Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
ASIG01
Marcos Kitian
Compartir
Vista previa del material en texto
GUÍA PARA LA ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS MINISTERIO DE SALUD Y PROTECCIÓN SOCIAL BOGOTÁ, DICIEMBRE DE 2023 GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 2 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 TABLA DE CONTENIDO 1. OBJETIVO ................................................................................................................................................................ 3 2. ALCANCE ................................................................................................................................................................. 3 3. ÁMBITO DE APLICACIÓN ........................................................................................................................................ 3 4. DOCUMENTOS ASOCIADOS A LA GUÍA ............................................................................................................... 3 5. NORMATIVA Y OTROS DOCUMENTOS EXTERNOS ............................................................................................ 3 6. DEFINICIONES ......................................................................................................................................................... 5 7. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS INSTITUCIONALES ................................................................... 8 8. NIVELES DE AUTORIDAD Y RESPONSABILIDAD (ESQUEMA DE LÍNEAS DE DEFENSA) ............................... 8 9. CICLO EN LA GESTIÓN DEL RIESGO .................................................................................................................... 9 9.1 Análisis de Contexto Estratégico. ........................................................................................................................... 10 9.2 Inventario de Controles ........................................................................................................................................... 12 9.3 Identificación de riesgos. ......................................................................................................................................... 13 9.3.1 Riesgos de Gestión ................................................................................................................................................. 13 9.3.2 Riesgo Fiscal ........................................................................................................................................................... 14 9.3.3 Riesgos de Corrupción: ........................................................................................................................................... 16 9.4 Clasificación de los Riesgos ................................................................................................................................... 17 9.5 Factores de Riesgo ................................................................................................................................................. 17 9.6. Análisis del Riesgo .................................................................................................................................................. 25 9.6.1 Determinación de la probabilidad riesgos de gestión, Fiscales y Seguridad de la Información .............................. 25 9.6.2 Nivel de calificación de probabilidad riesgos de corrupción .................................................................................... 26 9.6.3 Niveles de calificación de impacto riesgos de Gestión, Fiscales y Seguridad de la Información ............................ 27 9.6.4 Niveles de Calificación de Impacto Riesgos de Corrupción .................................................................................... 28 9.7. Valoración del Riesgo .............................................................................................................................................. 32 9.7.1 Valoración de Controles Riesgos de Gestión, Fiscales y Seguridad de la Información………………… ………… 33 9.7.2 Valoración de los Controles Riesgos de Corrupción ............................................................................................... 34 9.8 Manejo y Niveles de Aceptación del Riesgo ............................................................................................................ 40 9.9 Tratamiento de los riesgos ...................................................................................................................................... 41 9.10 Frecuencia de seguimiento y monitoreo de los riesgos ......................................................................................... 43 9.11 Cierre de la gestión del riesgo de la vigencia anterior. ............................................................................................ 46 10. REPORTE DE EVENTOS DE RIESGOS MATERIALIZADOS ................................................................................ 47 GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 3 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 1. OBJETIVO Proporcionar una metodología que oriente la identificación, análisis, valoración, tratamiento, monitoreo y seguimiento a los riesgos que puedan afectar la gestión de los procesos del Sistema Integrado de Gestión –SIG-, específicamente con enfoque de gestión, corrupción, fiscal y seguridad de la Información. 2. ALCANCE La metodología debe ser aplicada para: a) Administrar los riesgos de gestión identificados en todos los procesos del Sistema Integrado de Gestión del Ministerio de Salud y Protección Social -estratégicos, misionales, de apoyo y evaluación. b) Administrar los riesgos para aquellos procesos que en el desarrollo de sus actividades sean vulnerables a escenarios de corrupción. c) Administrar los riesgos asociados a seguridad de la información de acuerdo con los procesos señalados en el Sistema de Gestión de Seguridad de la Información. d)) Administrar los riesgos para aquellos procesos que en el desarrollo de sus actividades identifiquen eventos potenciales que puedan llevar a un efecto dañoso sobre recursos Públicos o bienes o intereses patrimoniales de naturaleza Pública, en este sentido, se tienen que identificar riesgos fiscales. 3. ÁMBITO DE APLICACIÓN A los procesos establecidos por el Ministerio de Salud y Protección Social, en el Sistema Integrado de Gestión SIG. 4. DOCUMENTOS ASOCIADOS A LA GUÍA • Proceso ASIC01 Administración del Sistema Integrado de Gestión • Política ASIS06 de Administración de Riesgos Institucionales • Procedimiento ASIP02 Administración Integral de Riesgos Institucionales. • Procedimiento ASIP04 Administración del Sistema de Gestión de Seguridad de la Información. • Procedimiento ASIP10 Planes de Mejora • Formato ASIF09 Ficha Integral del Riesgo. • Formato ASIF17 Inventario de activos de Seguridad Digital. 5. NORMATIVA Y OTROS DOCUMENTOS EXTERNOS Constitución Política 1991, adopta los principios de la función administrativa y elimina el control fiscal previo y obligatoriedad para todas las entidades estatales de contar con el control interno. Ley 87 de 1993, crea el Sistema Institucional de Control Interno y dota a la administración de un marco para el control de las actividades estatales, directamente por las mismas autoridades. Ley 489 de 1998, fortalece el Control Interno, con la creación del Sistema Nacional de Control Interno. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 4 de 52 Unavez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Ley 1753 de 2015, integra en un solo Sistema de Gestión, los Sistemas de Gestión de la Calidad (Ley 872 de 2003) y de Desarrollo Administrativo (Ley 489 de 1998) articulado con los Sistemas Nacional e Institucional de Control Interno (Ley 87 de 1993 y en los artículos 27 al 29 de la Ley 489 de 1998). Ley 1712 de 2014, crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y entre otras disposiciones, ordena publicar el Plan Anticorrupción y de Atención al Ciudadano. Ley 1474 de 2011, dicta normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública y ordena que las entidades del orden nacional, departamental y municipal deberán elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otros aspectos, el mapa de riesgos de corrupción de la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias anti trámites y los mecanismos para mejorar la atención al ciudadano. Decreto 1083 de 2015, determina que las entidades públicas establecerán y aplicarán políticas de administración del riesgo, como parte integral del fortalecimiento de los sistemas de control interno. