presentación de powerpoint - secretaría general · incorporar anexo 4 “lineamientos para la...
TRANSCRIPT
11
Esta presentación es propiedad intelectual controlada y producida por la Presidencia de la República.
Abril de 2019
Gestión del Riesgo
(Articulado Riesgos de Corrupción y de
seguridad digital)
Esta presentación es propiedad intelectual controlada y producida por Función Pública
Función Pública
Contenido
Alineación con el MIPG y PlanAnticorrupción y de Atención alCiudadano
Metodología Propuesta (Riesgos Gestión, Corrupción y Seguridad Digital)
01.
02.
03. Rol de las líneas de defensa dentro de la gestión del riesgo
Esta presentación es propiedad intelectual controlada y producida por Función Pública
Alineación con el MIPG y
Plan Anticorrupción y de
Atención al Ciudadano
01.
Esta presentación es propiedad intelectual controlada y producida por Función Pública
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo, se definen los
siguientes aspectos:
Factores de Riesgo Principales (Análisis Interno y Externo) atendiendo el diagnóstico de capacidades y entornos.
Planeación Estratégica de la entidad.
Tabla de Impactos principales por cada uno de los 5 niveles (Acorde con la estrategia y los procesos críticos)
Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción, estrategias para trámites, rendición
de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información), que pueden facilitar la construcción de acciones
para el mapa de riesgos de corrupción.
Articulación MIPG – Gestión del Riesgo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
A partir de la dimensión de “Gestión con Valores para el Resultado” se definen los siguientes aspectos:
Estructura de Procesos, Procedimientos, Políticas, entre otras herramientas.
Instrumentos y herramientas relacionadas con las Tecnologías de la Información y las Comunicaciones para la mejora
de los procesos.
Articulación MIPG – Gestión del Riesgo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Esquema de las Líneas de Defensa
Línea
Estratégica
Primera línea
de defensa
Segunda línea
de defensa
Tercera línea
de defensa
A partir de la dimensión de “Control Interno” se definen los siguientes aspectos:
Esquema de las líneas de Defensa para la definición de los roles y responsabilidades de la gestión del riesgo y
control.
A través de los componentes del MECI evaluar la efectividad de la estructura de control (diseño y ejecución de
los controles).
Componentes:
1. Ambiente de control
2. Evaluación del riesgo
3. Actividades de control
4. Información y comunicación
5. Actividades de monitoreo
Articulación MIPG – Gestión del Riesgo
Metodología (Riesgos Gestión, Corrupción y Seguridad Digital)
02.
Esta presentación es propiedad intelectual controlada y producida por Función Pública
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Análisis de Capacidades y
Entornos.
Caracterización de los grupos de valor
y sus necesidades
Priorización de esas necesidades y su
despliegue en las características de los
productos y servicios
Planeación Estratégica y su
despliegue hacia los procesos.
Plan Anticorrupción y de Atención al
ciudadano.
Política de Administración del Riesgo
Insumos Dimensión Direccionamiento Estratégico y
Planeación
Insumos Dimensión Gestión con
Valores para el Resultado
Antes de Iniciar con la Metodología
Estructura de Procesos,
Procedimientos, Políticas, entre otras
herramientas.
Instrumentos y herramientas
relacionadas con las Tecnologías de la
Información y las Comunicaciones para
la mejora de los procesos.
Aspectos Esenciales Habilitantes para la incorporación de la Metodología
Insumos Dimensión Control
Interno
Aprobación Política de
Administración del
Riesgo.
Esquema Líneas de
Defensa
Definiciones Básicas
Seguridad Digital
Corrupción
Riesgo: Posibilidad de que
suceda algún evento que tendrá
un impacto sobre el cumplimiento
de los objetivos. Se expresa en
términos de probabilidad y
consecuencias.
Gestión del Riesgo
Estratégicos,
operativos, financieros,
de cumplimiento,
imagen o reputacional,
entre otros
Riesgo de Corrupción:
Posibilidad de que por acción u
omisión, se use el poder para
desviar la gestión de lo público
hacia un beneficio privado.
Riesgo de Seguridad Digital:
Combinación de amenazas y
vulnerabilidades en el entorno
digital. Incluye aspectos del
ambiente físico, digital y las
personas.
Riesgo Inherente: Es aquel
al que se enfrenta una
entidad en ausencia de
acciones de la dirección
para modificar su
probabilidad o impacto.
Riesgo Residual:
Nivel de riesgo que
permanece luego
de tomar medidas
de tratamiento del
riesgo.
Activo: En el contexto de seguridad digital
son elementos tales como aplicaciones de la
organización, servicios web, redes, Hardware,
información física o digital, recurso humano,
entre otros, que utiliza la organización para
funcionar en el entorno digital
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Gestión del Riesgo
La gestión de riesgos no es estática. Se integra en el desarrollo de la estrategia, la
formulación de los objetivos de la entidad y la implementación de esos objetivos a través de la
toma de decisiones cotidiana.
Proceso efectuado por la Alta Dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
Definiciones Básicas
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 1: Política Institucional de Riesgos
Declaración de la Dirección y las intenciones generales de una organización con respecto a
la gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo
establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.
La debe establecer la Alta Dirección en cabeza
del Representante Legal en el marco del
Comité Institucional de Coordinación de Control
Interno
Objetivo: Alineada con los obj institucionales
Alcance: Aplicable a todos los procesos
Niveles de aceptación del Riesgo: Decisión
informada de tomar un riesgo particular.
Metodología (Periodicidad,Tabla Impacto,
Factores de Riesgo), entre otros.
Los riesgos de corrupción no admiten
aceptación del riesgo.
Definir procesos susceptibles de posibles
actos de corrupción.
¿Quién la establece?¿Qué debe contener?
Frente a los Riesgos de Corrupción
Incorporar Anexo 4 “Lineamientos para la
gestión del riesgo de seguridad digital.
Frente a los Riesgos de Seguridad Digital
Seguridad y Salud en el Trabajo, Ambiental u otros
Incorporar lineamientos generales para su manejo en
los procesos que correspondan.
