lineamientos para la administracion del …es.presidencia.gov.co/dapre/documentossigepre/l-de... ·...

LINEAMIENTOS PARA LA ADMINISTRACION DEL RIESGO

Bogotá D.C., Marzo de 2018

2

LINEAMIENTOS PARA LA ADMINISTRACION

DEL RIESGO

Código: L-DE-01

Versión 13

Proceso asociado: Direccionamiento Estratégico

TABLA DE CONTENIDO

1. OBJETIVO ---------------------------------------------------------------------------------- 4

2. ALCANCE ----------------------------------------------------------------------------------- 4

3. TERMINOS Y DEFINICIONES --------------------------------------------------------- 4

4. ADMINISTRACION DEL RIESGO. --------------------------------------------------- 6

5. POLITICA DE ADMINISTRACIÓN DE RIESGOS DAPRE --------------------- 6

6. GESTIÓN DEL RIESGO EN EL DAPRE -------------------------------------------- 7

6.1 CONTEXTO DEL RIESGO --------------------------------------------------------- 8

6.2 IDENTIFICACIÓN DEL RIESGO ------------------------------------------------ 10

a) SITUACIÓN NO DESEADA --------------------------------------------------- 12

b) PREPOSICIÓN -------------------------------------------------------------------- 13

c) COMPLEMENTO ----------------------------------------------------------------- 13

6.2.1 CAUSAS Y EFECTOS ASOCIADAS A LOS RIESGOS --------------- 14

a) CAUSAS (FACTORES INTERNOS O EXTERNOS) -------------------- 14

b) EFECTOS (CONSECUENCIAS) ---------------------------------------------- 14

6.2.2 CREACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL APLICATIVO SIGEPRE -------------------------------------------------------------------------------------- 15

6.3 ANÁLISIS DEL RIESGO ---------------------------------------------------------- 17

6.3.1 PROBABILIDAD ---------------------------------------------------------------- 17

6.3.2 IMPACTO ------------------------------------------------------------------------ 18

a) Niveles para calificar el Impacto Cuantitativo: ------------------------ 18

b) Niveles para calificar el Impacto Cualitativo: -------------------------- 19

6.3.2.1 Impacto riesgo de corrupción --------------------------------------------- 20

6.3.3 CALIFICACIÓN DEL RIESGO IHNERENTE, ANTES DE CONTROLES ------------------------------------------------------------------------------ 21

6.3.4 ANÁLISIS DE RIESGOS EN EL APLICATIVO SIGEPRE ----------- 21

6.4 VALORACIÓN DE RIESGOS ---------------------------------------------------- 24

6.4.1 CONTROLES ------------------------------------------------------------------- 25

6.4.2 EVALUACIÓN DE CONTROLES ------------------------------------------ 26

6.4.3 CALIFICACIÓN DEL RIESGO RESIDUAL, DESPUES DE APLICAR CONTROLES ---------------------------------------------------------------- 27

6.4.4 VALORACIÓN DE RIESGOS EN EL APLICATIVO SIGEPRE ----- 29

3


DEL RIESGO

Código: L-DE-01

Versión 13


6.5 MANEJO DE LOS RIESGOS ---------------------------------------------------- 32

6.5.1 SELECCIÓN DE OPCIONES DE MANEJO O TRATAMIENTO --- 32

6.5.2 FORMULACIÓN DE PLAN DE CONTINGENCIA ---------------------- 34

6.5.3 FORMULACIÓN DE ACCIONES E INDICADORES DE RIESGO - 35

6.5.4 MANEJO DE RIESGOS EN EL APLICATIVO SIGEPRE ------------ 37

6.5.5 FORMULACIÓN DE UNA MEJORA DESDE LA ETAPA DE MANEJO ------------------------------------------------------------------------------------ 38

6.6 MONITOREO Y SEGUIMIENTO DE RIESGOS ----------------------------- 39

6.6.1 MONITOREO DE RIESGOS EN EL APLICATIVO SIGEPRE ----- 39

7. APROBACIÓN DE RIESGOS NUEVOS EN EL APLICATIVO SIGEPRE - 40

7.1 PASO 0: Creación de la solicitud de aprobación del riesgo nuevo 41

7.2 PASO 1: Soporte de la creación del riesgo nuevo ---------------------- 42

7.3 PASO 2: Aprobación del riesgo nuevo-------------------------------------- 43

7.4 PASO 3: Revisión metodológica y técnica del riesgo nuevo -------- 43

7.5 PASO 4: Participación de la creación del riesgo ------------------------ 44

7.6 PASO 5: Aprobación y liberación del riesgo nuevo -------------------- 44

8. MODIFICACIÓN O DESACTIVACIÓN DE RIESGOS -------------------------- 44

9. ADMINISTRACIÓN DE LOS RIESGOS CONTRACTUALES ---------------- 47

10. ADMINISTRACION DE LOS RIESGOS DE SEGURIDAD Y SALUD EN EL TRABAJO ----------------------------------------------------------------------------------- 47

11. CONSULTA DEL MAPA DE RIESGOS ------------------------------------------ 47

12. MARCO LEGAL ------------------------------------------------------------------------ 49

13. REQUISITOS TÉCNICOS ----------------------------------------------------------- 49

14. DOCUMENTOS ASOCIADOS ------------------------------------------------------ 50

15. RESPONSABLE DEL DOCUMENTO -------------------------------------------- 50

4


DEL RIESGO

Código: L-DE-01

Versión 13


1. OBJETIVO

Establecer disposiciones y criterios institucionales que orienten al Departamento Administrativo de la Presidencia de la Republica en la correcta identificación, análisis, valoración y administración de los riesgos, que pueden afectar de forma positiva o negativamente el logro de los objetivos institucionales en el marco de los procesos, proyectos y planes.

2. ALCANCE

Los lineamientos presentados en este documento aplican para todos los procesos y dependencias del Departamento Administrativo de la Presidencia de la Republica.

3. TERMINOS Y DEFINICIONES

Administración del Riesgo: Actividades encaminadas a la intervención de los riesgos de la entidad, a través de la identificación, valoración, evaluación, manejo y monitoreo de los mismos de forma que se apoye el cumplimiento de los objetivos de la entidad. Análisis de Riesgos: Determinación del impacto en función de la consecuencia o efecto y de la probabilidad de ocurrencia del riesgo.

Consecuencias: Hechos o acontecimientos que se derivan o resultan de la ocurrencia o la materialización de un riesgo. Corrupción: Uso del poder para desviar la gestión de lo público hacia el beneficio privado. Causas: Medios, circunstancias, situaciones o agentes generadores del evento. Control: Acciones encaminadas a reducir la probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo. Evento: Hecho que se genera durante la gestión de un proceso afectando el logro del objetivo del mismo, tiene relación directa con las actividades críticas de los planes operativos, las actividades de ruta crítica de los Proyectos de Inversión y las actividades críticas de control de los procesos. Frecuencia: Periodicidad con que ha ocurrido un evento. Gestor del Riesgo: Funcionario líder de la dependencia, quien apoya al responsable del riesgo. Identificación del Riesgo: Descripción de la situación no deseada.

5


DEL RIESGO

Código: L-DE-01

Versión 13


Impacto: Magnitud de las consecuencias que pueden ocasionar a la entidad la materialización del riesgo. Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos por proceso, haciendo la descripción de cada uno de ellos, las posibles consecuencias y su forma de tratamiento. Políticas de manejo del Riesgo: Son los criterios que orientan la toma de decisiones para tratar, y en lo posible minimizar, los riesgos en la entidad, en función de su evaluación. Probabilidad: Medida para estimar la posibilidad de que ocurra un evento. Responsable del riesgo: Es el encargado de identificar, valorar y definir el plan de contingencia, el manejo y monitoreo para cada uno de los riesgos del proceso bajo su responsabilidad. Riesgo: Posibilidad de ocurrencia del evento que tiene un efecto positivo o negativo sobre el producto o servicio generado de un proceso o el cumplimiento de los objetivos institucionales. Riesgo residual: Según Es aquel que continúa aún después de aplicar controles para mitigar el riesgo Riesgo Inherente: Es el riesgo puro, al cual no se han aplicado controles, para controlarlo y buscar evitar su materialización. Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder para poder desviar la gestión de lo público hacia un beneficio privado1. Riesgo de seguridad de la información: Posibilidad de que una amenaza concreta que pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información; estos daños consisten en la afectación de la confidencialidad, integridad o disponibilidad de la información. Cuando la amenaza se convierta en una oportunidad se debe tener en cuenta en el beneficio que se genera También se puede generar riesgo positivo en la seguridad de la información por el aprovechamiento de oportunidades y fortalezas que se presenten. Riesgo Positivo: Posibilidad de ocurrencia de un evento o situación que permita optimizar los procesos y/o la gestión institucional, a causa de oportunidades y/o fortalezas que se presentan en beneficio de la entidad. Tratamiento: Opciones que determinan el tipo de acciones a implementar para administrar el riesgo.

