.

    Para adelantar esta etapa se hace necesario tener claridad sobre los controles aplicados al proceso.

    A manera de ejemplo se muestran los siguientes controles:

    TIPO DE CONTROL EJEMPLOS

    Controles de Gestión

    Políticas claras aplicadas Seguimiento al plan estratégico y de acción

    anual Indicadores de gestión Tableros de control Seguimiento a cronograma Evaluación del desempeño Informes de gestión Monitoreo de riesgos

    Controles Operativos

    Conciliaciones Consecutivos Verificación de firmas Listas de chequeo Registro controlado Segregación de funciones Niveles de autorización Custodia apropiada Procedimientos formales aplicados Pólizas Seguridad física

    6 Guía para la Gestión de Riesgo de Corrupción, 2015, Secretaría de Transparencia

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    20

    TIPO DE CONTROL EJEMPLOS

    Contingencias y respaldo Personal capacitado Aseguramiento y calidad

    Controles Legales Normas claras y aplicadas Control de términos

    6.4.2. Evaluación de Controles Los controles se evaluarán independientemente teniendo en cuenta los siguientes criterios:

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    21

    Esta evaluación se realiza directamente en el aplicativo Sigepre. Para su diligenciamiento se debe tener en cuenta:

    Seleccionar la opción de acuerdo con las opciones de respuesta.

    Para la pregunta, ¿El control es automático o manual?, entiéndase automático, cuando la ejecución del control la realice un sistema (software) en su totalidad, y no requiera la manipulación manual. Para la opción “manual”, una persona ejecuta el control de forma directa y en su totalidad;

    Para la pregunta “Seleccione en qué nivel el control cubre todos los efectos del riesgo definidos en la etapa de identificación”, de acuerdo con la experiencia y conocimientos técnicos, se determina el porcentaje que el control logra mitigar la materialización del riesgo y sus respectivas causas identificadas;

    El puntaje total máximo a obtener es de 100, lo anterior lo calcula el aplicativo de acuerdo con las opciones seleccionadas de las preguntas.

    La información consolidada es producto de los controles identificados, registrados y de acuerdo con los resultados obtenidos de las preguntas.

    Es importante recordar que los controles principalmente afectan la probabilidad; sin embargo, solo algunos controles disminuyen el impacto, por ejemplo:

    Las pólizas de cumplimiento Póliza todo riesgo

    Plan de continuidad del negocio Back ups

    6.4.3. Calificación del riesgo residual, después de aplicar controles

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    23

    Una vez evaluados los controles existentes el aplicativo Sigepre promedia los criterios de probabilidad e impacto de acuerdo con la escala de afectación del control, el puntaje máximo es un 100%.

    CONTROL Escala de

    Afectación Probabilidad Impacto

    Control 1 Probabilidad X1

    Control 2 Impacto Y1

    … … …

    Control N Ambos XN YN

    Total promedio X Promedio Y Promedio

    Teniendo en cuenta la calificación final de los controles disminuiremos los cuadrantes en probabilidad o impacto así:

    Es necesario tener en cuenta que los controles pueden minimizar la probabilidad en alto o menor grado. A manera de ejemplo, se presentan aspectos a considerar en cuanto a la minimización del impacto a la hora de realizar la valoración:

    - Frente al riesgo de incumplimientos legales, una vez materializado el riesgo, el impacto que se deriva de éste ocasionará sanciones económicas, disciplinarias, legales y/o penales que no se pueden subsanar; es casi imposible disminuir el impacto.

    - Frente a los riesgos daño de activos y hurto, se pueden adquirir pólizas todo riesgo que disminuyen desde el punto de vista económico el impacto que la materialización de estos puede generar.

    - Cuando se trate del riesgo hurto de información confidencial, el impacto que se genera es irremediable y éste no se puede mitigar.

    - Frente al riesgo daño de activos, la entidad puede disponer de recursos en el marco de un plan de continuidad del negocio que permiten disminuir el impacto que ocasione un fenómeno natural, atentado terrorista, entre otros.

