manual de polÍtica y lineamientos para la administraciÓn integral de riesgos … ·...
TRANSCRIPT
1
MANUAL DE POLÍTICA Y LINEAMIENTOS PARA LA
ADMINISTRACIÓN INTEGRAL DE RIESGOS EN EL MINISTERIO DE
MINAS Y ENERGÍA
2
3
MINISTERIO DE MINAS Y ENERGÍA
BOGOTÁ D.C., COLOMBIA
DICIEMBRE 2019
4
Tabla de Contenido INTRODUCCIÓN .............................................................................................................................. 6
1. OBJETIVOS .............................................................................................................................. 7
1.1. OBJETIVO GENERAL ................................................................................................. 7
1.2. OBJETIVOS ESPECÍFICOS ...................................................................................... 7
2. ALCANCE .................................................................................................................................. 7
3. MARCO NORMATIVO ............................................................................................................. 8
4. TÉRMINOS Y DEFINICIONES .............................................................................................. 8
5. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO ............................................................. 12
5.1. ROLES Y RESPONSABILIDADES ............................................................................. 12
5.2. ESTRATEGIAS DE ADMINISTRACIÓN DEL RIESGO ........................................... 13
6. METODOLOGÍA ..................................................................................................................... 14
6.1. CONTEXTO ESTRATÉGICO ....................................................................................... 14
6.1.1. IDENTIFICACIÓN DE ACTIVOS DE SEGURIDAD DE LA INFORMACIÓN 16
6.2. IDENTIFICACIÓN DEL RIESGO ................................................................................. 16
6.2.1. TIPOLOGÍA DE RIESGOS ................................................................................... 16
6.3. ANÁLISIS DEL RIESGO ............................................................................................... 17
6.3.1. ANÁLISIS DE CAUSAS ......................................................................................... 17
6.3.2. DETERMINAR PROBABILIDAD .......................................................................... 17
6.3.3. DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO .......................... 17
6.3.4. CÁLCULO DE PROBABILIDAD E IMPACTO: ................................................... 18
6.3.5. ANÁLISIS DEL IMPACTO ..................................................................................... 18
6.3.6. ANÁLISIS DEL IMPACTO EN RIESGOS DE CORRUPCIÓN ........................ 19
6.4. VALORACIÓN DEL RIESGO ....................................................................................... 21
6.4.1. EVALUACIÓN DE RIESGOS ............................................................................... 21
6.4.1.1. RIESGO ANTES Y DESPUÉS DE CONTROL .............................................. 21
6.4.1.2. DISEÑO DE CONTROLES ............................................................................... 21
6.4.1.3. VALORACIÓN DE LOS CONTROLES ........................................................... 22
6.4.1.4. RESULTADOS DE LA EVALUACIÓN DEL DISEÑO DEL CONTROL ...... 23
7.7. MONITOREO Y SEGUIMIENTO ................................................................................. 23
7.7.1. LÍNEA ESTRATÉGICA .......................................................................................... 23
7.7.1.1. PRIMERA LÍNEA DE DEFENSA ..................................................................... 23
5
7.7.1.2. SEGUNDA LÍNEA DE DEFENSA .................................................................... 24
7.7.1.3. TERCERA LÍNEA DE DEFENSA..................................................................... 24
7.7.2. MONITOREO DE RIESGOS DE CORRUPCIÓN ............................................. 24
7.8. INFORMACIÓN Y COMUNICACIÓN .......................................................................... 24
8. ANEXOS .................................................................................................................................. 24
ÍNDICE DE TABLAS
Tabla 1. Factores para la categoría del contexto. ................................................ 15
Tabla 2. Calificación impacto (gestión y seguridad digital) .................................... 18
Tabla 3. Criterios para calificar la probabilidad ...................................................... 18
Tabla 4. Zona de riesgo ........................................................................................ 19
Tabla 5. Mapa de calor .......................................................................................... 19
Tabla 6. Nivel impacto Riesgos de Corrupción ...................................................... 20
Tabla 7. Valoración Impacto Riesgos de Corrupción ............................................ 21
Tabla 8. Descripción de la i mplementación del control ...................................... 21
Tabla 9. Peso de cada variable en el diseño del control. ...................................... 23
Tabla 10. Calificación del Diseño. ......................................................................... 23
6
INTRODUCCIÓN
Este documento contempla la metodología para llevar a cabo el Manual de
Políticas y Procedimientos para la Administración Integral de Riesgos, para la
consolidación de este Manual se toma en cuenta los lineamientos establecidos en
la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades
Públicas versión 4, elaborado por el Departamento de la Función Pública.
Además, se tuvieron en cuenta el instructivo para el diligenciamiento formato de
riesgo con código (AG-I-04) y el procedimiento administración del riesgo (AG-P-
04).
Por medio de los documentos anteriormente mencionados se debe analizar los
procedimientos y las situaciones vulnerables que afecten las actividades y
servicios que dispone la entidad. Establecer la política, las herramientas y la
metodología para la observación y valoración de los riesgos a los que se expone
el Ministerio de Minas y Energía.
