Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 1 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad MINISTERIO DE CIENCIA TECNOLOGIA E INNOVACION GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 2 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad TABLA DE CONTENIDO INTRODUCCIÓN.................................................................................................................................................................. 5 1. OBJETIVO GENERAL ............................................................................................................................................ 6 2. ALCANCE ............................................................................................................................................................... 6 3. BENEFICIOS DE LA GESTIÓN DE RIESGOS ...................................................................................................... 7 4. DEFINICIONES ....................................................................................................................................................... 7 5. MARCO LEGAL .................................................................................................................................................... 12 6. ROLES Y RESPONSABILIDADES ...................................................................................................................... 13 7. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO ........................................................................... 17 7.1 Definición del Contexto estratégico .................................................................................................................. 18 7.2 Apetito del Riesgo ............................................................................................................................................... 19 8. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO ................................................................................................ 21 9. IDENTIFICACIÓN DEL RIESGO .......................................................................................................................... 22 9.1 Análisis de objetivos estratégicos y de los procesos: .................................................................................... 22 9.2 Identificación de los puntos de riesgo .............................................................................................................. 23 9.3 Identificación de áreas de impacto .................................................................................................................... 23 9.4 Identificación de áreas de factores de riesgo ................................................................................................... 23 9.5 Descripción del riesgo ........................................................................................................................................ 25 9.6 Clasificación del riesgo ...................................................................................................................................... 25 10. VALORACIÓN DEL RIESGO ............................................................................................................................... 27 10.1 Análisis de Riesgos ............................................................................................................................................ 27 10.1.1 Determinar la probabilidad ................................................................................................................................. 27 10.1.2 Determinar el impacto ......................................................................................................................................... 28 10.2 Evaluación de Riesgos ....................................................................................................................................... 29 10.2.1 Análisis preliminar (riesgo inherente) ............................................................................................................... 29 10.2.2 Valoración de los controles................................................................................................................................ 30 10.2.2.1 Estructura para la descripción del control .................................................................................................... 31 10.2.2.2 Tipología de controles y los procesos .......................................................................................................... 31 10.2.2.3 Análisis y evaluación de los controles – Atributos ...................................................................................... 33 10.2.2.4 Nivel de Riesgo Residual ................................................................................................................................ 34 10.3 Tratamiento del riesgo (medidas de respuesta) ............................................................................................... 35 10.3.1 Plan de manejo y/o acciones asociadas ........................................................................................................... 36 10.3.2 Indicadores clave de riesgo ............................................................................................................................... 37 10.4 Monitoreo y revisión ........................................................................................................................................... 37 10.5 Lineamientos para el manejo de Riesgos Materializados ............................................................................... 39 11. GESTION DE LOS RIESGOS DE POSIBLES HECHOS DE CORRUPCIÓN ...................................................... 41 11.1 Identificación del riesgo de corrupción ............................................................................................................ 42 11.2 Valoración del riesgo de corrupción ................................................................................................................. 43 11.3 Determinación de la probabilidad ...................................................................................................................... 43 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 3 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad11.4 Determinación del impacto................................................................................................................................. 44 11.5 Análisis del riesgo inherente: ............................................................................................................................ 45 11.6 Valoración de controles y tratamiento del riesgo ............................................................................................ 46 11.7 Seguimiento riesgos de corrupción .................................................................................................................. 46 12. GESTION DE LOS RIESGOS DE SEGURIDAD DIGITAL ................................................................................... 48 12.1 Identificación de los activos de seguridad de la información ......................................................................... 48 12.2 Identificación del riesgo de seguridad de la información ............................................................................... 48 12.3 Valoración del riesgo de seguridad de la información: ................................................................................... 50 12.4 Controles asociados a la seguridad de la información: .................................................................................. 