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las unidades de control interno o quien haga sus veces, evaluando aspectos, tanto internos como externos, que pueden llegar a representar amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control. Título 21 Sistema de Control Interno. Cap. 5 Art. 2.2.21.5.4 Administración de riesgos. Decreto 1499 de 2017, articula el Sistema de Gestión en el marco del Modelo Integrado de Planeación y Gestión – MIPG, a través de los mecanismos de control y verificación que permiten el cumplimiento de los objetivos y el logro de resultados de las entidades. Actualiza el Modelo Estándar de Control Interno para el Estado Colombiano – MECI a través del Manual Operativo del Modelo Integrado de Planeación y Gestión – MIPG (correspondiendo a la 7° Dimensión de MIPG). Resolución 2363 de 2018. se crean, conforman y definen algunos órganos de Asesoría y Coordinación del Ministerio de Salud y Protección Social Estándares de referencia Guía para la administración del riesgo y el diseño de controles en entidades públicas - Versión 6 - noviembre de 2022. Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión, corrupción y seguridad de la información - Versión 4 - octubre de 2018 Guía rol de las unidades u oficinas de control interno, auditoría interna o quien haga sus veces, versión 3 septiembre de 2023. Catálogo Indicativo y Enunciativo de Puntos de Riesgo Fiscal y Circunstancias Inmediatas (Anexo publicado por Departamento Administrativo de Función Pública)- Anexo Norma ISO 31.000 2018, Norma internacional que proporciona principios y directivas eficaces para el tratamiento y la gestión de riesgos. ISO/IEC 27001:2013, Norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad digital en una empresa. Cartilla Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano. Secretaría de Transparencia Presidencia de la República.2015. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 5 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 6. DEFINICIONES ACEPTACIÓN DEL RIESGO: decisión informada de asumir un riesgo concreto. ACTIVO DE INFORMACIÓN: en seguridad digital, es cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización. ACTIVO: en el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital. AMENAZA: situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o una organización APETITO DE RIESGO nivel de riesgo que la entidad puede aceptar, teniendo en cuenta sus objetivos, el marco legal y las disposiciones de la Alta Dirección y del Órgano del Gobierno. El apetito del riesgo puede ser diferente para los distintos tipos de riesgo que la entidad debe o desea gestionar. ANÁLISIS DE RIESGO: proceso para comprender la naturaleza del riesgo y determinar el nivel del riesgo inherente. BIEN PÚBLICO: Son aquellos muebles e inmuebles de propiedad pública (este concepto comprende: bienes del Estado y aquellos productos del ejercicio de una función Pública a cargo de particulares). Estos se clasifican en bienes de uso público y bienes fiscales, definidos así: a) Bien de uso público: aquellos cuyo uso pertenece a todos los habitantes del territorio Nacional. Ejemplo: calles, plazas, puentes, vías, parques, etc. b) Bienes Fiscales: aquellos están destinados al cumplimiento de la funciones públicas o servicios públicos, es decir, afectos al desarrollo de su misión y utilizados para sus actividades. Ejemplo: los terrenos, edificios, Oficinas, construcciones, equipos, enseres, mobiliario, etc. CAUSA: todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo. CAUSA RAIZ: causa principal o básica, corresponde a las razones por las cuales se puede presentar un riesgo. Nota: Tratándose de riesgo fiscal, es el evento (acción u omisión) de que presentarse es el generador directo de un efecto dañoso sobre los bienes, recursos o intereses patrimoniales de naturaleza pública. Es la condición necesaria, de tal forma que, si ese hecho no se produce, el daño no se genera, así las cosas, la causa raíz se asocia con aquel hecho potencial generador CAUSA INMEDIATA: Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen la causa principal o base para que se presente el riesgo. Nota: Tratándose de riesgo fiscal, se usa el término circunstancia inmediata. CONFIDENCIALIDAD: propiedad de la información que la hace no disponible sea divulgada a individuos, entidades o procesos no autorizados. CONSECUENCIA: efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas. CONTEXTO DE LA ENTIDAD: definición de las características o aspectos esenciales del entorno interno y externo en el cual opera la entidad. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 6 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 CONTROL: Medida que permite reducir o mitigar un riesgo. CONTROL AUTOMÁTICO: son ejecutados por un sistema. CONTROL PREVENTIVO: acción y/o mecanismo ejecutado antes que se realice la actividad originadora del riesgo, que busca establecer condiciones que aseguren el resultado final esperado. En general estos controles actúan sobre las causas del riesgo. CONTROL CORRECTIVO: acción que se ejecuta después que se materializa el riesgo y en la mayoría de ocasiones permiten reducir el impacto de dicho riesgo CONTROL DETECTIVO: control accionado durante la ejecución del proceso. Estos controles EVALUACIÓN DE RIESGOS. Etapa de la gestión del riesgo que busca confrontar los resultados del análisis del riesgo inicial frentea los controles establecidos, con el fin de determinar la zona del riesgo final. FACTORES DE RIESGO: Fuentes generadoras de riesgo. GESTIÓN DE RIESGOS: Proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. GESTIÓN DEL RIESGO FISCAL: son las actividades que debe desarrollar cada Entidad y todos los gestores públicos (ver concepto de gestor público) para identificar, valorar, prevenir y mitigar los riesgos fiscales (probabilidad de efecto dañoso sobre los bienes, recursos y/o intereses patrimoniales de naturaleza pública, a causa de un evento potencial). GESTOR FISCAL: Son los servidores públicos y las personas de derecho privado que manejen y administren recursos o fondos Públicos, desarrollando actividades económicas, jurídicas y tecnológicas, tendientes a la adecuada y correcta adquisición, planeación, conservación, administración, custodia, explotación, enajenación, consumo, adjudicación, gasto, inversión y disposición, así como, a la recaudación, manejo e inversión de sus rentas, en orden a cumplir los fines esenciales del estado GESTOR PÚBLICO: Es todo aquel que participa, concurre, incide o contribuye directa o indirectamente en el manejo o administración de bienes, recursos o intereses patrimoniales de naturaleza pública, sean o no gestores fiscales, por lo tanto, son todos los gestores públicos y no sólo los que desarrollan gestión fiscal, los llamados a prevenir riesgos fiscales. PUNTO DE RIESGO: Actividades en las que potencialmente se genera riesgo. Tratándose de riesgo fiscal los puntos de riesgo son todas las actividades que representen gestión fiscal, por ejemplo, aquellas de administración, gestión, ordenación, ejecución, manejo, adquisición, planeación, conservación, custodia, explotación, enajenación, consumo, adjudicación, gasto, inversión y disposición de los bienes o recursos públicos o intereses de naturaleza pública. Para la identificación y priorización de los puntos de riesgo, la entidad deberá tener en cuenta aquellas actividades en las cuales se han presentado advertencias, alertas, hallazgos fiscales y/o fallos con responsabilidad fiscal, así como, aquellas actividades que la organización identifique que pueden generar riesgos fiscales. Para facilitar el ejercicio de identificación de puntos de riesgo consulte el Anexo: Catálogo Indicativo y Enunciativo de Puntos de riesgo fiscal y Circunstancias Inmediatas. IMPACTO: Consecuencias que puede ocasionar a la organización la materialización de un riesgo. INTERESES PATRIMONIALES DE NATURALEZA PÚBLICA: son expectativas razonables de beneficio, que en condiciones normales se espera obtener o recibir y que sean susceptible de estimación económica. A diferencia del recurso público los intereses patrimoniales de naturaleza pública son expectativas. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 7 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 PATRIMONIO PUBLICO: se entiende como el conjunto de bienes o recursos o intereses patrimoniales de naturaleza pública, susceptibles de estimación económica. NIVEL DE RIESGO: Valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos. PLAN ANTICORRUPCIÓN Y ATENCIÓN AL CIUDADANO: Plan que contempla la estrategia de lucha contra la corrupción, que debe ser implementado por todas las entidades del orden nacional, departamental y municipal. PROBABILIDAD: Se entiende como la posibilidad de ocurrencia del riesgo. Estará asociada a la exposición del riesgo, del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto del riesgo en el periodo de un (1) año. RECURSO PÚBLICO: Para efectos del capítulo de riesgos fiscales, entiéndase como recurso público, los dineros comprometidos y ejecutados en ejercicio de la función pública. Ejemplos: Los recursos de inversión y recursos de funcionamiento de cada entidad; los recursos generados por actividades comerciales, industriales y de prestación de servicios, por parte de entidades estatales; los recursos parafiscales; los recursos que resultan del ejercicio de funciones públicas por particulares. RIESGO: Efecto que se causa sobre los objetivos de las entidades, debido a eventos potenciales. Los eventos potenciales hacen referencia a la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura, o por la ocurrencia de acontecimientos externos. RIESGO DE CORRUPCIÓN: Posibilidad que, por acción u omisión, se use el poder para poder desviar la gestión de lo público hacia un beneficio privado. RIESGO DE SEGURIDAD DE LA INFORMACIÓN: Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas. Son los riesgos que se generan a partir de la disponibilidad, protección, integridad y acceso a la información de la organización a través de su infraestructura, métodos y procesos de generación, almacenamiento, transporte, consulta y análisis. Son aquellos riesgos que atenten contra la disponibilidad, confidencialidad e integridad de la información independiente del medio en que esta se encuentre. Sin embargo, cada líder de proceso será el encargado de gestionar las acciones que le correspondan de los planes de tratamiento definidos para mitigar los riesgos. RIESGO FISCAL: es el efecto dañoso sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública, a causa de un evento potencial. RIESGO INHERENTE: nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad con el impacto, nos permite determinar el nivel de riesgo inherente, dentro de unas escalas de severidad. RIESGO RESIDUAL: resultado de aplicar la efectividad de los controles al riesgo inherente. TOLERANCIA AL RIESGO: niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción la tolerancia es inaceptable. TRATAMIENTO DEL RIESGO: respuesta establecida para la mitigación de los diferentes riesgos: Aceptar, reducir, evitar y compartir. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 8 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 VALORACIÓN O ANÁLISIS DE RIESGOS: etapa de la gestión del riesgo que consiste en establecer la probabilidad de ocurrencia del riesgo y el nivel de consecuencia o impacto, con el fin de estimar la zona de riesgo inicial. VULNERABILIDAD: representa la debilidad de un activo o un control que puede ser explotada por una o más amenazas. 7. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS INSTITUCIONALES La Política de Administración de Riesgos Institucional, es el documento en el que la Dirección establece los lineamientos que deben seguir todos los servidores de la entidad para el tratamiento, manejo y seguimiento a los riesgos que afectan el logro de los objetivos institucionales.La política debe contener como mínimo objetivo, alcance, niveles de aceptación del riesgo, niveles para calificar el impacto y probabilidad, tratamiento del riesgo, periodicidad para el seguimiento y niveles de autoridad y responsabilidad. (Ver ASIS06 Política de Administración de Riesgos Institucionales) 8. NIVELES DE AUTORIDAD Y RESPONSABILIDAD (ESQUEMA DE LÍNEAS DE DEFENSA) El esquema de líneas de defensa es la metodología que facilita la identificación de las principales instancias internas responsables de la gestión del riesgo y del Sistema de Control Interno, con una visión basada en los diferentes niveles de autoridad y responsabilidad, (Ver ASIS06 Política de Administración de Riesgos Institucionales). A continuación, una corta explicación en contexto de cada línea de defensa • Línea estratégica de defensa: está conformada por la Alta Dirección y el Comité Institucional de Coordinación de Control Interno. Esta línea tiene la responsabilidad en la emisión, revisión, validación y supervisión del cumplimiento de políticas en materia de control interno, gestión del riesgo, seguimientos a la gestión y auditoría interna para toda la entidad. • Primera línea de defensa: en esta línea de defensa actúan los servidores en sus diferentes niveles, quienes aplican las medidas de control interno en las operaciones cotidianas. Cuando se trate de servidores que ostenten un cargo de responsabilidad (jefe) dentro de la estructura organizacional, estos se denominan controles de gerencia operativa, ya que son aplicados por líderes o responsables de proceso. Sus actividades apuntan a identificar, evaluar, controlar y mitigar los riesgos. • Segunda línea de defensa: esta línea de defensa estará conformada por servidores que ocupan cargos del nivel directivo o asesor (media o alta gerencia), quienes supervisan temas transversales para la entidad y rinden cuentas ante la Alta Dirección. Aquí se incluyen a los jefes de planeación, o quienes hagan sus veces; coordinadores de equipos de trabajo, coordinadores de sistemas de gestión, gerentes de riesgos (donde existan), líderes o coordinadores de contratación, financiera y de TIC, entre otros que se deberán definir acorde con la complejidad y misionalidad de cada entidad. Lo anterior permite contar con esquemas de seguimiento o autoevaluación permanente de la gestión, con el fin de orientar y generar alertas a las personas que hacen parte de la 1ª línea de defensa, así como a la alta Dirección (Línea Estratégica). • Tercera línea de defensa: esta línea de defensa está conformada por la Oficina de Control Interno, quienes evalúan de manera independiente y objetiva los controles de 2ª línea de defensa para asegurar su efectividad y cobertura; así mismo, evalúa los controles de 1ª línea de defensa que no se encuentren cubiertos o inadecuadamente cubiertos por la 2ª línea de defensa. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 9 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Gráfico1: ilustración Esquema de Líneas de Defensa Fuente: Guía rol de Unidades u oficinas de Control Interno, auditoría interna v3 2023 DAFP 9. CICLO EN LA GESTIÓN DEL RIESGO Gráfico 2. Ciclo Gestión del Riesgo. Fuente: propia 1. Politica de Administración de riesgos 2.Analisis de Contexto estratégico 3. Análisis de contexto de Proceso 4. Inventario de Controles 5. Identificación del Riesgo 6. Análisis del Riesgo 7. Valoración del Riesgo 8. Manejo del Riesgo (tratamiento) 9. Monitoreo 10. Seguimiento Vigencia GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 10 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Tabla 01: Ciclo de la Gestión de Riesgo Política Administración de Riesgos La Oficina Asesora de Planeación y Estudios Sectoriales, anualmente debe revisar la Política de Administración de Riesgos Institucionales y ajustar si se requiere. La aprobación de la nueva versión la realiza el Comité Institucional de Coordinación de Control Interno. Análisis de contexto estratégico Se realiza análisis de contexto, a partir de los objetivos estratégicos institucionales. Cada proceso debe alinear su gestión con los objetivos e identificar las actividades clave que contribuyen a alcanzar el cumplimiento de los mismos. Esta actividad permite priorizar escenarios de posibles riesgos. Análisis de Contexto de Proceso Se realiza análisis de contexto de proceso, identificando factores internos y externos a partir de la metodología DOFA. Inventario de Controles Se debe realizar inventario de los controles del proceso, teniendo en cuenta la estructura en la redacción, contemplada en el presente documento y tipología de control. Identificación del Riesgo Identificar los riesgos más significativos que puedan afectar el logro de los objetivos del proceso e institucionales de acuerdo con el análisis estratégico realizado y la identificación de factores internos y externos del proceso, determinar causas que los originen y consecuencias de su materialización. Análisis del Riesgo En esta fase se realiza análisis de probabilidad y de impacto, de acuerdo con las tablas contempladas en la presente guía, a partir de este análisis se obtiene el nivel de riesgo inherente. Es necesario realizar comentario explicando el nivel de probabilidad e impacto. Valoración del riesgo En esta fase se establecen controles, que se deben alinear a las causas identificadas y de acuerdo al enfoque del control y la valoración de atributos de cada uno de los controles, se obtiene el nivel de riesgo residual. Se debe realizar comentario de acuerdo con nivel de riesgo residual obtenido. Manejo del riesgo Establecer de acuerdo con las opciones de tratamiento, el manejo del riesgo. Monitoreo El reporte de monitoreo de riesgos de gestión, corrupción y fiscales, lo debe realizar el facilitador trimestralmente en el aplicativo MiGestión. El reporte se realiza por cada uno de los controles, adjuntando evidencias que permitan constatar que el control opera con normalidad. Seguimiento y Evaluación La Oficina de Control Interno realiza seguimiento y evaluación: Para los riesgos de corrupción, de manera cuatrimestral. Para riesgos de gestión, fiscales y seguridad de la información, según cronograma establecido. Cierre de Vigencia El líder de proceso de acuerdo con las indicaciones de la Oficina Asesora de Planeación y Estudios Sectoriales, debe realizar cierre anual de los riesgos. Para ello debe hacer un análisis y determinar si el riesgo se mantiene, se actualiza o se incluyen nuevos riesgos, aplicando el formato establecido a nivel institucional. 9.1 Análisis de Contexto Estratégico. Son las condiciones del entorno en el que opera la entidad, que pueden generar oportunidades o afectar negativamente el cumplimiento de la misión y los objetivos de una institución. El análisis de contexto estratégico se realiza por medio del formato establecido, para ello se debe determinar con cual o cuales objetivo (s) estratégico (s) se encuentran alineados a la gestión del proceso y a partir de esta alineación se identifican actividades clave realizadas desde el proceso y aportan para alcanzar las metas de estos objetivos institucionales, así mismo se debe especificar el procedimiento relacionado con la actividad. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 11 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 A continuación, una imagen del formato a diligenciar en el análisis de contextoestratégico: Grafico 3: Formato análisis de contexto estratégico Grafico 4: ejemplo del diligenciamiento Posteriormente se realiza el análisis de contexto del proceso, donde a partir de la metodología DOFA o FODA, se analiza el entorno tanto interno como externo a partir de dos categorías: a) factores externos (amenazas y oportunidades), las primeras, son situaciones que pueden atentar contra un desempeño eficiente y las oportunidades, aquellas condiciones que pueden contribuir al logro de los resultados institucionales, b) factores internos (debilidades y fortalezas), las primeras, son falencias institucionales que obstaculizan GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 12 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 o imposibilitan el desempeño eficiente, eficaz y efectivo, y las segundas, potencialidades con que cuenta la organización para su desarrollo Grafico 5: formato contexto de proceso 9.2 Inventario de Controles Se realiza una revisión documental y se determina el inventario de los diferentes controles que estén inmersos en el cumplimiento del objetivo, documentados en todos los procedimientos del proceso de acuerdo a la siguiente clasificación: • Control preventivo: control accionado en la entrada del proceso y antes de que se realice la actividad originadora del riesgo, se busca establecer las condiciones que aseguren el resultado final esperado. • Control detectivo: control accionado durante la ejecución del proceso. Estos controles detectan el riesgo, pero generan reprocesos. • Control correctivo: control accionado en la salida del proceso y después de que se materializa el riesgo. Se deben documentar en el formato ASIF09 Ficha Integral del Riesgo y oportunidades “Inventario de controles”: La redacción de los controles se debe realizar teniendo en cuenta la siguiente estructura. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 13 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Grafico 6: formato inventario de controles 9.3 Identificación de riesgos. La identificación del riesgo se lleva a cabo realizando la descripción del riesgo y determinando las causas con base en el contexto interno, externo del proceso que pueden afectar el logro de los objetivos. Algunas causas externas no controlables por la entidad se podrán evidenciar en el análisis del contexto externo, para ser tenidas en cuenta en el análisis y valoración del riesgo y las posibles consecuencias. 9.3.1 Riesgos de Gestión La descripción del riesgo de gestión debe contener todos los detalles que sean necesarios y que sea fácil de entender tanto para el líder del proceso como para personas ajenas al proceso y debe responder a la siguiente estructura: iniciar con la expresión “POSIBILIDAD DE” e incluir los siguientes aspectos Grafico 7: estructura de identificación riesgos de Gestión Fuente: Presentación riesgos DAFP La anterior estructura permite entender la forma como se puede manifestar el riesgo, así como sus causas inmediatas y causas principales o raíz, información que es esencial para la definición de controles en la etapa de valoración del riesgo. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 14 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Desglosando la estructura propuesta tenemos: Impacto: las consecuencias que puede ocasionar a la organización la materialización del riesgo. Se basa considerando la perdida reputacional y/o la afectación económica y presupuestal. Causa inmediata: circunstancias o situaciones más evidentes sobre las cuales se presenta el riesgo, las mismas no constituyen la causa principal o base para que se presente el riesgo. Causa raíz: es la causa principal o básica, corresponden a las razones por la cuales se puede presentar el riesgo, son la base para la definición de controles en la etapa de valoración del riesgo. Se debe tener en cuenta que para un mismo riesgo puede existir más de una causa o subcausas que pueden ser analizadas. Ejemplo: Proceso: Gestión Contractual Objetivo: Adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su continua operación Alcance: Inicia con el análisis de necesidades para cada uno de los procesos de la entidad (plan anual de adquisiciones), termina con las compras y contratación requeridas bajo las especificaciones técnicas y normativas establecidas e incluye la liquidación contractual. Puntos Riesgo Identificados: Actividades en cada etapa del proceso contractual. Grafico 8: Ejemplo puntos de riesgo Fuente: Presentación riesgos DAFP Riesgo: Posibilidad de afectación económica por condena en contra de la entidad debido a errores en la adjudicación del proceso contractual (incumplimiento requisitos legales). Fuente: Presentación riesgos DAFP 9.3.2 Riesgo Fiscal El riesgo fiscal se define como el efecto dañoso sobre recursos públicos o bienes o intereses patrimoniales de naturaleza pública, a causa de un evento potencial. Para la identificación del riesgo fiscal es necesario establecer los puntos de riesgo fiscal y las circunstancias inmediatas. Los puntos de riesgo son situaciones en las que potencialmente se genera riesgo fiscal, es decir, son aquellas actividades de administración, gestión, GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 15 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 ordenación, ejecución, manejo, adquisición, planeación, conservación, custodia, explotación, enajenación, consumo, adjudicación, gasto, inversión y disposición de los bienes o recursos públicos, así como la recaudación, manejo e inversión de sus rentas. Se deben tener en cuenta aquellas actividades en las cuales se han generado advertencias, alertas, hallazgos fiscales y/o fallos con responsabilidad fiscal Circunstancias inmediatas: se trata de aquella situación o actividad bajo la cual se presenta el riesgo, pero no constituyen la causa principal o básica -causa raíz- para que se presente el riesgo; es necesario resaltar que, por cada punto de riesgo fiscal, existen múltiples causas inmediatas. Redacción del riesgo fiscal Grafico 9: Estructura de identificación riesgo fiscal Fuente: Presentación riesgos DAFP • Iniciar con la oración: Posibilidad de, debido a que nos estamos refiriendo al evento potencial. • Impacto: Corresponde al qué. Se refiere al efecto dañoso (potencial daño fiscal) sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública (área de impacto). • Circunstancia inmediata: Corresponde al cómo. Se refiere a aquella situación por la que se presenta el riesgo; pero no constituye la causa principal o básica -causa raíz- para que se presente el riesgo • Causa Raíz: Corresponde al por qué; que es el evento (acción u omisión) que de presentarse es causante, es decir, generador directo, causa eficiente o adecuada. Es la condición necesaria, de tal forma que, si ese hecho no se produce, el daño no se genera A continuación, ejemplo de riesgo Fiscal Posibilidad de efectos dañoso sobre bienes públicos por pérdida,extravío o hurto de bienes muebles de la entidad, a causa de la omisión en la aplicación del procedimiento para el ingreso y salida de bienes del almacén Otros ejemplos de posibles riesgos fiscales • Posibilidad de efecto dañoso sobre los recursos públicos, por pago de multa impuesta por la autoridad ambiental, a causa de la omisión en el cumplimiento de la licencia ambiental de los proyectos de infraestructura. • Posibilidad de efecto dañoso sobre recursos públicos, por sobrecostos en contratos de la entidad, a causa de la omisión del deber de elaborar estudios de mercado. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 16 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 • Posibilidad de efecto dañoso sobre bienes públicos, por daño en equipos tecnológicos, a causa de la omisión en la aplicación de medidas de prevención frente a posibles sobrecargas eléctricas. • Posibilidad de efecto dañoso sobre intereses patrimoniales de naturaleza pública, por no tener incluidos todos los bienes muebles e inmuebles de la entidad en el contrato de seguro, a causa de la omisión en la actualización de bienes que cubren de dicho contrato. • Posibilidad de efecto dañoso sobre intereses patrimoniales de naturaleza pública, por no devolución al tesoro público de los rendimientos financieros generados por recursos de anticipo, a causa de la omisión por parte de la interventoría y/o supervisión de la interventoría al no exigir la devolución al contratista Ver anexo: Catalogo indicativo y enunciativo de puntos de riesgo fiscal y circunstancias 9.3.3 Riesgos de Corrupción: Es la posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado. Es necesario que la descripción del riesgo sea clara y precisa. Su redacción no debe dar lugar a ambigüedades o confusiones con la causa generadora de los mismos. Para la redacción de riesgos de corrupción deben tener en cuenta las siguientes preguntas: • ¿Qué puede suceder? • ¿Cómo puede suceder? • ¿Cuándo puede suceder? Con el fin de facilitar la identificación de riesgos de corrupción y evitar que se presenten confusiones entre un riesgo de gestión y uno de corrupción, se sugiere la utilización de la matriz de definición de riesgo de corrupción, que incorpora cada uno de los componentes de su definición. Es necesario que en la descripción del riesgo concurran los componentes de su definición, así: Acción u omisión + uso del poder + desviación de la gestión de lo público+ el beneficio del privado Ejemplo de riesgo de corrupción Aplicando la siguiente matriz, se puede determinar si efectivamente se trata de un riesgo de corrupción Tabla 2: matriz definición de riesgos de corrupción Matriz. Definición del Riesgo de Corrupción Descripción del riesgo Acción u Omisión Uso de Poder Desviar la Gestión de lo publico Beneficio Privado Posibilidad de recibir o solicitar cualquier dádiva o beneficio a nombre propio o de terceros con el fin de celebrar un contrato. X X X X Si uno de los anteriores componentes no está presente en la identificación del riesgo, es posible que no se trate de un riesgo de corrupción sino de gestión. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 17 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 9.3.4 Riesgos de Seguridad de la Información: Para la identificación de los riesgos de Seguridad de la Información, el proceso debe realizar inicialmente la Identificación de Activos acorde con los lineamientos establecidos en la Guía ASIG03 Levantamiento y valoración de Activos de Seguridad Digital y seguir cada uno de los pasos que exige el diligenciamiento del Formato de Ficha Integral del Riesgo ASIF09. Se podrán identificar los siguientes tres (3) riesgos inherentes de seguridad de la información: • Pérdida de la confidencialidad • Pérdida de la integridad • Pérdida de la disponibilidad Para cada riesgo se deben asociar el grupo de activos o activos específicos del proceso y conjuntamente analizar amenazas y vulnerabilidades que podrían causar su materialización. 9.4 Clasificación de los Riesgos De acuerdo con lo establecido en la Guía de Administración del Riesgo del DAFP, versión 6, los riesgos se clasifican en las siguientes categorías: a. Ejecución y administración de procesos: pérdidas derivadas de errores en la ejecución y administración de procesos. b. Fraude externo: pérdida derivada de actos de fraude por personas ajenas a la organización (no participa personal de la Entidad). c. Fraude interno: pérdida debido a actos de fraude, actuaciones irregulares, comisión de hechos delictivos abuso de confianza, apropiación indebida, incumplimiento de regulaciones legales o internas de la entidad en las cuales está involucrado por lo menos 1 participante interno de la organización, son realizadas de forma intencional y/o con ánimo de lucro para sí mismo o para terceros. d. Fallas tecnológicas: errores de hardware, software, interrupción de servicios. e. Relaciones laborales: pérdidas que surgen de acciones contrarias a las leyes o acuerdos de empleo, salud o seguridad, del pago de demandas por daños personales o de discriminación. f. Usuarios, productos y prácticas: fallas negligentes o involuntarias de las obligaciones frente a los usuarios y que impiden satisfacer una obligación. g. Daños a activos fijos: pérdida por daños o extravíos de activos por desastres naturales u otros eventos externos provocados por atentados, vandalismo, orden público. 