La administración del riesgo se encarga de los procedimientos a los cuales se
expone el Ministerio de Minas y Energía, según su política de mitigación,
probabilidad de ocurrencia o cuantificación, a través del análisis de los diferentes
escenarios que pueden afectar sus operaciones críticas y sus servicios. La entidad
tiene el objetivo de evaluar la administración de riesgos y facilitar su ejecución, por
lo cual se elaboró el presente Manual de Administración del Riesgo.
Para el desarrollo de la Política en el manual, se realiza con base de la Función
Pública, la cual define su política de operación del riesgo tomando como referente
los parámetros del Modelo Integrado de Planeación y Gestión- MIPG, la
responsabilidad de las líneas de defensa y los lineamientos
El documento se estructura por capítulos y consta de objetivos, alcance, marco
conceptual, política de Administración del Riesgo y la metodología para la
identificación, análisis y valoración de riesgo, así como los responsables que
participan en esta actividad.
7
1. OBJETIVOS
1.1. OBJETIVO GENERAL
Establecer los lineamientos y criterios metodológicos para una adecuada
gestión del riesgo y una apropiada Política de Administración del Riesgo en el
Ministerio de Minas y Energía, con el fin de minimizar los efectos adversos que
se puedan ocasionar, permitiendo la orientación de la toma de decisiones
referida a la formulación de acciones efectivas que garanticen el mejoramiento
continuo en la entidad.
1.2. OBJETIVOS ESPECÍFICOS
Identificar y tratar los riesgos asociados a los planes, programas,
procesos y proyectos, en todos los niveles de la entidad, con el
propósito de asegurar de manera razonable el logro de los objetivos
institucionales y la protección de los recursos del estado.
Incentivar el conocimiento acerca de la identificación, actualización,
tratamiento y autoevaluación de los riesgos por parte de los
servidores públicos y ciudadanos.
Establecer una base confiable para la toma de decisiones y la
planificación.
Implementar la Política de Administración del Riesgo aumentando la
probabilidad de alcanzar los objetivos institucionales.
Asegurar la provisión de los recursos y uso eficaz de las
herramientas para el tratamiento del riesgo.
Mejorar la eficacia y eficiencia operativa para controlar los riesgos
inherentes implementando medidas de control.
2. ALCANCE
El Manual de Política y Lineamientos de la Administración Integral del Riesgo
es un documento orientador de carácter estratégico, el cual es aplicable a
todos los procesos de la entidad, siendo de gran utilidad, ya que contempla la
metodología de la administración de los riesgos inherentes a los planes,
programas, procesos, proyectos y objetivos institucionales, así como también
los riesgos de corrupción, permitiendo el cumplimiento de actividades y
servicios de manera adecuada oportuna y consistente.
El Manual contempla todas las etapas del Sistema Integral de Administración
de Riesgos que va desde la identificación de la política de administración del
riesgo hasta el monitoreo y seguimiento de los procesos del Ministerio de
Minas y Energía.
8
3. MARCO NORMATIVO
El Ministerio de Minas y Energía en uso de las facultades legales conferidas por la
constitución y la ley adopta como marco normativo para la Administración del
Riesgo, el definido por las siguientes normas:
Ley 87 de 1993: Se establecen normas para el ejercicio de control interno en
las entidades y organismos del Estado y se dictan otras disposiciones - Artículo
2.
Ley 489 de 1998: Estatuto básico de Organización y funcionamiento de la
Administración Pública - Artículo 78.
Decreto 2145 de 1999: Se dictan normas sobre el Sistema Nacional de
Control Interno de las Entidades y Organismos de la Administración Pública del
orden nacional y territorial y se dictan otras disposiciones - Artículo 8.
Directiva Presidencial 9 de 1999: Lineamiento para la implementación de la
política de lucha contra la corrupción - Artículo 10.
Decreto 1537 de 2001: Se reglamenta parcialmente la Ley 87 de 1993 en
cuanto a elementos técnicos y administrativos que fortalezcan el sistema de
control interno de las entidades y organismos del Estado - Artículo 2,3,4 y 5.
Ley 1474 de 2011: Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y
de Atención al Ciudadano” que deben elaborar anualmente todas las
entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas
para mitigar esos riesgos, las estrategias anti-trámites y los mecanismos para
mejorar la atención al ciudadano.
Decreto 1081 de 2015: Se expide el Decreto Reglamentario Único del Sector
Presidencia de la República - Artículo 2.
Decreto 124 de 2016: Se sustituye el Titulo 4 de la Parte 1 del Libro 2 del
Decreto 1081 de 2015, relativo al "Plan Anticorrupción y de Atención al
Ciudadano" – Artículo 2.
ISO 31000: Gestión del Riesgo. Principios y Directrices.
4. TÉRMINOS Y DEFINICIONES
Con base en los documentos Guía para la Administración del Riesgo en entidades
públicas, referenciados anteriormente, se determinaron los conceptos que se
9
describen a continuación, como marco de referencia para la comprensión y
ejecución del proceso que se presenta a lo largo de este manual.
Administración de Riesgos: Conjunto de Elementos de Control que, al
interrelacionarse, permiten a la Entidad Pública evaluar aquellos eventos
negativos, tanto internos como externos, que puedan afectar o impedir el logro de
sus objetivos institucionales o los eventos positivos, que permitan identificar
oportunidades para un mejor cumplimiento de su función. Se constituye en el
componente de control que al interactuar sus diferentes elementos le permite a la
entidad pública auto controlar aquellos eventos que pueden afectar el
cumplimiento de sus objetivos.
