ministerio de salud y protecciÓn social bogotÁ, abril … · 2019-05-31 · formato asif09 ficha...

GUÍA PARA LA ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS

MINISTERIO DE SALUD Y PROTECCIÓN SOCIAL BOGOTÁ, ABRIL DE 2020

PROCESO ADMINISTRACIÓN DEL SISTEMA

INTEGRADO DE GESTIÓN Código ASIG01

GUÍA Administración Integral de Riesgos en

los Procesos Versión 04

Página 2 de 42 Una vez impreso o descargado este documento se considera copia no controlada ASIF04-Versión 1

TABLA DE CONTENIDO

1. OBJETIVO ................................................................................................................................... 4

2. ALCANCE .................................................................................................................................... 4

3. ÁMBITO DE APLICACIÓN .......................................................................................................... 4

4. DOCUMENTOS ASOCIADOS ALAGUÍA ................................................................................... 4

5. NORMATIVA APLICABLE .......................................................................................................... 4

6. TÉRMINOS Y DEFINICIONES..................................................................................................... 5

7. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS INSTITUCIONALES ...................................... 8

8. NIVELES DE AUTORIDAD Y RESPONSABILIDAD (LÍNEAS DE DEFENSA) .......................... 8

9. CICLO EN LA GESTIÓN DEL RIESGO .................................................................................... 10

9.1Análisis de Contexto .............................................................................................................. 11 9.1.1 Contexto Estratégico .......................................................................................................... 11 9.2.1 Asociación del Proceso ................................................................................................... 15

9.2.2 Objetivo del Proceso ........................................................................................................ 15 9.2.3 Identificación del Responsable del Riesgo .................................................................... 15 9.2.4 Fecha de Aprobación del Riesgo .................................................................................... 15 9.2.5 Enfoque del Riesgo .......................................................................................................... 15 9.2.6 Nombre del Riesgo ........................................................................................................... 15 9.2.7 Identificación de las Categorías...................................................................................... 16 9.2.8 Preposición de la Categoría ............................................................................................ 17 9.2.9 Evento relacionado con el Riesgo .................................................................................. 17 9.2.10 Definición del nombre del Riesgo ................................................................................... 17 9.2.11 Explicación del Riesgo .................................................................................................... 19 9.2.12 Asociación de la Clase de Riesgo .................................................................................. 19 9.2.13 Causas de Riesgo ............................................................................................................ 20 9.2.14 Consecuencias (Efectos de Riesgo) ............................................................................... 21

10. ANÁLISIS DEL RIESGO ........................................................................................................... 22

10.1 Probabilidad de ocurrencia ............................................................................................. 23 10.2 Impacto de materialización (enfoque de corrupción) ................................................... 23 10.3 Impacto de materialización (enfoque de gestión de procesos) ................................... 25 10.4 Impacto de materialización (enfoque de seguridad digital) .......................................... 26 10.5 Gestión de las Oportunidades ........................................................................................ 27 10.6 Evaluación del Riesgo ..................................................................................................... 29

11. DETERMINACIÓN DE CONTROLES Y VALORACIÓN DE RIESGOS .................................... 29

11.1 Determinación y valoración de los controles ................................................................ 30






11.2 Valoración del Riesgo ...................................................................................................... 33 12. TRATAMIENTO DEL RIESGO .................................................................................................. 34

12.1 Acciones Frente al Riesgo con Enfoque de Control ..................................................... 35 12.2 Acciones Frente al Riesgo con Enfoque de Contingencia ........................................... 36

13. REVISIÓN Y APROBACIÓN ..................................................................................................... 36

13.1 Revisión metodológica .................................................................................................... 37 14. FICHA INTEGRAL DEL RIESGO U OPORTUNIDAD ............................................................... 38

15. MAPA INTEGRAL DE RIESGOS DEL PROCESO ................................................................... 40

16. MAPA DE RIESGOS INSTITUCIONAL ..................................................................................... 41

17. COMUNICACIÓN Y CONSULTA .............................................................................................. 41

18. INFORMACIÓN, COMUNICACIÓN Y REPORTE ..................................................................... 41

19. MONITOREO Y REVISIÓN ........................................................................................................ 41

20. SEGUIMIENTO Y EVALUACIÓN .............................................................................................. 41

21. MEDICIÓN Y ANÁLISIS DE INDICADORES EN LA GESTIÓN DEL RIESGO ......................... 42

22. TOMA DE DECISIONES AJUSTES O MEJORA ...................................................................... 42






1. OBJETIVO

Proporcionar una metodología que oriente la identificación, análisis, valoración, tratamiento y seguimiento a los riesgos que puedan afectar la gestión de los procesos del Sistema Integrado de Gestión Institucional –SIG-, específicamente con enfoque de gestión, corrupción, y seguridad digital.

2. ALCANCE

Esta metodología debe ser aplicada para: a) Administrar los riesgos de gestión identificados en todos los procesos del Sistema Integrado de Gestión Institucional del Ministerio de Salud y Protección Social -estratégicos, misionales, de apoyo y evaluación-; b) Administrar los riesgos para aquellos procesos que en el desarrollo de sus actividades sean vulnerables a escenarios de corrupción y c) Administrar los riesgos asociados a seguridad digital de acuerdo con los procesos señalados en el Sistema de Gestión de Seguridad de la Información.

3. ÁMBITO DE APLICACIÓN

A los procesos establecidos por el Ministerio de Salud y Protección Social, en su Sistema Integrado de Gestión.

4. DOCUMENTOS ASOCIADOS ALAGUÍA

• Proceso ASIC01 Administración del Sistema Integrado de Gestión Institucional.

• Procedimiento ASIP02 Administración Integral de Riesgos Institucionales.

• Procedimiento ASIP04 Administración del Sistema de Gestión de Seguridad de la Información.

• Procedimiento MACP03 Planes de Mejora

• Formato ASIF09 Ficha Integral del Riesgo.

• Formato ASIF10 Mapa Integral de Riesgos del Proceso.

• Formato ASIF11 Mapa de Riesgos Institucional.

• Formato ASIF17 Inventario de activos de Seguridad Digital.

• ASIG03 Guía para el levantamiento y valoración de activos de seguridad digital.

5. NORMATIVA APLICABLE

Ley 1712 de 2014, crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional.

Ley 1474 de 2011 -Artículo 73-. “Plan de anticorrupción y de atención al ciudadano. Cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos…

Parágrafo. En aquellas entidades donde se tenga implementado un sistema integral de administración de riesgos, se podrá validar la metodología de este sistema con la definida por el Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción.”

Ley 527 de 1999, por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

Ley 489 de 1998, Estatuto Básico de Organización y Funcionamiento de la Administración Pública.

Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del estado y se dictan otras disposiciones.

Decreto 943 de 2014, por el cual se actualiza el Modelo Estándar de Control Interno MECI, a través del Manual Técnico del MECI 2014.

Decreto 2562 de 2012, por el cual se modifica la estructura del Ministerio de Salud y Protección Social, se crea una comisión asesora y se crean otras disposiciones.

Decreto 4107 de 2011, por el cual se determinan los objetivos y la estructura del Ministerio de Salud y Protección Social y se integra el Sector Administrativo de Salud y Protección Social.






Decreto 4485 de 2009, por el cual se actualiza la NTCGP 1000:2009, Numeral 4.1 Requisitos Generales literal g) Establecer sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad.

Decreto 1083 de 2015, Determina que las entidades públicas establecerán y aplicarán políticas de administración del riesgo, como parte integral del fortalecimiento de los sistemas de control interno. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las unidades de control interno o quien haga sus veces, evaluando aspectos, tanto internos como externos, que pueden llegar a representar amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control.

Decreto 1499 de 2017, Articula el Sistema de Gestión en el marco del Modelo Integrado de Planeación y Gestión – MIPG, a través de los mecanismos de control y verificación que permiten el cumplimiento de los objetivos y el logro de resultados de las entidades. Actualiza el Modelo Estándar de Control Interno para el Estado Colombiano – MECI a través del Manual Operativo del Modelo Integrado de Planeación y Gestión – MIPG (correspondiendo a la 7° Dimensión de MIPG).

Resolución 2363 de 2018, por la cual se crean, conforman y se definen algunos órganos de asesoría y coordinación en el Ministerio de Salud y Protección Social.

Estándares de referencia

Norma Técnica NTC ISO 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos.

Norma Técnica NTC ISO 31000:2018. Gestión del riesgo. Principios y directrices.

Norma Técnica NTC ISO 27005:2009. Tecnología de la Información. Técnicas de seguridad. Gestión del Riesgo en la Seguridad de la Información.

Otros documentos

Guía para la Administración de Riesgos y el diseño de controles en las entidades Públicas (DAFP). Dirección de Gestión y desempeño institucional. Octubre 2018

Cartilla Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano. Secretaría de Transparencia-Presidencia de la República.2015

Manual Operativo MIPG Versión 3 Diciembre de 2019. 7ª. Dimensión: Control Interno, 3.2.1.3 Política de Gobierno Digital. Y 2.1.4 Política de Seguridad Digital.

6. TÉRMINOS Y DEFINICIONES

ACTIVO DE INFORMACIÓN: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización. En el contexto de seguridad digital, son activos elementos que utiliza la organización para funcionar en el entorno digital tales como: aplicaciones de la organización, servicios web, redes, información física o digital, tecnologías de información -TI, tecnologías de operación -TO.

ADMINISTRACIÓN DE RIESGOS: Es el proceso continuo basado en el conocimiento, evaluación y tratamiento de los riesgos que mejora la toma de decisiones organizacionales.

AMENAZA: Situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.

ANÁLISIS DEL RIESGO: Proceso para comprender la naturaleza del riesgo y determinar el nivel del riesgo.

CALIFICACIÓN DEL RIESGO: Establece el grado de exposición del Ministerio bajo criterios de probabilidad e impacto de los riesgos.

CATEGORÍA: Es la temática a la que se relaciona riesgo a identificar.

CAUSAS: Son los medios, circunstancias y agentes generadores del riesgo, tales como: económico, medio ambiental, personas, política, procesos, social, tecnológico entre otros.






CLIENTE: Organización, entidad o persona que recibe un producto y/o servicio.

CONFIDENCIALIDAD: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.

CONSECUENCIAS: Efectos que podrían generarse en la Entidad con la materialización de un riesgo.

CONTROL: Proceso, política, dispositivo, práctica u otra acción existente para reducir la probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo.

CONTROL PREVENTIVO: Aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

CONTROL CORRECTIVO: Aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también la modificación de las acciones que propiciaron su ocurrencia.