9.5 Factores de Riesgo Para la identificación de los riesgos que pueden afectar los diferentes procesos de la entidad, se contemplan los siguientes factores para cada categoría. Es importante mencionar que se mantienen los criterios establecidos en la guía para la administración del riesgo y el diseño de Controles en Entidades Públicas vigente, teniendo en cuenta que estos criterios continúan vigentes y son pauta para establecer el contexto en la identificación de los riesgos: Contexto Interno • Financieros: presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada. • Personal: competencia del personal, disponibilidad del personal, seguridad y salud ocupacional. • Procesos: capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento. • Tecnología: integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de sistemas de información. • Estratégicos: direccionamiento estratégico, planeación institucional, liderazgo, trabajo en equipo. • Comunicación Interna: canales utilizados y su efectividad, flujo de la información necesaria para el desarrollo de las operaciones. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 18 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 • Auditorías Internas: evaluaciones llevadas a cabo por la Oficina de Control Interno y resultados de las auditorías internas al Sistema Integrado de Gestión. • Talento Humano: Se analiza posible dolo e intención frente a la corrupción (hurto de activos, posibles comportamientos no éticos, fraude interno de corrupción o soborno) Contexto Externo • Económicos: disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia. • Políticos: cambios de gobierno, legislación, políticas públicas, regulación. • Sociales: demografía, responsabilidad social, orden público, salud pública. • Tecnológicos: avances en tecnología, accesoa sistemas de información externos, gobierno en línea. • Medioambientales: emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible, cambio climático. • Legal: Decretos, Leyes, Ordenanzas y Acuerdos. • Auditorías externas: evaluaciones llevadas a cabo por los organismos de control, como la Contraloría General de la República. Resultado de auditoría externa al Sistema Integrado de Gestión (Este criterio se incluye como recomendación del Departamento Administrativo de la Función Pública –DAFP resultados FURAG 2021). • Evento externo: Situaciones externas que afectan la entidad. El formato para documentar la identificación del riesgo es el siguiente: Gráfico 11: formato identificación del riesgo GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 19 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 • Proceso: se escribe el nombre del proceso frente al cual se está documentando el riesgo. • Objetivo del Proceso: Se documenta el objetivo del proceso • Asociar Líder del Proceso /Procedimiento: se indica(n) el (los) responsable (s) de gestionar cada uno de los riesgos identificados, que corresponden al líder del proceso. • Fecha de Aprobación del Riesgo: Corresponde al día, mes, año en que se recibe el correo de aprobación de la ficha de riesgo, por parte del responsable de gestionarlo • Código del Riesgo: Corresponde a la sigla del proceso, seguido de GE (riesgos de gestión) CO (riesgos de Corrupción) SI (seguridad de la información) FI (Fiscales) y culmina con el numero consecutivo. Ejemplo para un riesgo de enfoque de gestión del proceso de Direccionamiento Estratégico: DESGE01 • Enfoque del Riesgo: Se selecciona el enfoque del riesgo identificado, (Gestión, Fiscal, Corrupción, Seguridad Digital) • Descripción del riesgo: se realiza de acuerdo al enfoque del riesgo y las indicaciones contempladas en la presente guía • Explicación de Riesgo: De acuerdo a la descripción se realiza la explicación con un alcance mayor, que permita mayor entendimiento del riesgo • Clasificación del Riesgo: e selecciona según corresponda al riesgo identificado y de acuerdo a las opciones contempladas en el formato según sea el enfoque del riesgo. • Agente Generador: se selecciona de acuerdo a la tabla de identificación de área de factores de riesgo contemplada en la presente guía y que aparecen como opciones a seleccionar en el formato • Causas internas y externas: se documentan de acuerdo a las debilidades y amenazas priorizadas en el análisis de contexto de proceso • Causas: se documentan teniendo en cuenta el impacto que se puede generar a nivel institucional en caso de materializarse el riesgo En el caso de riesgos de enfoque de Gestión, corrupción y Fiscales se debe documentar en el aplicativo MiGestión, en el módulo de riesgos de la siguiente manera: Etapa: Identificación – Aplicativo MiGestión En esta etapa de identificación se ingresa la información que describe el riesgo que se va a gestionar a través del sistema. En este formulario se va a ingresar información básica del riesgo, así como generar una lista de las causas y efectos que pueden tener impacto en el logro de los objetivos. Al módulo de riesgos se debe ingresar de la siguiente manera: Gráfico12: ingreso al aplicativo MiGestión GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 20 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Gráfico 13: ingreso al Módulo de Riesgos - MiGestión Se debe hacer clic, atendiendo el número de los números Gráfico14: Creación de Riesgos - MiGestión Se debe dar clic en la sección crear y se mostrarán los campos básicos para documentar la identificación del riesgo. A continuación, se muestran y explica la información que se debe ingresar en cada uno de los campos de la información básica del riesgo. GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 21 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Gráfico15: Etapa de identificación de riesgos - MiGestión 1. Digitar nombre del riesgo como aparece en el formato “Ficha integral de riesgo” validada por el asesor del Grupo de Desarrollo Organizacional y aprobado por líder del proceso. 2. En responsable se debe digitar el nombre del líder del proceso. 3. En Gestor se debe digitar el nombre del asesor de la metodología de Administración de Riesgos de la Oficina Asesora de Planeación 4. En explicación del riesgo se debe digitar como aparece en la “Ficha integral de riesgo” validada y aprobada. 5. Se debe seleccionar en enfoque del riesgo (gestión, corrupción) según corresponda 6. En la pregunta si este riesgo es institucional, se responde no ya que los riesgos a nivel de entidad se trabajan bajo enfoque por procesos (gestión, corrupción, seguridad digital) 7. Ante la pregunta si el riesgo es de corrupción se contesta si, en caso que sea de enfoque de corrupción o no, en caso que el enfoque sea de gestión. 8. Se debe agregar un pequeño comentario, ejemplo: “no aplica para este riesgo” 9. Se debe agregar comentario ejemplo: si el riesgo no es de corrupción se debe documentar que no cumple requisitos de enfoque de corrupción En esta misma etapa se debe documentar el objetivo del proceso al cual pertenece el riesgo y puede verse afectado por su materialización, a continuación, se explica cómo se realiza: GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 22 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Gráfico16: Asociación de Objetivo al riesgo - MiGestión 1. Se hace clic en objetivo del proceso 2. Se hace clic en agregar Causas y Efectos En el campo de Causas se debe documentar las causas o situaciones que podrían llevar a la materialización del riesgo, que ya se encuentran contempladas en el formato de ficha del riesgo. Gráfico 17: Documentar causas del riesgo. -MiGestión GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 23 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 1. Se hace clic en “Causas y Consecuencias del Riesgo” 2. Hacer clic en causas 3. Hacer clic en agregar Luego de dar clic en agregar, se va a mostrar el siguiente formulario: Gráfico 18: Factores de riesgo-MiGestión 1. Inicialmente se debe seleccionar el agente generador del riesgo, haciendo clic donde dice seleccione factor y se desplegará el cuadro donde se debe seleccionar el factor. Es obligatorio seleccionar el factor para documentar la causa. 2. Se documenta la causa, tomada del formato “Ficha de riesgo.” 3. En el caso que se tengan más de una causa de hace clic nuevamente en agregar, hasta culminar documentar todos los factores y causas. 4. Luego de haber realzado la documentación de todos los factores y causas, se hace clic en guardar. 