Frente a otros Sistemas de Gestión o
Requerimientos
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo – Análisis de Objetivos
Tanto de orden estratégico como de los procesos.
Análisis de Objetivos Estratégicos
La entidad debe analizar los objetivos
estratégicos e identificar los posibles riesgos que
afectan su cumplimiento y que puedan ocasionar
su éxito o fracaso.
Es necesario revisar que los objetivos
estratégicos se encuentren alineados con la
Misión y la Visión Institucional, así como,
analizar su adecuada Formulación
(características SMART)
Análisis de Objetivos de Proceso
Los objetivos de proceso deben ser
analizados con base en las características
mínimas explicadas en el punto anterior,
pero además, se debe revisar que los
mismos estén alineados con la Misión y la
Visión, es decir, asegurar que los objetivos
de proceso contribuyan a los objetivos
estratégicos.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo – Análisis de Objetivos
La entidad debe analizar los objetivos estratégicos y revisar que se encuentren alineados
con la Misión y la Visión Institucional, así como, analizar su adecuada formulación, es
decir, que contengan las siguientes características mínimas:
Tomado de: https://www.questionpro.com/
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Establecer
Identificar
Recopilar
Investigar
Buscar
Registrar
Tener en cuenta para los Objetivos
Un objetivo es un
enunciado que
expresa una acción
por lo tanto debe
iniciarse con un
verbo fuerte
Los objetivos
deben ser:
Medibles, realistas
y se deben evitar
frases subjetivas
Paso 2: Identificacióndel Riesgo – Análisis de Objetivos
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos,
sus causas y sus consecuencias.
Establecimiento del Contexto
Definición de los parámetros internos y
externos que se han de tomar en
consideración para la administración del
riesgo (NTCISO31000, Numeral 2.9).
Se debe establecer el contexto tanto interno
como externo de la entidad, además del
contexto del proceso y sus activos de
seguridad digital.
Identificación del Riesgo
Se determinan las causas fuentes del
riesgo y los eventos con base en el análisis
de contexto para la entidad y del proceso,
que pueden afectar el logro de los
objetivos.
Es importante centrarse en los riesgos más
significativos para la entidad, relacionados
con los objetivos de los procesos.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
Tabla ilustrativa 1 - Factores para cada categoría del contexto
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
Frente a los Objetivos Estratégicos:
La posibilidad de que la estrategia y los objetivos
no se alineen con la misión, la visión y los valores
básicos.
Los tipos y la cantidad de riesgo que la
organización potencialmente se expone por la
elección de una estrategia particular.Cómo puede
Suceder?
1
2
3
Qué puede
suceder?
Cuándo puede
suceder?
Identificar la afectación del cumplimiento del
objetivo estratégico o del proceso según sea
el caso.
Establecer las causas a partir de los factores
determinados en el contexto
4Qué
consecuencias
tendría su
materialización?
Evitar iniciar con palabras negativas como: “No…” “Que no…”, o
con palabras que denoten un factor de riesgo (causa) tales como:
“ausencia de”, “falta de”, “Poco(a)”,“ Escaso(a)”,“Insuficiente”,
“Deficiente”, “Debilidades en
Establecer las causas a partir de los factores
determinados en el contexto
Determinar de acuerdo al desarrollo del proceso
Determinar los posibles efectos por la
materialización del riesgo
Pregúntese si el riesgo identificado esta relacionado
directamente con las características del objetivo. Si la
respuesta es “no” este puede ser la causa o la
consecuencia.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
Para los riesgos de seguridad digital se requiere como requisito básico la identificación de
los Activos.
Anexo 4 “Lineamientos para la
gestión del riesgo de seguridad
digital en entidades públicas”
encontrarán:
Tabla 5. Tabla de amenazas
comunes
Tabla 6. Tabla de amenazas
dirigida por el hombre
Tabla 7. Tabla de
Vulnerabilidades Comunes
Pérdida de la integridad
1
2
3
Pérdida de la confidencialidad
Pérdida de la disponibilidad
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo
Para los riesgos relacionados con posibles actos de corrupción tomar en cuenta la matriz
para la definición del riesgo de corrupción.
Los riesgos de corrupción se establecen sobre procesos. El riesgo debe
estar descrito de manera clara y precisa. Su redacción no debe dar lugar
a ambigüedades o confusiones con la causa generadora de los mismos.
Con el fin de facilitar la identificación de riesgos de corrupción y de evitar
que se presenten confusiones entre un riesgo de gestión y uno de
corrupción, se sugiere la utilización de la Matriz de definición de riesgo
de corrupción, que incorpora cada uno de los componentes de su
definición.
Si en la descripción del riesgo, las casillas son
contestadas todas afirmativamente, se trata de un
riesgo de corrupción.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PROCESOS ENUNCIADO Marque aquí
GESTIÓN HUMANA Planeación Inadecuada
GESTIÓN FINANCIERA Emitir Estados financieros que no reflejen la realidad de la entidad
GESTIÓN CONTRACTUAL Pérdida de recursos de la Entidad
PLANEACIÓN INSTITUCIONAL Generación de lineamientos que no contribuye al logro del objetivo institucional
PLANEACIÓN INSTITUCIONALInadecuado funcionamiento de la plataforma tecnológica donde se realiza el seguimiento a la
planeación
ATENCIÓN AL USUARIO Orientación técnica incompleta (sin fondo)
GESTIÓN FINANCIERA Errores en los soportes de pago a proveedores
GESTIÓN CONTRACTUAL Contratar los bienes, servicios u obras requeridos sin las especificaciones técnicas y de calidad
necesarias
GESTIÓN HUMANA Errores en la liquidación de nómina, seguridad social y/o parafiscal.
ATENCIÓN AL USUARIO No contar con digiturno
Determine con respecto a los siguientes procesos si el enunciado corresponde a Riesgo, Causa o Consecuencia
Taller
Causas y Riesgos
CAUSA
RIESGO
CONSECUENCIA
RIESGO
CAUSA
RIESGO
CAUSA
RIESGO
RIESGO
CAUSA
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo - Causas
La identificación del riesgo se lleva a cabo determinando
las causas con base en el contexto interno, externo y del
proceso que pueden afectar el logro de los objetivos.