1 Guía para la Gestión de Riesgo de Corrupción, 2015, Secretaría de Transparencia

6


DEL RIESGO

Código: L-DE-01

Versión 13


Valoración: Grado de exposición al riesgo con la clasificación de probabilidad e impacto aplicando los controles existentes.

4. ADMINISTRACION DEL RIESGO. El concepto de Administración del Riesgo se introduce en las entidades públicas, teniendo en cuenta que todas las organizaciones independientemente de su naturaleza, tamaño y razón de ser están permanentemente expuestas a diferentes riesgos o eventos que pueden poner en peligro su existencia o generar un beneficio. Desde la perspectiva de la Norma Técnica NTC-ISO 31000 e ISO 9001 se interpreta que los sistemas de gestión se deben enfocar bajo el pensamiento basado en riesgos, considerado como una herramienta preventiva. La administración de riesgos es la base para la planificación, como un proceso natural de la misma, contribuyendo con el logro de los objetivos institucionales propuestos para la implementación y mejora de los procesos. Adicionalmente, permite identificar, analizar y abordar las oportunidades que se presenten en el desarrollo del riesgo y permite conducir a la adopción de nuevas prácticas para el cumplimiento de la misión, visión y funciones. La administración del riesgo es liderada por los Jefes de la Entidad con la participación interna de sus partes interesadas y el compromiso de los servidores públicos de la Entidad. Teniendo en cuenta lo anterior, el Departamento Administrativo de la Presidencia de la Republica (DAPRE), administrará sus riesgos a través del Aplicativo SIGEPRE – Modulo Gestión del Riesgo.

5. POLITICA DE ADMINISTRACIÓN DE RIESGOS DAPRE El Departamento Administrativo de la Presidencia de la Republica se compromete a controlar todos aquellos riesgos que pueden impedir el cumplimiento de los objetivos institucionales mediante una efectiva administración de los mismos, como herramienta de gestión que responda a las necesidades de la Entidad, contando con la participación activa de los servidores públicos responsables de los procesos, planes y proyectos quienes deberán identificar, analizar y definir acciones para mitigar la materialización de los riesgos. La política de administración de riesgos está determinada por las siguientes opciones de tratamiento:

a) Evitar el Riesgo: Tomar las acciones encaminadas a prevenir su materialización, generando mejoras en los procesos, rediseño o eliminación de las actividades que lo generan.

7


DEL RIESGO

Código: L-DE-01

Versión 13


b) Reducir el Riesgo: Implementar acciones encaminadas a reducir el nivel de riesgo, bien sea mejorando controles existentes o implementando nuevos controles.

c) Compartir o transferir el riesgo: Tomar acciones encaminadas a trasladar el impacto o la probabilidad del riesgo, o una parte, a un tercero a través de pólizas o tercerización de servicios, entre otros.

d) Asumir un riesgo: Aceptar la existencia del riesgo debido a que se encuentra en una zona de riesgo “Baja” o “Moderada”; el responsable puede aceptar las posibles consecuencias, si estas no afectan el logro de los objetivos del proceso y debe elaborar los planes de contingencia para su manejo. Para riesgos que no tienen una opción de tratamiento inmediata y no pueden ser evitados, se debe generar un análisis por parte de del Líder del Proceso o Jefe de la Dependencia para revisar su aceptación; estos riesgos deben permanecer en constante monitoreo y deben contar con planes de contingencia para actuar en caso de materializarse.

e) Optimizar: Tomar acciones que permitan obtener beneficios para la entidad a través de la documentación de oportunidades de mejora registradas en el SIGEPRE. Ver procedimiento Formulación, Seguimiento y Evaluación de Planes de Mejoramiento P-EM-06 y Guía para la Formulación, Seguimiento y Evaluación de Planes de Mejoramiento G-EM-01.

6. GESTIÓN DEL RIESGO EN EL DAPRE

Según la Norma Técnica ISO 31000 la Gestión del Riesgo se define como “Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo2” La gestión del riesgo en el DAPRE se define como el proceso mediante el cual se identifican, analizan, valoran, se da tratamiento y se efectúa el monitoreo a los riesgos que puedan afectar o generar un beneficio para el cumplimiento de los objetivos institucionales y el desempeño de los procesos. A continuación, se presenta el Esquema General de Gestión del riesgo en el DAPRE Grafico 1:

2 ISO 31000:2009. Numeral 2, Términos y definiciones. Página 4

8


DEL RIESGO

Código: L-DE-01

Versión 13


Gráfico 1: Esquema General de Gestión del riesgo en el DAPRE

6.1 CONTEXTO DEL RIESGO

Antes de iniciar cualquier identificación de riesgos, es necesario estudiar el contexto del riesgo, el cual sirve para identificar las fuentes que pueden dar origen a los riesgos; este contexto incluye: el contexto estratégico (Análisis DOFA), el plan estratégico y planes de acción, los proyectos de inversión, los procesos y los servicios misionales del DAPRE y su información, definiendo los límites sobre los cuales la administración va a centrar sus esfuerzos para la gestión de los riesgos. Así mismo, es necesario tener en cuenta los requisitos legales asociados a los elementos anteriormente expuestos; así como las quejas, denuncias o sugerencias realizadas por la ciudadanía para el mejoramiento y optimización de la prestación de los servicios de la Entidad. Para la definición del contexto del riesgo se deben contemplar los siguientes aspectos (Ver Gráfico 2: Contexto del riesgo):

9


DEL RIESGO

Código: L-DE-01

Versión 13


Gráfico 2: Contexto del riesgo

Contexto Estratégico: del análisis DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas), ver Guía para formulación y seguimiento a la Planeación Institucional G-DE-02, se deben tener en cuenta de acuerdo a las situaciones particulares presentadas en la dependencia, se deberán considerar las que tengan relación directa con el cumplimiento del Plan de Acción de la Dependencia, Proyectos de inversión (Si aplica) y procesos. Plan de Acción: de acuerdo con las ponderaciones establecidas en las actividades de los planes de acción, identifique las actividades con mayor ponderación (Actividades

10


DEL RIESGO

Código: L-DE-01

Versión 13


Críticas – AC para identificar el riesgo positivo o negativo) y priorícelas teniendo en cuenta:

Que la actividad esté asociada a una estrategia alineada o priorizada para el Plan Estratégico.

Que la actividad afecte o beneficie directamente el cumplimiento de los indicadores de metas de gobierno (SINERGIA) contenidos en el Plan Estratégico Institucional.

Que la actividad esté alineada con un proyecto de inversión (Si aplica). Proyectos de inversión: se deben tener en cuenta las Actividades de Ruta Crítica - ARC identificadas en los proyectos de inversión y priorizarlas teniendo en cuenta:

Que el cumplimiento de la actividad tenga una relación directa con los indicadores asociados al proyecto.

La asignación de recursos (A mayor recursos la actividad se debe priorizar) Cuando se generen beneficios por ingreso de recursos adicionales.

Procesos: toda Actividad Crítica de Control – ACC identificada en la caracterización del proceso deberá tener un riesgo asociado (positivo o negativo), para determinar las ACC consulte la Guía para la elaboración y control de documentos del SIGEPRE G-DE-01. Producto y/o servicio No conforme: De acuerdo con la frecuencia de identificación de Productos y/o servicios No conformes se pueden documentar posibles riesgos positivos o negativos, ver Procedimiento P-AU-01 Caracterización y seguimiento de productos y/o servicios misionales y M-AU-01 Manual de Servicios Misionales Para todos los casos deben identificarse las quejas, denuncias o sugerencias efectuadas en el último año.

6.2 IDENTIFICACIÓN DEL RIESGO

Teniendo claro el contexto del riesgo el Jefe de la Dependencia, Gerente del proyecto, Líder del proceso y su equipo de trabajo determinan los riesgos teniendo en cuenta las siguientes clases:

1. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

2. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

11


DEL RIESGO

Código: L-DE-01

Versión 13


3. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias.

4. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.

5. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad, de acuerdo con su misión.

6. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

Es importante resaltar que dentro de las clases de riesgos anteriormente mencionadas están inmersos los riesgos de corrupción. “Se entiende por riesgo de corrupción la Posibilidad de que, por acción u omisión, se use el poder para poder desviar la gestión de lo público hacia un beneficio privado.”3 También, se encuentra inmerso el riesgo de seguridad de la información, el cual se define como: “Posibilidad de que una amenaza concreta que pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información; estos daños consisten en la afectación de la confidencialidad, integridad o disponibilidad de la información. Cuando la amenaza se convierta en una oportunidad se debe tener en cuenta en el beneficio que se genera También se puede generar riesgo positivo en la seguridad de la información por el aprovechamiento de oportunidades y fortalezas que se presenten. Para la identificación de los riesgos de seguridad de la información, se cuenta con la asesoría y acompañamiento del Área de Tecnología y Sistemas de Información. Enmarcado en lo anterior, el Departamento Administrativo de la Presidencia de la Republica, definió la siguiente estructura para identificar los riesgos:

3 Presidencia de la Republica, Decreto 124 de 2016 Por el cual se sustituye el Título 4 de la Parte 1 del Libro 2 del Decreto 1081 de 2015, relativo al "Plan Anticorrupción y de Atención al Ciudadano".

12


DEL RIESGO

Código: L-DE-01

Versión 13


Nota: para identificar el riesgo positivo, Ver procedimiento Formulación, Seguimiento y Evaluación de Planes de Mejoramiento P-EM-06 y Guía para la Formulación, Seguimiento y Evaluación de Planes de Mejoramiento G-EM-01.

a) SITUACIÓN NO DESEADA

- La situación no deseada es aquella condición que en términos de gestión no queremos que se presente por ningún motivo o que conlleve impedir el logro de los objetivos en desarrollo de las funciones, planes, proyectos y/o procesos. A continuación, se presentan los siguientes ejemplos entre otros:

Demoras Incrementos no previstos Incumplimiento (Legales,

compromisos, técnicos, presupuestales, otros)

Hurto Fraude Incendio Alteración Trafico de influencias Pérdida Falta de oportunidad

Baja Cobertura Daño Atrasos Adulteración Falsificación Favorecimientos Uso Indebido

Las situaciones no deseadas de Seguridad de la Información, son las siguientes:

Pérdida de Confidencialidad Ejemplos: o Divulgación de información de carácter privada y semi-privada

(Información clasificada)4 o Acceso de personas no autorizadas a información (que se puede

presentar por las situaciones: bloqueo de equipo en ausencia de personal, compartir contraseña, visualización de información que se encuentra en escritorio, contraseña fácil de adivinar)

o Publicación de información clasificada o Visualización de información clasificada en hojas dejadas en impresoras

desatendidas de la Entidad.

Pérdida de Integridad Ejemplos:

o Visualización incompleta de la información o Hurto de dispositivo móvil que contenga información de la Entidad o Desaparición de información

4 G-GD-02 Guía para la calificación de la Información, numeral 3. Términos y definiciones

13


DEL RIESGO

Código: L-DE-01

Versión 13


Pérdida de disponibilidad

Ejemplos: o Ataque informático o Fuga de información o Negación de acceso a la información o Eliminación de Información de forma voluntaria e involuntaria

Los riesgos de seguridad de la información pueden ser de todas las clases especificadas anteriormente. Cuando se identifique un riesgo cuya situación no deseada sea de seguridad de la información, se debe documentar en el SIGEPRE. Cuando los riesgos sean de seguridad de la información se debe agregar en el nombre las siglas SGSI al final, con el fin de identificarlos en el momento que se requiera.

b) PREPOSICIÓN

Para relacionar la situación no deseada con el complemento a manera de ejemplo se presentan las siguientes preposiciones entre otras:

Al, durante, en, para, sobre, ante, con, hacia, de, mediante, por.

c) COMPLEMENTO Se contextualiza y puntualiza la situación no deseada de manera detallada

Ejemplo:

Adicionalmente, a manera de ejemplo tenga en cuenta entre otras las siguientes situaciones no deseadas que pueden estar relacionadas con actos de corrupción:

Hurto Fraude Alteración Trafico de influencias Pérdida Fuga de información

Adulteración Falsificación Favorecimientos Uso Indebido Manipulación de información

Para gestionar Riesgo Positivo a partir de Seguridad la Información, ver Guía para la Formulación, Seguimiento y Evaluación de Planes de Mejoramiento G-EM-01.

Adquisición de bienes y/o servicios No Incluidos en el

Plan Anual de Adquisiciones del

DAPRE

14


DEL RIESGO

Código: L-DE-01

Versión 13


6.2.1 CAUSAS Y EFECTOS ASOCIADAS A LOS RIESGOS Una vez identificados los riesgos se debe determinar:

a) CAUSAS (FACTORES INTERNOS O EXTERNOS) Son los medios, las circunstancias y agentes generadores de riesgo, se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Si en este paso se identifican riesgos que pueden tener la connotación de “Riesgo de Corrupción”, se debe establecer las causas teniendo en cuenta las debilidades (factores internos) y las amenazas (factores externos) que pueden influir en los procesos y procedimientos que generan una mayor vulnerabilidad frente a riesgos de corrupción.5 Para realizar la identificación de las causas se pueden utilizar las herramientas definidas en la Guía para la formulación, seguimiento y evaluación de planes de mejoramiento G-EM-01

b) EFECTOS (CONSECUENCIAS) Constituyen las consecuencias de la ocurrencia del riesgo sobre el logro de los objetivos, planes, proyectos y/o procesos de la Entidad; generalmente se dan sobre las personas o los bienes con incidencias importantes tales como daños físicos, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio, daño ambiental, otras. Ejemplo:

5 Presidencia de la Republica, 2012, Estrategias para la construcción del plan anticorrupción y de atención al ciudadano, página 9.

15


DEL RIESGO

Código: L-DE-01

Versión 13


6.2.2 CREACIÓN E IDENTIFICACIÓN DE RIESGOS EN EL APLICATIVO SIGEPRE

El Líder del Proceso con el acompañamiento del funcionario de la Oficina de Planeación ingresa al aplicativo SIGEPRE y selecciona el módulo “Gestión del Riesgo” como se indica a continuación: Una vez selecciona la opción crear el sistema muestra la etapa en la cual se encuentra el riesgo y la resalta.

Adicionalmente, permite diligenciar la siguiente información relacionada con la Etapa de Identificación:

Paso 1

Paso 2

Paso 3

16


DEL RIESGO

Código: L-DE-01

Versión 13


Continúa con la etapa de Análisis (Enlace

Responsable definido en esta etapa)

Permite guardar la información (Como si se estuviera trabajando en documento de Word)

Situación No deseada + Preposición + Complemento

Indiqué la AC, ARC y/o ACC Cuando aplique - Incluya una breve descripción del riesgo en relación con sus causas y efectos

Seleccionar la clase de riesgo

Seleccione el responsable de realizar el monitoreo Seleccione el Jefe de la Dependencia

Indicar la justificación de por qué si afecta a todo el DAPRE o de por qué no.

Indicar la justificación de por qué si es de corrupción (Acción y omisión, Uso de poder, Desviar la gestión de lo público a lo privado, beneficio particular) o de por qué

no.

Agregar el objetivo institucional al cual está apuntando el riesgo

Agregar el objetivo del proceso al cual está apuntando el riesgo

Agregar las áreas que se vean afectadas por el riesgo

Indicar las posibles causas generadoras de la materialización del riesgo y los conceptos relacionados (Si aplica)

Indicar los posibles efectos que se generan por la materialización del

riesgo

17


DEL RIESGO

Código: L-DE-01

Versión 13


Para cada causa, deben tenerse en cuenta los agentes generadores y la descripción de la causa. A continuación, se relacionan los agentes generadores:

1. Información primaria 2. Información Secundaria 3. Funcionarios Públicos 4. Contratistas 5. Tecnológico interno 6. Tecnológico externo 7. Procesos y/o procedimientos 8. Factores ambientales internos

9. Factores ambientales externos 10. Normatividad interna 11. Normatividad externa 12. Factores económicos 13. Factores políticos 14. Aspectos sociales 15. Infraestructura 16. Posibles actos de corrupción

La descripción debe ser detallada e indicar las situaciones causales del riesgo.