Análisis de Riesgo: Elemento de Control, que permite establecer la probabilidad
de ocurrencia de los eventos positivos y/o negativos y el impacto de sus
consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de
la entidad pública para su aceptación y manejo. Se debe llevar a cabo un uso
sistemático de la información disponible para determinar cuan frecuentemente
pueden ocurrir eventos especificados y la magnitud de sus consecuencias.
Autoevaluación del Control: Elemento de Control que, basado en un conjunto de
mecanismos de verificación y evaluación, determina la calidad y efectividad de los
controles internos a nivel de los procesos y de cada área organizacional
responsable, permitiendo emprender las acciones de mejoramiento del control
requeridas. Se basa en una revisión periódica y sistemática de los procesos de la
entidad para asegurar que los controles establecidos son aún eficaces y
apropiados.
Causa (factores internos o externos): Son los medios, las circunstancias y
agentes generadores de riesgo. Los agentes generadores que se entienden como
todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Todos
aquellos factores internos y externos que solos o en combinación con otros,
pueden producir la materialización de un riesgo.
Confidencialidad: Propiedad de la información que la hace no disponible o sea
divulgada a individuos, entidades o procesos no autorizados.
Contexto estratégico: Son las condiciones internas y del entorno, que pueden
generar eventos que originan oportunidades o afectan negativamente el
cumplimiento de la misión y objetivos de una institución.
Contexto externo: Se determinan las características o aspectos esenciales del
entorno en cual opera la entidad, se pueden considerar factores como: Políticos,
Sociales y culturales, Legales y Reglamentarios, Tecnológicos, Financieros,
Económicos.
10
Contexto interno: Se determinan las características o aspectos esenciales del
ambiente en el cual la organización busca alcanzar sus objetivos, se pueden
considera factores.
Contexto del Proceso: Se determinan las características o aspectos esenciales
del proceso y sus interrelaciones, se pueden considerar factores como: Objetivo
del Proceso, alcance del proceso, interrelación con otros procesos, procedimientos
asociados, responsables del proceso, Activos de seguridad digital del proceso.
Control: Medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas
u otras acciones).
Control correctivo: que busca combatir o eliminar las causas que generan el
riesgo, en caso de materializarse.
Control preventivo: que disminuyen las consecuencias de la ocurrencia del
riesgo sobre los objetos de la entidad.
Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una
entidad.
Evaluación del Riesgo: Permite comparar los resultados de la calificación del
riesgo, con los criterios definidos para establecer el grado de exposición de la
entidad al mismo; de esta forma es posible distinguir entre los riesgos aceptables,
tolerables, moderados, importantes o inaceptables y fijar las prioridades de las
acciones requeridas para su tratamiento.
Gestión del Riesgo: Proceso efectuado por la alta dirección de la entidad y por
todo el personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
Identificación del Riesgo: Elemento de Control, que posibilita conocer los
eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen
en riesgo el logro de su Misión, estableciendo los agentes generadores, las
causas y los efectos de su ocurrencia. Se puede entender como el proceso que
permite determinar qué podría suceder, por qué sucedería y de qué manera se
llevaría a cabo,
Impacto: Consecuencias que puede ocasionar a la Entidad la materialización del
riesgo.
Integridad: Propiedad de exactitud y completitud.
Mapa de Riesgos: Documento con la información resultante de la gestión del
riesgo.
Monitorear: Comprobar, supervisar, observar, o registrar la forma en que se lleva
a cabo una actividad con el fin de identificar posibles cambios.
11
Pérdida: consecuencia negativa que trae consigo un evento.
Plan Anticorrupción y de Atención al Ciudadano: Plan que contempla a
estrategia de lucha contra la corrupción que debe ser implementada por todas las
entidades del orden nacional, departamental y municipal.
Principio de Autocontrol: Es la capacidad que ostenta cada servidor público
para controlar su trabajo, detectar desviaciones y efectuar correctivos para el
adecuado cumplimiento de los resultados que se esperan en el ejercicio de su
función, de tal manera que la ejecución de los procesos, actividades y/o tareas
bajo su responsabilidad, se desarrollen con fundamento en los principios
establecidos en la Constitución Política.
Probabilidad: Se entiende como las consecuencias que puede ocasionar a la
organización la materialización de riesgo.
Proceso de Administración de Riesgo: aplicación sistemática de políticas,
procedimientos y prácticas de administración a las diferentes etapas del a
Administración del Riesgo.
Riesgo: Posibilidad de que suceda algún evento que tendrá un impacto sobre los
objetivos institucionales o del proceso. Se expresa en términos de probabilidad y
consecuencias.
Riesgo de Corrupción: Posibilidad de que, por acción u omisión, se use el poder
para desviar la gestión de lo público hacia un beneficio privado.
Riesgo de seguridad digital: Combinación de amenazas y vulnerabilidades en el
entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así
como afectar la soberanía nacional, la integridad territorial, el orden constitucional
y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico,
digital y las personas.
Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de
acciones de la dirección para modificar su probabilidad o impacto.
Riesgo Residual: nivel de riesgo que permanece luego de tomar medidas de
tratamiento de riesgo.
Sistema de Administración de Riesgo: Conjunto de elementos del
direccionamiento estratégico de una entidad concerniente a la Administración del
Riesgo.