(D) DEBILIDADES (factoresnegativos internos)
(O) OPORTUNIDADES (factorespositivos externos)
(F) FORTALEZAS (factorespositivos internos)
(A) AMENAZAS (factores negativosexternos)
MATRIZ DOFA
Identificación de factores
Políticos: Este apartado se refiere entre otras a políticas gubernamentales,
período gubernamental, elecciones, situación política de la región.
Económicos: Aquí se puede destacar la inflación, el desempleo, nivel de
endeudamiento, entre otros.
Sociales: Abarca aspectos demográficos, población vulnerable,
desplazados, factores étnicos y religiosos, entre otros.
Tecnológicos: Cubre la tecnología en la industria, la agricultura, los
servicios y las Tics, adicional las tendencias tecnológicas asociadas con las
políticas de Estado, entre otros.
Ecológicos: Uso de combustibles fósiles y su influencia en el cambio
climático, la contaminación del aire, suelo, tierra, agua, residuos, reciclaje,
energías renovables, entre otros.
Legales: Legislación cambiante, legislación sobre empleo, licencias,
propiedad industrial, entre otros.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 2: Identificacióndel Riesgo - Causas Una vez realizado el análisis de
Contexto
Defina porqué se genera el
riesgo?
CONTEXTO ESTRATÉGICO
PROCESO: GESTIÓN CONTRACTUAL
OBJETIVO: Adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su
continua operación.
FACTORES
EXTERNOSCAUSAS
FACTORES
INTERNOSCAUSAS
Normatividad
Nuevas regulaciones y
requerimientos en materia
contractual.
ProcedimientosCarencia de controles en el
procedimiento de contratación
Talento humano
Insuficiente capacitación del
personal de contratos frente a
cambios en la regulación
contractual.
Normograma -Información desactualizada
PolíticasInadecuadas políticas de
operación
Paso 2: Identificacióndel Riesgo
Los objetivos estratégicos y de proceso se desarrollan a
través de actividades, pero no todas tienen la misma
importancia, por tanto se debe establecer cuáles de ellas
contribuyen mayormente al logro de los objetivos y estas
son las actividades críticas o factores claves de éxito; estos
factores se deben tener en cuenta al identificar las causas
que originan la materialización de los riesgos.
Análisis de CausasNro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom
1 Insuficiente capacitación del
personal de contratos.
10 8 9 7 10 9 53 8,8
2 Fallas en la radicación de
propuestas
1 6 2 6 5 6 26 4,3
3 Mala atención a los
proveedores
5 3 1 5 4 3 21 3,5
4 Inadecuadas políticas de
operación
7 9 7 8 7 10 48 8,0
5 Desconocimiento de la
normatividad contractual
6 4 3 1 2 1 17 2,8
6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2
7 Desconocimiento de los
cambios en la regulación
contractual
8 7 10 9 8 7 49 8,2
8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8
9 Carencia de controles en el
procedimiento de contratación
9 10 8 10 9 8 54 9,0
10 Normograma desactualizado 4 2 6 3 3 5 23 3,8
CRITERIOS DE PRIORIZACIÓN
• En esta matriz se deben incluir todas las debilidades y
amenazas identificadas en el establecimiento del
contexto
• Cada integrante priorizará en orden de importancia de
menor a mayor las causas utilizando una escala donde 1
es la de menor importancia y «N» la de mayor
importancia dependiendo del número de causas.
• Un integrante del grupo debe organizar en la tabla las
calificaciones y calcular el promedio aritmético de cada
causa, siendo las de mayor promedio las causas raíz.
Priorización de Causas
Paso 2: Identificacióndel Riesgo
RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS
“In
op
ort
un
idad
enla
adq
uis
ició
nd
elo
sb
ien
esy
serv
icio
sre
qu
erid
os
po
rla
enti
dad
La combinación de factores como,
insuficientes capacitación del personal de
contratos, cambios en la regulación
contractual, inadecuadas políticas de
operación y Carencia de controles en el
procedimiento de contratación pueden
ocasionar la Inoportunidad en la adquisición
de los bienes y servicios requeridos por la
entidad, repercutiendo en la continuidad de la
operación de la entidad.
Operativo Carencia de controles en el
procedimiento de contratación1. Demoras en los procesos
2. incumplimiento en la entrega de
bienes y servicios a los grupos de
valor
3. Demandas y demás acciones
jurídicas
4. Detrimento de la imagen de la
entidad ante sus grupos de valor
5. Investigaciones disciplinarias
Insuficiente capacitación del personal
de contratos.
Desconocimiento de los cambios en la
regulación contractual
Inadecuadas políticas de operación
Proceso Contratación:
Objetivo “Adquirir con oportunidad y calidad técnica los bienes
y servicios requeridos por la entidad para su continua
operación”
Ejemplo
Análisis de la Probabilidad
Se analiza qué tan posible es que ocurra el riesgo, se expresa en
términos de frecuencia o factibilidad, donde frecuencia implica
analizar el número de eventos en un periodo determinado, se trata de
hechos que se han materializado o se cuenta con un historial de
situaciones o eventos asociados al riesgo, y factibilidad implica
analizar la presencia de factores internos y externos que pueden
propiciar el riesgo, se trata en este caso de un hecho que no se ha
presentado pero es posible que suceda.
Nivel Descriptor Descripción Frecuencia
5 Casi seguro Se espera que el evento ocurra en la
mayoría de las circunstancias
Mas de 1 vez al año.
4 Probable Es viable que el evento ocurra en la
mayoría de las circunstancias
Al menos 1 vez en el
último año.
3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
últimos 5 años.
1 Rara vez El evento puede ocurrir solo en
circunstancias excepcionales (poco
comunes o anormales)
No se ha presentado en
los últimos 5 años.
Paso 3: valoración del riesgo
Criterios parar calificar la probabilidad
Importante
El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la
disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de
no contar con datos históricos, se trabajará de acuerdo con la experiencia de los
funcionarios que desarrollan el proceso y de sus factores internos y externos.
(Revisar matriz de análisis de priorización de probabilidad).