CUSTODIO DEL ACTIVO DE INFORMACIÓN: Encargado de velar por el cumplimiento de las políticas, la conservación del activo y la protección de su integridad, confidencialidad y disponibilidad.

DISPONIBILIDAD: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.

EVALUACIÓN DEL RIESGO: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables.

EVENTO: Describe el hecho asociado a la actividad a controlar que se está analizando, teniendo en cuenta la categoría escogida. FACTORES DE RIESGO: Son Circunstancias Generales, elementos o causas en la gestión de carácter endógeno a la organización o exógeno, que pueden obstaculizar el cumplimiento de su misión, visión y objetivos, a su vez generar prácticas corruptas.

GESTION DEL RIESGO: Proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.

IMPACTO: Magnitud de los efectos que puede ocasionar la materialización del riesgo.

INDICADOR: Expresión cuantitativa o cualitativa que permite establecer el estado del objeto a evaluar en un momento determinado, con relación a rangos establecidos.

INTEGRIDAD: Propiedad de la información relativa a su exactitud y completitud.

MAPA DE RIESGOS: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y de sus posibles consecuencias.

MSPS: Ministerio de Salud y Protección Social.

POLÍTICA INTEGRAL DE ADMINISTRACIÓN DE RIESGOS: Identifica las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permite tomar decisiones adecuadas y fijar los lineamientos, que van a transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los servidores de la entidad.

PROBABILIDAD DE OCURRENCIA: Frecuencia con que se ha presentado o puede presentarse el riesgo.

PROCEDIMIENTO: Forma especificada de llevar a cabo una o más actividades. El desarrollo de una o más procedimientos permite avanzar en el cumplimiento de los procesos.

PROCESO: Conjunto de actividades mutuamente relacionadas o que interactúan para generar valor, las cuales transforman elementos de entrada en resultados.

PROCESO PARA LA GESTIÓN DEL RIESGO: Aplicación sistemática de las políticas, los procedimientos y las prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto y de identificación, análisis, evaluación, tratamiento y revisión de riesgo.

PROPIETARIO DEL ACTIVO DE INFORMACIÓN: Área o rol que tiene como responsabilidad velar por la protección del activo de información.

PUNTO DE CONTROL: Son las decisiones importantes que deben ser tomadas en un punto del proceso o procedimiento, donde la calidad del producto o servicio puede ser afectada adversamente, y por ende el objetivo del proceso o procedimiento.

REGISTRO: Documento que presenta resultados obtenidos o proporciona evidencia de las actividades adelantadas.






RESPONSABLE DEL ACTIVO DE INFORMACIÓN: Rol del funcionario que toma decisiones sobre el activo de información.

RIESGO: Efecto de la incertidumbre sobre los objetivos.

RIESGO DE CORRUPCIÓN: Posibilidad de que, por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

RIESGOS DE GESTIÓN: Entendidos estos como los eventos potenciales que puedan afectar a la entidad frente al logro de sus objetivos.

RIESGO INHERENTE: Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.

RIESGO DE SEGURIDAD DIGITAL: Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.

RIESGO RESIDUAL: Remanente después del tratamiento del riesgo.

SIG: Sistema Integrado de Gestión.

TRATAMIENTO DEL RIESGO: Proceso para modificar el riesgo.

TOLERANCIA AL RIESGO: son los niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción la tolerancia es inaceptable.

VALORACIÓN DESPUÉS DE CONTROLES: Grado de exposición al riesgo con la calificación de probabilidad e impacto aplicando los controles existentes (valoración residual).

VALORACIÓN SIN CONTROLES: Grado de exposición al riesgo en un escenario donde los controles no existen (valoración pura). Riesgos Inherentes.

VULNERABILIDAD: Debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una o más amenazas contra los activos.

ZONA DE RIESGO: Es el nivel de exposición al riesgo, hallado mediante el cruce entre la probabilidad y el impacto.

POLITICAS DE OPERACIÓN:

▪ Las oportunidades se abordarán solamente en el contexto estratégico tomando de referencia los objetivos estratégicos y los proyectos de inversión de la entidad.

▪ Se deberán identificar y gestionar los riesgos estratégicos tomando como insumo el análisis de contexto de la planeación estratégica vigente, los controles institucionales relativos a la operación y misionalidad en el marco de los objetivos del Ministerio.

▪ La entidad dispondrá de los recursos necesarios para adoptar la política. ▪ En caso de materialización del riesgo se deberán tomar las acciones correctivas necesarias. ▪ Se realizarán las actualizaciones necesarias como resultado del monitoreo y revisión establecidos. ▪ Dentro de la etapa de seguimiento y evaluación se contempla el desarrollo de auditorías internas. ▪ El proceso de identificación del riesgo es iterativo y debe estar en permanente revisión y actualización. ▪ Los líderes de procesos pueden realizar reuniones con los miembros de su equipo de trabajo, cuyo propósito sea identificar

riesgos y factores de riesgo para el proceso o la entidad. ▪ Es importante centrarse en los riesgos más significativos para la entidad. ▪ Los riesgos de gestión de procesos se identifican a la totalidad de los procesos del Sistema Integrado de Gestión Institucional. ▪ Las estrategias de divulgación, entrenamiento y/o formación en las temáticas relacionadas a riesgos podrán emplear

mecanismos presenciales y virtuales y estarán sujetas a la disponibilidad de recursos institucionales para tal fin. ▪ Los riesgos de corrupción se identifican para aquellos procesos que en su quehacer resulten con mayor vulnerabilidad a

escenarios de corrupción, teniendo en cuenta que mediante la acción u omisión: a) manipulen información privilegiada, b) concedan autorizaciones, permisos o facultades o c) administren recursos.

▪ Los riesgos de seguridad digital se aplican a los procesos definidos en el alcance del Sistema de Gestión de Seguridad de la Información, teniendo en cuenta la afectación de la confidencialidad, integridad y disponibilidad de los activos de información.






▪ El Formato ASIF09 Ficha integral del Riesgo, realiza los cálculos automáticos en lo relacionado a la calificación del riesgo residual, la solidez del control, la solidez del conjunto de controles y la calificación del riesgo residual.

7. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS INSTITUCIONALES

El Ministerio de Salud y Protección Social, se compromete a controlar los riesgos que puedan impedir el cumplimiento de los objetivos institucionales mediante una efectiva administración de los mismos, contemplando el desarrollo de herramientas y estrategias de gestión que respondan a las necesidades de la entidad, contando con la participación activa de los Líderes de los Procesos del Sistema Integrado de Gestión Institucional y de sus equipos de trabajo.

Líneas de acción para los riesgos de gestión y riesgos de corrupción:

▪ Establecer estrategias eficaces de aseguramiento desde la identificación hasta el tratamiento de los riesgos de mayor impacto para la entidad.

▪ Fortalecer la efectividad de los controles existentes. ▪ Promover mecanismos a nivel de cultura organizacional enfocadas a la adopción del pensamiento basado en riesgos.

Líneas de acción para los riesgos seguridad digital: ▪ Establecer estrategias eficaces de aseguramiento desde la identificación hasta el tratamiento de los riesgos de mayor impacto

para la entidad. ▪ Crear y fortalecer la efectividad de los controles. ▪ Identificar y mantener actualizados los activos de información ▪ Promover el seguimiento a las acciones de los controles existentes para la mitigación del riesgo de seguridad digital. ▪ Promover mecanismos a nivel de cultura organizacional enfocadas a la adopción del pensamiento basado en riesgos.

8. NIVELES DE AUTORIDAD Y RESPONSABILIDAD (LÍNEAS DE DEFENSA)

Las tres líneas de defensa es un esquema referencial para describir las responsabilidades y funciones en la administración del riesgo mediante líneas de actividad que contribuyan a mejorar la comunicación y coordinación entre los diferentes actores involucrados en el desarrollo de las diferentes etapas en la gestión del riesgo.

Tabla 1. Niveles de autoridad y responsabilidad

LÍNEA DE DEFENSA / RESPONSABLE

RESPONSABILIDAD

Estratégica Ministro de Salud y Protección Social, Comité Institucional de Gestión y Desempeño y el Comité Institucional de Control Interno.

▪ Establecer y aprobar la Política de Administración del Riesgo. ▪ Analizar los cambios en el entorno (contexto interno y externo). ▪ Realizar seguimiento y análisis periódico a los riesgos institucionales ▪ Definir el marco general para la gestión de la organización y la gestión del riesgo. ▪ Garantizar el cumplimiento de los planes de la entidad. ▪ Analiza los riesgos y amenazas institucionales frente al cumplimiento de planes

estratégicos. ▪ Toma decisiones con base en los resultados del seguimiento, evaluación a la gestión

efectiva del riesgo. ▪ Garantizar los recursos necesarios para el desarrollo de la gestión de riesgos

Primera línea / Líderes de proceso y equipos de trabajo

▪ Identificar y valorar los riesgos que pueden afectar los procesos a su cargo y actualizarlos cuando se requiera.

▪ Definir, aplicar y hacer seguimiento a los controles para tratar los riesgos identificados. ▪ Informar a la Oficina de Planeación (segunda línea) sobre los riesgos materializados en

los procesos a su cargo y aplicar las acciones de contingencia definidas. ▪ Detectar deficiencias del control y formular e implementar las acciones correctivas

necesarias.







RESPONSABILIDAD

▪ Ejecutar y mejorar los controles establecidos. ▪ Realizar el monitoreo y revisión en los tiempos establecidos. ▪ Realizar la medición y análisis a la gestión efectiva de los riesgos. ▪ Identificar y valorar activos de información

Segunda línea / Oficina Asesora de Planeación y Estudios Sectoriales y servidores responsables de monitoreo y evaluación de controles

▪ Asesorar a la línea estratégica en el análisis del contexto interno y externo, para la definición de la política de riesgo, el establecimiento de los niveles de impacto y el nivel de aceptación del riesgo.

▪ Orientar a la primera línea en el análisis del contexto del proceso. ▪ Consolidar el Mapa de riesgos institucional. ▪ Acompañar, orientar y entrenar a los líderes de procesos en la identificación, análisis y

valoración del riesgo. ▪ Evaluar que los riesgos sean consistentes con la presente política de la entidad y que

sean monitoreados por la primera línea de defensa. ▪ Asegurar el correcto funcionamiento de los controles que se aplican en la primera línea

de defensa ▪ Supervisar en coordinación con los demás responsables de esta segunda línea de

defensa que la primera línea de defensa identifique, evalué y gestione los riesgos y controles para que se generen acciones.

▪ Supervisar la implementación de prácticas de gestión de riesgos eficaces por parte de la primera línea.