50 13. GESTION DE LOS RIESGOS DEL SISTEMA DE SEGURIDAD Y SALUD EN EL TRABAJO ........................... 50 14. GESTIÓN DE LOS RIESGOS EN LOS PROCESOS DE CONTRATACIÓN ....................................................... 51 15. ACTUALIZACIÓN DEL MAPA DE RIESGOS ...................................................................................................... 52 16. METODOLOGÍA PARA LA GESTIÓN DE LAS OPORTUNIDADES ................................................................... 53 17. COMUNICACIÓN Y CONSULTA ......................................................................................................................... 53 18. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA ADMINISTRATIVA ............................................................................................................................................... 54 19. CONTROL DE LAS SALIDAS NO CONFORMES ............................................................................................... 55 BIBLIOGRAFÍA ................................................................................................................................................... 56 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 4 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad TABLA DE ILUSTRACIONES Ilustración 1. Metodología para la Administración del Riesgo ........................................................................................... 17 Ilustración 2. Conocimiento y análisis de la Entidad .......................................................................................................... 18 Ilustración 3. Operatividad Institucionalidad para la Administración del Riesgo ................................................................ 19 Ilustración 4 Definiciones de apetito, tolerancia y capacidad de riesgo............................................................................ 20 Ilustración 5 Cadena de Valor .......................................................................................................................................... 23 Ilustración 6 Estructura propuesta para la redacción del riesgo ....................................................................................... 25 Ilustración 7 Estructura para el desarrollo de la valoración del riesgo.............................................................................. 27 Ilustración 8 Matriz de calor (niveles de severidad del riesgo) ......................................................................................... 30 Ilustración 9 Ejemplo de estructura de redacción ............................................................................................................. 31 Ilustración 10 Ciclo del proceso y las tipologías de controles .......................................................................................... 32 Ilustración 11 Movimiento en la matriz de calor acorde con el tipo de control .................................................................. 34 Ilustración 12. Responsabilidades para riesgos de corrupción materializados ................................................................. 40 Ilustración 13 Matriz de calor para riesgos de corrupción ................................................................................................ 46 TABLAS Tabla 1 Factores de Riesgo ................................................................................................................................ 24 Tabla 2 Clasificación de Riesgos ......................................................................................................................... 26 Tabla 3 Criterios para definir el nivel de probabilidad ............................................................................................ 28 Tabla 4 Criterios para definir el nivel de impacto ................................................................................................... 29 Tabla 5 Tipologías de controles .......................................................................................................................... 32 Tabla 6 Atributos para el Diseño del Control ........................................................................................................ 33 Tabla 7. Aplicación de controles para establecer el riesgo residual ......................................................................... 35 Tabla 8 Procesos, procedimientos o actividades susceptibles de riesgos de corrupción .......................................... 42 Tabla 9. Criterios para definir el nivel de probabilidad............................................................................................ 43 Tabla 10. Criterios para calificar el Impacto – Riesgos de corrupción ....................................................................... 44 Tabla 11. Ejemplos Vulnerabilidades y Amenazas por tipo de activo ....................................................................... 49 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 5 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad INTRODUCCIÓN Las Entidades públicas existen con el fin último de generar resultados que atiendan los planes de desarrollo, garanticen los derechos y resuelvan las necesidades y problemas de sus grupos de interés, grupos de valor y ciudadanos en general, con integridad y calidad en el servicio, generando valor público. En su camino cotidiano se enfrentan con la faltade certeza en diversos ámbitos, por lo que el reto de toda Entidad consiste en determinar cuanta incertidumbre se puede y se desea aceptar mientras se genera valor público, que realmente permita la obtención de los resultados planificados. Al operar en ambientes donde factores como la globalización, los cambios políticos, económicos, tecnológicos, ambientales, legales, sociales y culturales, los mercados cambiantes, la competencia y la dinámica interna de sus propios procesos, crean incertidumbre, se debe considerar que estos eventos, implican riesgos que pueden representar tanto amenazas como oportunidades para la Entidad. En este sentido, el Ministerio de Ciencia, Tecnología e Innovación incorpora esfuerzos que permitan el cumplimiento de su misión institucional y la generación de acciones coherentes que permitan el logro de los objetivos propuestos; para ello, ejecuta diferentes actividades enmarcadas bajo una gestión por procesos que puede verse afectada por la presencia de riesgos, por tanto se hace necesario contar con una herramienta encaminada a administrar y prevenir la ocurrencia de riesgos que puedan generar efectos negativos al interior de la Entidad y que al mismo tiempo permita potencializar las oportunidades identificadas. Una adecuada administración de los riesgos permite a la alta dirección tratar la incertidumbre de una manera eficaz y por tanto generar con mayor certeza valor público a la gestión institucional. La presente guía es un instrumento de tipo preventivo para identificar, analizar, evaluar, tratar, comunicar, monitorear, revisar y realizar seguimiento a los riesgos de la corrupción, de seguridad digital y de gestión, a fin de optimizar y enfocar los esfuerzos institucionales en acciones estandarizadas que permitan abordar y tratar los riesgos identificados en forma eficaz y efectiva en coherencia con los objetivos y metas institucionales, potencializando las oportunidades identificadas. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 6 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 1. OBJETIVO GENERAL Definir los lineamientos para la implementación y desarrollo de la política de administración del riesgo y la gestión de las oportunidades del Ministerio de Ciencia, Tecnología e Innovación, a través de un conjunto de lineamientos orientados a un adecuado control y gestión de los riesgos de corrupción, de seguridad digital y de gestión, identificados en cada uno de los procesos que hacen parte del Sistema de Gestión Organizacional, así como de la gestión articulada de las oportunidades a fin de garantizar el cumplimiento de la misión y objetivos estratégicos de la Entidad. 