6.3 ANÁLISIS DEL RIESGO

Busca determinar el grado en el cual se puede materializar un riesgo, para esto se tienen en cuenta la probabilidad e impacto del riesgo “Riesgo Puro” es decir, sin considerar los controles existentes para evitar que este riesgo se materialice.

6.3.1 PROBABILIDAD El Enlace (Responsable) y el Jefe de la dependencia (Gestor) definidos en la etapa de identificación, en coordinación con el equipo de trabajo quienes tienen pleno conocimiento de la situación presentada, determinan la probabilidad en función del número de veces que podría presentarse el riesgo independientemente del impacto en un escenario sin controles. Para valorar la probabilidad de ocurrencia se utilizan los siguientes criterios:

PROBABILIDAD Descripción

Concepto Criterio

Raro 2 veces en 5 años Puede ocurrir solo en circunstancias excepcionales.

Improbable Una vez al año Puede ocurrir de manera inusual.

Moderado (Posible)

Hasta 2 veces por año Puede ocurrir en algún momento.

Probable Hasta una vez por

mes Probablemente ocurrirá.

Casi certeza (casi seguro)

Más de una vez por mes

Se espera que ocurra en la mayoría de las circunstancias.

Para determinar la probabilidad de materialización de los riesgos de corrupción se considerarán únicamente los conceptos de probabilidad moderado (Posible), probable y

18


DEL RIESGO

Código: L-DE-01

Versión 13


casi certeza (casi seguro) de acuerdo con las orientaciones del documento “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano”.

6.3.2 IMPACTO El impacto está en función de los efectos generados a la Entidad por la materialización de los riesgos, teniendo en cuenta los siguientes criterios:

a) Niveles para calificar el Impacto Cuantitativo:

Concepto Impacto (consecuencias) Cuantitativo

Insignificante

Impacto que afecte la ejecución presupuestal en un valor ≤0,5%. Pérdida de cobertura en la prestación de los servicios de la entidad ≤1%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≤0,5%. Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≤0,5% del presupuesto general de la entidad.

Menor

Impacto que afecte la ejecución presupuestal en un valor ≤1%. Pérdida de cobertura en la prestación de los servicios de la entidad ≤5%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≤1%. Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≤1%del presupuesto general de la entidad.

Moderado

Impacto que afecte la ejecución presupuestal en un valor ≥5%. Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥5% Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.

Mayor

Impacto que afecte la ejecución presupuestal en un valor ≥20% Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20%. Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.

Catastrófico

Impacto que afecte la ejecución presupuestal en un valor ≥50%. Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50%. Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

19


DEL RIESGO

Código: L-DE-01

Versión 13


b) Niveles para calificar el Impacto Cualitativo:

Co

nce

pt

o

Impacto (consecuencias) Cualitativo

Estratégico Imagen Operativo Financiero Cumplimiento Tecnología Seguridad de la información

Insig

nif

ica

nte

No se afecta el cumplimiento de la misión ni de los objetivos estratégicos de la entidad.

No se afecta la imagen institucional de forma significativa.

Interrupción mínima en la prestación de servicios de la entidad.

No se generan sanciones económicas o administrativas.

No se generan incumplimientos de los requisitos normativos aplicables.

No se afecta el funcionamiento de la plataforma en los horarios requeridos por la entidad.

La confidencialidad, integridad o disponibilidad de la información no se ven afectadas de manera significativa.

Men

or

Se genera una baja afectación en el cumplimiento de la misión o los objetivos estratégicos de la entidad.

Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

Interrupción de las operaciones de la Entidad por algunas horas.

Se afecta la ejecución del presupuesto o se generan pagos por sanciones o indemnizaciones de montos muy bajos.

Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias.

Se afecta el funcionamiento de la plataforma por algunas horas en los horarios requeridos por la entidad.

Se afecta la confidencialidad, integridad o disponibilidad de la información, generando incumplimiento de la misión, objetivos de la entidad o requisitos normativos o afectando la imagen de la entidad en baja medida.

Mo

dera

do

Se

genera

una a

fecta

ció

n e

n e

l

cum

plim

iento

de la m

isió

n o

los

obje

tivos e

str

até

gic

os d

e la e

ntidad.

Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos.

Interrupción o demora de las operaciones de la Entidad por hasta por un (1) día.

Se afecta la ejecución del presupuesto o se generan pagos por sanciones o indemnizaciones de montos bajos.

Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. Investigaciones penales, fiscales o disciplinarias.

Se afecta el funcionamiento de la plataforma hasta por un (1) día.

Se afecta la confidencialidad, integridad o disponibilidad de la información, generando incumplimiento de la misión, objetivos de la entidad o requisitos normativos o afectando la imagen de la entidad.

20


DEL RIESGO

Código: L-DE-01

Versión 13

Proceso asociado: Direccionamiento Estratégico C

on

ce

pt

o

Impacto (consecuencias) Cualitativo

Estratégico Imagen Operativo Financiero Cumplimiento Tecnología Seguridad de la información

Mayo

r

Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.

Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

Interrupción o demora de las operaciones de la Entidad entre uno (1) y dos (2) días.

Se afecta la ejecución del presupuesto o se generan pagos por sanciones o indemnizaciones de montos altos.

Sanción por parte de ente de control u otro ente regulador.

Se afecta el funcionamiento de la plataforma entre uno (1) y dos (2) días.

Se afecta la confidencialidad, integridad o disponibilidad de la información, generando incumplimiento de la misión, objetivos de la entidad o requisitos normativos o afectando la imagen de la entidad afectando las metas de gobierno.

Cata

str

ófi

co

Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.

Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

Interrupción o demora de las operaciones de la Entidad por más de cinco (5) días.

Se afecta la ejecución del presupuesto o se generan pagos por sanciones o indemnizaciones de montos muy altos.

Intervención por parte de un ente de control u otro ente regulador.

Se afecta el funcionamiento de la plataforma por más de cinco (5) días.

Se afecta la confidencialidad, integridad o disponibilidad de la información, generando incumplimiento de la misión, objetivos de la entidad o requisitos normativos o afectando la imagen de la entidad afectando la ejecución presupuestal de forma grave.

6.3.2.1 Impacto riesgo de corrupción

El impacto de un riesgo de corrupción se mide según el efecto que pueda causar el hecho al cumplimiento de los fines de la entidad. Para medir el impacto se tiene en cuenta los niveles: Catastrófico, Mayor y Moderado, que determinan su calificación. De acuerdo con lo anterior, se debe diligenciar el formato F-DE-43 Evaluación impacto Riesgos de corrupción, el cual consta de 18 preguntas.

Si el resultado es de 1 a 5 respuestas afirmativas, el impacto es Moderado

Si el resultado es de 6 a 11 respuestas afirmativas, el impacto es Mayor

Si el resultado es de 12 a 18 respuestas afirmativas, el impacto es Catastrófico

21


DEL RIESGO

Código: L-DE-01

Versión 13


6.3.3 CALIFICACIÓN DEL RIESGO IHNERENTE, ANTES DE CONTROLES Esta se logra a través de la estimación de la probabilidad y el impacto que pueda causar la materialización del riesgo, de acuerdo con la siguiente tabla:

6.3.4 ANÁLISIS DE RIESGOS EN EL APLICATIVO SIGEPRE

Una vez realizada la identificación del riesgo, el enlace responsable definido por el líder del proceso ingresa al aplicativo SIGEPRE por la opción búsqueda en el Módulo de Gestión del Riesgo, como se muestra a continuación:

Damos clic sobre el riesgo y seleccionamos

la opción analizar

Indicamos las opciones de búsqueda

22


DEL RIESGO

Código: L-DE-01

Versión 13


Una vez selecciona la opción Analizar el sistema muestra la etapa en la cual se encuentra el riesgo y la resalta.

Adicionalmente, permite diligenciar la siguiente información relacionada con la Etapa Análisis:

23


DEL RIESGO

Código: L-DE-01

Versión 13


Una vez seleccionada la probabilidad y el impacto el sistema muestra la siguiente información:

Seleccionamos la probabilidad

La calificación y la zona del riesgo se generan automáticamente una vez seleccionada la probabilidad y el impacto.

En caso que el riesgo haya sido clasificado como riesgo de

corrupción adjunta el formato F-DE-42 Evaluación impacto

Riesgos de corrupción

Seleccionamos el impacto

24


DEL RIESGO

Código: L-DE-01

Versión 13


6.4 VALORACIÓN DE RIESGOS

El aplicativo muestra la Zona del

Riesgo con su respectiva calificación

Se registra un comentario sobre el análisis en un escenario sin controles “Riesgo Puro”.