Valoración del Riesgo: Es el resultado de confrontar la evaluación del riesgo con
los controles existentes.
Tolerancia al riesgo: Son los niveles aceptables de desviación relativa a la
consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las
12
mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción
la tolerancia es inaceptable.
Vulnerabilidad: Es una debilidad, atributo, causa o falta de control que permitirá
la explotación por parte de una o más amenazas contra los activos.
Nota: Para conocer más términos y más información remitirse al documento Guía
para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas.
5. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO
La Política de Administración de Riesgos se adopta en el presente Manual,
incluyendo aspectos relacionados con la adecuada administración del riesgo,
según el Modelo Integrado de Planeación y Gestión – MIPG. Esta política se
construye desde el direccionamiento estratégico y desde la planeación, siendo
necesario el establecimiento de los lineamientos para el tratamiento, manejo y
seguimiento a los riesgos que afectan los objetivos institucionales.
“Identificar, actualizar, analizar, valorar, controlar, prevenir, mitigar y dar
tratamiento a los riesgos inherentes de los planes, programas,
procesos, proyectos y objetivos institucionales, así como los riesgos de
corrupción, a través de los mapas de riesgos a los cuales se les hará
seguimiento cuatrimestral, evaluando su implementación y efectividad,
con el fin de minimizar la materialización de los eventos generadores
que pueden afectar el cumplimiento de los objetivos institucionales”.
El Ministerio de Minas y Energía debe administrar efectivamente los riesgos
institucionales, que incluya los riesgos de corrupción, riesgos de seguridad de la
información y riesgos por proceso, identificando y promoviendo las acciones y
controles necesarios que le permitan evitar que el riesgo se materialice.
De acuerdo al Departamento Administrativo de la Función Pública, se revisarán los
riesgos de gestión y de corrupción por proceso de la vigencia anterior, se analiza
el seguimiento y la eficiencia del control, con el fin de identificar en el último
trimestre del año, los riesgos a controlar en la siguiente vigencia.
5.1. ROLES Y RESPONSABILIDADES1
1 Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas versión 4, elaborado
por el Departamento Administrativo de la Función Pública.
13
En el Ministerio de Minas y Energía se determinan las responsabilidades
dependiendo de los objetivos establecidos por las diferentes áreas de la entidad,
según la Guía para la Administración del Riesgo y el Diseño de Controles en
Entidades Públicas:
Roles de Responsables o Líderes de Procesos.
El responsable de proceso debe implementar los procesos de control y la gestión
del riesgo, orientando el desarrollo y diseño de los controles, además de gestionar
de manera directa en el día a día los riesgos de la entidad. Así mismo, deben
monitorear y revisar periódicamente el cumplimiento de los objetivos
institucionales y de sus procesos a través de una adecuada gestión de riesgos.
Roles de la Oficina de Planeación y Gestión Internacional.
A la Oficina de Planeación le corresponde liderar el proceso de la administración
de estos y se encarga de consolidar el mapa de riesgos. Además, se hace
responsable de diseñar y poner en marcha las actividades o mecanismos
necesarios para que los funcionarios y contratistas conozcan, debatan y formulen
sus apreciaciones y propuestas sobre el proyecto del mapa de riesgos, también
adelantará las acciones para que la ciudadanía y los interesados externos
conozcan y manifiesten sus consideraciones y sugerencias sobre estos.
Roles Oficina de Control Interno.
La Oficina de Control Interno debe adelantar seguimiento a la gestión de riesgos,
monitorea y revisa de manera independiente y objetiva el cumplimiento de los
objetivos institucionales y de procesos, a través de la adecuada gestión de
riesgos, además de incluir los riesgos de corrupción. También asegura que los
controles sean efectivos, le apunten al riesgo y estén funcionando en forma
oportuna y efectiva.
Debe adelantar seguimiento al mapa de riesgos, verificando la efectividad de los
controles así:
Verifica la publicación del mapa de riesgos en la página web de la entidad.
Seguimiento a la gestión del riesgo.
Revisión de los riesgos y su evolución.
Asegurar que los controles sean efectivos, le apunten al riesgo y estén
funcionado en forma adecuada.
5.2. ESTRATEGIAS DE ADMINISTRACIÓN DEL RIESGO
Las estrategias que permiten alcanzar los objetivos de la entidad, por medio del
buen manejo de la administración de los riesgos requiere que:
14
Reuniones de nivel directo, para la construcción del contexto estratégico de
la entidad.
Desarrollar actividades de manera periódica, conducentes a concientizar a
los funcionarios y contratistas de la entidad en la identificación, manejo y
tratamiento de los riesgos, así como la normatividad relativo al tema.
Hacer inducción a los funcionarios y contratistas en el Sistema de
Administración de Riesgos.
Designar líderes de riesgos en las áreas organizacionales, que involucre al
equipo de trabajo en la autoevaluación y el autocontrol de los riesgos.
Construir indicadores para medir la materialización del riesgo y la
efectividad de los controles asociados a los riesgos identificados.
Medir cuatrimestralmente la implementación y efectividad del Sistema de
Administración de Riesgos.
Divulgar los Mapas de Riesgos a través de la página Web de la entidad.
Socializar con la Alta Dirección los resultados del análisis y valoración del
Mapa de Riesgos Institucional.