    En esta etapa para los riesgos que se identifiquen como riesgos de corrupción se aplican los mismos criterios de valoración.

    Ejemplo 1:

    Menor al 51% no se

    disminuirá cuadrantes

    Entre el 51% y el 76%

    se disminuirá un

    cuadrante

    Mayor al 76% se

    disminuirá dos

    cuadrantes

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    24

    Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 60 se disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y hasta 1 cuadrante en el impacto quedando éste en Moderado.

    Ejemplo 2:

    Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 0 se disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y 0 cuadrantes en el impacto quedando este en Mayor.

    6.5. MANEJO DEL RIESGO

    En la Presidencia de la Republica el manejo o tratamiento de los riesgos implica:

    6.5.1. Selección de opciones de manejo o tratamiento Deberá seleccionar las opciones de manejo o tratamiento acorde con lo definido en el numeral 5 de estos lineamientos y tener en cuenta los siguientes aspectos:

    a) Evitar el Riesgo: Cuando los escenarios de riesgo identificado se consideran demasiado extremos se puede tomar una decisión para evitar el riesgo, mediante la cancelación de una actividad o un conjunto de actividades. Se abandonan las actividades que dan lugar al riesgo, es decir, no iniciar o no continuar con la actividad que lo provoca.

    b) Reducir el Riesgo: Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; por lo general conlleva a la implementación de controles.

    c) Compartir o transferir el riesgo: Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable o se carece de conocimientos necesarios para gestionarlo, este puede ser compartido con otra parte interesada que pueda gestionarlo con más eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del riesgo. Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este. Los riesgos de corrupción se pueden compartir pero no se puede transferir su responsabilidad.

    d) Aceptar o asumir un riesgo: Si el nivel de riesgo cumple con los criterios de aceptación de riesgo no es necesario poner controles y este puede ser aceptado. Esto debería aplicar para riesgos inherentes en la zona de calificación de riesgo bajo. No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo. (Ningún riesgo de corrupción podrá ser aceptado).

    6.5.2. Formulación de Plan de Contingencia

    El plan de contingencia es un plan correctivo el cual ayudará a controlar una situación de materialización del riesgo y a minimizar los impactos o efectos negativos que este pueda ocasionar.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    25

    Los planes de contingencia son dinámicos y cuando se definan deben ser revisados anualmente para verificar su pertinencia frente al riesgo. Principalmente los Planes de Contingencia están asociados a los riesgos de los procesos de soporte, proceso de Atención al Usuario y proceso de Gestión de Seguridad, apoyo logístico presidencial, comunicación y prensa.

    Para la elaboración de un plan de contingencia el gestor, como responsable del riesgo, con su equipo de trabajo analiza la siguiente información del riesgo y diligencia la plantilla No. 22 “Plantilla planes de contingencia, que se encuentra en el módulo de documentación del Sigepre:

    a) En el momento que el riesgo residual (después de controles), se encuentre en las zonas

    moderada, alta o extrema, se puede llegar a determinar que el mismo tiene un mayor número de posibilidades que se materialice;

    b) Dado el caso que el riesgo sea de corrupción, el plan de contingencia debe buscar:

    Proteger la escena y que contenga aquellas actividades necesarias para que la instancia pertinente realice la investigación de la materialización, y

    Describir las actividades requeridas para dar continuidad con las funciones y responsabilidades afectadas.

    c) Si el riesgo ya se ha materializado en algún momento.

    Para registrar el plan de acción para atender la eventual contingencia, numeral 6 de la plantilla, debe hacerse a través del Aplicativo SIGEPRE - Modulo de planes – Opción Crear, teniendo en cuenta las siguientes recomendaciones:

    I. Para registrar el nombre del plan indique que es un plan de contingencia, el año y el nombre de riesgo

    Ejemplo: Plan de Contingencia 2019 riesgo Dinero en efectivo o cheques hurtado Nota: No marcar el plan de contingencia como iniciativa.