▪ Ejercer el control y la gestión de riesgos, las funciones de cumplimiento seguridad, calidad y otras similares.

▪ Apoyar la evaluación, medición y análisis de la gestión efectiva del riesgo desarrollada por los procesos.

Segunda línea / Oficina de Tecnología de la Información y la Comunicación

▪ Acompañar, orientar y entrenar a los líderes de procesos en la identificación, análisis y valoración del riesgo de seguridad digital.

▪ Asegurar el correcto funcionamiento de los controles establecidos. ▪ Ejercer el control y la gestión de riesgos, las funciones de cumplimiento seguridad,

calidad y otras similares. ▪ Apoyar la evaluación, medición y análisis de la gestión efectiva del riesgo de

seguridad de la información desarrollada por los procesos

Tercera Línea / Jefe de Oficina de Control Interno

▪ Proporcionar aseguramiento objetivo sobre la eficacia de la gestión del riesgo y control, con énfasis en el diseño e idoneidad de los controles establecidos en los procesos.

▪ Asesorar de forma coordinada con la Oficina de Planeación, a la primera línea de defensa en la identificación de los riesgos institucionales y diseño de controles.

▪ Llevar a cabo el seguimiento a los riesgos consolidados en los mapas de riesgos y recomendar mejoras a la política de administración del riesgo.

▪ Evaluar el desarrollo de las etapas establecidas para la gestión de los riesgos institucionales.

▪ Realizar seguimiento y evaluación a las acciones de mejora.

Tercera Línea / Jefe de Oficina de Control Interno Disciplinario

▪ Reportar anualmente información sobre sanciones por conductas disciplinarias asociadas a riesgos de corrupción (fuente para revisiones y ajustes del mapa de riesgos de corrupción.)

Grupo de Comunicaciones

▪ Definir e implementar la estrategia de comunicación y consulta de los riesgos institucionales.

▪ Difundir la Política de Administración del Riesgo, mapas de Riesgo y Plan Anticorrupción y de Atención al Ciudadano.

Grupo de Atención al Ciudadano

▪ Liderar la formulación de las acciones asociadas a los riesgos relacionados a los trámites y servicios de la entidad.

▪ Realizar el análisis de los posibles riesgos relacionados a las PQRSD Peticiones, Quejas, Reclamos, Sugerencias y Denuncias recibidas por la entidad.







RESPONSABILIDAD

Servidores públicos

▪ Conocer los riesgos, apropiar y aplicar los controles establecidos para la correcta administración del riesgo.

▪ Generar las alertas tempranas para evitar la materialización de los riesgos.

9. CICLO EN LA GESTIÓN DEL RIESGO

1

IDENTIFICACIÓN (Elaborar Análisis de contexto)

Responsable: Líder del proceso. Periodicidad: Por vigencia

ANÁLISIS (Determinar Enfoque, categoría, evento, clase, agente generador, causas y consecuencias)

Responsable: Líder del proceso Periodicidad: Por vigencia.

EVALUACIÓN Y VALORACIÓN

(Determinar Probabilidad e

Impacto, determinación de riesgo inherente y

riesgo residual) Responsable: Líder del proceso

Periodicidad: Por vigencia.

TRATAMIENTO Establecer opciones de tratamiento y formulación de

acciones: Responsable: Líder del proceso

Periodicidad: Por

vigencia.

2

REVISIÓN Y APROBACIÓN

Responsable: Líder del proceso


COMUNICACIÓN Y CONSULTA Responsable: Líder del proceso


INFORMACIÓN, COMUNICACIÓN Y REPORTE Responsable: Líder del proceso y Oficina de Planeación Periodicidad: Por vigencia y cuando surtan actualizaciones.

3

MONITOREO Y REVISIÓN Responsable: Líder del proceso y Oficina de Planeación

Periodicidad: Al menos dos veces al año. Revisión de planes de tratamiento: Trimestral.

SEGUIMIENTO Y EVALUACIÓN Responsable: Oficina Control Interno y Oficina Control Interno Disciplinario Periodicidad: Para riesgos de corrupción: Según cronograma establecido por ley. (Cuatrimestral). Para riesgos de seguridad digital y de

proceso: Según cronograma establecido.






Gráfico 1. Ciclo Gestión del Riesgo

9.1Análisis de Contexto

Los riesgos son inherentes a las diferentes acciones que emprenden las organizaciones en el cumplimiento de su misión, por ende, es de suma importancia generar un adecuado tratamiento que favorezca el desarrollo y el crecimiento de las entidades, garantizando el cumplimiento de los objetivos trazados. Con el fin de dar un adecuado tratamiento a los riesgos, es necesario determinar el entorno y ambiente organizacional que los genera para identificarlos, valorarlos y definir los planes de mejoramiento y de contingencia respectivos.

9.1.1 Contexto Estratégico

Son las condiciones internas y del entorno, que pueden generar eventos, originando oportunidades o afectando negativamente el cumplimiento de la misión y los objetivos de una institución. Para esto se aplica una herramienta de análisis generalmente aceptada, denominada matriz DOFA o FODA, realizando un análisis del entorno y el ambiente organizacional, identificando dos categorías: a) factores externos (amenazas y oportunidades), siendo las primeras, las situaciones que pueden atentar contra un desempeño eficiente y las oportunidades, aquellas condiciones que pueden contribuir al logro de los resultados institucionales, b) factores internos (debilidades y fortalezas), siendo las primeras, las falencias institucionales que le obstaculizan o imposibilitan el desempeño eficiente, eficaz y efectivo, y las segundas las potencialidades con que cuenta la organización para su desarrollo. Las situaciones pueden ser:

FACTORES EXTERNOS FACTORES INTERNOS

Oportunidades Amenazas Fortalezas Debilidades

• Políticos

• Económicos

• Financieros

• Sociales y Culturales

• Tecnológicos

• Ambientales

• Legales y Reglamentarios

• Capacidad del Talento Humano

• Capacidad Tecnológica

• Capacidad Financiera

• Capacidad Operativa

• Capacidad Directiva

• Estructura Organizacional

• Atención al Ciudadano

• Cultura Organizacional

Tabla 2. Factores que inciden en la matriz DOFA.

4

MEDICIÓN Y ANÁLISIS DE KRI´S (Indicadores de la gestión efectiva del riesgo)

Responsable: Líder del proceso y Oficina de Planeación Periodicidad: Por vigencia

TOMA DE DECISIONES, AJUSTES O MEJORAS A INCORPORAR Responsable: Líder del proceso Periodicidad: Por vigencia






Nota 1: El Contexto Estratégico se debe revisar por lo menos una vez al año, con el propósito de identificar posibles factores que permitan conocer la exposición a nuevos riesgos. Nota 2: El Contexto Estratégico puede definirse a través de reuniones estratégicas y/o de planificación estratégica.

Las oportunidades enfocadas a la gestión del riesgo en contexto positivo sólo se abordarán en el nivel estratégico, sin embargo, los procesos podrán establecer acciones para su gestión de manera voluntaria.

9.1.2 Contexto de proceso Se determinan las características o aspectos esenciales del ambiente en el cual la organización busca alcanzar sus objetivos a nivel de proceso, contempla los factores citados en la Tabla 1 y se consideran otros factores como:

- Gobierno, funciones y responsabilidades

- Políticas, objetivos y estrategias implementadas para lograrlos - Sistemas de información, flujos de información y procesos para la toma de decisiones (tanto formales como informales) - Relaciones con las partes involucradas internas y sus percepciones y valores - Recursos y conocimientos - Normas, directrices y modelos adoptados por la organización; forma y extensión de las relaciones contractuales. Como parte del análisis de contexto se deben revisar los siguientes elementos relacionados a la gestión del proceso:

✓ Diseño del proceso: claridad en la descripción del alcance y objetivo del proceso. ✓ Interacciones con otros procesos: relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios

o clientes. ✓ Transversalidad: procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad. ✓ Procedimientos asociados: pertinencia en los procedimientos que desarrollan los procesos. ✓ Responsables del proceso: grado de autoridad y responsabilidad de los funcionarios frente al proceso. ✓ Comunicación entre los procesos: efectividad en los flujos de información determinados en la interacción de los procesos. ✓ Activos de seguridad de la información: información, aplicaciones, hardware entre otros, que se deben proteger para garantizar

el funcionamiento interno de cada proceso, como de cara al ciudadano.

También se aplica la matriz DOFA o FODA, realizando un análisis del entorno y el ambiente organizacional, identificando dos categorías: a) factores externos (amenazas y oportunidades), siendo las primeras, las situaciones que pueden atentar contra un desempeño eficiente y las oportunidades, aquellas condiciones que pueden contribuir al logro de los resultados institucionales, b) factores internos (debilidades y fortalezas). Posterior a la consolidación de los resultados obtenidos en las debilidades y amenazas se deben priorizar de manera objetiva aquellas que podrían generar un mayor impacto en el cumplimiento del objetivo del proceso.

9.2 Identificación de riesgos

Riesgos de Gestión:

Los resultados del análisis de contexto se toman como referentes para identificar las causas de los eventos que pueden afectar el logro de los objetivos organizacionales. Se realiza la descripción de los riesgos y sus posibles consecuencias, permitiendo conocer los eventos que impiden la adecuada gestión de la entidad o pueden generar prácticas de corrupción. La identificación del riesgo se lleva a cabo determinando las causas con base en el contexto interno, externo y del proceso que pueden afectar el logro de los objetivos. Algunas causas externas no controlables por la entidad se podrán evidenciar en el análisis del contexto externo, para ser tenidas en cuenta en el análisis y valoración del riesgo.






A partir de este contexto se identifica el riesgo, el cual estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estratégicos.

Cierre de la gestión del riesgo de la vigencia anterior Previo al ejercicio de identificación, el proceso debe realizar el cierre de la gestión del riesgo de la vigencia anterior, con el fin de determinar: a. si el riesgo(s) se mantiene y/o requiere actualizarse o simplemente ya se encuentra bajo control como resultado de las acciones de mejora realizadas, si se generaron nuevos escenarios de riesgo o si el riesgo se ha materializado. b. Si los controles se implementaron de manera satisfactoria o requieren actualización. c. Si los planes de tratamiento establecidos se ejecutaron de manera satisfactoria. El proceso deberá generar evidencia de los resultados de dicha revisión para el cierre y actualización de los riesgos, ejemplo: Acta.