6. METODOLOGÍA
En el presente manual se tiene en cuenta la estructura metodológica que permita
orientar de manera efectiva los riesgos que afecten el logro de objetivos
institucionales, teniendo en cuenta los siguientes aspectos:
1. Contexto estratégico.
2. Identificación del riesgo.
3. Análisis del riesgo.
4. Valoración del riesgo.
6.1. CONTEXTO ESTRATÉGICO
El contexto estratégico se efectúa para cada uno de los procesos del Modelo
Integrado de Gestión a partir de la identificación y análisis de los factores internos,
externos y del proceso, que se han de tomar en consideración para la
administración del riesgo, a partir de los factores es posible determinar las causas
de los riesgos a identificar.
En el Ministerio de Minas y Energía, se definen los parámetros internos y externos,
los cuales se determinan a partir del líder o responsable del proceso o del grupo
de trabajo, teniendo en cuenta la naturaleza del proceso y las variables que
permitan identificar los factores generadores de riesgo.
A partir de lo establecido por el Departamento Administrativo de la Función
Pública, en las caracterizaciones de cada uno de los procesos de la entidad se
encuentra la información relacionada con el contexto, igualmente, se realiza un
seguimiento al estado de los riesgos y se reporta, en caso de ser requerido, los
ajustes o modificaciones.
15
CONTEXTO EXTERNO
POLÍTICOS: cambios de gobierno, legislación, políticas públicas, regulación.
ECONÓMICOS Y FINANCIEROS: disponibilidad de capital, liquidez, mercados, financieros, desempleo, competencia.
SOCIALES Y CULTURALES: demografía, responsabilidad social, orden público.
TECNOLÓGICOS: avances en tecnología, acceso a sistemas de información externos, gobierno en línea.
AMBIENTALES: emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.
LEGALES Y REGLAMENTARIOS: Normatividad externa (leyes, decretos, ordenanzas y acuerdos).
CONTEXTO INTERNO
FINANCIEROS: presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada.
PERSONAL: competencia del personal, disponibilidad del personal, seguridad y salud ocupacional.
PROCESOS: capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.
TECNOLOGÍA: integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de sistemas de información.
ESTRATÉGICOS: direccionamiento estratégico, planeación institucional, liderazgo, trabajo en equipo.
COMUNICACIÓN INTERNA: canales utilizados y su efectividad, flujo de la información necesaria para el desarrollo de las operaciones.
CONTEXTO DEL
PROCESO
DISEÑO DEL PROCESO: claridad en la descripción del alcance y objetivo del proceso.
INTERACCIONES CON OTROS PROCESOS: relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.
TRANSVERSALIDAD: procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.
PROCEDIMIENTOS ASOCIADOS: pertinencia en los procedimientos que desarrollan los procesos.
RESPONSABLES DEL PROCESO: grado de autoridad y responsabilidad de los funcionarios frente al proceso.
COMUNICACIÓN ENTRE LOS PROCESOS: efectividad en los flujos de información determinados en la interacción de los procesos.
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO: información, aplicaciones, hardware entre otros, que se deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano. Ver conceptos básicos relacionados con el riesgo páginas 8 y 9.
Tabla 1. Factores para la categoría del contexto.
16
El Ministerio de Minas y Energía analizará los factores que considere de acuerdo a
la complejidad del evento y el sector en que se desenvuelve, e incluirlos como
aspectos clave dentro de los lineamientos de la política de administración del
riesgo.
6.1.1. IDENTIFICACIÓN DE ACTIVOS DE SEGURIDAD DE LA
INFORMACIÓN
Los activos son el contexto de seguridad digital son elementos tales como
aplicaciones dentro del Ministerio de Minas y Energía, como servicios web, redes,
hardware, información física o digital, recurso humano, entre otros elementos que
se usan dentro de la entidad en un entorno digital.
Pasos para identificar los activos:
a. Listar activos por cada proceso.
b. Identificar el dueño de los activos.
c. Clasificar los activos.
d. Clasificar la información.
e. Determinar a criticidad del activo.
f. Identificar si existe infraestructura crítica cibernética.
6.2. IDENTIFICACIÓN DEL RIESGO
Se identifican las causas o fallas con base al establecimiento del contexto
(factores internos o externos) de la entidad, se pueden ocasionar riesgos que
afecten el logro de los objetivos. La identificación implica el análisis de contexto
para la entidad y del proceso, determinando las causas, fuentes del riesgo y los
eventos que pueden afectar el logro de los objetivos institucionales.
6.2.1. TIPOLOGÍA DE RIESGOS
Riesgos estratégicos: posibilidad de ocurrencia de eventos que afecten los
objetivos estratégicos de la organización pública y por tanto impactan toda la
entidad.
Riesgos gerenciales: posibilidad de ocurrencia de eventos que afecten los
procesos gerenciales y/o la alta dirección.
Riesgos operativos: posibilidad de ocurrencia de eventos que afecten los procesos
misionales de la entidad.
Riesgos financieros: posibilidad de ocurrencia de eventos que afecten los estados
financieros y todas aquellas áreas involucradas con el proceso financiero como
presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc.
17
Riesgos tecnológicos: posibilidad de ocurrencia de eventos que afecten la
totalidad o parte de la infraestructura tecnológica de la entidad.