Permite establecer la probabil idad de ocurrencia del riesgo y el nivel de
consecuencias o impacto, con el fin de estimar la zona de riesgo inicial
(RIESGO INHERENTE).
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Paso 3: valoración del riesgo
Criterios para calificar el Impacto – Riesgos de GestiónNivel Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo
CA
TAST
RÓ
FIC
O- Impacto que afecte la ejecución presupuestal en un valor ≥50%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥50%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por más de cinco (5) días.- Intervención por parte de un ente de control u otro ente regulador.- Pérdida de Información crítica para la entidad que no se puede recuperar.- Incumplimiento en las metas y objetivos institucionales afectando de forma grave laejecución presupuestal.- Imagen institucional afectada en el orden nacional o regional por actos o hechos decorrupción comprobados.
MA
YOR
- Impacto que afecte la ejecución presupuestal en un valor ≥20%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥20%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por más de dos (2) días.- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.- Sanción por parte del ente de control u otro ente regulador.- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento enlas metas de gobierno.- Imagen institucional afectada en el orden nacional o regional por incumplimientos en laprestación del servicio a los usuarios o ciudadanos.
MO
DER
AD
O
- Impacto que afecte la ejecución presupuestal en un valor ≥5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por un (1) día.- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante losentes reguladores o una demanda de largo alcance para la entidad.- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.- Reproceso de actividades y aumento de carga operativa.- Imagen institucional afectada en el orden nacional o regional por retrasos en laprestación del servicio a los usuarios o ciudadanos.- Investigaciones penales, fiscales o disciplinarias.
MEN
OR
- Impacto que afecte la ejecución presupuestal en un valor ≥1%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥1%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por algunas horas.- Reclamaciones o quejas de los usuarios que implican investigaciones internasdisciplinarias.- Imagen institucional afectada localmente por retrasos en la prestación del servicio a losusuarios o ciudadanos.
INSI
GN
IFIC
AN
TE
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥0,5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
- No hay interrupción de las operaciones de la entidad.- No se generan sanciones económicas o administrativas.- No se afecta la imagen institucional de forma significativa.
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
FUENTE: Ministerio de Tecnologías de la Información y las Comunicaciones
NIVELVALOR DEL
IMPACTO
CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL
Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo
INSIGNIFICANTE 1
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
No hay Afectación medioambiental
Sin afectación de la integridad
Sin afectación de la disponibilidad
Sin afectación de la confidencialidad
MENOR 2
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación leve del Medio Ambiente requiere de ≥X días de
recuperación
Afectación leve de la integridad
Afectación leve de la disponibilidad
Afectación leve de la confidencialidad
MODERADO 3
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación leve del Medio Ambiente requiere de ≥X semanas
de recuperación
Afectación moderada de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación moderada de la disponibilidad de la información
debido al interés particular de los empleados y terceros
Afectación moderada de la confidencialidad de la información
debido al interés particular de los empleados y terceros
MAYOR 4
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación importante del Medio Ambiente que requiere de
≥X meses de recuperación
Afectación grave de la integridad de la información debido al
interés particular de los empleados y terceros
Afectación grave de la disponibilidad de la información
debido al interés particular de los empleados y terceros
Afectación grave de la confidencialidad de la información
debido al interés particular de los empleados y terceros
CATASTRÓFICO 5
Afectación ≥X% de la población
Afectación ≥X% del presupuesto anual de la entidad
Afectación muy grave del Medio Ambiente que requiere de
≥X años de recuperación
Afectación muy grave de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación muy grave de la disponibilidad de la información
debido al interés particular de los empleados y terceros
Afectación muy grave confidencialidad de la información
debido al interés particular de los empleados y terceros
Paso 3: valoración del riesgo
Para los riesgos de seguridad digital los criterios para calificar el impacto son:
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Nro PREGUNTA:
Si el riesgo de corrupción se materializa podría...
Respuest
a
SI NO
1 ¿Afectar al grupo de funcionarios del proceso? X
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X
3 ¿Afectar el cumplimiento de misión de la Entidad? X
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? X
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X
6 ¿Generar pérdida de recursos económicos? X
7 ¿Afectar la generación de los productos o la prestación de servicios? X
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida
del bien o servicios o los recursos públicos?
X
9 ¿Generar pérdida de información de la Entidad? X
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X
11 ¿Dar lugar a procesos sancionatorios? X
12 ¿Dar lugar a procesos disciplinarios? X
13 ¿Dar lugar a procesos fiscales? X
14 ¿Dar lugar a procesos penales? X
15 ¿Generar pérdida de credibilidad del sector? X
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X
17 ¿Afectar la imagen regional? X
18 ¿Afectar la imagen nacional? X
19 ¿Genera daño ambiental X
Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado.
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.
Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.
10
MODERADO Genera medianas consecuencias sobre la entidad
MAYOR Genera altas consecuencias sobre la entidad.
CATASTROFICO Genera consecuencias desastrosas para la entidad
Cri
teri
os
pa
ra c
ali
fic
ar
el
Imp
ac
to –
Rie
sg
os
de
Co
rru
pc
ión
Nivel de Impacto MAYOR
Importante
Se debe diligenciar una tabla de estas por
cada riesgo de corrupción identificado.
Los niveles de impacto Insignificante y
Menor no aplica para riesgos de
corrupción.
Valoración del riesgo –Análisis de Riesgo
Para los riesgos de corrupción
los criterios para calificar el
impacto son:
Paso 3: valoración del riesgo
Análisis del Impacto Mapa de calor (Riesgo inherente)
El impacto se debe analizar y calificar a partir de las consecuencias identificadas
en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el
impacto fue identificado como mayor por cuanto genera interrupción de las
operaciones.
Mapa de Calor
Se toma la calificación de probabilidad (resultante de la tabla Matriz de
priorización de probabilidad), en el ejemplo: probable y la calificación de
impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en
la fila y la de impacto en la columnas correspondientes, establezca el punto de
cruce de las dos y este punto corresponderá al nivel de riesgo, que para el
ejemplo es nivel extremo – color rojo determinando así el riesgo
inherente..