Permite guardar la información (Como si se estuviera trabajando

en documento de Word)

Continúa con la etapa de

Valoración

Si es un riesgo de corrupción, adjunta el formato F-DE-43 Evaluación impacto

Riesgos de corrupción

25


DEL RIESGO

Código: L-DE-01

Versión 13


La valoración del riesgo es el producto de confrontar los resultados del análisis del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas.

6.4.1 CONTROLES Para realizar la valoración de los controles es necesario recordar que éstos se clasifican en:

Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

Detectivos: Aquellos que registran un evento después de presentado; sirven para descubrir resultados no previstos y alertar sobre la presencia de un riesgo6.

Para adelantar esta etapa se hace necesario tener claridad sobre los controles aplicados al proceso. A manera de ejemplo se muestran los siguientes controles:

TIPO DE CONTROL EJEMPLOS

Controles de Gestión

Políticas claras aplicadas Seguimiento al plan estratégico y operativo Indicadores de gestión Tableros de control Seguimiento a cronograma Evaluación del desempeño Informes de gestión Monitoreo de riesgos

Controles Operativos

Conciliaciones Consecutivos Verificación de firmas Listas de chequeo Registro controlado Segregación de funciones Niveles de autorización Custodia apropiada Procedimientos formales aplicados Pólizas Seguridad física Contingencias y respaldo Personal capacitado

6 Guía para la Gestión de Riesgo de Corrupción, 2015, Secretaría de Transparencia

26


DEL RIESGO

Código: L-DE-01

Versión 13


TIPO DE CONTROL EJEMPLOS

Aseguramiento y calidad

Controles Legales Normas claras y aplicadas Control de términos

6.4.2 EVALUACIÓN DE CONTROLES Los controles se evaluarán independientemente teniendo en cuenta los siguientes criterios:

27


DEL RIESGO

Código: L-DE-01

Versión 13


Esta evaluación se realiza directamente en el aplicativo SIGEPRE. Para su diligenciamiento se debe tener en cuenta:

Seleccionar la opción de acuerdo con las opciones de respuesta.

Para la pregunta, ¿El control es automático o manual?, entiéndase automático, cuando la ejecución del control la realice un sistema (software) en su totalidad, y no requiera la manipulación manual. Para la opción “manual”, una persona ejecuta el control de forma directa y en su totalidad;

Para la pregunta “Seleccione en qué nivel el control cubre todos los efectos del riesgo definidos en la etapa de identificación”, de acuerdo con la experiencia y conocimientos técnicos, se determina el porcentaje que el control logra mitigar la materialización del riesgo y sus respectivas causas identificadas;

El puntaje total máximo a obtener es de 100, lo anterior lo calcula el aplicativo de acuerdo con las opciones seleccionadas de las preguntas.

La información consolidada es producto de los controles identificados, registrados y de acuerdo con los resultados obtenidos de las preguntas.

Es importante recordar que los controles principalmente afectan la probabilidad; sin embargo, solo algunos controles disminuyen el impacto, por ejemplo:

Las pólizas de cumplimiento Póliza todo riesgo

Plan de continuidad del negocio Back ups

6.4.3 CALIFICACIÓN DEL RIESGO RESIDUAL, DESPUES DE APLICAR

CONTROLES Una vez evaluados los controles existentes el aplicativo SIGEPRE promedia los criterios de probabilidad e impacto de acuerdo con la escala de afectación del control, el puntaje máximo es un 100%.

28


DEL RIESGO

Código: L-DE-01

Versión 13


CONTROL Escala de Afectación

Probabilidad Impacto

Control 1 Probabilidad X1

Control 2 Impacto Y1

… … …

Control N Ambos XN YN

Total promedio X Promedio Y Promedio

Teniendo en cuenta la calificación final de los controles disminuiremos los cuadrantes en probabilidad o impacto así:

Es necesario tener en cuenta que los controles pueden minimizar la probabilidad en alto o menor grado. A manera de ejemplo, se presentan aspectos a considerar en cuanto a la minimización del impacto a la hora de realizar la valoración:

- Frente al riesgo de incumplimientos legales, una vez materializado el riesgo, el impacto que se deriva de éste ocasionará sanciones económicas, disciplinarias, legales y/o penales que no se pueden subsanar; es casi imposible disminuir el impacto.

- Frente a los riesgos daño de activos y hurto, se pueden adquirir pólizas todo riesgo que disminuyen desde el punto de vista económico el impacto que la materialización de estos puede generar.

- Cuando se trate del riesgo hurto de información confidencial, el impacto que se genera es irremediable y éste no se puede mitigar.

- Frente al riesgo daño de activos, la entidad puede disponer de recursos en el marco de un plan de continuidad del negocio que permiten disminuir el impacto que ocasione un fenómeno natural, atentado terrorista, entre otros.

En esta etapa para los riesgos que se identifiquen como riesgos de corrupción se aplican los mismos criterios de valoración. Ejemplo 1: Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 60

Menor al 51% no se disminuirá cuadrantes

Entre el 51% y el 76% se disminuirá un

cuadrante

Mayor al 76% se disminuirá dos

cuadrantes

29


DEL RIESGO

Código: L-DE-01

Versión 13


se disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y hasta 1 cuadrante en el impacto quedando éste en Moderado. Ejemplo 2: Si la probabilidad del riesgo antes de controles es Casi Certeza y el impacto es Mayor, y una vez evaluados los controles la calificación de probabilidad es 100 y el impacto es 0 se disminuirán hasta 2 cuadrantes en la probabilidad quedando Moderada y 0 cuadrantes en el impacto quedando este en Mayor.

6.4.4 VALORACIÓN DE RIESGOS EN EL APLICATIVO SIGEPRE

Una vez realizado el análisis del riesgo por el enlace responsable definido por el líder del proceso, el sistema muestra la etapa en la cual se encuentra el riesgo y la resalta.

Adicionalmente, permite diligenciar la siguiente información relacionada con la Etapa Valoración por cada control identificado, así:

Indicar el nombre del control para evitar que el riesgo se materialice

Seleccione si el control es preventivo o

correctivo

Indique una breve descripción del control

Agregue las causas que cubre el control

Agregue los efectos que cubre el control

Seleccione el proceso responsable

Si el control está documentado asocie

como concepto el documento del SIGEPRE

(Si aplica)

Seleccione si el control afecta la

probabilidad, impacto o ambos

30


DEL RIESGO

Código: L-DE-01

Versión 13


De acuerdo con la valoración de cada control el aplicativo SIGEPRE muestra la siguiente información así:

Indique si o no

Indique si o no

Indique si o no

Indique si o no Seleccione si el control es

automático o manual

Seleccione en que porcentajes el control cubre

todos los efectos

Indique si o no Indique si o no

En caso de no querer guardar cambios

seleccione este botón

Oprima este botón para guardar el

control

Seleccione esta opción para agregar

un nuevo control

31


DEL RIESGO

Código: L-DE-01

Versión 13


Esta evaluación de los controles le permitirá al responsable de realizar la valoración determinar en qué posición de probabilidad e impacto quedará ubicado el riesgo “Residual” a partir de la ubicación inicial del riesgo “Puro”, como se muestra a continuación:

Una vez definida la probabilidad e impacto del riesgo después de controles, registra la siguiente información:

Probabilidad

Impacto

Probabilidad e Impacto

Promedio de la calificación de

impacto

Promedio de la calificación de probabilidad

% de cobertura de las causas

A partir de la calificación de controles el sistema muestra su fortaleza

El sistema permitirá reducir la probabilidad e impacto a partir de los promedios de calificación de los controles aplicados teniendo en cuenta el numeral 6.4.3 Calificación del riesgo

después de controles

32


DEL RIESGO

Código: L-DE-01

Versión 13


6.5 MANEJO DE LOS RIESGOS

En el Departamento Administrativo de la Presidencia de la Republica el manejo o tratamiento de los riesgos implica:

6.5.1 SELECCIÓN DE OPCIONES DE MANEJO O TRATAMIENTO Deberá seleccionar las opciones de manejo o tratamiento acorde con lo definido en el numeral 5 de estos lineamientos y tener en cuenta los siguientes aspectos:

a) Evitar el Riesgo: deberá seleccionar esta opción si es posible generar mejoras en los procesos o rediseños en los mismos encaminados a evitar la actividad que genera el riesgo.