Priorización de escenarios de riesgos de gestión El proceso deberá realizar el siguiente análisis previo con el fin de priorizar los posibles escenarios de riesgos de gestión de mayor impacto en el marco de: El cumplimiento de sus objetivos, conformidad de los productos y servicios, la satisfacción de sus usuarios y/o los factores externos. a. Alcance a nivel de proceso: Objetivo del proceso: En el marco de la eficacia, eficiencia y/o efectividad. Calidad en los productos/ servicios relacionados: Cumplimiento de los atributos y/o requisitos de calidad establecidos para los productos y/o servicios, Satisfacción del usuario Atención de las necesidades y expectativas de los usuarios Factores externos Políticos Sociales Culturales

RIESGO: ENFOQUE:

COMPONENTE ACTIVIDADRESPUESTA

SI / NOJUSTIFICACIÓN

EL RIESGO SE…

MANTIENE

ACTUALIZA

INCLUYEN NUEVOS RIESGOS

MATERIALIZÓ

ACCIONES ( PLANES DE TRATAMIENTO) SE…EJECUTARON DE MANERA

SATISFACTORIA

LOS CONTROLES SE…

IMPLEMENTARON DE MANERA

SATISFACTORIA

MANTIENEN

EVALUARON

REQUIEREN ACTUALIZARLOS

PROCESO: VIGENCIA:

ACCIONES DE MEJORA COMO RESULTADOS DE

AUDITORIAS O EVALUACIÓN DE CONTROL

INTERNO SE…

FORMULARON






Económicos Ambientales Los evaluados con mayor priorización sobre el cumplimiento del objetivo del proceso, serán asociados a los riesgos identificados junto con la debilidad relacionada del contexto estratégico o del contexto del proceso.

Redacción del riesgo

Las preguntas claves para la identificación del riesgo permiten determinar:

¿QUÉ PUEDE SUCEDER? Identificar la afectación del cumplimiento del objetivo estratégico o del proceso según sea el caso.

¿CÓMO PUEDE SUCEDER? Establecer las causas a partir de los factores determinados en el contexto.

¿CUÁNDO PUEDE SUCEDER? Determinar de acuerdo con el desarrollo del proceso.

¿QUÉ CONSECUENCIAS TENDRÍA SU MATERIALIZACIÓN? Determinar los posibles efectos por la materialización del riesgo.

También se puede orientar su redacción tomado de referencia: DEBIDO A RIESGO LO QUE PODRÍA GENERAR (Causas) (Puede ocurrir que) (Efectos o consecuencias)

Riesgos de Corrupción:

Es la posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado. Es necesario que en la descripción del riesgo concurran los componentes de su definición, así:

Acción u omisión + uso del poder +desviación de la gestión de lo público+ el beneficio del privado

Riesgos de Seguridad Digital:

Para la identificación de los riesgos de Seguridad Digital, el proceso debe realizar inicialmente la Identificación de Activos acorde con los lineamientos establecidos en la Guía ASIG03 Levantamiento y valoración de Activos de Seguridad Digital. Atendiendo cada uno de los pasos se diligencia el Formato de Ficha Integral del Riesgo ASIF09.

Justificación relacionada

(Cumplimiento de metas, PQRS, resultados de

auditorias internas, hallazgos de entes de

control, control de servicio no conforme,

resultados de satisfacción del usuario,

reprocesos, otro)

PRIORIZACIÓN DE ESCENARIOS DE RIESGOS

VIGENCIA:PROCESO:TIPO DE

RIESGO:

Criterio de priorización de escenario de riesgosNivel de priorización ( 1 a 5) siendo 5

el de mayor impacto Debilidad relacionada

OBJETIVO DEL PROCESO ( Eficacia, eficiencia

y/o efectividad)






Ilustración 1. Ciclo de la identificación de riesgos

9.2.1 Asociación del Proceso

Se identifica el proceso frente al cual se está documentando el riesgo.

9.2.2 Objetivo del Proceso

Se indica el propósito del proceso asociado al riesgo, teniendo como referencia la ficha de caracterización del proceso.

9.2.3 Identificación del Responsable del Riesgo

Se indica(n) el(los) cargo(s) responsable(s) de gestionar cada uno de los riesgos identificados, que corresponde al Líder del Proceso o Procedimiento asociado.

9.2.4 Fecha de Aprobación del Riesgo

Corresponda al día-mes-año en que se recibe el correo de aprobación a la ficha del riesgo, por parte del responsable de gestionarlo.

9.2.5 Enfoque del Riesgo

Se selecciona la temática a la cual estará asociada el riesgo identificado, según corresponda: a) Corrupción, b) Estratégico, c) Gestión d) Seguridad digital u e) Oportunidad.

9.2.6 Nombre del Riesgo

Corresponde a la unión entre una categoría seguida por una preposición y el evento que corresponde. Se puede realizar en el ejercicio de una lluvia de ideas con los colaboradores del proceso o procedimiento, teniendo en cuenta la categoría, la preposición y el evento asociado.






9.2.7 Identificación de las Categorías

Las categorías están preestablecidas, el(los) responsable(s) de documentar el riesgo debe(n) tomar la opción más consistente según el análisis previo, garantizando que la categoría identificada sea la que guarda mayor relación con el riesgo a caracterizar. Nota: A una categoría se le puede identificar más de un riesgo asociado.

• Frente a riesgos de gestión de procesos, las categorías establecidas son: Categorías (riesgo de gestión)

✓ [Eficacia] Inadecuado suministro/entrega de Productos y/o servicios ✓ [Eficacia] Incumplimiento de los objetivos establecidos ✓ [Eficacia] Inadecuada planificación ✓ [Eficacia] Inadecuada implementación de políticas, normas, estándares, planes y/o programas ✓ [Eficacia] Inoportuna atención de necesidades o requerimientos ✓ [Eficiencia] Inadecuada asignación y/o ejecución de los recursos ✓ [Eficiencia] Inadecuado seguimiento a la asignación y/o ejecución de los recursos ✓ [Eficiencia] Inoportuno seguimiento a la gestión ✓ [Eficiencia] Inadecuado seguimiento a la gestión ✓ [Efectividad] Incumplimiento en la entrega de los resultados e impacto previstos ✓ Daño de activos ✓ Decisiones erróneas ✓ Incumplimiento de compromisos ✓ Incumplimiento legal ✓ Inexactitud

Categorías (riesgo de corrupción)

✓ Decisiones ajustadas a intereses propios o de terceros ✓ Desvío de recursos físicos o económicos ✓ Exceso en las facultades otorgadas

Realización de cobros indebidos ✓ Tráfico de influencias ✓ Uso indebido de la información privilegiada

Categorías (riesgo de seguridad digital)

✓ Modificación o eliminación no autorizada de información ✓ Interrupción en la prestación del servicio ✓ Revelación no autorizada de Información ✓ Pérdida de Integridad de la Información ✓ Pérdida de Confidencialidad de la Información ✓ Indisponibilidad de la Información ✓ Daño o pérdida de Activos de Información

Categorías para las Oportunidades

✓ Preservación de activos ✓ Decisiones acertadas ✓ Cumplimiento de compromisos ✓ Cumplimiento legal ✓ Exactitud






9.2.8 Preposición de la Categoría

Es el conector entre la categoría y el evento identificado. Se recomienda utilizar las siguientes: ➢ Daño de activos: al, de, durante, en, para, sobre. ➢ Decisiones erróneas: al durante, el, para, sobre. ➢ Incumplimiento de compromisos: al, ante, con, durante, en, hacia. ➢ Incumplimiento legal: al, ante, con, durante, en. ➢ Inexactitud: al, con, de, durante, en, para, sobre. ➢ Decisiones ajustadas a intereses propios o de terceros: al, durante, en, hacia, para. ➢ Desvío de recursos físicos o económicos: al, durante, en, con, hacia, para. ➢ Exceso en las facultades otorgadas: al, ante, con, durante, en, hacia, sobre, para. ➢ Realización de cobros indebidos: al, ante, con, durante, en, para. ➢ Tráfico de influencias (amiguismo, persona influyente): al, ante, durante, hacia, sobre, para. ➢ Uso indebido de información privilegiada: al, durante, en, hacia, para. ➢ Modificación o eliminación no autorizada de información: al, durante, en, sobre. ➢ Interrupción en la prestación del servicio: al, durante, en. ➢ Revelación no autorizada de información: al, ante, durante, para. ➢ Pérdida de Integridad de la Información: al, ante, durante, en, sobre, para. ➢ Pérdida de Confidencialidad de la Información: al, ante, durante. ➢ Indisponibilidad de la Información: al, ante, durante, sobre. ➢ Daño o pérdida de activos de Información: al, en, durante, para. Nota: Se debe evitar el uso de la preposición “por” ya que se asimila al evento con una causa.

9.2.9 Evento relacionado con el Riesgo

Es el hecho o circunstancia donde se podría establecer la afectación, que guarda relación directa con la actividad a controlar que se está analizando. Para ello se tiene en cuenta la categoría escogida. Nota: la actividad que se analiza debe ser esencial para la ejecución del proceso, y por ende la materialización de un riesgo afectaría el objetivo del proceso y el alcance del Sistema Integrado de Gestión Institucional.

9.2.10 Definición del nombre del Riesgo

El nombre se define mediante la unión entre la categoría, la preposición y el evento determinado. Nota: las actividades a controlar pueden tener más de un riesgo asociado. Ejemplo:

• Riesgos de gestión de procesos:

Tabla 3. Ejemplos del nombre del riesgo con enfoque de gestión por procesos

CATEGORÍA PREPOSICIÓN EVENTO RIESGO

Daño de activos Durante Ejecución del mantenimiento Daño de activos durante la

ejecución del mantenimiento

Decisiones erróneas

En Planificación del Sistema

Integrado de Gestión Institucional

Decisiones erróneas en la planificación del Sistema

Integrado de Gestión Institucional







Incumplimiento de compromisos

Para Realización de actividades de asesoría y gestión preventiva

disciplinaria

Incumplimiento de compromisos para la

realización de actividades de asesoría y gestión preventiva

disciplinaria

Incumplimiento legal

En Atención oportuna de una

petición

Incumplimiento legal en la atención oportuna de una

petición

Inexactitud Durante

Generación de los reportes de información de las deudas entre los actores del Sistema General de Seguridad Social en Salud

Inexactitud durante la generación de los reportes de

información de las deudas entre los actores del Sistema General de Seguridad Social

en Salud

.

• Riesgos de corrupción:

Tabla 4. Ejemplos del nombre del riesgo con enfoque de corrupción.