    II. Para registrar las categorías indique la(s) causa(s) que pueden generar la materialización del riesgo definidas en la etapa de identificación del riesgo.

    III. Registre las actividades que se ejecutarán para disminuir el impacto del riesgo con su

    respectivo responsable. Cómo no se sabe cuándo se materializará el riesgo registre fecha de inicio el 1 enero del año y fecha de finalización 31 de diciembre del año respectivo.

    Para los demás aspectos del plan tenga en cuenta las orientaciones metodológicas de la Guía para formulación y seguimiento a la Planeación Institucional G-DE-02.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    26

    6.6. MONITOREO DEL RIESGO El monitoreo o seguimiento de riesgos se realiza en primera instancia por el responsable del proceso y en instancias posteriores por las auditorías internas de calidad o de gestión programadas por la Oficina de Control Interno (Ver Procedimiento P-EM-01 Auditorías internas). La finalidad principal de éstas, es verificar las disposiciones de monitoreo y sugerir los correctivos u oportunidades de mejora para los ajustes necesarios a los riesgos identificados. En el monitoreo se debe verificar el cumplimiento de los controles registrados en el riesgo y la caracterización de cada uno. Adicionalmente, determinar si se materializó el riesgo en el periodo evaluado. El monitoreo a los riesgos deberá realizarse trimestralmente, con corte a 31 de Marzo, 30 de Junio, 30 de Septiembre y 31 de Diciembre, durante los primeros 10 días hábiles después de la fecha de corte, o con una periodicidad menor de acuerdo con las instrucciones del Líder del Proceso o Jefe de la Dependencia. El monitoreo debe incluir la actualización de los riesgos si se presentan cambios en el proceso que afecten la seguridad de la información y una actualización del riesgo en el momento que se requiera. Nota: De acuerdo con las características del riesgo, se pueden realizar monitoreos parciales los cuales se pueden presentar por los siguientes escenarios:

    Se requiere que finalice la vigencia para obtener resultados de cierre o un estado final;

    Después de los cortes se puede generar información necesaria para el análisis del riesgo; y por último

    Suministro de información por parte de otras dependencias, procesos o fuentes externas. Cuando se presenten estos casos, se tendrá un plazo máximo adicional de 90 días calendario para el registrar del monitoreo final del periodo a analizar. Adicionalmente, con este monitoreo definitivo se establecerá sí o no se materializó el riesgo.

    6.6.1. Materialización Teniendo en cuenta que en cualquier momento se puede materializar el riesgo, y que por ende, los controles no permitieron la mitigación del evento, se requiere que el responsable con el gestor del riesgo analicen de forma detallada lo sucedido. Como resultado de este análisis se debe corregir lo sucedido, de ser posible y, tomar las acciones pertinentes para que en el futuro no se presente de nuevo la ocurrencia. Adicionalmente, se contará con un plazo máximo de 5 días hábiles para registrar la materialización del riesgo en el Sigepre, en el momento que se identifique, es decir, los responsables no deberán esperar los días corte del trimestre para proceder con su registro en el módulo de riesgos.

    7. APROBACIÓN DE RIESGOS NUEVOS EN EL APLICATIVO SIGEPRE

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    27

    Para el caso de riesgos que cuenten con aspectos de seguridad de la información, se tendrá la asesoría y acompañamiento del Área de Tecnologías y Sistemas de Información; si la información es física, se cuenta con el apoyo del Proceso de Gestión Documental. Una vez surtidas todas las etapas del numeral 6 con el acompañamiento del enlace de la Oficina de Planeación, es necesario que se efectúe la aprobación del riesgo nuevo así:

    7.1. PASO 0: CREACIÓN DE LA SOLICITUD DE APROBACIÓN DEL RIESGO NUEVO Para la creación de la solicitud de aprobación del riesgo nuevo, el enlace de la dependencia ingresa al aplicativo Sigepre – módulo de mejoras, así:

    Paso 1: Soporte

    de la creación

    del riesgo nuevo

    Paso 2: Aprobación técnica del

    riesgo nuevo

    Paso 3: Revisión

    metodologica y técnica del riesgo nuevo

    Paso 4: Participación de la creación

    del riesgo

    Paso 5: Aprobación y liberación del riesgo nuevo

    Rechazo del paso

    Rechazo del paso

    Enlace de la

    dependencia

    Líder del Proceso

    o Jefe

    dependencia

    Funcionario Oficina

    de Planeación y/o

    Área de Tecnología y

    Sistemas de

    Información

    Jefe Oficina de

    Planeación

    Rechazo del paso

    Paso 0: Creación de

    la solicitud de

    aprobación del

    riesgo nuevo

    Enlace de la

    dependencia

    Funcionario

    Oficina de

    Planeación

    Rechazo del paso

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    28

    Diligencia la siguiente información:

    Dar clic en

    “Gestionar”

    Dar clic en el + para crear la mejora

    Nombre de la solicitud de creación del riesgo

    Seleccione

    esta opción

    Seleccione una de las

    opciones Ingrese la dependencia responsable

    Ingrese una breve descripción de la solicitud

    De clic en guardar

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    29

    7.2 PASO 1: SOPORTE DE LA CREACIÓN DEL RIESGO NUEVO En este paso el enlace de la dependencia, ingresa al módulo de mejoras, mis responsabilidades una vez el riesgo se encuentre en la etapa de monitoreo del riesgo y describe en que consiste el riesgo nuevo documentado en el aplicativo Sigepre y lo asocia como concepto del sistema, así:

    7.2. PASO 2: APROBACIÓN DEL RIESGO NUEVO En este paso el Jefe de dependencia, ingresa al módulo de mejoras, mis responsabilidades y revisa la solicitud de aprobación de riesgos nuevos, indicando un comentario de aprobación o solicitando ajustes, así:

    Reasigna el paso a otro usuario del sistema Guarda información

    Continúa con el paso 2

    Registrar mayor detalle del riesgo nuevo e informar cómo se logró identificar el mismo.

    Adjunta como concepto del Sigepre el nuevo riesgo

    documentado el cual debe encontrarse en la etapa de

    monitoreo seleccionando clase: Riesgo y Nombre: Indica

    el nombre exacto del riesgo

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    30

    7.3. PASO 3: REVISIÓN METODOLÓGICA Y TÉCNICA DEL RIESGO NUEVO El enlace de la Oficina de Planeación en coordinación con el Funcionario del Área de Tecnología y Sistemas de Información, ingresan al módulo de mejoras, mis responsabilidades y revisa que el riesgo nuevo cumpla con los aspectos metodológicos y técnicos definidos en el numeral 6 de este documento, en caso contrario solicita ajustes, así:

    Incluir comentario de aprobación o solicitud de ajustes

    Se utiliza en caso que se requieran

    ajustes Guarda información

    Continúa con el paso 3

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    31

    7.4. PASO 4: PARTICIPACIÓN DE LA CREACIÓN DEL RIESGO De acuerdo con la transparencia activa, el Entidad hará participativa la creación de sus nuevos riesgos. Para lo cual, en la página web de la Entidad, sección de Transparencia y Acceso a la Información”, el enlace de la Oficina de Planeación publicará en datos abiertos los riesgos nuevos, que cuenten con el visto bueno en el paso de “Revisión metodológica y técnica”. Esta participación será de 3 días hábiles y las observaciones o sugerencias se recibirán y responderán por medio del correo de [email protected]. El registro de la información en este paso, dependerá de la participación, si esta se hace presente, se deben adjuntar los correos evidenciando las observaciones o sugerencias recibidas, así como las respuestas dadas; de lo contrario, informar las fechas de inicio, cierre y la NO participación por parte de la ciudadanía.