1.2 OBJETIVOS ESPECÍFICOS • Generar una visión sistémica de la administración de los riesgos de la Entidad, evidenciada en un ambiente de control adecuado y un direccionamiento estratégico que fije una orientación clara y planeada sobre las actividades de control y seguimiento para abordar las amenazas y oportunidades identificadas. • Proteger los recursos de la Entidad, resguardándolos contra la materialización de los riesgos valorados como amenazas de corrupción, de seguridad digital o de gestión. • Implementar y fortalecer dentro de los procesos y procedimientos controles, que permitan evitar, reducir o mitigar, las vulnerabilidades o potenciales amenazas que se puedan presentar. • Involucrar y comprometer a todos los servidores de la Entidad en la búsqueda de acciones encaminadas a gestionar los riesgos de los procesos en los cuales participa. • Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la administración un aseguramiento razonable con respecto al logro de estos. • Suministrar lineamientos basados en una adecuada gestión del riesgo y control a los mismos, que permitan a la Entidad, tener una seguridad razonable en el logro de sus objetivos, bajo el cumplimiento de normas, leyes y regulaciones aplicables. • Ofrecer herramientas para identificar, analizar, evaluar los riesgos y determinar roles y responsabilidades de cada uno de los colaboradores de la Entidad. 2. ALCANCE Esta guía define los lineamientos para la gestión y control de los riesgos de gestión, corrupción y seguridad digital de la Entidad partiendo desde la política de administración del riesgo, la construcción del mapa de riesgos, la comunicación, consulta y divulgación de los riesgos existentes, su priorización, seguimiento, monitoreo, revisión y actualización para la gestión integral de los riesgos. Se incluyen los lineamientos para la gestión de los riesgos de toda naturaleza, así como las directrices para la gestión de las oportunidades con el fin de garantizar un manejo sistemático, articulado y transversal en todos los procesos y funciones del Ministerio de Ciencia, Tecnología e Innovación. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 7 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 3. BENEFICIOS DE LA GESTIÓN DE RIESGOS La gestión de los riesgos institucionales da acceso a los siguientes beneficios inherentes: • Alinea el riesgo y la estrategia: en su evaluación de alternativas estratégicas, la dirección considera los riesgos priorizados por la Entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar las oportunidades o amenazas asociadas. • Mejora las decisiones de respuesta a los riesgos: La metodología de gestión de riesgos institucionales proporciona rigor para identificar las posibles oportunidades o amenazas que hacen parte del que hacer institucional y seleccionar entre las posibles alternativas de respuesta a las amenazas o a las oportunidades, la más viable y efectiva para alcanzar los resultados esperados. • Reduce las sorpresas y las pérdidas operativas: La gestión de los riesgos mejora la capacidad de la Entidad para identificar las amenazas o vulnerabilidades que pueden afectar su gestión y establecer respuestas, reduciendo las sorpresas y las pérdidas asociadas. • Identifica y gestiona la diversidad de riesgos para toda la Entidad: Cada Entidad se enfrenta a riesgos que inciden de manera negativa o positiva en el desempeño de sus procesos y en el logro de los resultados planificados; la gestión de riesgos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos. • Provee respuestas integradas a múltiples riesgos: La ejecución de los procesos conllevan riesgos inherentes, para lo cual la gestión de los riesgos favorece la elaboración de soluciones integradas para administrarlos, bajo la premisa de optimizar los recursos disponibles y garantizar la coherencia en las respuestas institucionales, en el momento de abordar las posibles vulnerabilidades o amenazas, así como las oportunidades identificadas. • Permite aprovechar las oportunidades: mediante la consideración de una amplia gama de potenciales eventos,la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo, a fin de potencializar los efectos deseables. • Enfoque preventivo: la gestión del riesgo permite la protección de los recursos, alcanzar mejores resultados y mejorar la prestación de servicios a sus grupos de valor en aspectos fundamentales frente a la generación de valor público. 4. DEFINICIONES Administración de riesgos: proceso efectuado por la Alta Dirección de la Entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación. (INTOSAI, 2000). Aceptación de riesgo: decisión generada por la Entidad de aceptar las consecuencias y probabilidad de un riesgo en particular, sin adelantar acciones de reducción y control. La aceptación del riesgo también se deriva del nivel de riesgo o umbral en el cual el Ministerio de Ciencia, Tecnología e Innovación acepta el riesgo. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 8 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Activo: en el contexto de seguridad digital son elementos tales como aplicaciones de la Entidad, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la Entidad para funcionar en el entorno digital 1. Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la Entidad. (ISO/IEC 27000) 2 Análisis de riesgo: uso sistemático de la información disponible para valorar los riesgos en función de las causas o agentes que los generan, las consecuencias generadas por un incidente y/o evento, su severidad y la posibilidad de ocurrencia de este, con el fin de estimar la zona de riesgo inicial (riesgo inherente). Apetito de Riesgo: Es el nivel de riesgo que la Entidad puede aceptar, relacionado con sus objetivos, el marco legal y las disposiciones de la Alta Dirección y del Órgano de Gobierno. El apetito de riesgo puede ser diferente para los distintos tipos de riesgos que la Entidad debe o desea gestionar 3. Capacidad de riesgo: Es el máximo valor del nivel de riesgo que una Entidad puede soportar y a partir del cual se considera por la Alta Dirección y el Órgano de Gobierno que no sería posible el logro de los objetivos de la Entidad 4 . Causa: todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo 5. Causa Inmediata: Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen la causa principal o base para que se presente el riesgo 6. Causa Raíz: Causa principal o básica, corresponde a las razones por la cuales se puede presentar el riesgo 7. Comunicación y Consulta: procesos continuos y reiterativos que una Entidad lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes interesadas, con respecto a la gestión del riesgo 8. Consecuencia: efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la Entidad, sus grupos de valor y demás partes interesadas 9. Control: Medida que permite reducir o mitigar un riesgo 10. Confidencialidad: propiedad de la información que la hace no disponible, es decir, divulgada a individuos, Entidades o procesos no autorizados. Disponibilidad: propiedad de ser accesible y utilizable a demanda por una Entidad. 1 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. 2 MINISTERIO DE TECNOLOGÍAS DE L INFORMACIÓN Y LAS COMUNICACIONES. Modelo de Seguridad y Privacidad de la Información – Seguridad y Privacidad de la Información. Bogotá, 2016, Versión 3.0.0. Página 11. 3 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. 4 Ibid. Página. 12. 5 Ibid. Página. 12. 6 Ibid. Página. 