Decisiones ajustadas a

intereses propios o de terceros

Durante Regulación de precios de

medicamentos

Decisiones ajustadas a intereses propios o de terceros

durante la regulación de precios de medicamentos

Desvío de recursos físicos o

económicos Durante

Generación de los archivos planos de bancos por el sistema

de nómina y sus documentos soporte

Desvío de recursos físicos o económicos durante la

generación de los archivos planos de bancos por el sistema de nómina y sus

documentos soporte

Realización de cobros indebidos

Para Expedición de la licencia de fabricación de derivados de

Cannabis

Realización de cobros indebidos para la expedición de

la licencia de fabricación de derivados de Cannabis

Tráfico de influencias

Durante Realización del proceso

disciplinario

Tráfico de influencias durante la realización del proceso

disciplinario

Uso indebido de información privilegiada

Durante Planeación, selección,

verificación y suscripción contractual

Uso indebido de información privilegiada durante la planeación, selección,

verificación y suscripción contractual

• Riesgos de seguridad digital: Identificación y caracterización del activo de información






Este aspecto aplica para la identificación de riesgos de Seguridad digital y debe acogerse a los lineamientos dados en la Guía ASIG03 - Identificación y caracterización de activos de seguridad digital.

Tabla 5. Ejemplos del nombre del riesgo con enfoque de seguridad digital.


Modificación o eliminación no autorizada de información

Durante Migración de una base de datos que no contaba con controles de

validación

Modificación o eliminación no autorizada de información

durante la migración de una base de datos que no contaba

con controles de validación

Interrupción en la prestación del

servicio Durante

Actualización de parches de seguridad

Interrupción en la prestación del servicio durante la

actualización de parches de seguridad

Revelación no autorizada de Información

Ante Un tercero no autorizado que

tuvo acceso a información confidencial

Revelación no autorizada de información ante un tercero no autorizado que tuvo acceso a

información confidencial

Pérdida de Integridad de la

Información Ante

Un cambio que no pueda ser actualizado en la base de datos

Pérdida de integridad de la información ante un cambio

que no pueda ser actualizado en la base de datos.

9.2.11 Explicación del Riesgo

Se realiza una breve ilustración de las características generales que se observan en el riesgo identificado, facilitando su comprensión.

9.2.12 Asociación de la Clase de Riesgo

Las clases de riesgo están preestablecidas. Se debe identificar la que guarde mayor relación con el riesgo:

• Riesgos estratégicos: se asocian con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la definición de políticas, el diseño y la conceptualización de la entidad por parte de la alta gerencia.

• Riesgos de imagen: están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

• Riesgos operativos: comprenden los riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias.

• Riesgos financieros: se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, los manejos de excedentes de tesorería y el manejo sobre los bienes.

• Riesgos de cumplimiento: se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

• Riesgos de corrupción: se asocian a la posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.

• Riesgo de seguridad digital: están directamente relacionados a la posibilidad de la combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad






territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.

• Riesgos de tecnología: están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

9.2.13 Causas de Riesgo

Son las circunstancias generales, elementos o causas de carácter endógeno a la entidad o exógeno, que pueden obstaculizar el cumplimiento de su misión, visión y objetivos, o generar prácticas corruptas. Son internas atribuidas a personas, métodos, equipos, materiales e instalaciones, directamente involucradas en el proceso o procedimiento, o externas cuando provienen del entorno en el que se desarrolla.

Tabla 6. Posibles causas (factores de riesgo).

TIPO DE CAUSA AGENTE GENERADOR EXPLICACIÓN DE AGENTE GENERADOR

Interna Personal

• Capacidad del personal.

• Salud.

• Seguridad.

• Comportamiento del servidor público frente a la interpretación que genera.

• Modificar o extinguir derechos u obligaciones del servidor público.

• Incumplimiento en la disponibilidad del personal.

Interna Procesos

• Capacidad.

• Diseño.

• Ejecución.

• Proveedores.

• Entradas.

• Salidas.

• Conocimiento.

• Manejo documental.

Interna Tecnología

• Integridad de datos.

• Disponibilidad de datos y sistemas.

• Desarrollo.

• Producción.

• Mantenimiento.

• Canales de comunicación.

• Información pública.

• Saturación del sistema de información.

• Mal funcionamiento del software.

Interna Infraestructura

• Disponibilidad de activos.

• Capacidad de los activos.

• Acceso al capital.






TIPO DE CAUSA AGENTE GENERADOR EXPLICACIÓN DE AGENTE GENERADOR

Externa Económicos

• Disponibilidad de capital.

• Emisión de deuda o no pago de la misma.

• Liquidez.

• Mercados financieros.

• Desempleo.

• Competencia.

Externa Medioambientales

• Emisiones y residuos.

• Energía.

• Catástrofes naturales.

• Desarrollo sostenible.

• Fuego.

• Contaminación.

Externa Políticos

• Cambios de gobierno.

• Legislación.

• Políticas públicas.

• Regulación.

Externa Sociales

• Demografía.

• Responsabilidad social.

• Terrorismo.

• Piratas informáticos.

• Espionaje.

externa Tecnológicos

• Interrupciones.

• Comercio.

• Desarrollo.

• Producción.

• Mantenimiento electrónico.

• Datos externos.

• Tecnología emergente.

9.2.14 Consecuencias (Efectos de Riesgo)

Son los efectos asociados a la posible materialización del riesgo, que inciden sobre los objetivos, los procesos, la entidad o país. Entre ellas encontramos: ➢ Pérdidas económicas: representadas en multas, detrimento del patrimonio, sobre costos e inactividad, entre otras. ➢ Perjuicio de la imagen: constituido por la pérdida de credibilidad, transparencia, confianza en el cumplimiento de la misión y tareas

encomendadas; probidad en las instituciones del estado. ➢ Sanciones legales: constituidas por las sanciones que debe pagar la Entidad e investigaciones. ➢ Otras: asociadas a pérdidas de información, pérdida de bienes, interrupción del servicio, daño ambiental, afectación de los recursos

públicos o las demás que se consideren convenientes. A cada una de las causas identificadas se les define la (las) posible(s) consecuencia(s) de la materialización del riesgo, utilizando la técnica de metalenguaje.






10. ANÁLISIS DEL RIESGO

Esta etapa busca establecer la probabilidad de ocurrencia e impacto de la materialización de los riesgos, en un escenario donde todos los riesgos son inherentes con el fin de estimar la zona de riesgo inicial (RIESGO INHERENTE). El análisis depende de la información obtenida en la identificación de riesgos, y de la disponibilidad de datos históricos y aportes de los servidores públicos. Se deben tomar de referencia las tablas de las escalas de probabilidad e impacto establecidas para los riesgos de gestión, de corrupción y de seguridad digital de forma independiente. Para riesgos de gestión de procesos o seguridad digital se utiliza una matriz de valoración de 5 filas por 5 columnas, mientras que para riesgos de corrupción la correspondiente a 5 filas por 3 columnas. Para el desarrollo de esta etapa se diligencia el Formato de Ficha Integral del Riesgo ASIF09, en su aparte de “Análisis del riesgo”.

Ilustración 2. Análisis de riesgos antes de controles en el Formato de Ficha Integral del Riesgo ASIF09 (enfoque de gestión de procesos y seguridad digital).

Ilustración 3. Análisis de riesgos antes de controles en el Formato de Ficha Integral del Riesgo ASIF09 (enfoque de corrupción).






10.1 Probabilidad de ocurrencia

Se mide en términos de posibilidad de ocurrencia del riesgo. Esta puede ser determinada con criterios de factibilidad -teniendo en cuenta los factores internos y externos que podrían propiciar el riesgo, aunque este no se hubiera materializado-, o de frecuencia -si el riesgo se ha materializado o no en un tiempo determinado-. Se diligencia el Formato de Ficha Integral del Riesgo ASIF09, en su aparte de “Análisis del riesgo”, asociando las siguientes escalas según corresponda1: Bajo el criterio de FACTIBILIDAD se analiza la presencia de factores internos y externos que pueden propiciar el riesgo, se trata en este caso de un hecho que no se ha presentado, pero es posible que se dé. Bajo el criterio de FRECUENCIA se analizan el número de eventos en un periodo determinado, se trata de hechos que se han materializado o se cuenta con un historial de situaciones o eventos asociados al riesgo.

• Factibilidad

Tabla 7. Escalas de probabilidad de ocurrencia (factibilidad).

• Frecuencia

Tabla 8. Escalas de probabilidad de ocurrencia (frecuencia).

NIVEL ESCALAS FRECUENCIA

5 CASI SEGURO Más de una vez al año.

4 PROBABLE Una vez en el último año.

3 POSIBLE Una vez en los últimos 2 años.

2 IMPROBABLE Una vez en los últimos 5 años.

1 RARA VEZ Nunca o no se ha presentado en los últimos 5 años.

Nota: la probabilidad hace referencia a la oportunidad de que algo suceda. Medida o determinada por datos y hechos históricos, o bajo criterio de experiencia o experticia de quien la realiza.

10.2 Impacto de materialización (enfoque de corrupción)

En riesgos de corrupción se diligencia el siguiente cuestionario definido por la Guía para la Gestión del Riesgos de Corrupción de la Presidencia de la República2, al que se accede desde el Formato ASIF09 Ficha Integral del Riesgo, en su aparte de “Análisis del riesgo”.

1Adaptación de la Guía para la Administración del Riesgo. Departamento Administrativo de la Función Pública. Bogotá, 2018. 2Secretaría de Transparencia de Presidencia de la República. Guía para la Gestión del Riesgo de Corrupción. Bogotá, 2015.

NIVEL ESCALAS FACTIBILIDAD APLICACIÓN

1 RARA VEZ Excepcionalmente ocurriría. Nada común o frecuente, escaso.

2 IMPROBABLE Alguna vez podría ocurrir. Difícil o poco probable que ocurra.

3 POSIBLE Existe una posibilidad media que

suceda. Existe la posibilidad de ocurrencia.

4 PROBABLE Existe una alta posibilidad que suceda. Muy probable que ocurra.

5 CASI SEGURO Es seguro que suceda. Es muy seguro que se presente.






Ilustración 4. Encuesta para determinar el impacto en riesgos de corrupción.

N.°

PREGUNTA: SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA PODRÍA...

RESPUESTA

SÍ NO

1 ¿Afectar al grupo de funcionarios del proceso? X

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X

3 ¿Afectar el cumplimiento de misión de la entidad? X

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad?

X

5 ¿Generar pérdida de confianza de la entidad, afectando su reputación? X

6 ¿Generar pérdida de recursos económicos? X

7 ¿Afectar la generación de los productos o la prestación de servicios? X

8

¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien, servicios o

recursos públicos?

X

9 ¿Generar pérdida de información de la entidad?