    Incluir comentario de revisión metodológica y técnica o solicitud de ajustes

    Se utiliza en caso que se requieran

    ajustes Guarda información

    Continúa con el paso 4

    mailto:[email protected]

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    32

    Este ejercicio de participación ciudadana, debe cumplir con los L-DE-03 Lineamientos para la ejecución de acciones de participación ciudadana y rendición de cuentas

    7.5. PASO 5: APROBACIÓN Y LIBERACIÓN DEL RIESGO NUEVO El Jefe de la Oficina de Planeación, ingresa al módulo de mejoras, mis responsabilidades y aprueba y libera el riesgo o solicita ajustes, así:

    Registrar la fecha y canal de participación, así como los resultados obtenidos.

    Guarda información

    Continúa con el paso 5

    Incluir comentario de aprobación y liberación del riesgo nuevo o solicitud de ajustes

    Guarda

    información Se utiliza en caso que

    se requieran ajustes

    Cancela la solicitud

    de aprobación

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    33

    8. ADMINISTRACIÓN DE LOS RIESGOS CONTRACTUALES

    En el M-BS-01 Manual de Contratación, se determinan los lineamientos para la estimación y cobertura de los riesgos en el proceso de contratación, estableciendo que la dependencia de la Entidad que requiera la adquisición del bien o servicio es la responsable de la identificación, definición y seguimiento de los riesgos. Los fundamentos para la administración de los riesgos en los procesos de contratación se enmarcan bajo lo estipulado por Colombia Compra Eficiente (Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación).

    9. ADMINISTRACION DE LOS RIESGOS DE SEGURIDAD Y SALUD EN EL TRABAJO

    En la G-TH-06 Guía para la identificación de peligros y riesgos, se determina los lineamientos para la identificación, valoración y determinación de los controles de los peligros y riesgos de Seguridad y Salud en el Trabajo que se puedan generar en las diferentes actividades rutinarias y no rutinarias que realicen los funcionarios, contratistas y/o visitantes; inicia desde la identificación de peligros y riesgos ocupacionales hasta el establecimiento y divulgación de controles operacionales, el fundamento y metodología escogida por la Entidad para la valoración de los riesgos está establecida en la GTC 45 de 2012.

    10. ADMINISTRACIÓN DE RIESGOS EN EL APLICATIVO SIGEPRE El aplicativo Sigepre contiene un módulo de riesgos, el cual puede ser identificado por la siguiente

    forma . Por medio de este módulo se logra administrar cada una de las etapas de los riesgos identificados por la Entidad. De acuerdo con lo anterior, se explicará como se registra la información del riesgo en cada una de las siguientes etapas:

    Para la creación de un riesgo, se debe desplegar el título “Riesgos”, dar clic sobre “Gestionar” y luego clic en el simbolo +:

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    34

    9.1. NUEVO – IDENTIFICACIÓN

    Bien, Servicio o Acción + Situación No Deseada

    Responsable Monitoreo Jefe Dependencia

    Indiqué la AC, ARC y/o ACC cuando aplique - incluya una breve descripción del riesgo en relación con sus

    causas y efectos

    Seleccionar la clase del riesgo

    De acuerdo con la opción seleccionada, indicar la

    justificación de por qué sí afecta a la Entidad o por qué no.

    De acuerdo con la opción seleccionada, indicar la

    justificación de por qué si es de corrupción (acción y

    omisión, uso de poder, desviar la gestión de lo público a lo

    privado, beneficio particular) o de por qué no.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    35

    Al dar clic sobre agregar, se despliega el campo para seleccionar la causa e incluir la descripción de la misma, de acuerdo con la seleccionada:

    Agregar el objetivo institucional al cual está

    apuntando el riesgo

    Agregar el objetivo del proceso al cual está

    apuntando el riesgo

    Agregar las áreas que se vean afectadas por

    el riesgo

    Indicar las posibles causas generadoras de la

    materialización del riesgo y los conceptos

    relacionados (Si aplica)

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    36

    Al dar clic sobre agregar, se generan los recuadros para escribir los efectos. Es de aclarar que en cada recuadro debe ir un efecto.