R1
Paso 3: valoración del riesgo
Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente)
Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en
cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos
riesgos siempre serán significativos; en este orden de ideas, no aplican los
niveles de impacto insignificante y menor, que si aplican para los demás
riesgos.
De acuerdo a la tabla de criterios para calificar el impacto de la página anterior,
nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los
riesgos de corrupción se califica con los mismos cinco niveles de los demás
riesgos .
Por ultimo ubique en el mapa de calor el punto de cruce resultante de la
probabilidad y el impacto para establecer el nivel del riego inherente, para el
ejemplo corresponde a: EXTREMO
ImportanteAunque se utilice el mismo mapa de calor , para los riesgos de gestión y de
corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,
Mayor y Catastrófico.
R1
Aplica para
los riesgos
de
corrupción
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Tratamiento del riesgo
Es la respuesta establecida por la Primer Línea de Defensa para la
mitigación de los diferentes riesgos. Ningún riesgo de corrupción podrá ser
aceptado.
No se adopta ninguna
medida que afecte la
probabilidad o el impacto
del riesgo.
OPCIONES DE
TRATAMIENTO
Aceptar el Riesgo
Se adoptan medidas para
reducir la probabilidad o el
impacto del riesgo, o ambos;
por lo general conlleva a la
implementación de controles.
Reducir el Riesgo
Se abandonan las actividades
que dan lugar al riesgo,
decidiendo no iniciar o no
continuar con la actividad que
causa el riesgo.
Evitar el Riesgo
Se reduce la probabilidad o el
impacto del riesgo,
transfiriendo o compartiendo
una parte del riesgo.
Compartir el Riesgo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto debería
aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.
Aceptar el Riesgo
RIESGO
ANTES DE
MEDIDAS DE
TRATAMIENTO
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
ACEPTAR
No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo.
La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también
pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el
riesgo. En ambos escenarios debe existirun seguimiento continuo del riesgo.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la
cancelación de una actividad o conjunto de actividades.
Evitar el Riesgo
Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos
arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo
tanto hay situaciones donde no es una opción.
RIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
NO HAY RIESGOS
DESPUES DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
EVITAR
Se abandonan las actividades que dan lugar alriesgo, decidiendo no iniciar o no continuar con laactividad que causa el riesgo.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Compartir el Riesgo
MEDIDA DE TRATAMIENTORIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
COMPARTIR
Se reduce la probabilidad o el impacto del riesgo,transfiriendo o compartiendo una parte del riesgo.
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser
compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del
riesgo.
Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y
tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un
acuerdo contractual.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo
aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.
Reducir el Riesgo
Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo
que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.
RIESGO
ANTES DE
MEDIDA DE
TRATAMIENTO
RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
MEDIDA DE TRATAMIENTO
REDUCIR
Se adoptan medidas para reducir la probabilidad oel impacto del riesgo, o ambos; esto conlleva a laimplementación de controles.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Taller 3
Valoración del Riesgo – Evaluación Controles
Probabilidad de Ocurrencia: 4 - Impacto: 4 - Nivel de Riesgo Inherente: Extremo
Tipo de Control:
A continuación califique el diseño del control y su ejecución y el nivel de Riesgo Residual:
Los postulados que no cumplen con los requisitos son informados, mediante comunicación formal escrita, firmada por el líder del proceso de TH.
TALLER No 3 Evaluación de Controles
Proceso: Talento Humano
Objetivo: Gestionar el ingreso, desarrollo y retiro del talento humano al servicio de la Entidad, a través del desarrollo de actividades, planes y programas, tendientes a garantizar servidores
públicos competentes, para alcanzar los objetivos institucionales y generar continuidad en los procesos.
Riesgo: Contratar personal que no cumple con los requisitos para el cargo.
Control 1:
El profesional de Talento Humano cada vez que se va a realizar un proceso de selección, verifica que la información suministrada por el postulante corresponda con los requisitos establecidos
para el cargo, a través de una lista de chequeo donde están los requisitos del manual de funciones y los revisa con la información suministrada (puede ser física o digital). En caso de encontrar
información faltante, requiere al postulante a través de correo para el suministro de la información y poder continuar con el proceso.
Control 2:
Procedimiento ligado a un sistema de información (software) para el registro de los postulantes que cumplen con los requisitos con sus documentos soporte.
Verificación y análisis de documentación cuyo soporte queda registrado en el sistema, se utilizan usuarios para el análisis (profesional de TH) y un usuario de administrador (líder del proceso de TH) quien verifica y
da visto bueno para continuar con el proceso de nombramiento.
Para cada proceso de selección se aplica el procedimiento.
Acorde con las evidencias o soportes los responsables de ejecutar el control lo hacen de forma sistemática.
Acorde con la información suministrada determine:
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
¿Qué son las Actividades de
Control?
Son las acciones establecidas a través de políticas y procedimientos que
contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección
para mitigar los riesgos que inciden en el cumplimiento de los objetivos.
ACTIVIDADES DE CONTROL DOCUMENTADAS EN
Políticas Procedimientos
Una política por si sola
no es un control.
Los controles se despliegan a
través de los procedimientos
documentados.
La actividad de control debe por si sola mitigar o
tratar la causa del riesgo y ejecutarse como parte
del día a día de las operaciones.
Paso 3: Valoración del riesgo – Tratamiento del Riesgo
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
CLASIFICACIÓN DE LAS
ACTIVIDADES DE
CONTROL
CONTROLES PREVENTIVOS CONTROLES DETECTIVOS
Este tipo de controles intentan evitar la ocurrencia de los riesgos
que puedan afectar el cumplimiento de los objetivos.
Controles que están diseñados para identificar un evento o
resultado no previsto después de que se haya producido.
Buscan detectar la situación no deseada para que se corrija y se
tomen las acciones correspondientes.
Revisión al cumplimiento de los requisitos
contractuales, en el proceso de selección
del contratista o proveedor.
Realizar una conciliación bancaria, para
verificar que los saldos en libros corresponden
con los saldos en Bancos.
Tratamiento del riesgo – Rol 1ª Línea de Defensa
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Diseño de Controles
VARIABLES A
EVALUAR PARA EL
ADECUADO DISEÑO DE
CONTROLES
PASO
1Debe tener definido el responsable de realizar la actividad de
control.