X

10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente? X

11 ¿Dar lugar a procesos sancionatorios? X

12 ¿Dar lugar a procesos disciplinarios? X

13 ¿Dar lugar a procesos fiscales? X

14 ¿Dar lugar a procesos penales?

X

15 ¿Generar pérdida de credibilidad del sector?

X

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

X

17 ¿Afectar la imagen regional?

X

18 ¿Afectar la imagen nacional?

X

19 ¿Generar daño ambiental

X

El impacto en riesgos de corrupción se obtiene de acuerdo con las respuestas obtenidas, cuya escala es la siguiente:

Tabla 9. Escala de impacto con enfoque de corrupción NIVEL ESCALA DESCRIPCIÓN RESPUESTAS AFIRMATIVAS

1 MODERADO Genera medianas consecuencias sobre la entidad. 1 a 5

2 MAYOR Genera altas consecuencias sobre la entidad. 6 a 11

3 CATASTRÓFICO Genera consecuencias desastrosas para la entidad. 12 a 19






10.3 Impacto de materialización (enfoque de gestión de procesos)

Por IMPACTO se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo. Para evaluar el impacto se utilizan las siguientes escalas en riesgos de gestión de procesos:

Tabla 10. Escala de impacto con enfoque de gestión de procesos.

NIVEL ESCALA DESCRIPCIÓN

1 INSIGNIFICANTE Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.

2 MENOR Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.

3 MODERADO Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.

4 MAYOR Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad

5 CATASTRÓFICO Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.

Para determinar el impacto cuantitativo y cualitativo se utiliza la siguiente tabla, donde se selecciona el tema que tendría mayor afectación con la materialización del riesgo identificado, y escoge la consecuencia potencial que tendría. A dicha tabla se accede desde el Formato ASIF09 Ficha Integral del Riesgo, en su aparte de “Análisis del riesgo”.

Tabla 11.Calificación del Impacto cuantitativo CALIFICACIÓN DEL IMPACTO CUANTITATIVO

- Impacto que afecte la ejecución presupuestal en un valor ≥0,5% y <1% y/o - Pérdida de cobertura en la prestación de los servicios de la entidad ≥1% y <5% y/o - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥0,5% y <1% y/o - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥0,5% y <1% del presupuesto general de la entidad.

-Impacto que afecte la ejecución presupuestal en un valor ≥1% y <5% y/o - Pérdida de cobertura en la prestación de los servicios de la entidad ≥5% y <10% y/o - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥1% y <5% y/o - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥1% y <5% del presupuesto general de la entidad.

-Impacto que afecte la ejecución presupuestal en un valor ≥5% y <20% y/o - Pérdida de cobertura en la prestación de los servicios de la entidad ≥10% y <20% y/o - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥5% y <20% y/o - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥5% y <20% del presupuesto general de la entidad.

- Impacto que afecte la ejecución presupuestal en un valor ≥20% y <50% y/o - Pérdida de cobertura en la prestación de los servicios de la entidad ≥20% y <50% y/o - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20% y <50% y/o - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥20% y <50% del presupuesto general de la entidad.

-Impacto que afecte la ejecución presupuestal en un valor ≥50% y/o - Pérdida de cobertura en la prestación de los servicios de la entidad ≥50% y/o - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50% y/o - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

Tabla 12.Calificación del Impacto cuantitativo






CALIFICACIÓN DEL IMPACTO CUALITATIVO

-No hay interrupción de las operaciones de la entidad y/o - No se generan sanciones económicas o administrativas y/o - No se afecta la imagen institucional de forma significativa.

-Interrupción de las operaciones de la Entidad por algunas horas y/o - Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias y/o - Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

-Interrupción de las operaciones de la Entidad por un (1) día y/o - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad y/o - Inoportunidad en la información ocasionando retrasos en la atención a los usuarios y/o - Reproceso de actividades y aumento de carga operativa y/o - Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos y/o - Investigaciones penales, fiscales o disciplinarias.

-Interrupción de las operaciones de la Entidad por más de dos (2) días y/o - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta y/o - Sanción por parte del ente de control u otro ente regulador y/o - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno y/o - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

-Interrupción de las operaciones de la Entidad por más de cinco (5) días y/o - Intervención por parte de un ente de control u otro ente regulador y/o - Pérdida de Información crítica para la entidad que no se puede recuperar y/o - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal y/o - Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

10.4 Impacto de materialización (enfoque de seguridad digital)

En riesgos de seguridad digital, el impacto se evalúa de acuerdo con la criticidad de(los) activo(s) de información del proceso que se pueden ver afectados por la materialización del riesgo. Para tal efecto, se señalan dichos activos en el documento consolidado institucional que se encuentra diligenciado en el Formato ASIF17 Inventario de Activos de Seguridad Digital –ver Guía ASIG03 para el Levantamiento y Valoración de Activos de Seguridad Digital -, al cual se accede desde el Formato ASIF09 Ficha Integral del Riesgo, en su aparte de “Análisis del riesgo”. El impacto resultante se obtiene a través del promedio del valor de la criticidad de los activos de información señalados, que de acuerdo con el resultado ubica la escala de impacto del riesgo de acuerdo con la siguiente tabla:

Tabla 13. Escala de impacto para el enfoque de Riesgos de Seguridad Digital

NIVEL ESCALA DESCRIPCIÓN VALOR PROMEDIO DE LA

CRITICIDAD DE LOS ACTIVOS

1 INSIGNIFICANTE Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.

3

2 MENOR Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.

Mayor a 3 y hasta 4

3 MODERADO Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.

Mayor a 4 y hasta 6

4 MAYOR Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad

Mayor a 6 y hasta 8

5 CATASTRÓFICO Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.

Mayor a 8 y hasta 9

Ilustración 11. Análisis de riesgos antes de controles en el Formato de Ficha Integral del Riesgo ASIF09 (acceso al inventario de activos de seguridad de la información).






Los posibles activos se señalan en el cuadro adherido al formato diligenciado ASIF17 Inventario de Activos de Seguridad Digital, según el riesgo que se está caracterizando.

Ilustración 11. Identificación y valoración de activos de información en el formato ASIF17 Inventario de Activos de Seguridad Digital

Ilustración 12. Identificación de los posibles activos afectados según el riesgo de seguridad digital en el formato ASIF17 Inventario de Activos de Seguridad Digital (acceso desde el Formato de Ficha Integral del Riesgo ASIF09).

10.5 Gestión de las Oportunidades

Cuando se determine abordar las oportunidades se deberá contemplar la siguiente escala de valoración, empleando la misma escala de frecuencia y factibilidad señaladas anteriormente.

Leve favorable

Poco favorable






Moderada

Favorable

Ilustración 13. Escala de valoración para las oportunidades

Para determinar el nivel de impacto se empleará de referencia la siguiente tabla:

Tabla 14. Calificación de Impacto cuantitativo para Oportunidades

Oportunidad Calificación Impacto cuantitativo

- Impacto que favorece la ejecución presupuestal en un valor ≥0,5% y <1% y/o - Aumento de cobertura en la prestación de los servicios de la entidad ≥1% y <5% y/o - Ahorro en indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥0,5% y <1% y/o - Ahorro en sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥0,5% y <1% del presupuesto general de la entidad.

Impacto que favorece la ejecución presupuestal en un valor ≥1% y <5% y/o - Aumento de cobertura en la prestación de los servicios de la entidad ≥5% y <10% y/o - Ahorro en indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥1% y <5% y/o - Ahorro en sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥1% y <5% del presupuesto general de la entidad.



'- Impacto que favorece la ejecución presupuestal en un valor ≥50% y/o - Aumento cobertura en la prestación de los servicios de la entidad ≥50% y/o - Ahorro en indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50% y/o - Ahorro en sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

Tabla 15. Calificación de Impacto cualitativo para Oportunidades

Oportunidad Calificación Impacto cualitativo

Interrupción de las operaciones de la entidad y/o - No se generan sanciones económicas o administrativas y/o - No se afecta la imagen institucional de forma significativa.

'- No hay interrupción de las operaciones de la Entidad por algunas horas y/o - Ausencia de reclamaciones o quejas de los usuarios implican inexistencia de investigaciones internas disciplinarias y/o






Oportunidad Calificación Impacto cualitativo

- Imagen institucional favorecida localmente por agilidad en la prestación del servicio a los usuarios o ciudadanos.

No hay interrupción de las operaciones de la Entidad por un (1) día y/o - Ausencia de reclamaciones o quejas de los usuarios lo que podría retirar denuncias ante los entes reguladores o una demanda de largo alcance para la entidad y/o - Oportunidad en la información ocasionando agilidad en la atención a los usuarios y/o - Actividades realizadas correctamente y disminución de carga operativa y/o - Imagen institucional favorecida en el orden nacional o regional por agilidad en la prestación del servicio a los usuarios o ciudadanos y/o - Ausencia de investigaciones penales, fiscales o disciplinarias.

No hay interrupción de las operaciones de la Entidad por más de dos (2) días y/o - Integridad de la información crítica que puede ser recuperada de forma completa y/o - Ausencia de sanción por parte del ente de control u otro ente regulador y/o - Cumplimiento de las metas y objetivos institucionales favoreciendo la realización de las metas de gobierno y/o - Imagen institucional favorecida en el orden nacional o regional por cumplimientos en la prestación del servicio a los usuarios o ciudadanos.

No hay interrupción de las operaciones de la Entidad por más de cinco (5) días y/o - Ausencia de intervención por parte de un ente de control u otro ente regulador y/o - Integridad de la Información crítica para la entidad, con posibilidad de recuperación y/o - Cumplimiento de las metas y objetivos institucionales favoreciendo la ejecución presupuestal y/o - Imagen institucional favorecida en el orden nacional o regional por ausencia de actos o hechos de corrupción.

Finalmente, se deben establecer acciones orientadas a fortalecer la gestión en el contexto positivo

10.6 Evaluación del Riesgo

Permite comparar los resultados obtenidos en la calificación de la probabilidad e impacto del riesgo, para establecer el grado de exposición de la entidad frente a este; de esta forma es posible ubicar el riesgo en una matriz, que relaciona la zona donde se ubica el riesgo donde encontramos:

Tabla 16. Evaluación del riesgo (zonas) ZONA DE RIESGO COLOR DESCRIPCIÓN

EXTREMA Se requiere una acción inmediata

ALTA Se requiere una pronta atención

MODERADA Se administra con procedimientos normales de control

BAJA Genera menores efectos que pueden ser fácilmente remediados

11. DETERMINACIÓN DE CONTROLES Y VALORACIÓN DE RIESGOS

Esta etapa busca establecer la zona en que se ubicarán los riesgos identificados, después de aplicar los controles y confrontar la probabilidad de ocurrencia e impacto de la materialización de los riesgos obtenida antes de controles. Este resultado determina el riesgo no cubierto por los controles establecidos (residual).