    Indicar los posibles efectos que se generan

    por la materialización del riesgo

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    37

    9.2. IDENTIFICADO – ANÁLISIS En esta etapa, se debe establecer la probabilidad e impacto del riesgo inherente, es decir, haciendo el supuesto que no se tienen controles.

    Se debe seleccionar el activo de información

    que se relaciona con el riesgo

    Continúa con la etapa de Análisis (Enlace Responsable

    definido en esta etapa)

    Permite guardar la información

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    38

    Ejemplo:

    Seleccionar opción, de acuerdo

    con la probabilidad definida Seleccionar opción, de acuerdo

    con el impacto definido

    Justificar e informar las consideraciones tenidas en cuenta para la definición de la probabilidad y del impacto en el riesgo

    inherente.

    Dar clic en “Siguiente”

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    39

    9.3. CALIFICADO Y EVALUADO – VALORACIÓN

    Dar clic para la creación de controles

    Escribir el nombre del control

    Seleccionar la clase de control

    Seleccione si el control afecta la

    probabilidad, impacto o ambos

    Indique una breve descripción del control

    Dar clic en agregar y seleccionar las causas

    que se relacionarían con el control Dar clic en agregar y seleccionar los efectos

    que se relacionarían con el control

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    40

    Posteriormente, se deben responder las 8 preguntas seleccionando “Sí” o “No” o el porcentaje.

    Seleccionar el proceso responsable de

    implementar el control

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    41

    Como resultado de la definición del control, el sistema calcula un porcentaje que denomina “Fuerza del Control”. Adicionalmente, informa si las causas se relacionan como mínimo a un control y una calificación conjunto del impacto y la probabilidad.

    Este paso se debe ejecutar de acuerdo con los controles definidos e identificados que lograrán mitigar el riesgo. En este paso se determina la medición del riesgo residual, es decir, después de controles. El cual se establece de acuerdo con la clase de controles y la escala afectada.

    Dar clic en guardar control

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    42

    9.4. VALORADO – MANEJO

    En caso de contar con plan de contingencia registrado en Sigepre, asócielo

    Indicar que se busca con el plan de contingencia,

    Registre el análisis de la medición del riesgo residual de acuerdo con los controles asociados.

    Permite guardar la

    información

    Continúa con la

    etapa de Manejo

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    43

    Seleccione las opciones de

    manejo de riesgos derivadas

    de la “Política de Riesgos”

    Asocie el plan de contingencia

    si cumple con alguna de las

    características definidas

    Incluya observación relacionada con la actualización del plan de contingencia o la justificación de porque no es necesario

    Seleccione como quiere calcular es estado del riesgo

    Asocie los planes o mejoras que estén relacionadas

    con el riesgo o formule una mejora desde aquí

    Asocie los indicadores desde

    el aplicativo Sigepre que

    tengan relación directa con el

    riesgo

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    44

    9.5. GESTI0NADO - MONITOREADO

    Indique el comentario del manejo o tratamiento del riesgo de acuerdo con las opciones de manejo seleccionadas

    Indique la fecha para

    la revisión del riesgo

    Esta opción mantenerla

    Permite guardar la

    información

    Continúa con la

    etapa de Monitoreo

    Indique la fecha de revisión del riesgo

    Indique el comentario del comportamiento del riesgo durante el periodo de monitoreo y describa o indique como se efectuó

    la aplicación de cada control.

    Indique la fecha para la próxima

    revisión del riesgo

    Permite guardar la información de monitoreo y

    programar nueva fecha de revisión

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    45

    9.6. REGISTRAR MATERIALIZACIÓN

    Si el riesgo de acuerdo con su caracterización se materializó, dar clic en que se encuentra en la parte inferior de la pantalla.