Riesgos de cumplimiento: posibilidad de ocurrencia de eventos que afecten la
situación jurídica o contractual de la organización debido a su incumplimiento o
desacato a la normatividad legal y las obligaciones contractuales.
Riesgo de imagen: posibilidad de ocurrencia de un evento que afecte la imagen,
buen nombre o reputación de la entidad antes sus clientes y partes interesadas.
Riesgo de corrupción: posibilidad de que, por acción u omisión, se use el poder
para desviar la gestión de lo público hacia un beneficio privado.
Riesgo de seguridad digital: posibilidad de combinación de amenazas y
vulnerabilidades en el entorno digital. Puede debilitar el logro de los objetivos
económicos y sociales, afectar la soberanía nacional, la integridad territorial, el
orden constitucional e intereses nacionales.
La identificación del riesgo según la tipología depende de la misión, normas,
sistemas y modelos que tiene implementado el Ministerio de Minas y Energía.
6.3. ANÁLISIS DEL RIESGO
6.3.1. ANÁLISIS DE CAUSAS
Se deben establecer los objetivos estratégicos y objetivos de proceso que
contribuyen mayormente a mitigar el evento o riesgo que enfrenta la entidad,
teniendo en cuenta que según los objetivos establecidos son la clave del éxito. Por
medio del análisis de causas, podemos conocer que acciones han originado el
problema o incidencia, permitiendo determinar acciones correctivas adecuadas
que la solventen y que eviten que el problema se vuelva a repetir.
6.3.2. DETERMINAR PROBABILIDAD
Este factor se clasifica en dos criterios de importancia los cuales son:
Frecuencia: indica el número de eventos en un periodo determinado, y de
los hechos que se materializaron o que se han asociado a riesgo, este
factor se ajusta dependiendo del proceso y de la accesibilidad de los datos
históricos sobre el evento identificado.
Factibilidad: es el criterio que analiza la presencia de factores internos y
externos que propician e riesgo, es decir, es un evento que no se ha
presentado pero puede que suceda.
6.3.3. DETERMINAR CONSECUENCIAS O NIVEL DE IMPACTO
Para evaluar el impacto se definen algunos criterios, que genera consecuencias
cuantitativas y cualitativas para cada nivel de calificación. En el Ministerio de
Minas y Energía el impacto se evalúa por medio de conceptos que definen el
18
estado del riesgo de gestión, para identificar el nivel o la gravedad del evento
materializado.
Los niveles que maneja la entidad son: Catastrófico, mayor, moderado, menor y
bajo, clasificados con un valor de impacto que podremos ver a continuación:
NIVEL VALOR DEL
IMPACTO
Catastrófico 5
Mayor 4
Moderado 3
Menor 2
Bajo 1
Tabla 2. Calificación impacto (gestión y seguridad digital)
6.3.4. CÁLCULO DE PROBABILIDAD E IMPACTO:
Se describe en términos de frecuencia, la cual demuestra la periodicidad de
eventos o riesgos materializados.
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias.
Más de 1 vez al año.
4 Probable Es viable que el evento ocurra en la mayoría de las circunstancias.
Al menos 1 vez en el último año.
3 Posible El evento podrá ocurrir en algún momento.
Al menos 1 vez en los últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento.
Al menos 1 vez en los últimos 5 años.
1 Rara vez El evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 5 años.
Tabla 3. Criterios para calificar la probabilidad
6.3.5. ANÁLISIS DEL IMPACTO
El equipo del Ministerio a cargo de las situaciones o eventos asociados al riesgo,
deben determinar la zona de riesgo a la cual se enfrentan, con el fin de conocer,
analizar y calificar el evento, permitiendo identificar la fase o nivel. Por medio de la
tabla 4, podemos clasificar la zona de riesgo por determinado color y su respectiva
descripción.
NIVEL
19
Extremo
Alto
Moderado
Bajo Tabla 4. Zona de riesgo
Se ubica la calificación de probabilidad y el impacto de la siguiente manera, el
punto de intersección entre el impacto (eje x) y la probabilidad de ocurrencia (eje
y), determinará el nivel del riesgo inicial, denominado como riesgo inherente, como
se puede observar en la tabla 5.
Pro
ba
bilid
ad
Casi seguro
A A E E E
Probable M A A E E
Posible B M A E E
Improbable B B M A E
Rara vez B B M A E
Bajo Menor Moderado Mayor Catastrófico
Impacto Tabla 5. Mapa de calor
B: Zona de Riesgo Baja Asumir el riesgo.
M: Zona de Riesgo Moderada Asumir el riesgo, reducir el riesgo.
A: Zona de Riesgo Alta Reducir el riesgo, evitar, compartir o transferir.
E: Zona de Riesgo Extrema Reducir el riesgo, evitar, compartir o transferir.
6.3.6. ANÁLISIS DEL IMPACTO EN RIESGOS DE CORRUPCIÓN
En el Ministerio de Minas y Energía, el análisis del impacto en riesgos de
corrupción se realiza teniendo en cuenta únicamente los niveles “Moderado”,
“Mayor” y “Catastrófico”, ya que estos riesgos son claves y no aplicarían los
niveles de impacto “insignificante” y “menor”, los cuales si se tienen en cuenta
para los demás riesgos.