11.1 Determinación y valoración de los controles

Los controles corresponden a herramientas o prácticas que se disponen en la actualidad para reducir la probabilidad de ocurrencia (preventivos) o el impacto (detectivos) que pueda generar la materialización del riesgo, deben establece y redactarse en términos de actividad. El proceso debe inicialmente realizar el inventario de los controles existentes en el proceso teniendo en cuenta los siguientes aspectos:

• Enfoque del control: Preventivo o Detectivo

• Etapa relacionada en la gestión: Planear, Hacer, Evaluar.

• Tipo de control: administrativo, contable, legal, operativo, tecnológico, entre otras opciones.

• Alcance del control : Estratégico, institucional o de proceso.

• Responsable : Cargo asignado para la ejecución del control

• Medio de soporte: norma, política, procedimiento, guía, instructivo, formato. El control de probabilidad hace referencia a actividades como revisar, validar, aprobar, verificar, comparar entre otras. El control de impacto hace referencia a actividades de seguimiento y evaluación

Posterior a su descripción se evalúan determinando el nivel de solidez en los siguientes criterios: Diseño, ejecución y conjunto de controles en los niveles de calificación FUERTE, MODERADO o DÉBIL, con el fin de establecer el número de casillas o cuadrantes a disminuir en probabilidad y/o impacto. En el criterio de diseño se incluye la evaluación de las siguientes variables: Responsable, Periodicidad, Propósito, Realización, Observación y Evidencia, para lo cual se debe aplicar la siguiente tabla:

Tabla 17.Criterios de evaluación del diseño del control CRITERIOS DE EVALUACIÓN DEL DISEÑO DEL CONTROL

Criterio de evaluación Opción de respuesta Peso de la evaluación del

diseño del control

Responsable

Asignación de responsable ¿Existe un responsable asignado a la ejecución del control?

Asignado 15

No asignado 0

Segregación de autoridad y responsable ¿El control se encuentra documentado y formalizado?

Adecuado 15

Inadecuado 0

Frecuencia y Oportunidad

¿El control cuenta con frecuencia de aplicación y criterio de oportunidad para su aplicación?

Oportuna 15

Inoportuna 0

Objetivo ¿Se encuentra establecido el fin de la actividad de control?

Prevenir 15

Detectar 10

No es un control 0

Fuente de información

Cómo se realiza la actividad del control ¿El control tiene definidas las posibles fuentes de información relacionadas?

Confiable 15

No confiable 0

Seguimiento Qué pasa con las observaciones u desviaciones ¿El control cuenta con criterios de seguimiento a su aplicación?

Se investigan y se resuelven

oportunamente 15

No investigan y se resuelven

oportunamente 0

Evidencia Evidencia de la ejecución del control ¿El control cuenta con Soporte de ejecución?

Completa 15

Incompleta 5

No existe 0

De acuerdo a la sumatoria obtenida se determina el rango aplicable:






Tabla 18.Rangos de calificación del diseño del control

RANGO DE CALIFICACIÓN DEL DISEÑO RESULTADO- PESO EN LA EVALUACIÓN DEL DISEÑO DEL

CONTROL

Fuerte Calificación entre 96-100

Moderado Calificación entre 86 y 95

Débil Calificación entre 0 y 85

Posterior, se determina el rango de calificación del criterio de la ejecución, la cual busca determinar la rigurosidad con la que se ejecuta el control en términos de conocimiento e implementación:

Tabla 19.Rangos de evaluación de la calificación de la ejecución del control

RANGO DE LA CALIFICACIÓN DE LA EJECUCIÓN

RESULTADO -PESO DE LA EJECUCIÓN DEL CONTROL

Fuerte El control se ejecuta de manera consistente por parte del responsable.

Moderado El control se ejecuta algunas veces por parte del responsable.

Débil El control no se ejecuta algunas veces por parte del responsable.

Teniendo los resultados de la evaluación de los criterios de diseño y de ejecución del control, se procede a determinar la solidez de cada uno, teniendo en cuenta la descripción de la Tabla 18.

Tabla 20.Criterios para determinar la solidez individual de cada control

PESO DEL DISEÑO DE

CADA CONTROL

PESO DE LA EJECUCIÓN DE CADA CONTROL

SOLIDEZ INDIVIDUAL DE CADA CONTROL FUERTE: 100 MODERADO: 50

DÉBIL: 0

DEBE ESTABLECER

ACCIONES PARA FORTALECER EL

CONTROL SI / NO

fuerte calificación entre 96 y 100*

fuerte(siempre se ejecuta) fuerte+ fuerte = fuerte No

moderado(algunas veces) fuerte + moderado = moderado Si

débil(no se ejecuta) fuerte + débil = débil Si

moderado calificación

entre 86 y 95

fuerte(siempre se ejecuta) moderado+ fuerte = moderado Si

moderado(algunas veces) moderado + moderado = moderado Si

débil(no se ejecuta) moderado + débil = débil Si

Débil calificación entre 0 y 85

fuerte(siempre se ejecuta) débil+ fuerte = débil Si

moderado(algunas veces) débil + moderado = débil Si

débil(no se ejecuta) débil + débil = débil Si

Se promedian los resultados de la solidez de los controles incorporados aplicando los siguientes parámetros:

Tabla 21.Criterios para determinar la solidez del conjunto de controles

CALIFICACIÓN DE LA SOLIDEZ DEL CONJUNTO DE CONTROLES






Fuerte promedio de la solidez individual de cada control al sumarlos y ponderarlos está igual a 100

Moderado promedio de la solidez individual de cada control al sumarlos y ponderarlos está entre 50 y 99

Débil promedio de la solidez individual de cada control al sumarlos y ponderarlos es menor a 50

Para concretar el número de cuadrantes a disminuir en probabilidad y/o impacto se debe ajustar a las siguientes condiciones:

Tabla 22.Criterios para determinar la disminución de probabilidad e impacto

SOLIDEZ DEL CONJUNTO DE

LOS CONROLES

CONTROLES AYUDADN A

DISMINUIR LA PROBABILIDAD

CONTROLES AYUDAN A DISMINUIR IMPACTO

# COLUMNAS EN LA MATRIZ DE RIESGO QUE DESPLAZA EN EL EJE DE

LA PROBABILIDAD

# COLUMNAS EN LA MATRIZ DE RIESGO

QUE DESPLAZA EN EL EJE DE IMPACTO

fuerte directamente directamente 2 2

fuerte directamente indirectamente 2 1

fuerte directamente no disminuye 2 0

fuerte no disminuye directamente 0 2

moderado directamente directamente 1 1

moderado directamente indirectamente 1 0

moderado directamente no disminuye 1 0

moderado no disminuye directamente 0 1

Algunos ejemplos de controles:

• Reuniones de seguimiento periódicas o extraordinarias.

• Cláusula de acuerdos de niveles de servicio.

• Cruces de información.

• Asistencia técnica.

• Chequeos cruzados.

• Placas a los bienes en servicio.

• Sistemas de información y aplicativos.

• Pólizas de cumplimiento y/o cláusula de multas.

• Políticas claras definidas.

• Seguimiento a los planes y cronogramas.

• Indicadores de gestión.

• Tableros de control.

• Evaluación de desempeño.

• Informes de gestión.

• Monitoreo.

• Conciliaciones.

• Consecutivos.

• Verificación de firmas.

• Listas de chequeo.

• Procedimientos formales aplicados.

• Pólizas.

• Seguridad física.






• Contingencias y respaldo.

• Personal capacitado.

• Aseguramiento y calidad.

• Normas claras y aplicadas.

• Control de términos.

• Controles de acceso lógico y físico.

• Información documentada requerida para la operación de la entidad.

• Cifrado de información.

• Aseguramiento de la plataforma tecnológica. Nota: La existencia de controles frente a la probabilidad o impacto dependerá del escenario de riesgo en particular

Ilustración 14. Ejemplo de la evaluación de los controles automática en la Ficha Integral del Riesgo ASIF09

11.2 Valoración del Riesgo

Como resultado de la aplicación de la Tabla 22, se establecerá la valoración del riesgo residual en términos de probabilidad e impacto, teniendo en cuenta opción de tratamiento aplicable.

Priorización de Riesgos Con base en la ubicación de los riesgos dentro de la matriz de valoración, se determinan los riesgos que requieren acciones inmediatas, bajo el enfoque de criticidad de la zona en que se encuentran e impacto en la materialización de los mismos, dando prioridad a las calificaciones más altas (priorizando el impacto). Esto bajo el entendido que todo riesgo de corrupción requiere acciones inmediatas.






Ilustración 15.Priorización de riesgos

12. TRATAMIENTO DEL RIESGO

La definición e implementación de acciones eficaces orientadas a reducir, aceptar, evitar o compartir los riesgos identificados deberán contemplar la viabilidad técnica, jurídica y financiera para su implementación, las opciones establecidas son:

a) REDUCIR: Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos. El nivel de riesgo debe ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo aceptable para la entidad.

b) ACEPTAR: No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo. (Ningún riesgo de corrupción podrá ser aceptado).Si el nivel de riesgo cumple con los criterios de aceptación de riesgo no es necesario poner controles y este puede ser aceptado. Debería aplicar para riesgos inherentes en la zona de calificación de riesgo bajo. .

c) EVITAR: Se abandonan las actividades que dan lugar al riesgo, es decir, no iniciar o no continuar con la actividad que lo

provoca.Cuando los escenarios de riesgo identificado se consideran demasiado extremos se puede tomar una decisión para evitar el riesgo, mediante la cancelación de una actividad o un conjunto de actividades.

d) COMPARTIR: Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este.Los riesgos de corrupción se pueden compartir pero no se puede transferir su responsabilidad.

Todos los riesgos deben formular acciones de contingencia en caso que se materialice, deberá informar a la Oficina de Planeación (segunda línea). Se deben formular acciones de mejora para los riesgos, que después de valorados, se ubiquen en zonas "Extrema", "Alta" o "Moderada", señalando la opción de tratamiento "REDUCIR". Se deben formular acciones de mejora frente a las actividades de control que no presenten solidez "fuerte". En caso de riesgos valorados en zona "Baja", el líder del proceso podrá seleccionar la opción:

MATRIZ DE VALORACIÓN

1 2 3 4 5

Escala

de p

rob

ab

ilid

ad 1 1 2 3 4 5

2 2 4 6 8 10

3 3 6 9 12 15

4 4 205 5 10 15 20 25

Escala de impacto

8 12 16






▪ REDUCIR: Formulando acciones para fortalecer o implementar nuevas actividades de control ▪ ACEPTAR: No adoptando medidas que afecten la probabilidad y/o impacto. La opción "ACEPTAR" no aplica para

riesgos de corrupción. ▪ EVITAR: Cancelando una actividad o conjunto de actividades ▪ COMPARTIR: Transfiriendo una parte del riesgo

Las acciones establecidas para dar tratamiento a los riesgos identificados se deben acoger a los lineamientos del procedimiento MACP03 Planes de Mejora, teniendo en cuenta el enfoque hacia el mejoramiento del control y la mitigación de las causas identificadas. Para el caso de los riesgos de corrupción, se incluyen las acciones establecidas en el Plan Anticorrupción y Atención al Ciudadano PAAC.