b) Reducir el Riesgo: deberá seleccionar esta opción si el riesgo se materializó en la vigencia anterior, o si su valor está en alguna de las siguientes zonas: moderada, alta o extrema y es posible implementar acciones encaminadas a reducir su probabilidad de ocurrencia o el impacto en caso de materializarse. También se puede seleccionar si, aunque la zona de riesgo en la que se encuentra es baja, se pueden generar acciones de mejora para reducirlo aún más.

c) Compartir o transferir el riesgo: deberá seleccionar esta opción si se cuenta con controles que reduzcan el efecto a través del traspaso del impacto a otras organizaciones. Ejemplo: contratos de seguros que permiten distribuir una porción

Indique el comentario después de controles


en documento de Word)

Continúa con la etapa de Manejo

En caso de contar con plan de contingencia registrado en SIGEPRE, asócielo

Indicar que se busca con el plan de contingencia, ver numeral 6.5.2 Formulación de plan de contingencia

33


DEL RIESGO

Código: L-DE-01

Versión 13


del riesgo con otra entidad (contratos de riesgo compartido), póliza de cumplimiento, entre otros.

d) Asumir un riesgo: una vez analizadas las opciones a, b y c y si no es aplicable ninguna, el responsable del riesgo puede seleccionar esta opción siempre y cuando el riesgo haya quedado en zona de riesgo “Baja” o “Moderada” asumiendo las responsabilidades y posibles consecuencias que pueda traer su materialización. En caso que un riesgo se encuentre en una zona de riesgo alta o extrema y no exista la posibilidad de reducirlo, el riesgo debe ser evaluado por el Líder del proceso o Jefe de la Dependencia con el fin de decidir las acciones a tomar desde un punto de vista estratégico; estos riesgos deben permanecer en constante monitoreo y deben contar con planes de contingencia para actuar en caso de materializarse.

Las opciones de manejo o tratamiento se reflejan en el siguiente cuadro teniendo en cuenta la probabilidad y el impacto:

Las opciones de manejo o tratamiento se seleccionan teniendo en cuenta criterios como:

- Zona de Valoración del riesgo - Costos que genera la implementación de las acciones frente a los beneficios que se

obtendrían después de su implementación. - Si es un riesgo relacionado con corrupción

Para este último, las opciones de manejo o tratamiento podrán ser:

- Evitar el riesgo - Reducir el riesgo

- Compartir o transferir el riesgo

Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)

1 2 3 4 5

Zona de riesgo baja Zona de riesgo baja Zona de riesgo moderada Zona de riesgo alta Zona de riesgo alta

Asumir el riesgo Asumir el riesgo Asumir el riesgo Reducir el riesgo Reducir el riesgo

Reducir el riesgo Evitar el riesgo Evitar el riesgo

Compartir o transferir Compartir o transferir

2 4 6 8 10

Zona de riesgo baja Zona de riesgo baja Zona de riesgo moderada Zona de riesgo alta Zona de riesgo extrema

Asumir el riesgo Asumir el riesgo Asumir el riesgo Reducir el riesgo Evitar el riesgo

Reducir el riesgo Evitar el riesgo Reducir el riesgo

Compartir o transferir Compartir o transferir

3 6 9 12 15

Zona de riesgo baja Zona de riesgo moderada Zona de riesgo alta Zona de riesgo extrema Zona de riesgo extrema

Asumir el riesgo Asumir el riesgo Reducir el riesgo Evitar el riesgo Evitar el riesgo

Reducir el riesgo Evitar el riesgo Reducir el riesgo Reducir el riesgo

Compartir o transferir Compartir o transferir Compartir o transferir

4 8 12 16 20

Zona de riesgo moderada Zona de riesgo alta Zona de riesgo alta Zona de riesgo extrema Zona de riesgo extrema

Asumir el riesgo Reducir el riesgo Reducir el riesgo Evitar el riesgo Evitar el riesgo

Reducir el riesgo Evitar el riesgo Evitar el riesgo Reducir el riesgo Reducir el riesgo

Compartir o transferir Compartir o transferir Compartir o transferir Compartir o transferir

5 10 15 20 25

Zona de riesgo alta Zona de riesgo alta Zona de riesgo extrema Zona de riesgo extrema Zona de riesgo extrema

Reducir el riesgo Reducir el riesgo Evitar el riesgo Evitar el riesgo Evitar el riesgo

Evitar el riesgo Evitar el riesgo Reducir el riesgo Reducir el riesgo Reducir el riesgo

Compartir o transferir Compartir o transferir Compartir o transferir Compartir o transferir Compartir o transferir

Casi certeza (5)

ProbabilidadImpacto

Raro (1)

Improbable (2)

Moderada (3)

Probable (4)

34


DEL RIESGO

Código: L-DE-01

Versión 13


6.5.2 FORMULACIÓN DE PLAN DE CONTINGENCIA El plan de contingencia es un plan correctivo el cual ayudará a controlar una situación de materialización del riesgo y a minimizar los impactos o efectos negativos que este pueda ocasionar. Los planes de contingencia son dinámicos y cuando se definan deben ser revisados anualmente para verificar su pertinencia frente al riesgo. Principalmente los Planes de Contingencia están asociados a los riesgos de los procesos de soporte, proceso de Atención al Usuario y proceso de Gestión de Seguridad, apoyo logístico presidencial, comunicación y prensa. Para la elaboración de un plan de contingencia el líder del proceso, como responsable del riesgo, con su equipo de trabajo analiza la siguiente información del riesgo:

a) En el momento que el riesgo residual (después de controles), se encuentre en las zonas moderada, alta o extrema, se puede llegar a determinar que el mismo tiene un mayor número de posibilidades que se materialice;

b) Dado el caso que el riesgo sea de corrupción, el plan de contingencia debe buscar:

Proteger la escena y que contenga aquellas actividades necesarias para que la instancia pertinente realice la investigación de la materialización, y

Describir las actividades requeridas para dar continuidad con las funciones y responsabilidades afectadas.

c) Si el riesgo ya se ha materializado en algún momento.

Para la documentación de los planes de contingencia se utilizará plantilla la cual contiene como mínimo los siguientes aspectos:

Plantilla Contenido

35


DEL RIESGO

Código: L-DE-01

Versión 13


Para registrar el plan de acción para atender la eventual contingencia, numeral 6 de la plantilla, debe hacerse a través del Aplicativo SIGEPRE - Modulo de planes – Opción Crear, teniendo en cuenta las siguientes recomendaciones:

1. Para registrar el nombre del plan indique que es un plan de contingencia, el año y el nombre de riesgo Ejemplo: Plan de Contingencia 2016 riesgo Hurto de dinero en efectivo o cheques Nota: No marcar el plan de contingencia como iniciativa.

2. Para registrar las categorías indique la(s) causa(s) que pueden generar la materialización del riesgo definidas en la etapa de identificación del riesgo.

3. Registre las actividades que se ejecutarán para disminuir el impacto del riesgo con su respectivo responsable. Cómo no se sabe cuándo se materializará el riesgo registre fecha de inicio el 1 enero del año y fecha de finalización 31 de diciembre del año respectivo.

Para los demás aspectos del plan tenga en cuenta las orientaciones metodológicas de la Guía para formulación y seguimiento a la Planeación Institucional G-DE-02.

6.5.3 FORMULACIÓN DE ACCIONES E INDICADORES DE RIESGO

En este paso deben asociarse acciones para reducir el riesgo e indicadores de riesgo que permitan calcular el estado del riesgo:

a) Acciones: son planes o mejoras que ataquen la causa o disminuyan el impacto del riesgo. Si en los planes de acción de la vigencia existen acciones que tengan relación directa con el fortalecimiento o mejora de los controles existentes o la implementación de nuevos controles debe asociarse el plan. Si los planes de mejoramiento correctivo, preventivo o de mejora documentados por diferentes fuentes cuentan con acciones que tengan relación directa con el fortalecimiento o mejora de los controles existentes o la implementación de nuevos controles debe asociarse la mejora. En caso de no contar con ninguna de las anteriores debe formular una mejora siguiendo las orientaciones metodológicas del procedimiento Formulación, seguimiento y evaluación de planes de mejoramiento P-EM-06 y la Guía para la formulación, seguimiento y evaluación de planes de mejoramiento G-EM-01 Nota: Las mejoras derivadas del tratamiento de productos y/o servicios No conformes deben asociarse en este punto.

b) Indicadores: pueden asociar indicadores creados en el aplicativo SIGEPRE siempre y cuando éstos tengan relación directa con el riesgo. Para crear nuevos indicadores asociados a los riesgos se deben seguir las orientaciones metodológicas del

36


DEL RIESGO

Código: L-DE-01

Versión 13


procedimiento Formulación, Registro y Análisis de Indicadores P-DE-02 y la Guía para el Seguimiento y Medición del SIGEPRE G-DE-03.