    Esta sección se encuentra definida por 9 campos para diligenciar los cuales permitirán analizar la materialización y tomar las acciones necesarias.

    Registre la fecha y hora que se

    materializó el riesgo

    Registre una descripción de la materialización del riesgo. Narrativa de los hechos. Adjuntar los soportes y evidencias de lo

    sucedido.

    Registre una descripción de la materialización del riesgo. Narrativa de los hechos. Adjuntar los soportes y evidencias de lo

    sucedido.

    De acuerdo con los controles definidos en el riesgo, analizar y determinar cuál o cuáles no han sido efectivos para la

    mitigación del evento.

    Describir las consecuencias, efectos e impacto por la materialización del riesgo.

    Analizar, en lo posible con el equipo de trabajo, si la materialización del riesgo se pudo presentar en otro momento que no

    haya sido detectado.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    46

    11. MODIFICACIÓN O DESACTIVACIÓN DE RIESGOS En caso de requerir una modificación o desactivación del riesgo, el enlace de la dependencia ingresa al aplicativo SIGEPRE, módulo de riesgos da clic en mis responsabilidades y se ingresa a la caracterización del riesgo.

    Para efectuar una modificación, el enlace de la dependencia selecciona la etapa en la cual desea efectuar modificaciones al riesgo así:

    Informar las acciones necesarias a desarrollar para corregir el evento, si es posible, así como las acciones a desarrollar para

    continuar desarrollando la actividad.

    Se debe generar un plan de mejoramiento producto de la materialización del riesgo, que se enfoque en fortalecer los

    controles para mitigar la ocurrencia de un nuevo evento. Este plan de se debe asociar.

    Identificar y registrar las partes implicadas en la materialización del riesgo.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    47

    El aplicativo muestra la siguiente información en la cual el enlace de la dependencia debe justificar las razones o aspectos que se requiere modificar en el riesgo existente, así:

    El enlace de la Oficina de Planeación ingresa al aplicativo SIGEPRE módulo de Gestión del riesgo, riesgos, mis responsabilidades con el fin de efectuar la aprobación o desaprobación de la modificación del riesgo vigente previa autorización del Jefe de la Oficina de Planeación, así:

    Justificar la necesidad de actualizar o modificar el riesgo de acuerdo con la etapa seleccionada.

    Guardar la solicitud

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    48

    Consultar justificación de

    actualización o modificación

    el riesgo

    Al dar clic sobre el recuadro,

    se activa la opción de

    Aprobar/Desaprobar

    Dar clic para habilitar el recuadro donde

    se registrará la acción a tomar

    Registrar la decisión tomada frente al riesgo. Es de aclarar que el Jefe de la Oficina de Planeación por medio de correo electrónico

    debe decidir la aprobación o rechazo de la solicitud. Se adjunta correo del Jefe de la Oficina de Planeación.

  • LINEAMIENTOS PARA LA

    ADMINISTRACION DEL

    RIESGO

    Proceso

    asociado

    Código

    Versión

    DIRECCIONAMIENTO

    ESTRATÉGICO

    L-DE-01

    15

    49

    Por último, al ir nuevamente a mis responsabilidades en el módulo de riesgos, el responsable del riesgo ingresa a su caracterización y dependiendo de la etapa a modificar, procederá hacer los ajustes informados en la solicitud.

    12. MARCO LEGAL

    Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Direccionamiento

    Estratégico –Normograma.

    13. REQUISITOS TÉCNICOS

    Norma Técnica Colombiana NTC-ISO 9001

    Norma Técnica Colombiana NTC-ISO-IEC 27001

    ISO 31000 Gestión del Riesgo, Principios y Directrices

    14. DOCUMENTOS ASOCIADOS

    Se puede consultar en el aplicativo Sigepre – Mapa de procesos – Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento.

    15. RESPONSABLE DEL DOCUMENTO

    Jefe Oficina de Planeación

    Jefe Área de Tecnología y Sistemas de Información