Ilustración 16. Opciones de tratamiento según zonas de riesgo.

Nota: La opción escogida de forma independiente, interrelacionada o en su conjunto, debe responder a la Política de administración de riesgos, teniendo en cuenta que:

• Para los riesgos ubicados en zona baja, la opción de tratamiento es asumir y se debe formular acciones de contingencia.

• Para los riesgos ubicados en zonas extremas, altas o moderadas la opción de tratamiento es diferente a asumir y se debe formular acciones para crear o mejorar los controles existentes.

12.1 Acciones Frente al Riesgo con Enfoque de Control

Con la implementación de la política de riesgos, cuando un riesgo valorado se ubica en una zona diferente a “Baja” se deben definir las acciones que permitan definir nuevos controles frente a la probabilidad y/o impacto, o mejorar los existentes en el Formato Ficha Integral del Riesgo ASIF09 –sección de acciones frente al riesgo-. Nota 1: las posibles acciones a emprender deben ser viables en su ejecución y tener relación con el riesgo identificado. Nota 2: las acciones definidas deben redactarse iniciando por un verbo en infinitivo, tener un cargo o rol responsable de su ejecución y el respectivo producto que evidencia su ejecución con las fechas de inicio y terminación de la actividad. Nota 3: se debe señalar el control que se va a mejorar con la ejecución de la actividad, o en su defecto indicar que es un nuevo control a implementar. Nota 4: las acciones que se definan como nuevas no deben ser los mismos controles ya establecidos. Nota 5: a un control puede establecerse más de una acción de mejoramiento. Nota 6: las acciones frente al riesgo con enfoque de control tienen una connotación preventiva.






12.2 Acciones Frente al Riesgo con Enfoque de Contingencia

Es necesaria la formulación de acciones de contingencia en el Formato Ficha Integral del Riesgo ASIF09 –sección de acciones frente al riesgo-, toda vez que existe una mínima posibilidad de que el riesgo se presente. Las actividades que se definan en el mismo, en la medida de lo posible, deben permitir el normal desarrollo del proceso o la gestión de la Entidad después de la materialización de un riesgo. Nota 1: Las posibles acciones a emprender deben ser viables en su ejecución y tener relación con el riesgo identificado. Nota 2: Las acciones definidas deben redactarse iniciando por un verbo en infinitivo, tener un cargo o rol responsable de su ejecución y el respectivo producto que evidencia su ejecución. Nota3: Las acciones de contingencia no tienen fechas de inicio y terminación, ni enfoque sobre el control, ya que se desconoce el momento en que el riesgo se puede presentar. Nota 4: Las acciones frente al riesgo con enfoque de contingencia tienen una connotación correctiva.

Ilustración 17. Acciones frente al riesgo con enfoque de contingencia (Formato de Ficha Integral del Riesgo ASIF09).

13. REVISIÓN Y APROBACIÓN

La aprobación de las fichas de riesgos se realizada por el(los) cargos responsables de gestionar cada uno de los riesgos identificados, siendo el líder del proceso o procedimiento respectivo. Esto a través de correo electrónico3 dirigido a [email protected] adjuntando el documento. Aspectos a tener en cuenta:

3En atención a lo establecido en la Ley 527 de 1999 “por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones” y la Directiva Presidencial 04 de 2012 ”eficiencia administrativa y lineamientos de la Política Cero Papel en la Administración Pública”,

mailto:[email protected]






• La fecha de aprobación de cada riesgo documentado corresponde a la del correo electrónico del Líder del proceso o procedimiento enviando el Formato Ficha Integral del Riesgo ASIF09 diligenciado.

• Cualquier modificación de fondo en las fichas de riesgos debe estar acompañada por el respectivo mensaje de aprobación.

13.1 Revisión metodológica

El Grupo de Desarrollo Organizacional de la Oficina Asesora de Planeación y Estudios Sectoriales (en riesgos de gestión de procesos y corrupción) y la Oficina de TIC (en riesgos de seguridad digital), revisan entre otros, los siguientes aspectos metodológicos durante la construcción de las fichas de riesgos:

a) Consistencia entre el contenido de las fichas de riesgos diligenciadas y el objetivo del proceso b) Existencia de los documentos del SIG señalados c) Coherencia en la definición de acciones frente a los controles o de contingencia y d) Aplicación de las disposiciones definidas en la presente guía.






14. FICHA INTEGRAL DEL RIESGO U OPORTUNIDAD






15. MAPA INTEGRAL DE RIESGOS DEL PROCESO

El mapa integral de riesgos del proceso consolida la información de las fichas diligenciadas y aprobadas para los enfoques de gestión de procesos, corrupción y seguridad digital, en caso de contenerlos.

Ilustración 18. Formato ASIF10 Mapa Integral de Riesgos del Proceso.

• La fecha del mapa de riesgos del proceso corresponde a la fecha de aprobación más reciente entre el conjunto de fichas de riesgos.

• El Líder del proceso/procedimiento(s) corresponde a los mencionados en cada uno de los formatos de Ficha Integral del Riesgo ASIF09 diligenciados.






16. MAPA DE RIESGOS INSTITUCIONAL

Contiene los riesgos identificados y aprobados en los procesos de la entidad (de gestión, corrupción y seguridad digital), permitiendo conocer la aplicación de las opciones de tratamiento. Este documento se actualiza de acuerdo con la dinámica de riesgos al interior de la Entidad.

Ilustración 19. Formato ASIF11 Mapa de Riesgos Institucional.

17. COMUNICACIÓN Y CONSULTA

Acción transversal donde el proceso debe hacer partícipe a sus colaboradores en las diferentes etapas y asegurar la consulta y conocimiento de los riesgos, controles y acciones establecidas.

18. INFORMACIÓN, COMUNICACIÓN Y REPORTE

El proceso deberá reportar en el formato establecido su respectiva ficha integral del riesgo ASIF09 y su respectivo Mapa integral de riesgos de proceso con el respectivo respaldo de revisión y aprobación por parte del líder del proceso.

La Oficina Asesora de Planeación y de Comunicaciones deberá gestionar su respectiva publicación y actualización.

19. MONITOREO Y REVISIÓN

El líder del proceso debe realizar al menos una vez cada tres meses el reporte de monitoreo y revisión de la gestión de los riesgos lo cual incluye determinar si:

➢ Las acciones de tratamiento se están desarrollando correctamente.

➢ Los controles establecidos se encuentran operando con normalidad.

➢ Se han generado alertas tempranas.

➢ Existen riesgos emergentes.

➢ Si el riesgo se ha materializado.

20. SEGUIMIENTO Y EVALUACIÓN

La Oficina de Control Interno realiza el seguimiento y evaluación, cuya finalidad es sugerir los correctivos y ajustes necesarios que permitan un adecuado tratamiento del riesgo, propendiendo por la formulación de planes de mejoramiento y tratamiento a las situaciones detectadas.

La evaluación adelantada por la Oficina de Control Interno a la administración de riesgos, involucra los siguientes aspectos entre otros:






➢ Correcto diligenciamiento de los diferentes campos del mapa de riesgos del proceso.

➢ Ajustes en el análisis o valoración de los riesgos identificados, producto del seguimiento y calificación a los controles establecidos, y los cambios presentados en cuanto a la probabilidad e impacto.

➢ Verificación de la ejecución del procedimiento ASIP02 Administración Integral de Riesgos Institucionales.

➢ Verificar que los controles definidos para tratar los riesgos existen, funcionan y son suficientes.

➢ Verificar la operatividad –ejecución- de los controles identificados en el mapa de riesgos.

➢ Validar la operatividad –ejecución- de las acciones de tratamiento de riesgos definidas.

➢ Verificar que el tratamiento de los riesgos es adecuado y efectivo.

➢ Verificar la implementación de la Política de Administración de Riesgos.

➢ Verificar las evidencias de la revisión del mapa de riesgos del proceso.

➢ Verificar que los responsables de los riesgos adelanten acciones para la identificación de riesgos y se revisen periódicamente.

➢ Verificar la aplicación acciones frente a los controles o de contingencia, y su análisis frente a la valoración efectuada.

21. MEDICIÓN Y ANÁLISIS DE INDICADORES EN LA GESTIÓN DEL RIESGO

Se determinan como indicadores:

➢ El Nivel de efectividad de los controles establecidos.

➢ El Nivel de cumplimiento de las acciones de tratamiento.

Los cuales deben ser reportados por vigencia a nivel de proceso y de la entidad.

Cuando se tenga como mínimo una línea base de medición a nivel de proceso y de la entidad deberá determinarse la disminución del nivel de vulnerabilidad en los riesgos críticos identificados.

22. TOMA DE DECISIONES AJUSTES O MEJORA

Como resultado del análisis realizado se generarán los ajustes requeridos tanto en la metodología como en el desarrollo de las etapas establecidas a nivel de proceso y de la entidad.

ELABORADO POR: REVISADO POR: APROBADO POR:

Diana Cristina Dávila, Profesional Grupo de Desarrollo Organizacional - Oficina Asesora de Planeación y Estudios Sectoriales. Edgar Fernando Suarez Mendoza, Profesional de la Oficina de la Tecnologías de la Información y la Comunicación Fecha: 19 de marzo de 2020

Claudia Domínguez Garcés, Coordinadora Grupo de Desarrollo Organizacional - Oficina Asesora de Planeación y Estudios Sectoriales. Luz Jenny González, Profesional de Oficina de la Tecnologías de la Información y la Comunicación Fecha: 19 de marzo de 2020

Wilson Fernando Melo Velandia Jefe Oficina Asesora de Planeación y Estudios Sectoriales Dolly Esperanza Ovalle Jefe de la Oficina de la Tecnologías de la Información y la Comunicación Fecha: 03 de abril de 2020

ministerio de salud y protecciÓn social bogotÁ, abril … · 2019-05-31 · formato asif09 ficha...

Documents