12 7 Ibid. Página. 12 8 ICONTEC. NTC31000:2018. Gestión del Riesgo. Términos y Definiciones. Numeral 2.12 Bogotá, 2018. Página 4. 9 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. 10 Ibid. Página. 12 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 9 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Establecimiento del Contexto: definición de los parámetros internos y externos que se han de tomar en consideración cuando se identifica y gestiona el riesgo 11. Esquema de líneas de defensa: esquema de asignación de responsabilidades para la gestión de riesgos y del control en una Entidad, a través de cuatro roles: línea estratégica, integrada por la alta dirección de la Entidad y el comité institucional de control interno; primera línea de defensa, integrada por los gerentes públicos y líderes de procesos, programas y proyectos; segunda línea de defensa, integrada por las oficinas de planeación, líderes de otros sistemas de gestión o comités de riesgos; tercera línea de defensa, integrada por las oficinas de control interno. Este esquema permite distribuir estas responsabilidades en varias áreas y evitando concentrarlas exclusivamente en las oficinas de control 12. Evaluación del riesgo: determinación de las prioridades de gestión del riesgo, mediante la comparación del nivel de riesgo hallado (riesgo inherente) y la evaluación de las medidas de control existentes. Es una etapa que busca confrontar los resultados del análisis de riesgo inicial frente a los controles establecidos, con el fin de determinar la zona de riesgo final (riesgo residual). Evento de seguridad de la información: presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad [ISO/IEC 27000]. Evitar el riesgo: decisión de no involucrarse en una situación o ejecutar una actividad en la cual se ha identificado un riesgo. Factores de Riesgo: Son las fuentes generadoras de riesgos 13. Fecha límite de tratamiento: fecha acordada para que el plan de tratamiento se haya ejecutado en su totalidad. Gestión del riesgo: es el conjunto de “Actividades coordinadas para dirigir y controlar una Entidad con respecto al riesgo 14. Gestión Integral Nuestra Aliada (GINA): Aplicativo a través del cual el Ministerio de Ciencia, Tecnología e Innovación administra la plataforma documental del Sistema de Gestión de la Entidad, los programas estratégicos y planes, indicadores, tablero de mando integral, riesgos y acciones de mejora. Impacto: las consecuencias que puede ocasionar a la Entidad la materialización del riesgo 15. Integridad: propiedadde exactitud y completitud 16. Identificación del riesgo: proceso para determinar lo que puede suceder, por qué y cómo impactaría en la Entidad. Incidente de seguridad de la información: evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información [ISO/IEC 27000:2007]. 11 ICONTEC. NTC31000:2018. Gestión del Riesgo. Términos y Definiciones. Numeral 2.9 Bogotá, 2018. Página 4. 12 FUNCIÓN PÚBLICA. Glosario Modelo Integrado de Planeación y Gestión. Bogotá, 2020 Página. 14 13 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12 14 ICONTEC. NTC31000:2018. Gestión del Riesgo. Términos y Definiciones. Numeral 2.2 Bogotá, 2018. Página 4. 15 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. 16 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 10 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Mapa de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias. Documento con la información resultante de la gestión del riesgo. Matriz de evaluación de riesgo: herramienta que es utilizada para realizar la identificación, análisis y evaluación de los riesgos y su clasificación. Medidas de mitigación: planificación y ejecución de actividades dirigidas a reducir o disminuir el nivel riesgo. Modelo de Seguridad y Privacidad de la Información (MSPI): ciclo de operación que consta de cuatro (4) fases (planificación, ejecución, monitoreo y revisión y mejora continua), las cuales permiten que las Entidades puedan gestionar adecuadamente la seguridad y privacidad de sus activos de información. Monitoreo: verificación, supervisión, observación crítica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado 17. Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos. En general la fórmula del Nivel del Riesgo puede ser Nivel de riesgo = Probabilidad * Impacto, sin embargo, pueden relacionarse las variables a través de otras maneras diferentes a la multiplicación, por ejemplo, mediante una matriz de Probabilidad – Impacto 18. Oportunidad: momento o circunstancia oportunos o convenientes para alcanzar un resultado esperado. Perfil del riesgo: descripción de cualquier conjunto de riesgos 19. Plan Anticorrupción y de Atención al Ciudadano: es un instrumento de tipo preventivo para el control de la corrupción, que debe ser diseñado por las Entidades públicas pertenecientes a todos los niveles de gobierno. Estos documentos se estructuran sobre cinco componentes: Gestión de Riesgos de Corrupción, Racionalización de Trámites, Rendición de Cuentas, Mecanismos para mejorar la Atención al Ciudadano y Transparencia y Acceso a la Información Pública. (Secretaría de Transparencia de la Presidencia de la República) 20. Plan de tratamiento de riesgos: se define como las decisiones de tratamiento de los riesgos y las actividades de control para su mitigación, a través de la aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de ocurrencia de los riesgos, sus consecuencias o ambas. Política de Administración del Riesgo: declaración de la Dirección y las intenciones generales de una Entidad con respecto a la gestión del riesgo21. La gestión o administración del riesgo establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos 22. Probabilidad de ocurrencia: se mide según la frecuencia (número de veces en que se ha presentado el riesgo en un período determinado) o por la factibilidad (factores internos o externos que pueden determinar que el riesgo se presente)23. 17 ICONTEC. NTC31000:2018. Gestión del Riesgo. Términos y Definiciones. Numeral 2.28 Bogotá, 2018. Página 9. 18 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 13. 19 Ibíd. Numeral 2.20 Bogotá, 2011. Página 4. 20 FUNCIÓN PÚBLICA. Glosario Modelo Integrado de Planeación y Gestión. Bogotá, 2020 Página. 21 21 ICONTEC. NTC31000:2018. Gestión del Riesgo. Términos y Definiciones. Numeral 2.4 Bogotá, 2018. 22 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 21 23 ICONTEC. NTC31000:2018. Gestión del Riesgo. Términos y Definiciones. Numeral 2.19. Bogotá, 2018. Página 7. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 11 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Estará asociado a la exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto de riesgo en el periodo de 1 año 24. Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar un valor, que utilizan las entradas para proporcionar un resultado previsto 25. Riesgo: Efecto que se causa sobre los objetivos de las Entidades, debido a eventos potenciales. Nota: Los eventos potenciales hacen referencia a la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos 26. Riesgos de Corrupción: posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado 27. Riesgo inherente: Nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad con el impacto nos permite determinar el nivel del riesgo inherente, dentro de unas escalas de severidad 28. Riesgo de Seguridad de la Información: posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000) 29. Riesgo Residual: El resultado de aplicar la efectividad de los controles al riesgo inherente 30. Sistema de Administración del Riesgo (SAR): sistema a través del cual una Entidad identifica, mide, monitorea y controla el Riesgo. Está conformado por un conjunto de elementos entre los que se pueden mencionar las políticas establecidaspor la Entidad en cuanto a su estructura organizacional, procesos, manejo de documentación, plataforma tecnológica y divulgación de la información y genera como documentos básicos el Mapa de Riesgos y Plan de Manejo de Riesgo. Transferir riesgos: cambiar la responsabilidad o cargas por las pérdidas a un tercero mediante legislación, contrato, seguros u otros medios. Tratamiento del riesgo: proceso para modificar el riesgo a través de las siguientes acciones: − Evitar el riesgo deduciendo no iniciar o continuar la actividad que lo originó. − Tomar o incrementar el riesgo con el fin de perseguir una oportunidad − Retirar la fuente del riesgo − Cambiar la probabilidad − Cambiar las consecuencias − Compartir el riesgo non una varias de las partes (incluyendo los contratos y la financiación del riesgo) 24 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. 