37


DEL RIESGO

Código: L-DE-01

Versión 13


6.5.4 MANEJO DE RIESGOS EN EL APLICATIVO SIGEPRE Una vez realizada la valoración del riesgo por el enlace responsable definido por el líder del proceso, el sistema muestra la etapa en la cual se encuentra el riesgo y la resalta.

Adicionalmente, permite diligenciar la siguiente información relacionada con la Etapa de Manejo:

Asocie el plan de contingencia si cumple con alguna de las

características definidas en el numeral 6.5.2 Formulación de plan de

contingencia

Seleccione las opciones de manejo de riesgos derivadas

de la “Política de Riesgos”

Incluya observación relacionada con la actualización del plan de contingencia o la justificación de porque no es necesario

38


DEL RIESGO

Código: L-DE-01

Versión 13


6.5.5 FORMULACIÓN DE UNA MEJORA DESDE LA ETAPA DE MANEJO Al tener en cuenta que la identificación, análisis e implementación de controles se establece como producto de las causas del riesgo, es posible definir nuevos controles como oportunidades de mejora, que logren fortalecer la mitigación del riesgo. Para dar claridad sobre el tema, a continuación se da un ejemplo:

Nombre del Riesgo: Pago errado de la nómina a los funcionarios de la Entidad

Causa: Elaboración de la nómina de forma manual

Oportunidad de Mejora: Desarrollar o adquirir un software especializado para la administración de la nómina de la Entidad.

Una vez selecciona la opción agregar en el campo de acciones asociadas el sistema muestra la siguiente información:

Asocie los planes o mejoras que estén relacionadas con el riesgo o formule una mejora desde aquí teniendo en cuenta el numeral 6.5.3 Formulación de acciones y/o indicadores de

riesgo

Asocie los indicadores del SIGEPRE que tengan relación directa con el riesgo teniendo en cuenta el numeral 6.5.3 Formulación de acciones y/o indicadores de riesgo

Indique el comentario del manejo o tratamiento del riesgo de acuerdo con las opciones de manejo seleccionadas

Seleccione como quiere calcular es estado del

riesgo

Indique la fecha para la revisión del riesgo

Indique los días de anticipación de la alerta del correo


en documento de Word), no guarda la fecha programa de

revisión

Continúa con la etapa de Monitoreo

Incluir caracterización de Producto y/o Servicios No

Conformes

39


DEL RIESGO

Código: L-DE-01

Versión 13


Esta opción le permitirá asociar las mejoras o planes que ya están creadas en el sistema y que estén relacionadas con el riesgo a través de los criterios de búsqueda establecidos. Adicionalmente, podrá crear nuevas mejoras para fortalecer o mejorar los controles existentes o crear nuevos controles, se deben seguir las orientaciones metodológicas del procedimiento Formulación, seguimiento y evaluación de planes de mejoramiento P-EM-06 y la Guía para la formulación, seguimiento y evaluación de planes de mejoramiento G-EM-01

6.6 MONITOREO Y SEGUIMIENTO DE RIESGOS

El monitoreo o seguimiento de riesgos se realiza en primera instancia por el responsable del proceso y en instancias posteriores por las auditorías internas de calidad o de gestión programadas por la Oficina de Control Interno (Ver Procedimiento P-EM-01 Auditorías internas). La finalidad principal de éstas, es verificar las disposiciones de monitoreo y sugerir los correctivos u oportunidades de mejora para los ajustes necesarios a los riesgos identificados. El monitoreo a los riesgos deberá realizarse trimestralmente, con corte a 31 de Marzo, 30 de Junio, 30 de Septiembre y 31 de Diciembre, durante los primeros 15 días después de la fecha de corte, o con una periodicidad menor de acuerdo con las instrucciones del Líder del Proceso o Jefe de la Dependencia. El monitoreo debe incluir la actualización de los riesgos si se presentan cambios en el proceso que afecten la seguridad de la información y una actualización del riesgo en el momento que se requiera. .

6.6.1 MONITOREO DE RIESGOS EN EL APLICATIVO SIGEPRE Una vez programada la revisión del riesgo en la etapa de manejo, el sistema muestra la etapa en la cual se encuentra el riesgo y la resalta.

Criterios de búsqueda

40


DEL RIESGO

Código: L-DE-01

Versión 13


De acuerdo con la fecha programada de revisión en la etapa de manejo, el enlace responsable definido por el líder del proceso indica la fecha de revisión y el comentario de monitoreo, así:

7. APROBACIÓN DE RIESGOS NUEVOS EN EL APLICATIVO SIGEPRE

Indique el comentario del comportamiento del riesgo durante el periodo de monitoreo y describa o indique como se efectuó la aplicación de cada control.

Indique la fecha de revisión del riesgo

Indique la fecha para la próxima revisión

del riesgo

Indique los días de anticipación para el envío

del correo de recordatorio

Permite guardar la información de

monitoreo y programar nueva fecha de revisión

Si la respuesta fue que el riesgo SI se materializó,

indique la fecha de materialización del riesgo

Si la respuesta fue que el riesgo SI se materializó, describa como se presentó esta materialización adjuntando los soportes correspondientes.

41


DEL RIESGO

Código: L-DE-01

Versión 13


Para el caso de riesgos que cuenten con aspectos de seguridad de la información, se tendrá la asesoría y acompañamiento del Área de Tecnologías y Sistemas de Información; si la información es física, se cuenta con el apoyo del Grupo de Gestión documental. Una vez surtidas todas las etapas del numeral 6 con el acompañamiento del enlace de la Oficina de Planeación, es necesario que se efectúe la aprobación del riesgo nuevo así:

7.1 PASO 0: Creación de la solicitud de aprobación del riesgo nuevo Para la creación de la solicitud de aprobación del riesgo nuevo, el enlace de la dependencia ingresa al aplicativo SIGEPRE – módulo de mejoras, así:

Diligencia la siguiente información:

Paso 1: Soporte

de la creación

del riesgo nuevo

Paso 2: Aprobación tecnica del

riesgo nuevo

Paso 3: Revisión

metodologica y tecnica del riesgo

nuevo

Paso 4: Participación de la creación

del riesgo

Paso 5: Aprobación y liberación del riesgo

nuevo

Rechazo del paso

Rechazo del paso

Enlace de la dependencia

Líder del Proceso o Jefe dependencia

Funcionario Oficina de Planeación y/o

Área de Tecnología y Sistemas de Información

Jefe Oficina de Planeación –

Secretario Técnico Comité Institucional

Rechazo del paso

Paso 0: Creación de la solicitud de aprobación del riesgo nuevo

Enlace de la dependencia

Funcionario Oficina de Planeación

Rechazo del paso

42


DEL RIESGO

Código: L-DE-01

Versión 13


7.2 PASO 1: Soporte de la creación del riesgo nuevo

En este paso el enlace de la dependencia, ingresa al módulo de mejoras, mis responsabilidades una vez el riesgo se encuentre en la etapa de monitoreo del riesgo y describe en que consiste el riesgo nuevo documentado en el aplicativo SIGEPRE y lo asocia como concepto del sistema, así:

Selecciona la opción de aprobación de riesgos nuevos

Selecciona la opción Área Organizativa

Busca la dependencia responsable del nuevo riesgo

Una vez completada la información, la mejora queda en el paso 1: Soporte de la creación del riesgo nuevo la cual es responsabilidad de quien está efectuando la solicitud de aprobación.