Medición Impacto Riesgos de Corrupción
Descriptor Descripción Nivel Respuestas Afirmativas
20
Moderado
Afectación parcial del proceso y a la dependencia. Genera mediana consecuencias para la entidad.
5 1 a 5
Mayor
Impacto negativo de la Entidad. Genera altas consecuencias para la entidad.
10 6 a 11
Catastrófico
Consecuencias desastrosas sobre el sector y para la entidad.
20 12 a 19
Tabla 6. Nivel impacto Riesgos de Corrupción
La entidad hará uso de un cuestionario con un enfoque objetivo, que contiene los
criterios para calificar el impacto de los riesgos de corrupción, el cual se compone
de 19 preguntas, con opción de respuesta de si o no, donde se obtendrá el valor
del nivel de impacto.
Número Pregunta
¿Si el riesgo se materializa podría?
Respuesta
SI NO
1 ¿Afectar al grupo de funcionarios del
proceso?
2 ¿Afectar el cumplimiento de metas y
objetivos de la dependencia?
3 ¿Afectar el cumplimiento de misión de la
Entidad?
4 ¿Afectar el cumplimiento de misión del
sector al cual pertenece la Entidad?
5 ¿Generar pérdida de confianza de la
Entidad, afectando su reputación?
6 ¿Generar pérdida de recursos
económicos?
7 ¿Afectar la generación de los productos
o la prestación de servicios?
8
¿Dar lugar al detrimento de calidad de vida de la comunidad por la
pérdida del bien o servicios o los recursos públicos?
9 ¿Generar perdida de información de la
Entidad?
21
10 ¿Generar intervención de los órganos de control, de la fiscalía u otro ente?
11 ¿Dar lugar a procesos sancionatorios?
12 ¿Dar lugar a procesos disciplinarios?
13 ¿Dar lugar a procesos fiscales?
14 ¿Dar lugar a procesos penales?
15 ¿Generar pérdida de credibilidad del
sector?
16 ¿Ocasionar lesiones físicas o pérdida de
vidas humanas?
17 ¿Afectar la imagen regional?
18 ¿Afectar la imagen nacional?
19 ¿Generar daño ambiental? Tabla 7. Valoración Impacto Riesgos de Corrupción
6.4. VALORACIÓN DEL RIESGO
6.4.1. EVALUACIÓN DE RIESGOS
6.4.1.1. RIESGO ANTES Y DESPUÉS DE CONTROL
Es importante que al momento de definir las actividades de control, estas deben
cumplir todas las variables, desde la variable de diseño y la calificación del diseño
de control, que permitan efectivamente mitigar o eliminar las causas o fallas que
hacen que el riesgo se materialice, para las causas es obligatorio tener actividades
de control, y estas causas deben ser trabajadas de manera separada.
Implementación Control
Descripción
Riesgo antes de controles
Se identifican los riesgos inherentes que pueden afectar el cumplimiento
de los objetivos.
Causas o fallas Se identifican las causas o fallas que pueden materializar el riesgo.
Controles Cada causa debe tener un control o
controles.
Riesgo después de controles
Evaluar si los controles están bien diseñados para mitigar el riesgo.
Tabla 8. Descripción de la implementación del control
6.4.1.2. DISEÑO DE CONTROLES
Se determinan algunas variables que se requieren para evaluar el adecuado
diseño de controles, que se clasifican en 6 pasos.
Paso 1. Se debe tener definido el responsable de llevar a cabo la actividad de
control, la persona encargada debe tener la autoridad, competencias y
conocimientos para ejecutar el control dentro del proceso.
22
Paso 2. La entidad debe tener periodicidad definida para su ejecución mensual
para el riesgo de corrupción y trimestral para los riesgos institucionales. La
ejecución debe ser consistente y oportuna para la mitigación del riesgo, para que
ayude y contribuya a prevenir o detectar el riesgo en el menor tiempo posible.
Paso 3. Se debe indicar cuál es el propósito del control, indicando el por qué se
realiza permitiendo prevenir las causas que generan que el riesgo se materialice.
Paso 4. Se debe establecer el cómo se realiza la actividad de control, de tal forma
que se pueda evaluar si el origen de la información sirve para ejecutar el control, e
indica que es una fuente confiable para la mitigación del riesgo.
Paso 5. Se debe indicar qué pasa con las observaciones resultantes de ejecutar el
control, se debe tener en cuenta que aspectos o diferencias se generan ya que si
no son efectivas no deben dar continuidad a la actividad. Todo riesgo que se
materialice requiere plan de mejoramiento, con el fin de identificar la causa raíz y
tomar medidas para eliminarla.
Paso 6. Se debe dejar evidencia de la ejecución del control, ya que permite la
revisión de la información, evidenciando que se realizó de acuerdo a los
parámetros establecidos.
6.4.1.3. VALORACIÓN DE LOS CONTROLES
El control debe estar diseñado perfectamente y de manera consistente para
mitigar el impacto del riesgo, a continuación podemos observar criterios de
evaluación y el peso de la evaluación según el diseño de control.