25 ICONTEC. NTC9000:2015. Sistema de Gestión de Calidad-Fundamentos y Vocabulario. Numeral 3.4.1. Bogotá, 2015. Página 16. 26 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. 27 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12. 28 Función Pública. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 12 29 Ibid. Página. 12 30 Ibid. Página. 12 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 12 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad − Retener el riesgo a través de la decisión informada31. Tolerancia al Riesgo: es el valor de la máxima desviación admisible del nivel de riesgo con respecto al valor del Apetito de riesgo determinado por la Entidad32. Vulnerabilidad: representan la debilidad de un activo o de un control que puede ser explotada por una o más amenazas33. 5. MARCO LEGAL Nombre del Documento Descripción Ley 87 de 1993 Por la cual se establecen normas para el ejercicio del control interno en las Entidades y organismos del Estado y se dictan otras disposiciones, artículo 2º literal a) Proteger los recursos de la Entidad, Buscando su adecuada administración ante posibles riesgos que los afectan. Artículo 2 literal f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la Entidad y que puedan afectar el logro de los objetivos. Ley 489 de 1998 Por el cual se establece el Estatuto Básico de Entidad y Funcionamiento de la Administración Pública. Ley 1474 de 2011 Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública. Artículo 73. “Plan anticorrupción y de atención al ciudadano. Ley 1712 de 2014 Por medio de la cual se crea la ley de transparencia y del derecho de acceso a la información pública nacional y se dictan otras disposiciones Directiva Presidencial 09 de 1999 Se adoptan lineamientos para la implementación de la Política de Lucha Contra la Corrupción. Decreto 1083 de 2015 Por medio del cual se expide el Decreto Único Reglamentario del Sector de Función Pública. Art. 2.2.22.1 y siguientes. Establece que el Plan Anticorrupción y de Atención al Ciudadano hace parte del Modelo Integrado de Planeación y Gestión. Art. 2.2.21.6.1. Adopta la actualización del Modelo Estándar de Control Interno para el Estado Colombiano (MECI) Decreto 1499 de 2017 Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015. Adopta el Nuevo Modelo Integrado de Planeación y Gestión 31 ICONTEC. NTC31000:2018. Gestión del Riesgo. Términos y Definiciones. Bogotá, 2018. Página 8. 32 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 13. 33 Función Pública. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 13 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=62518 http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=61933#133 GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 13 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Nombre del Documento Descripción Consultar la “Guía para la administración del riesgo y el diseño de controles en Entidades públicas”, de la Función Pública en su versión 05, en el enlace https://www.funcionpublica.gov.co/documents/28587410/38054865/2021-01- 20_Guia_administracion_riesgos_f.pdf/6351b4f1-2299-8b6e-70b7-f99f6dd4c59a?t=1611257075079 Consultar Normograma en GINA módulo Documentos/Reportes/Normograma 6. ROLES Y RESPONSABILIDADES La gestión del riesgo está alineada con los requisitos de la dimensión del Modelo Integrado de Planeación y Gestión – MIPG de “Direccionamiento Estratégico” y de “Control interno”, que se desarrolla con el Modelo Estándar de Control, Interno - MECI a través de un esquema de líneas de defensa a través del cual se asignan responsabilidades y roles, el cual se distribuye en diversos servidores de la Entidad como sigue: L Í N E A E S T R A T É G I C A Rol principal: Analizar los riesgos y amenazas institucionales, que puedan afectar el cumplimiento de los planes estratégicos, así como definir el marco general para la gestión del riesgo (política de administración del riesgo) y el cumplimiento de los planes de la Entidad. Responsables: Alta dirección y Comité Institucional de Coordinación de Control Interno Aspectos Claves Los aspectos clave para el Sistema de Control Interno (SCI) a tener en cuenta por parte de la Línea Estratégica: ■ Fortalecimiento del Comité Institucional de Coordinación de Control Interno incrementando su periodicidad para las reuniones. ■ Evaluación de la forma como funciona el Esquema de Líneas de Defensa, incluyendo la línea estratégica. ■ Definición de líneas de reporte (canales de comunicación) en temas clave para la toma de decisiones, atendiendo el Esquema de Líneas de Defensa. ■ Definición y evaluación de la Política de Administración del Riesgo. La evaluación debe considerar su aplicación en la Entidad, cambios en el entorno que puedan definir ajustes, dificultades para su desarrollo, riesgos emergentes. ■ Evaluación de la política de gestión estratégica del Talento Humano (forma de provisión de los cargos, capacitación, código de Integridad, bienestar). Fuente: OAPII (2021) basados en la “Guía para la administración del riesgo y el diseño de controles en Entidades públicas” Versión 05 de Dic de 2020 y en el “Manual Operativo del Modelo Integrado de Planeación y Gestión” Versión 03 de Dic de 2019. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidadGUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 14 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 1 ª . L Í N E A D E D E F E N S A Rol principal: Desarrolla e implementa procesos de control y gestión de riesgos a través de su identificación, análisis, valoración, monitoreo y acciones de mejora. Responsables: A cargo de líderes de los procesos, programas y proyectos de la Entidad y de sus equipos de trabajo (en general Rol principal: diseñar, implementar y monitorear los controles, además de gestionar de manera directa en el día a día los riesgos de la Entidad. Así mismo, orientar el desarrollo e implementación de políticas y procedimientos internos y asegurar que sean compatibles con las metas y objetivos de la Entidad y emprender las acciones de mejoramiento para su logro. Aspectos claves Los aspectos clave para el Sistema de Control Interno (SCI) a tener en cuenta por parte de la 1ª Línea: ■ El conocimiento y apropiación de las políticas, procedimientos, manuales, protocolos y otras herramientas que permitan tomar acciones para el autocontrol en sus puestos de trabajo. ■ La identificación de riesgos y el establecimiento de controles, así como su seguimiento, acorde con el diseño de dichos controles, evitando la materialización de los riesgos. ■ El seguimiento a los indicadores de gestión de los procesos e institucionales, según corresponda. ■ La formulación de planes de mejoramiento, su aplicación y seguimiento para r esolver los hallazgos presentados. ■ La coordinación con sus equipos de trabajo, de las acciones establecidas en la planeación institucional a fin de contar con información clave para el seguimiento o autoevaluación aplicada por parte de la 2ª línea de defensa. Fuente: OAPII (2021) basados en la “Guía para la administración del riesgo y el diseño de controles en Entidades públicas” Versión 05 de Dic de 2020 y en el “Manual Operativo del Modelo Integrado de Planeación y Gestión” Versión 03 de Dic de 2019. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 15 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 2 ª . L Í N E A D E D E F E N S A Rol principal: Asegura que los controles y procesos de gestión del riesgo de la 1ª Línea de Defensa sean apropiados y funcionen correctamente, supervisan la implementación de prácticas de gestión de riesgo eficaces; así mismo, consolidar y analizar información sobre temas clave para la Entidad, base para la toma de decisiones y de las acciones preventivas necesarias para evitar materializaciones de riesgos, todo lo anterior enmarcado en la “autogestión” Responsables: A cargo de los servidores que tienen responsabilidades directas en el monitoreo y evaluación de los controles y la gestión del riesgo: Jefe de la Oficina Asesora de Planeación e Innovación Institucional, coordinadores de equipos de trabajo, supervisores e interventores de contratos o proyectos, coordinadores de otros sistemas de gestión de la Entidad, comités de contratación, áreas financieras o de TIC, entre otros, que generen información para el aseguramiento de la gestión. Aspectos Claves Los aspectos clave para el Sistema de Control Interno (SCI) a tener en cuenta por parte de la 2ª Línea son: ■ Aseguramiento de que los controles y procesos de gestión del riesgo de la 1ª Línea de Defensa sean apropiados y funcionen correctamente, supervisan la implementación de prácticas de gestión de riesgo eficaces. ■ Consolidación y análisis de información sobre temas claves para la Entidad, base para la toma de decisiones y de las acciones preventivas necesarias para evitar materializaciones de riesgos. ■ Trabajo coordinado con las oficinas de control interno o quien haga sus veces, en el fortalecimiento del Sistema de Control Interno. ■ Asesoría a la 1ª línea de defensa en temas clave para el Sistema de Control Interno: i) riesgos y controles; ii) planes de mejoramiento; iii) indicadores de gestión; iv) procesos y procedimientos. ■ Establecimiento de los mecanismos para la autoevaluación requerida (auditoría interna a sistemas de gestión, seguimientos a través de herramientas ob jetivas, informes con información de contraste que genere acciones para la mejora). Fuente: OAPII (2020) basados en la “Guía para la administración del riesgo y el diseño de controles en Entidades públicas” Versión 04 de Oct de 2018 y en el “Manual Operativo del Modelo Integrado de Planeación y Gestión” Versión 02 de agosto de 2018. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 16 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 3 ª . L Í N E A D E D E F E N S A Rol principal: Liderazgo estratégico, enfoque hacia la prevención, evaluación de la gestión del riesgo, relación con entes externos de control y evaluación y seguimiento. Responsables: A cargo del Jefe de la Oficina de Control Interno. Rol principal: proporcionar un aseguramiento basado en el más alto nivel de independencia y objetividad sobre la efectividad del Sistema de Control Interno (SCI) El alcance de este aseguramiento, a través de la auditoría interna cubre todos los componentes del Sistema de Control Interno. Aspectos Claves Los aspectos clave para el Sistema de Control Interno (SCI) a tener en cuenta por parte de la 3ª Línea: ■ A través de su rol de asesoría, orientación técnica y recomendaciones frente a la administración del riesgo en coordinación con la Oficina Asesora de Planeación o quien haga sus veces. ■ Monitoreo a la exposición de la Entidad al riesgo y realizar recomendaciones con alcance preventivo. ■ Asesoría proactiva y estratégica a la Alta Dirección y los líderes de proceso, en materia de control interno y sobre las responsabilidades en materia de riesgos. ■ Formar a la alta dirección y a todos los niveles de la Entidad sobre las responsabilidades en materia de riesgos. ■ Informar los hallazgos y proporcionar recomendaciones de forma independiente. Fuente: OAPII (2021) basados en la “Guía para la administración del riesgo y el diseño de controles en Entidades públicas” Versión 05 de Dic de 2020 y en el “Manual Operativo del Modelo Integrado de Planeación y Gestión” Versión 03 de Dic de 2019. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 17 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA,TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 7. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO En el Ministerio de Ciencia, tecnología e Innovación, las etapas definidas para la administración del riesgo son las que se ilustran a continuación: Ilustración 1. Metodología para la Administración del Riesgo Fuente: Guía para la administración del riesgo y el diseño de controles en Entidades públicas” Versión 05 de Dic de 2020 Con el propósito de concentrar cada una de las fases de administración del riesgo definidas en la presente guía, se utilizará como herramienta el módulo de “Gestión del Riesgo” del sistema de información “GINA”. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 18 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 7.1 Definición del Contexto estratégico Es preciso analizar el contexto general de la Entidad para establecer su complejidad, procesos, planeación institucional, entre otros aspectos, que permiten conocer y entender la Entidad y su entorno, lo que determinará el análisis de riesgos y la aplicación de la metodología en general Con el fin de identificar los factores externos e internos que inciden en el desempeño de los procesos y en el logro de las metas y objetivos establecidos en la planeación estratégica, la Entidad identifica el contexto tanto externo como interno, además del contexto del proceso y sus activos de Seguridad Digital, como insumo para la identificación de los riesgos y las oportunidades que inciden en la gestión. Ilustración 2. Conocimiento y análisis de la Entidad Fuente: Guía para la administración del riesgo y el diseño de controles en Entidades públicas Versión 5 - diciembre de 2020 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 19 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Algunos de los principales elementos que se deben tener en cuenta es el conocimiento de la Entidad, es decir la claridad de la misión, visión, objetivos estratégicos y planeación institucional, así como de los objetivos de los procesos estratégicos, misionales, de apoyo y evaluación del Ministerio de Ciencia, Tecnología e Innovación. De esta manera, es posible identificar los factores internos y externos que puedan generar riesgos en la Entidad y en consecuencia afectan su desempeño. Cuando se realiza el análisis del contexto externo es necesario identificar aquellas condiciones del entorno políticas, económicas, sociales, tecnológicas, ambientales, legales, entre otras, que puedan llegar afectar tanto los objetivos de los procesos como influenciar la dinámica de los aspectos asociados a la estructura organizacional, asignación presupuestal, la gestión del talento humano, la imagen institucional, los trámites internos de la Entidad y la gestión de los procesos. Vale resaltar que la definición del contexto estratégico podrá ser modificada teniendo en cuenta las actualizaciones del ejercicio de planeación institucional y los cambios del entorno. Así pues, para surtir la etapa de contexto estratégico es perentorio como primera medida, incorporar al mapa de riesgos aquellas causas (internas y externas) o agentes generadores de riesgo provenientes del entorno o de la misma Entidad que tienen la