5. Luego de haber guardado, se hace clic en siguiente Consecuencias Las consecuencias se documentan a partir de lo contemplado en le formato ficha de riesgo validado y aprobado. Para documentar las consecuencias se debe seguir los siguientes pasos en el diligenciamiento del formulario: Gráfico 19: Consecuencias del riesgo - MiGestión GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 24 de 52 Unavez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 1. Se hace clic en causas y consecuencias del riesgo. 2. Se hace clic en consecuencias. 3. Se hace clic en agregar. 4. Al hacer clic en agregar se va habilitar un campo donde se debe documentar la consecuencia. Este paso se debe repetir. según el número de consecuencias que contemple el riesgo. 5. Al tener todas las consecuencias documentadas se hace clic en guardar. 6. Por último, se hace clic en siguiente, para continuar con el siguiente paso. Información Adicional Gráfico 20: Información General - MiGestión 1. En el campo ficha de riesgo se debe documentar una justificación, ejemplo “se adjunta ficha de riesgo validada y aprobada del proceso xxxxxxxx” 2. En archivos adjuntos se hace clic y se adjunta el archivo de ficha de riesgo validad y aprobada. 3. En el campo fecha de aprobación se debe colocar la fecha contemplada en la Ficha de riesgo, que hace referencia a la fecha en la que fue aprobada y remitida al SIG por el líder del proceso. 4. En el código del riesgo se documenta el contemplado en la ficha de riesgo, que se asigna con la sigla del proceso, seguido de (GE) para riesgos de gestión, (CO) para riesgos de corrupción, (FI) para riesgos fiscales y por último dos dígitos que se asignan consecutivos. 5. En el campo clasificación del riesgo se debe escoger de acuerdo a la documentada en la ficha de riesgo 6. En el campo seleccione Tramites se escoge los tramites que se encuentran relacionados con el riesgo y se encuentran seleccionados en la ficha de riesgo 7. Posterior se seleccionan procesos del SIG relacionados con el riesgo 8. Se hace clic en el botón guardar 9. Por último, se hace clic en el botón siguiente Con este último paso se culmina la etapa de identificación en el aplicativo GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 25 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 9.6. Análisis del Riesgo Esta etapa busca establecer la probabilidad de ocurrencia e impacto de la materialización de los riesgos, en un escenario donde todos los riesgos son inherentes con el fin de estimar la zona de riesgo inicial (RIESGO INHERENTE). Para riesgos de gestión de procesos, fiscales y seguridad de la Información, se utiliza una matriz de valoración de 5 filas por 5 columnas, mientras que para riesgos de corrupción se aplica 5 filas por 3 columnas. Para el desarrollo de esta etapa se diligencia el Formato de Ficha Integral del Riesgo ASIF09, en el aparte “Análisis del riesgo”. Gráfico 21: Mapa de calor valoración inherente – riesgos de Gestión, fiscal, Seguridad de la Información Para los riesgos de corrupción, se realiza mediante el siguiente mapa de calor Gráfico 22: Mapa de calor valoración inherente – riesgos de Corrupción 9.6.1 Determinación de la probabilidad riesgos de gestión, Fiscales y Seguridad de la Información Para el análisis de los riesgos de Gestión, fiscales y seguridad de la información, la probabilidad de ocurrencia estará asociada a la exposición del riesgo del proceso o actividad que se esté analizando, de este modo la probabilidad inherente será el número de veces que se pasa por el punto de riesgo en un periodo de un (1) año. A continuación, se relaciona las tablas de probabilidad por tipo de riesgo GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 26 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Tabla N°3 Escala de probabilidad (Gestión, Fiscal, S. de la Información) Frecuencia de la Actividad Probabilidad Muy Baja La actividad que conlleva el riesgo se ejecuta como máximos 2 veces por año 20% Baja La actividad que conlleva el riesgo se ejecuta de 3 a 24 veces por año 40% Media La actividad que conlleva el riesgo se ejecuta de 24 a 500 veces por año 60% Alta La actividad que conlleva el riesgo se ejecuta mínimo 500 veces al año y máximo 5000 veces por año 80% Muy Alta La actividad que conlleva el riesgo se ejecuta más de 5000 veces por año 100% Fuente: Presentación Metodología de Riesgos DAFP Como referencia, a continuación, se muestra una tabla de actividades típicas relacionadas con la gestión de una entidad pública, bajo las cuales se definen las escalas de probabilidad: Tabla N°4 ejemplo determinación de probabilidad Actividad Frecuencia de la Actividad Probabilidad frente al Riesgo Planeación estratégica 1 vez al año Muy baja Actividades de talento humano, jurídica, administrativa Mensual Media Contabilidad, cartera Semanal Alta *Tecnología (incluye disponibilidad de aplicativos), tesorería *Nota: En materia de tecnología se tiene en cuenta 1 hora funcionamiento = 1 vez. Ej.: Aplicativo FURAG está disponible durante 2 meses las 24 horas, en consecuencia, su frecuencia se calcularía 60 días * 24 horas= 1440 horas. Diaria Muy alta 9.6.2 Nivel de calificación de probabilidad riesgos de corrupción Se analiza qué tan posible es que ocurra el riesgo, se expresa en términos de frecuencia o factibilidad. La frecuencia implica analizar el número de eventos en un periodo determinado. Se trata de hechos que se han materializado o se cuenta con un historial de situaciones o eventos asociados al riesgo. La factibilidad analiza la presencia de factores internos y externos que pueden propiciar el riesgo, se trata en este caso, de un hecho que no se ha presentado, pero es posible que suceda: Tabla. N°5 Escalas de probabilidad de ocurrencia (factibilidad). NIVEL ESCALAS FACTIBILIDAD APLICACIÓN 1 RARA VEZ Excepcionalmente ocurriría. Nada común o frecuente, escaso. 2 IMPROBABLE Alguna vez podría ocurrir. Difícil o poco probable que ocurra. 3 POSIBLE Existe una posibilidad media que suceda. Existe la posibilidad de ocurrencia. 4 PROBABLE Existe una alta posibilidad que suceda. Muy probable que ocurra. 5 CASI SEGURO Es seguro que suceda. Es muy seguro que se presente. Fuente: Guía de Riesgos e identificación de controles DAFP GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 27 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Tabla n°6. Escalas de probabilidad de ocurrencia (frecuencia). NIVEL ESCALAS FRECUENCIA 5 CASI SEGURO Más de una vez al año. 4 PROBABLE Una vez en el último año. 3 POSIBLE Una vez en los últimos 2 años. 2 IMPROBABLE Una vez en los últimos 5 años. 1 RARA VEZ Nunca o no se ha presentado en los últimos 5 años. Fuente: Guía de Riesgos e identificación de controles DAFP Nota: la probabilidad hace referencia a la posibilidad de que algo suceda. Medida o determinada por datos y hechos históricos, o bajo criterio de experiencia de quien la realiza. 9.6.3 Niveles de calificación de impacto riesgos de Gestión, Fiscales y Seguridad de la Información Se definen impactos económicos y reputacionales como variables principales. La calificación del impacto de los riesgos de gestión, fiscales y de seguridad de la Información debe atender a la siguiente tabla. Tabla N° 7: Niveles de Impacto gestión, fiscales y seguridad digital Afectación Económica Reputacional Leve 20% Afectación menor a 10 SMLMV . El riesgo afecta la imagen de algún área de la organización. Menor-40% Entre 10 y 50 SMLMV El riesgo afecta la imagen de la entidad internamente, de conocimiento general nivel interno, de junta directiva y accionistas y/o de proveedores. Moderado 60% Entre 50 y 100 SMLMV El riesgo afecta la imagen de la entidad con algunos usuariosde relevancia frente al logro de los objetivos. Mayor 80% Entre 100 y 500 SMLMV El riesgo afecta la imagen de la entidad con efecto publicitario sostenido a nivel de sector administrativo, nivel departamental o municipal. Catastrófico 100% Mayor a 500 SMLMV El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitario sostenido a nivel país Fuente: Presentación metodología de Riesgos DAFP Cuando se presenten ambos impactos para un