Incluir descripción del nuevo riesgo

Adjunta como concepto del SIGEPRE el nuevo riesgo documentado el cual debe encontrarse en la etapa de monitoreo seleccionando clase: Riesgo y Nombre: Indica el nombre exacto del riesgo

Reasigna el paso a otro usuario del sistema

Guarda información como si estuviera trabajando en Word Continúa con el paso 2

43


DEL RIESGO

Código: L-DE-01

Versión 13


7.3 PASO 2: Aprobación del riesgo nuevo En este paso el Jefe de dependencia, ingresa al módulo de mejoras, mis responsabilidades y revisa la solicitud de aprobación de riesgos nuevos, indicando un comentario de aprobación o solicitando ajustes, así:

7.4 PASO 3: Revisión metodológica y técnica del riesgo nuevo El enlace de la Oficina de Planeación en coordinación con el Funcionario del Área de Tecnología y Sistemas de Información, ingresan al módulo de mejoras, mis responsabilidades y revisa que el riesgo nuevo cumpla con los aspectos metodológicos y técnicos definidos en el numeral 6 de este documento, en caso contrario solicita ajustes, así:

Incluir comentario de aprobación o solicitud de ajustes

Se utiliza en caso que se requieran ajustes

Guarda información como si estuviera trabajando en Word

Continúa con el paso 3

Incluir comentario de revisión metodológica y técnica o solicitud de ajustes



Continúa con el paso 4

44


DEL RIESGO

Código: L-DE-01

Versión 13


7.5 PASO 4: Participación de la creación del riesgo De acuerdo con la transparencia activa, el DAPRE hará participativa la creación de sus nuevos riesgos. Para lo cual, en la página web de la Entidad, sección de Transparencia y Acceso a la Información”, el enlace de la Oficina de Planeación publicará en datos abiertos los riesgos nuevos, que cuenten con el visto bueno en el paso de “Revisión metodológica y técnica”. Esta participación será de 3 días hábiles y las observaciones o sugerencias se recibirán y responderán por medio del correo de [email protected]. El registro de la información en este paso, dependerá de la participación, si esta se hace presente, se deben adjuntar los correos evidenciando las observaciones o sugerencias recibidas, así como las respuestas dadas; de lo contrario, informar las fechas de inicio, cierre y la NO participación por parte de la ciudadanía. Este ejercicio de participación ciudadana, debe cumplir con los L-DE-03 Lineamientos para la ejecución de acciones de participación ciudadana y rendición de cuentas

7.6 PASO 5: Aprobación y liberación del riesgo nuevo El Jefe de la Oficina de Planeación – Secretario Técnico del Comité Institucional, ingresa al módulo de mejoras, mis responsabilidades y aprueba y libera el riesgo o solicita ajustes, así:

8. MODIFICACIÓN O DESACTIVACIÓN DE RIESGOS

En caso de requerir una modificación o desactivación del riesgo, el enlace de la dependencia ingresa al aplicativo SIGEPRE, módulo de riesgos y efectúa una búsqueda del riesgo e indica la opción monitorear, así:

Incluir comentario de aprobación y liberación del riesgo nuevo o solicitud de ajustes



Cancela la solicitud de aprobación

mailto:[email protected]

45


DEL RIESGO

Código: L-DE-01

Versión 13


Para efectuar una modificación, el enlace de la dependencia selecciona la etapa en la cual desea efectuar modificaciones al riesgo así:

El aplicativo muestra la siguiente información en la cual el enlace de la dependencia debe justificar las razones o aspectos que se requiere modificar en el riesgo existente, así:

El enlace de la Oficina de Planeación ingresa al aplicativo SIGEPRE módulo de Gestión del riesgo, riesgos, mis responsabilidades con el fin de efectuar la aprobación o desaprobación de la modificación del riesgo vigente previa autorización del Jefe de la Oficina de Planeación – Secretario Técnico del Comité Institucional, así:

El aplicativo muestra una ventana para efectuar la aprobación o desaprobación de la modificación.

Selecciona la etapa en la

cual requiere realizar

modificación al riesgo

existente

Incluir justificación de las modificaciones a efectuar

46


DEL RIESGO

Código: L-DE-01

Versión 13


Para efectuar una desactivación, el enlace de la dependencia selecciona en la etapa de monitoreo y efectúa el último monitoreo del riesgo diligenciando la información descrita en el numeral 6.6.1, sin embargo al finalizar selecciona la siguiente opción así:

El aplicativo muestra la siguiente información en la cual el enlace de la dependencia debe justificar las razones o aspectos por los cuales es necesario desactivar el riesgo existente, así:

El enlace de la Oficina de Planeación ingresa al aplicativo SIGEPRE módulo de Gestión del riesgo, riesgos, mis responsabilidades con el fin de efectuar la aprobación o desaprobación de

Incluir justificación de las modificaciones a efectuar

47


DEL RIESGO

Código: L-DE-01

Versión 13


la desactivación del riesgo vigente previa autorización del Jefe de la Oficina de Planeación – Secretario Técnico del Comité Institucional, así:

El aplicativo muestra una ventana para efectuar la aprobación o desaprobación de la desactivación.

9. ADMINISTRACIÓN DE LOS RIESGOS CONTRACTUALES

En el M-BS-01 Manual de Contratación, se determinan los lineamientos para la estimación y cobertura de los riesgos en el proceso de contratación, estableciendo que la dependencia de la Entidad que requiera la adquisición del bien o servicio es la responsable de la identificación, definición y seguimiento de los riesgos. Los fundamentos para la administración de los riesgos en los procesos de contratación se enmarcan bajo lo estipulado por Colombia Compra Eficiente (Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación).

10. ADMINISTRACION DE LOS RIESGOS DE SEGURIDAD Y SALUD EN EL TRABAJO

En la G-TH-06 Guía para la identificación de peligros y riesgos, se determina los lineamientos para la identificación, valoración y determinación de los controles de los peligros y riesgos de Seguridad y Salud en el Trabajo que se puedan generar en las diferentes

actividades rutinarias y no rutinarias que realicen los funcionarios, contratistas y/o visitantes; inicia desde la identificación de peligros y riesgos ocupacionales hasta el establecimiento y divulgación de controles operacionales, el fundamento y metodología escogida por la Entidad para la valoración de los riesgos está establecida en la GTC 45 de 2012.

11. CONSULTA DEL MAPA DE RIESGOS

Una vez documentados los riesgos asociados a los procesos, cualquier usuario del sistema podrá consultar el mapa de riesgos institucional, por procesos o de corrupción de la siguiente manera:

1. Ingrese al aplicativo SIGEPRE módulo de gestión del riesgo

Paso 1

Paso 2

48


DEL RIESGO

Código: L-DE-01

Versión 13


2. Seleccione las opciones de búsqueda

Adicionalmente se pueden consultar en la página inicial del módulo de gestión del riesgo los reportes configurados, así:

Seleccione si quiere consultar el mapa de riesgos institucional

Seleccione si quiere consultar el mapa de riesgos por proceso

Seleccione si quiere consultar el mapa de riesgos de corrupción

Verifique que este activo en

el Sistema

Aquí puede consultar el reporte básico sin la

totalidad de la información


el Sistema

Aquí puede consultar el reporte total del mapa de

riesgos


el Sistema

Seleccione si quiere consultar el mapa de riesgos consolidado

49


DEL RIESGO

Código: L-DE-01

Versión 13


12. MARCO LEGAL

Ley 87 de 1993, “Por la cual se establecen normas para el ejercicio del control interno

en la entidades y organismos del estado y se dictan otras disposiciones”. Ley 1753 de 2015, Por la cual se expide el Plan Nacional de Desarrollo 2014-2018

"Todos por un nuevo país" Decreto 1537 de 2001, “Por el cual se reglamenta parcialmente la Ley 87 de 1993 en

cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado”.

Decreto 943 de 2014, “Por el Cual se actualiza el Modelo Estándar de Control Interno MECI”.

Decreto 124 de 2016, “Por el cual se sustituye el Título IV de la Parte 1 del Libro 2 del Decreto 1081 de 2015, relativo al “Plan Anticorrupción y de Atención al Ciudadano”.

Decreto 1499 de 2017, Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015

13. REQUISITOS TÉCNICOS

Guía para la administración de riesgos del DAFP vigente Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano

MECI 2014 Norma Técnica Colombiana NTC-ISO 9001 Norma Técnica Colombiana NTC-ISO-IEC 27001 ISO 31000 Gestión del Riesgo, Principios y Directrices

50


DEL RIESGO

Código: L-DE-01

Versión 13


Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano GTC 45 de 2012, Guía para la identificación de los peligros y la valoración de los

riesgos en seguridad y salud ocupacional Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación

14. DOCUMENTOS ASOCIADOS

Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento.

15. RESPONSABLE DEL DOCUMENTO

Jefe Oficina de Planeación Jefe Área de Tecnología y Sistemas de Información

lineamientos para la administracion del …es.presidencia.gov.co/dapre/documentossigepre/l-de... ·...

Documents