capacidad de originar un riesgo. Definir el contexto estratégico contribuye al control de la Entidad frente a la exposición al riesgo, ya que permite conocer las situaciones generadoras de riesgos, a fin de abordarlas de forma adecuada y asegurar que se logren los resultados previstos. Ilustración 3. Operatividad Institucionalidad para la Administración del Riesgo Fuente: Guía para la administración del riesgo y el diseño de controles en Entidades públicas Versión 5 - diciembre de 2020 7.2 Apetito del Riesgo Para definir el apetito del riesgo en el Ministerio, se deben aplicar los siguientes conceptos tomados de la “Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas” del año 2020: https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 20 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad • Nivel de riesgo: es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos. • Apetito de riesgo: es el nivel de riesgo que la Entidad puede aceptar en relación con sus objetivos, el marco legal y las disposiciones de la alta dirección. El apetito de riesgo puede ser diferente para los distintos tipos de riesgos que la Entidad debe o desea gestionar. • Tolerancia del riesgo: es el valor de la máxima desviación admisible del nivel de riesgo con respecto al valor del apetito de riesgo determinado por la Entidad. • Capacidad de riesgo: es el máximo valor del nivel de riesgo que una Entidad puede soportar y a partir del cual la alta dirección considera que no sería posible el logro de los objetivos de la Entidad. La relación de los conceptos se puede visualizar en la siguiente gráfica: Ilustración 4 Definiciones de apetito, tolerancia y capacidad de riesgo Fuente: Tomado de la Guía de buenas prácticas de gestión de riesgos del Instituto de auditores Internos (IIA GLOBAL), junio de 2013. Determinación de la capacidad de riesgo Para determinar la capacidad del riesgo, el Ministerio en conjunto con la alta dirección, aplica los valores de probabilidad e impacto, los cuales son sometidos a aprobación en el Comité de Gestión y Desempeño Sectorial e Institucional o en el Comité de Coordinación de Control Interno, de acuerdo con los valores establecidos en la Guía para la administración del riesgo y el diseño de controles en Entidades públicas: a) Valor máximo de la escala que resulta de combinar la probabilidad y el impacto. b) Valor máximo que, según el buen criterio de la alta dirección y bajo los requisitos del marco legal aplicable a la Entidad, puede ser resistido por la Entidad antes de perder total o parcialmente la capacidad de cumplir con sus objetivos. Este valor se denomina “capacidad de riesgo”. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidadGUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 21 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad La capacidad institucional de riesgo es el máximo valor de nivel de riesgo que puede soportar el Ministerio y a partir del cual se considera por parte de la alta dirección que no sería posible cumplir con los objetivos estratégicos trazados, los cuales están articulados con el Plan Nacional de Desarrollo. Determinación del apetito de riesgo El apetito de riesgo al igual que la capacidad institucional, debe tener un análisis desde la alta dirección para determinar el valor máximo deseable del nivel de riesgo que podría permitir en condiciones normales de operación del modelo integrado de planeación y gestión, el logro de los objetivos institucionales del Ministerio. Es decir, que el apetito de riesgo equivale al nivel de riesgo que la Entidad puede aceptar, relacionado con sus objetivos, el marco legal y las disposiciones de la alta dirección, no obstante, puede ser diferente para los distintos tipos de riesgos que el Ministerio debe o desea identificar y gestionar. Tolerancia de riesgo El valor de la máxima desviación del nivel de riesgo admitida, con respecto al valor del apetito de riesgo determinado por el Ministerio, es lo que se considera tolerancia de riesgo. La tolerancia de riesgo se determina, definiendo un valor que es igual o superior al apetito de riesgo y menor o igual a la capacidad de riesgo. De acuerdo con lo definido en la Guía para la administración del riesgo y el diseño de controles en Entidades públicas, el límite o valor de la tolerancia de riesgo es definido por la alta dirección y aprobada por el órgano de gobierno respectivo y no puede ser superior al valor de la capacidad de riesgo. La determinación de la tolerancia de riesgo es optativa para la Entidad y su uso está limitado a determinar el tipo de acciones para abordar los riesgos, dado que las acciones que se desprendan a partir del análisis de riesgos deben ser proporcionadas y razonables, lo cual se puede determinar en función del valor del nivel de riesgo residual obtenido y su comparación con el apetito y tolerancia de riesgo. 8. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO Con el fin de lograr los objetivos establecidos en su planeación estratégica y misionalidad, el Ministerio de Ciencia, Tecnología e Innovación, se compromete a instaurar y conservar un sistema que permita y garantice la identificación, registro, análisis, evaluación, monitoreo y control de los riesgos inherentes al desarrollo de la misión y el cumplimiento de los objetivos institucionales, promoviendo la eficacia y eficiencia administrativa, así como la transparencia de la Entidad. Lineamientos de la Política de Administración del Riesgo: • Corresponde a la Oficina Asesora de Planeación e Innovación Institucional y la Oficina de Control Interno, impulsar a nivel institucional una cultura de gestión del riesgo coherente con el Modelo Integrado de Planeación y Gestión, el Modelo Estándar de Control Interno – MECI, el Modelo de Seguridad y Privacidad de la Información y las Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano. • Para facilitar el cumplimiento de los propósitos y requerimientos del Sistema de Administración de Riesgos (SAR), se mantendrá adecuada la estructura organizacional, el modelo de operación por procesos y los roles, responsabilidades y autoridades de cada uno de los funcionarios y colaboradores de la Entidad. https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 22 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad • Con el fin de asegurar la comunicación y consulta, así como el establecimiento de roles, responsabilidades y autoridades en la gestión del riesgo la Entidad cuenta con un Equipo de Líderes y responsables de procesos, que esencialmente apoyan al área responsable del Sistema de Administración de Riesgos en la recolección y evaluación de la información sobre riesgos en cada una de las dependencias y procesos de la Entidad. • Para el tratamiento de riesgo la Entidad ejecutará acciones para evitar, reducir, transferir o asumir el riesgo calificado como amenaza; para el caso de las oportunidades se promoverán las acciones para aumentar los resultados esperados. Dichas opciones establecen las orientaciones para que los líderes, responsables de procesos y en general las áreas de la Entidad, formulen las acciones que conforman el plan manejo del riesgo. • Las disposiciones aplicables para la gestión del riesgo institucional se encuentran en el Procedimiento de “Identificación, Análisis, Valoración, Seguimiento y Evaluación del Riesgo” D102PR03 y en la Guía para la Gestión del Riesgo y las oportunidades del Ministerio de Ciencia, Tecnología e Innovación” D102PR03G01. • La consolidación de los riesgos identificados y el seguimiento a los mismos se llevará a cabo a través del módulo “Gestión del Riesgo” del aplicativo GINA (Gestión Integrada Nuestra Aliada)34. 