PASO
2Debe tener una periodicidad definida para su ejecución.
PASO
3Debe indicar cuál es el propósito del control.
PASO
4Debe establecer el cómo se realiza la actividad de control.
PASO
5
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
PASO
6Debe dejar evidencia de la ejecución del control.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
1Debe tener definido el responsable de realizar la actividad de
control.
El Profesional de Contratación
El Auxiliar de Cartera.
El Coordinador de Operaciones.
La Coordinadora de Nomina.
El aplicativo de nomina.
El aplicativo de contratación.
El aplicativo de activos fijos
Cuando un control se hace de manera manual (ejecutado por
personas) es importante establecer el cargo responsable de su
realización.
Cuando el control lo hace un sistema o una aplicación de manera
automática a través de un sistema programado, es importante
establecer como responsable de ejecutar el control, el sistema o
aplicación.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
2Debe tener una periodicidad definida para su ejecución.
El control debe tener una periodicidad especifica para su ejecución (diario, mensual,
trimestral, anual) .
Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si
con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo
El Profesional de Contratación cada vez que se va a
realizar un contrato con un proveedor de servicios.
El Auxiliar de Cartera mensualmente.
El Coordinador de Operaciones diariamente
La Coordinadora de Nomina quincenalmente
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
3Debe indicar cuál es el propósito del control.
Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,
detectar)
El profesional de Contratación cada vez que se va a
realizar un contrato verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación.
PASO
4Debe establecer el cómo se realiza la actividad de control.
Cómo se realiza el control? permite evaluar si la fuente u origen de la información que
sirve para ejecutar el control, es confiable para la mitigación del riesgo.
El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
5Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
Si como resultado de un control preventivo se observan diferencias o aspectos que no se
cumplen, la actividad no debería continuarse hasta que se subsane la situación.
El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación.
Si es un control que detecta una posible materialización de un riesgo, debería gestionarse
de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u
observaciones.
Si el responsable de ejecutar el control no realiza ningunaactividad de seguimiento a las observaciones odesviaciones, o la actividad continúa a pesar de indicaresas observaciones o desviaciones, el control tendríaproblemas de diseño.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
PASO
6Debe dejar evidencia de la ejecución del control.
Esta evidencia ayuda a que se pueda revisar la misma información por parte de un
tercero y llegue a la misma conclusión de quien ejecutó el control.
Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros
establecidos en el diseño.
El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo
diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en
los casos que aplique.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Evaluación de los controles
para la mitigación de los
riesgos.
DISEÑO EJECUCIÓN
Que cumpla con los 6 aspectos
explicados
El control se ejecuta como fue
diseñado y de manera consistente.
Para la adecuada mitigación de los riesgos, no basta conque un control este bien diseñado, el control debeejecutarse por parte de los responsables tal como sediseño. Por que un control que no se ejecute, o un controlque se ejecute y este mal diseñado, no va a contribuir a lamitigación del riesgo
Paso 3: Valoración del riesgo – Diseño de Controles
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Análisis y Evaluación de los Controles para
la Mitigación de los Riesgos
Criterio de Evaluación Aspecto a Evaluar en el Diseño del Control Opción de Respuesta
1. Responsable
¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado
¿El responsable tiene la autoridad y adecuada segregación de
funciones en la ejecución del control?Adecuado Inadecuado
2. Periodicidad¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación
del riesgo o a detectar la materialización del riesgo de manera oportuna?Oportuna Inoportuna
3. Propósito
¿Las actividades que se desarrollan en el control realmente buscan por si
sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo
Verificar, Validar Cotejar, Comparar, Revisar (…)?
Prevenir
DetectarNo es un control
4. Cómo se realiza la actividad de
control
¿La fuente de información que se utiliza en el desarrollo del control es
información confiable que permita mitigar el riesgo.Confiable No confiable
5. Qué pasa con las observaciones o
desviaciones
¿Las observaciones , desviaciones o diferencias identificadas como
resultados de la ejecución del control son investigadas y resueltas de manera
oportuna?
Se investigan y
resuelven
oportunamente
No se investigan ni
se resuelven
oportunamente
6. Evidencia de Ejecución del Control¿Se deja evidencia o rastro de la ejecución del control, que permita a
cualquier tercero con la evidencia, llegar a la misma conclusión?Completa Incompleta
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Criterio de Evaluación Opción de Respuesta al Criterio de EvaluaciónPeso en la Evaluación del
Diseño del control
1. Asignación del
Responsable
Asignado 15
No asignado 0
2. Segregación y
autoridad del responsable
Adecuado 15
Inadecuado 0
2. PeriodicidadOportuna 15
Inoportuna 0
3. Propósito
Prevenir 15
Detectar 10
No es un control 0
4. Cómo se realiza la
actividad de control
Confiable 15
No Confiable 0
5. Qué pasa con las
observaciones o
desviaciones
Se investigan y resuelven oportunamente 15
No se investigan ni resuelven oportunamente 0
6. Evidencia de Ejecución
del Control
Completa 10
Incompleta 5
No Existe 0
Tabla de Valoración Controles (Diseño y Ejecución)
Rango
Calificación del
Diseño
Opción de Respuesta al Criterio
de Evaluación
Fuerte Calificación entre 95 y 100
Moderado Calificación entre 86 y 94
DébilCalificación entre 0 y 85
Rango
Calificación de la
Ejecución
Opción de Respuesta al Criterio
de Evaluación
Fuerte
El control se ejecuta de manera
consistente por parte del
responsable
ModeradoEl control se ejecuta algunas veces
por parte del responsable
DébilEl control no se ejecuta por parte del
responsable
Ejecución
Diseño
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El profesional de Contratación cada vez que se va a
realizar un contrato, verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de
una lista de chequeo donde están los requisitos de
información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con
la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos
que aplique.