CRITERIO DE EVALUACIÓN
OPCIÓN DE RESPUESTA PESO EN LA
EVALUACIÓN DEL DISEÑO DEL CONTROL
Asignación del responsable
Asignado 15
No Asignado 0
Segregación del responsable
Adecuado 15
Inadecuado 0
Periodicidad Oportuna 15
Inoportuna 0
Propósito
Prevenir 15
Detectar 10
No es un control 0
Cómo se realiza la actividad de control
Confiable 15
No confiable 0
Qué pasa con las observaciones
Se investigan y se resuelven oportunamente
15
No se investigan y resuelven oportunamente
0
23
Evidencia de la ejecución del control
Completa 10
Incompleta 5
No existe 0 Tabla 9. Peso de cada variable en el diseño del control.
La tabla 9, indica que según el criterio de evaluación se evaluará el peso o la
participación de cada variable en el diseño del control para la mitigación del riesgo.
6.4.1.4. RESULTADOS DE LA EVALUACIÓN DEL DISEÑO DEL CONTROL
Por medio de cada variable de diseño, se evalúa a partir de la calificación del
diseño, si las calificaciones o el promedio en el diseño de control según el rango,
se encuentran con un valor inferior a 96%, la entidad deberá establecer un plan de
acción que permita tener un control bien diseñado.
RANGO DE CALIFICACIÓN DEL DISEÑO
RESULTADO DE LA EVALUACIÓN DEL DISEÑO DE CONTROL
Fuerte Calificación entre 96 y 100
Moderado Calificación entre 86 y 95
Débil Calificación entre 0 y 85
Tabla 10. Calificación del Diseño.
7.7. MONITOREO Y SEGUIMIENTO
El Ministerio de Minas y Energía debe asegurar el logro de los objetivos,
previniendo los eventos negativos relacionados con la gestión de riesgos, dado
que en el Modelo Integrado de Planeación y Gestión contiene la dimensión 7,
control interno quien cumple con la responsabilidad de la gestión del riesgo y
control por medio de las líneas de defensa.
Coordinación y Administración:
La Oficina de Planeación y Gestión Internacional, ejercerá la coordinación y
administración del Sistema de Administración de Riesgos del Ministerio de Minas y
Energía, quien consolidará y publicará los mapas de riesgos.
Asesoría y Evaluación:
La Oficina de Control Interno, asesorará y acompañará el proceso de
identificación, análisis, valoración y definición de controles de los riesgos
inherentes a sus planes, programas y procesos, así mismo, realizará Evaluación
independiente a los riesgos, con el fin de sugerir los correctivos y ajustes
necesarios.
7.7.1. LÍNEA ESTRATÉGICA
La línea estratégica define el marco general para la gestión del riesgo y el control y
supervisa su cumplimiento, está a cargo de la Alta Dirección y el Comité
Institucional de Coordinación de Control Interno.
7.7.1.1. PRIMERA LÍNEA DE DEFENSA
24
Desarrolla e implementa procesos de control y gestión de riesgos a través de su
identificación, análisis, valoración, monitoreo y acciones de mejora. Los
responsables de esta línea son los gerentes públicos y líderes de los procesos,
programas y proyectos del Ministerio, quienes se encargan de diseñar,
implementar y monitorear los controles y de gestionar los riesgos de la entidad.
7.7.1.2. SEGUNDA LÍNEA DE DEFENSA
Se encarga de asegurar que los controles y los procesos de gestión de riesgos
implementados en la primera línea de defensa, se encuentren bien diseñados y
funcionen efectivamente dentro de la entidad. Los responsables son los servidores
que tienen funciones directamente con el monitoreo y evaluación de los controles
y gestión del riesgo como los jefes de planeación, quienes se desempeñan en
monitorear la gestión del riesgo y el control ejecutada en la primera línea.
7.7.1.3. TERCERA LÍNEA DE DEFENSA
Proporciona la información a través de un enfoque basado en riesgos, donde
también se incluyen las operaciones de la primera y segunda línea de defensa.
Los responsables son la oficina de control interno, quien se encarga de
proporcionar un aseguramiento basado en el alto nivel de independencia y
objetividad sobre la efectividad.
7.7.2. MONITOREO DE RIESGOS DE CORRUPCIÓN
La entidad debe monitorear y revisar periódicamente la gestión de riesgos de
corrupción, le corresponde a la primera y segunda línea de defensa, donde se
establece monitoreo en los tiempos determinados por el Ministerio. Es necesario
un monitoreo permanente de la gestión del riesgo y la efectividad de los controles
establecidos.
7.8. INFORMACIÓN Y COMUNICACIÓN
La comunicación con las partes involucradas, tanto internas como externas
debería tener lugar durante todas las etapas del proceso para la gestión del
riesgo. Este análisis debe garantizar que se tienen en cuenta las necesidades de
todos los ciudadanos, de manera que los riesgos identificados, permitan encontrar
puntos críticos para la mejora en la prestación de servicios, es necesario promover
la participación de los funcionarios de la entidad con mayor experiencia, siendo un
mejor aporte y apoyo de su conocimiento en la identificación, análisis y valoración
del riesgo.
Unas pautas claves para la comunicación son: Estrategias de comunicación,
trabajo en equipo, conocimiento y análisis de la complejidad de cada uno de los
procesos.
8. ANEXOS
25
Guía para la Administración del Riesgo y el Diseño de Controles en Entidades
Públicas versión 4, elaborado por el Departamento Administrativo de la Función
Pública.