9. IDENTIFICACIÓN DEL RIESGO En esta etapa se deben establecer las fuentes o puntos de riesgo, los eventos o riesgos, sus causas e impactos. Para el análisis se pueden involucrar datos históricos, análisis teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas (NTC ISO31000, Numeral 2.15) El objetivo es identificar los riesgos que estén o no bajo el control de la Entidad, para ello se debe tener en cuenta el contexto estratégico en el que opera la Entidad, la caracterización de cada proceso que contempla su objetivo y alcance y, también, el análisis frente a los factores internos y externos que pueden generar riesgos que afecten el cumplimiento de los objetivos, aplicando las siguientes fases: 9.1 Análisis de objetivos estratégicos y de los procesos: La Entidad debe analizar los objetivos estratégicos y revisar que se encuentren alineados con la misión y la visión institucionales, así como su desdoble hacia los objetivos de los procesos. Se plantea la necesidad de analizar su adecuada formulación, es decir, que contengan unos atributos mínimos, para lo cual puede hacer uso de las características mínimas: específico, medible, alcanzable, relevante y proyectado.35. Los objetivos de proceso deben ser analizados con base en las características mínimas (específico, medible, alcanzable, relevante y proyectado), pero además se debe revisar que los mismos estén alineados con la Misión y la Visión, es decir asegurar que os objetivos de proceso contribuyan a los objetivos estratégicos.36. 34 La configuración que surja en el módulo riesgos de la herramienta GINA, será implementada conforme a lo establecido en el Manual de Usuario Riesgos Pro y Manual de Configuración Pro, documentados por la empresa proveedora Pensemos. 35 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página.28 36 Ibid. Página. 30 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LAGESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 23 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 9.2 Identificación de los puntos de riesgo Dentro del flujo de los procesos identificados en el Ministerio, existen actividades en las que se tienen evidencia o indicios de que pueden presentarse eventos de riesgo operativo, los cuales deben mantenerse controlados para asegurar que cada uno de los procesos cumpla con su objetivo y se garantice la cadena de valor. Ilustración 5 Cadena de Valor Fuente: Guía para la administración del riesgo y el diseño de controles en Entidades públicas Versión 5 - diciembre de 2020 9.3 Identificación de áreas de impacto Se considera área de impacto a la consecuencia económica o reputacional a la cual se ve expuesta la Entidad en caso de materializarse un riesgo. Los impactos que aplican son afectación económica (o presupuestal) y reputacional.37 9.4 Identificación de áreas de factores de riesgo Son las fuentes generadoras de riesgos los siguientes: 37 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 30 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 24 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Tabla 1 Factores de Riesgo Factor Definición Descripción Procesos Eventos relacionados con errores en las actividades que deben realizar los servidores de la Entidad. Falta de procedimientos Errores de grabación, autorización Errores en cálculos para pagos internos y externos Falta de capacitación, temas relacionados con el personal Talento humano Incluye seguridad y salud en el trabajo. Se analiza posible dolo e intención frente a la corrupción. Hurtos activos Posibles comportamientos no éticos de los empleados Fraude interno (corrupción, soborno) Tecnología Eventos relacionados con la infraestructura tecnológica de la Entidad. Daño de equipos Caída de aplicaciones Caída de redes Errores en programas Infraestructura Eventos relacionados con la infraestructura física de la Entidad. Derrumbes Incendios Inundaciones Daños a activos fijos Evento externo Situaciones externas que afectan la Entidad. Suplantación de identidad Asalto a la oficina Atentados, vandalismo, orden público Fuente: Guía para la administración del riesgo y el diseño de controles en Entidades públicas Versión 5 - diciembre de 2020 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 25 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad 9.5 Descripción del riesgo Para describir un riesgo se deben considerar toda la información necesaria que sea clara para facilitar la interpretación del riesgo identificado por parte del responsable del proceso, del equipo de trabajo y de cualquier persona externa al proceso. La guía para la administración del riesgo y el diseño de controles en Entidades públicas propone la siguiente estructura que una mayor comprensión en la redacción y claridad que inicia con la frase POSIBILIDAD DE y se analizan los siguientes aspectos: Ilustración 6 Estructura propuesta para la redacción del riesgo Fuente: Guía para la administración del riesgo y el diseño de controles en Entidades públicas Versión 5 - diciembre de 2020 Desglosando la estructura propuesta se obtiene 38: Impacto: las consecuencias que puede ocasionar a la Entidad la materialización del riesgo. Causa inmediata: circunstancias o situaciones más evidentes sobre las cuales se presenta el riesgo, las mismas no constituyen la causa principal o base para que se presente el riesgo. Causa raíz: es la causa principal o básica, corresponden a las razones por la cuales se puede presentar el riesgo, son la base para la definición de controles en la etapa de valoración del riesgo. Se debe tener en cuenta que para un mismo riesgo pueden existir más de una causa o subcausas que pueden ser analizadas. 9.6 Clasificación del riesgo Los riesgos se clasifican con las siguientes categorías: 38 FUNCIÓN PÚBLICA. Guía para la administración del riesgo y el diseño de controles en Entidades públicas. Bogotá, 2020. Página. 30 https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad GUÍA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES Código: D102PR03G01 Versión: 01 Fecha: 2021-04-26 Página 26 de 57 SISTEMA DE GESTION INSTITUCIONAL DEL MINISTERIO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del Sistema de Gestión que son de interés de los grupos de valor y ciudadanía en general se encuentran en el Portal del Ministerio http:// https://minciencias.gov.co/quienes_somos/sistema-gestion-calidad Tabla 2 Clasificación de Riesgos Clase Descripción Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y administración de procesos. Fraude externo Pérdida derivada de actos de fraude por personas ajenas a la Entidad (no participa personal de la Entidad). Fraude interno Pérdida debido a actos de fraude, actuaciones irregulares, comisión de hechos delictivos abuso de confianza, apropiación indebida, incumplimiento de regulaciones legales o internas de la Entidad en las cuales está involucrado por lo menos 1 participante interno de la Entidad, son realizadas de forma intencional y/o con ánimo de lucro para sí mismo o para terceros. Fallas tecnológicas Errores en hardware, software, telecomunicaciones, interrupción de servicios básicos. Relaciones laborales Pérdidas que surgen de acciones contrarias a las leyes o acuerdos de empleo, salud o seguridad, del pago de demandas por daños personales o de discriminación. Usuarios, productos y prácticas Fallas negligentes o involuntarias de las obligaciones frente a los usuarios y que impiden satisfacer una obligación profesional frente a éstos. Daños a activos fijos/ eventos externos Pérdida por daños o extravíos de los activos fijos por desastres naturales u otros riesgos/eventos externos como atentados, vandalismo, orden público. Fuente: Guía para la administración del riesgo y el diseño de controles en Entidades públicas Versión 5 - diciembre de 2020 Para facilitar el proceso de identificación de los riesgos se recomienda tener en cuenta el conocimiento previo de aquellas situaciones
Compartir