Criterio de EvaluaciónOpción de Respuesta al Criterio de
Evaluación
Peso en la Evaluación
del Diseño del control
1. Asignación del ResponsableAsignado (Califica 15)
No asignado (Califica 0)
2. Segregación y autoridad del
responsable
Adecuado (Califica 15)
Inadecuado (Califica 0)
2. PeriodicidadOportuna (Califica 15)
Inoportuna (Califica 0)
3. Propósito
Prevenir (Califica 15)
Detectar (Califica 10)
No es un control (Califica 0)
4. Cómo se realiza la actividad de
control
Confiable (Califica 15)
No Confiable (Califica 0)
5. Qué pasa con las observaciones o
desviaciones
Se investigan y resuelven oportunamente
(Califica 15)
No se investigan ni resuelven
oportunamente (Califica 0)
6. Evidencia de Ejecución del Control
Completa (Califica 10)
Incompleta (Califica 5)
No Existe (Califica 0)
TOTAL
Evaluación Final del Control
Diseño
15
15
Tipo Control: Preventivo
Directamente ataca probabilidad de
ocurrencia del riesgo e
indirectamente ataca el impacto
15
15
15
15
10
100
Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación
Fuerte Calificación entre 95 y 100
Moderado Calificación entre 86 y 94
Débil Calificación entre 0 y 85
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El profesional de Contratación cada vez que se va a
realizar un contrato, verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de
una lista de chequeo donde están los requisitos de
información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con
la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos
que aplique.
Rango Calificación de la
EjecuciónOpción de Respuesta al Criterio de Evaluación
FuerteEl control se ejecuta de manera consistente por
parte del responsable
ModeradoEl control se ejecuta algunas veces por parte del
responsable
Débil El control no se ejecuta por parte del responsable
Ejecución
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Peso del diseño
individual o promedio de
los Controles. (DISEÑO)
El Control se ejecuta de manera
consistente por los responsables.
(EJECUCION)
Solidez individual de cada control
Fuerte:100 Moderado:50
Debil:0
Aplica acciones para
fortalecer el Control
Si / NO
Fuerte
Calificación Entre 95 y 100
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte NO
Moderado ( Algunas veces) Fuerte + Moderado = Moderado SI
Débil (No se ejecuta) Fuerte + Débil = Débil SI
Moderado
Calificación Entre 86 y 94
Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado SI
Moderado (Algunas veces) Moderado + Moderado = Moderado SI
Débil (No se ejecuta) Moderado + Débil = Débil SI
Débil
Entre 0 y 85
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil SI
Moderado (Algunas veces) Débil + Moderado = Débil SI
Débil (No se ejecuta) Débil + Débil = Débil SI
Solidez del Control Integralmente (Diseño y Ejecución)
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
El profesional de Contratación cada vez que se va a
realizar un contrato, verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de
una lista de chequeo donde están los requisitos de
información y la revisión con la información física
suministrada por el proveedor. En caso de encontrar
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con
la información de la carpeta del cliente, y correos
solicitando la información faltante en los casos
que aplique.
Solidez del Control Integralmente (Diseño y Ejecución)
Peso del diseño
individual o
promedio de los
Controles.
(DISEÑO)
El Control se ejecuta de manera
consistente por los responsables.
(EJECUCION)
Solidez individual de cada
control Fuerte:100
Moderado:50
Debil:0
Fuerte
Calificación Entre
95 y 100
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte
Moderado ( Algunas veces) Fuerte + Moderado =
Moderado
Débil (No se ejecuta) Fuerte + Débil = Débil
Moderado
Calificación Entre
86 y 94
Fuerte (Siempre se ejecuta) Moderado + Fuerte =
Moderado
Moderado (Algunas veces) Moderado + Moderado =
Moderado
Débil (No se ejecuta) Moderado + Débil = Débil
Débil
Entre 0 y 85
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil
Moderado (Algunas veces) Débil + Moderado = Débil
Débil (No se ejecuta) Débil + Débil = Débil
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Solidez del Control Integralmente (Diseño y Ejecución)
Riesgo 1
Riesgos Causas o Fallas ControlesDiseño del
Control
Ejecución
del Control
Solidez
Individual del
Control
Solidez del
Conjunto de
Controles
Causa 1
Causa 2
Control 1
Control 2
Control 3
Fuerte
Fuerte
Débil
Fuerte
Moderado
Fuerte
Fuerte (100)
Moderado (50)
Débil (0)
¿Como
evaluamos la
solidez del
conjunto de los
controles?
Calificación de la Solidez del Conjunto de Controles
FuerteEl promedio de la solidez individual de cada control al
sumarlos y ponderarlos es igual a 100.
ModeradoEl promedio de la solidez individual de cada control al
sumarlos y ponderarlos la calificación está entre 50 y 99
DébilEl promedio de la solidez individual de cada control al
sumarlos y ponderarlos la calificación es menor a 50.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
Solidez del
conjunto de los
controles.
Controles ayudan
a disminuir la
probabilidad
Controles ayudan a
disminuir Impacto
# Columnas en la
matriz de riesgo que
se desplaza en el eje
de la Probabilidad
# Columnas en la matriz
de riesgo que se
desplaza en el eje de
Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
Si la solidez del conjunto de los controles es Débil, este nodisminuirá ningún cuadrante de impacto o probabilidadasociado al riesgo.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual
Solidez del
conjunto de los
controles.
Controles ayudan
a disminuir la
probabilidad
Controles ayudan a
disminuir Impacto
# Columnas en la
matriz de riesgo que
se desplaza en el eje
de la Probabilidad
# Columnas en la matriz
de riesgo que se
desplaza en el eje de
Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
Tipo Control: Preventivo
Directamente ataca probabilidad de
ocurrencia del riesgo e
indirectamente ataca el impacto
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Resultados del Mapa de Riesgo Residual.
Una vez realizado el análisis y evaluación de los controles para la mitigación de los
riesgos, procedemos a la elaboración del mapa de riesgo residual (después de los
controles ).
Riesgo 1 – Inoportunidad en la adquisición de los
bienes y servicios requeridos por la entidad.
Con una calificación de riesgo inherente de
probabilidad e impacto como se muestra en la siguiente
gráfica:
Control - Fuerte (bien diseñados y que siempre se
ejecutan), disminuyen de manera directa la probabilidad
e indirectamente el Impacto.
En nuestro ejemplo disminuiría dos cuadrantes de
probabilidad, pasa de probable a improbable y un
cuadrante de impacto, pasa de mayor a moderado.
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)
Nro Riesgo Clasifi
cación
Causas Probabilida
d
Impact
o
Riesgo
Residu
al
Opción
Manejo
Actividad de Control Soporte Responsable Tiempo
1
Ino
po
rtu
nid
ad e
n la
ad
qu
isic
ión
de
los
bie
nes
y s
ervi
cio
s r
equ
erid
os
po
r la
en
tid
ad
Opera
tivo
Carencia de controles en
el procedimiento de
contratación
Impro
bable
Modera
do
Modera
do
Reducir Procedimiento e instrumentos de
contratación (lista de chequeo)
Para cada contrato, verifica que la
información suministrada por el
proveedor corresponda con los
requisitos establecidos de
contratación, a través de una lista de
chequeo donde están los requisitos
de información y la revisión con la
información física suministrada por el
proveedor
Lista de
Chequeo
diligenciad
a con la
informació
n de la
carpeta
del cliente,
y correos
solicitando
la
informació
n faltante
en los
casos que
aplique
Profesional de
Contratación
Siempre
que se
realice un
contrato
Inadecuadas políticas de
operación
Formato Mapa y Plan de Tratamiento de Riesgos.
Rol de las líneas de
defensa dentro de la
gestión del riesgo
03.
Esta presentación es propiedad intelectual controlada y producida por Función Pública
-F
UN
CI
ÓN
P
ÚB
LI
CA
-
• Media y Alta Gerencia: Jefes de planeación o
quienes hagan sus veces, coordinadores de
equipos de trabajo, comités de riesgos (donde
existan), comité de contratación, áreas
financieras, de TIC, entre otros que generen
información para el Aseguramiento de la
operación.
• Asegura que los controles y procesos de
gestión del riesgo de la 1ª Línea de Defensa
sean apropiados y funcionen correctamente,
supervisan la implementación de prácticas de
gestión de riesgo eficaces.
A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno
Este nivel analiza los riesgos y amenazas institucionales al cumplimiento de los planes estratégicos, tendrá la responsabilidad de definir
el marco general para la gestión del riesgo (política de administración del riesgo) y garantiza el cumplimiento de los planes de la entidad.
1ª. Línea de Defensa
• Controles de Gerencia Operativa
(Líderes de proceso y sus equipos).
• La gestión operacional se encarga del
mantenimiento efectivo de controles
internos, ejecutar procedimientos de
riesgo y el control sobre una base del día
a día. La gestión operacional identifica,
evalúa, controla y mitiga los riesgos.
2ª. Línea de Defensa 3ª. Línea de Defensa
• A cargo de la Oficina de Control Interno,
Auditoría Interna o quién haga sus veces
• La función de la auditoría interna, a través
de un enfoque basado en el riesgo,
proporcionará aseguramiento objetivo e
independiente sobre la eficacia de
gobierno, gestión de riesgos y control
interno a la alta dirección de la entidad,
incluidas las maneras en que funciona la
primera y segunda línea de defensa.
LÍNEA ESTRATÉGICA
Monitoreo y Revisión – Rol de las Líneas de Defensa.
El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través
de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:
Línea EstratégicaFormular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar los niveles de la aceptación o tolerancia al riesgo.
1a Línea de defensa 2a Línea de defensa 3a Línea de defensa
Oficinas de Planeación o quienes hacen sus veces: Oficinas de CI o quienes hagan sus veces
Generar lineamientos y dar a conocer cambios en el entorno (interno y externo) que puedan afectar el logro de los objetivos.
Oficinas de Planeación o quienes hacen sus
veces:
Asesorar a los líderes de los procesos y sus
equipos en la identificación de riesgos a los
procesos, acorde con la política de riesgos
establecida.
Trabajar de forma coordinada con la OCI de la
entidad para la incorporación de mejoras a la
gestión del riesgo en la entidad.
Definir mecanismos que permitan dar a conocer y
profundizar en los servidores la política de
riesgos, su metodología y correcta aplicación.
Conforme a lo establecido en la política de
administración del riesgo Identificar y dar
tratamiento a los riesgos que afectan los objetivos
operacionales de su proceso; definir y diseñar los
controles a los riesgos; elaborar, hacer seguimiento
y actualizar el mapa de riesgos de su proceso.
Monitorear el seguimiento a los riesgos institucionales y generar
reportes que permitan incorporar mejoras, tanto a los riesgos
identificados como a los controles aplicados.
Elaborar informes consolidados acorde con los estándares de
reporte definidos por la Alta Dirección en los temas clave
establecidos, con especial énfasis la gestión del riesgo y su
impacto frente al logro de los objetivos.
Monitorear los riesgos definidos como aceptables en la Política
de Riesgos Institucional y generar las alertas al Comité
Institucional de Coordinación de Control Interno sobre posibles
cambios en los factores de riesgo analizados.
Líderes de Proceso
Generar reportes a la Oficina Asesora de Planeación, así como
a la OCI en relación con materializaciones de riesgo, a fin de
tomar las acciones correspondientes.
Informar oportunamente a la Oficina Asesora de Planeación
sobre cambios en los factores internos o externos que afecten la
identificación de riesgos del proceso.
Realizar evaluación independiente al
cumplimiento y efectividad de la Política de
Administración del Riesgo, los mecanismos de
evaluación del riesgo y la efectividad de los
controles, en cumplimiento de su rol “Evaluación
de la Gestión del Riesgo”.
Alertar sobre la probabilidad de riesgo de fraude
o corrupción en las áreas auditadas
Evaluar la efectividad y la aplicación de
controles, planes de contingencia y actividades
de monitoreo vinculadas a los cambios que
pueden afectar el Sistema de Control Interno
para el cumplimiento de los objetivos.
Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base para llevar a cabo la identificación de los
riesgos.
¡Gracias!
Carrera 6 No 12-62, Bogotá D.C., Colombia
7395656 Fax: 7395657
Línea gratuita de atención al usuario: 018000 917770
www.funcionpublica.gov.co