riesgo, tanto económico como reputacional con diferentes niveles, se debe tomar el nivel más alto, así, por ejemplo: para un riesgo identificado se define un impacto económico en el nivel insignificante e impacto reputacional en el nivel moderado, se tomará el más alto, que en este caso será el nivel moderado. El líder del proceso como conocedor del su quehacer, define cuantas veces desarrolla la actividad, esto para el nivel de probabilidad y a través de la tabla establecida se ubica el nivel correspondiente, dicha situación se repite para el impacto. Riesgo de seguridad de la Información: • Las variables confidencialidad, integridad y disponibilidad, se definen de acuerdo con el modelo de seguridad y privacidad de la Información de la estrategia de Gobierno digital. • La variable de población se define teniendo en cuenta el establecimiento del contexto externo de la entidad, es decir, que la consideración de la población va a estar asociada a las personas a las cuales se les prestan los servicios o trámites en GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 28 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 el entorno digital y que de una u otra forma pueden verse afectadas por la materialización de algún riesgo en los activos identificados. • La variable presupuesta es la consideración del presupuesto afectado por la entidad debido a la materialización del riesgo, contempla sanciones económicas o impactos directos en la ejecución presupuestal. Nota: la probabilidad y el impacto se determinan con base a la amenaza o a las vulnerabilidades 9.6.4 Niveles de Calificación de Impacto Riesgos de Corrupción La calificación del impacto para los riesgos de corrupción se realiza aplicando la siguiente tabla de valoración establecida por Secretaria de Transparencia de la Presidencia de la República. Cada riesgo identificado es valorado de acuerdo con las preguntas, la calificación obtenida se compara con la tabla de medición de impacto de riesgo de corrupción para obtener el nivel de impacto del riesgo. Tabla N° 8: Calificación de Impacto Riesgos de Corrupción No. Pregunta: Si el riesgo de corrupción se materializa podría…. Respuesta Si No 1 ¿Afectar al grupo de funcionarios del proceso? 2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? 3 ¿Afectar el cumplimiento de misión de la entidad? 4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad? 5 ¿Generar pérdida de confianza de la entidad, afectando su reputación? 6 ¿Generar pérdida de recursos económicos? 7 ¿Afectar la generación de los productos o la prestación de servicios? 8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien, servicios o recursos públicos? 9 ¿Generar pérdida de información de la entidad? 10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente? 11 ¿Dar lugar a procesos sancionatorios? 12 ¿Dar lugar a procesos disciplinarios? 13 ¿Dar lugar a procesos fiscales? 14 ¿Dar lugar a procesos penales? 15 ¿Generar pérdida de credibilidad del sector? 16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? 17 ¿Afectar la imagen regional? 18 ¿Afectar la imagen nacional? 19 ¿Generar daño ambiental? Fuente: Guía Administración de Riesgo e identificación de controles DAFP GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 29 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Tabla N° 9-Medición de Impacto Riesgos de Corrupción Nivel Descriptor Descripción Respuestas afirmativas 1 Moderado Genera medianas consecuencias sobre la entidad. 1 a 5 2 Mayor Genera altas consecuencias sobre la entidad. 6 a 11 3 Catastrófico Genera consecuencias desastrosas para la entidad. 12 a 19 Fuente: Guía Administración de Riesgo DAFP Nota: • Si la respuesta a la pregunta 16 es afirmativa, el riesgo se considera catastrófico. • Por cada riesgo de corrupción se debe diligenciar la tabla número 11. Para los riesgos de corrupción el análisis de impacto se realizará s solo teniendo en cuenta los niveles “moderado”, “mayor” y “catastrófico”, dado que estos riesgos siempre serán significativos; en este orden de ideas no aplica los niveles de impacto insignificante y menor. Por último, se ubica en el mapa de calor el punto de intersección resultante de la probabilidad y el impacto para establecer el nivel de riesgo inherente. Etapa: Análisis en el aplicativo MiGestión Para los riesgos de Gestión, Fiscales y de corrupción se debe documentar la etapa de análisis, donde se establecen los niveles de probabilidad e impacto del riesgo, permitiendo la ubicación del mismo dentro de la matriz y establecer el nivel de riesgo INHERENTE Para documentar esta etapa debe haber documentado de manera completa la etapa de identificación y obtener al guardar operación exitosa, para que permita realizar análisis Para realizar el análisis del riesgo, se deben seguir los siguientes pasos: GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 30 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Gráfico 23: Análisis del riesgo - MiGestión 1. Con la finalidad de poder seleccionar el rango en la escala de probabilidad se debe hacer clic sobre el enlace “Más información en rangos de probabilidad” y se mostrará un listado de criterios donde se debe seleccionar el contemplado en el análisis de probabilidad en la ficha de riesgos, el listado se muestra de la siguiente manera: - Gráfico 24: Criterios de probabilidad - MiGestión Se debe marcar el rango y al estar seleccionado en color azul, hacer clic en el botón seleccionar GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 31 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 2. Para el análisis del nivel de impacto, se debe hacer clic en “análisis de información en rangos de impacto” al hacer clic se va a mostrar un listado con diferentes criterios tanto de afectación reputacional como económica y se debe seleccionar el contemplado en el formato Ficha de Riesgo, el listado se muestra de la siguiente manera: Gráfico 25: Criterios para el impacto - MiGestión Al seleccionar el criterio correspondiente, se debe hacer clic en el botón seleccionar Una vez se ha realizado análisis de probabilidad y de impacto se mostrará el mapa de calor ubicando la zona de riesgo inherente, de la siguiente manera. Gráfico 26: Mapa de calor valoración inherente - MiGestión GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 32 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 3. Luego de que se establece el nivel de riesgo inherente, se debe realizar un comentarioa partir del análisis de la probabilidad e impacto, para ello se documentará el mismo comentario que se encuentre en la “ficha de riesgo” en su valoración inherente. 4 Cuando ya se tiene documentado el comentario se hace clic en guardar y debe salir operación exitosa, para hacer clic en siguiente. 9.7. Valoración del Riesgo La evaluación es la etapa en la cual se identifican los controles que permiten reducir o mitigar el riesgo por parte del líder de proceso y su equipo de trabajo. Conceptualmente un control se define como la medida que permite reducir o mitigar el riesgo. Para una adecuada redacción del control se deben tener en cuenta los siguientes elementos: Gráfico 27: Estructura para documentar controles Fuente: Presentación metodología de riesgos DAFP Teniendo en cuenta los elementos del control, se procede a unificar dichos elementos en una misma redacción. Ejemplo: Responsable Acción Complemento El profesional de contratación verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos acorde con el tipo de contratación A través de una lista de chequeo donde están los requisitos de información y la revisa con la información física suministrada por el proveedor, los contratos que cumplen son registrados en el sistema de información de contratación. Otros ejemplos de Controles: El jefe del almacén, valida y registra diariamente las entradas y salidas en el aplicativo dispuesto para tal fin, el cual alimenta automáticamente el inventario de bienes muebles de la entidad y su responsable. El coordinador administrativo, verifica mensualmente la relación de ingreso y salida de bienes muebles contra los inventarios generados por el sistema (actualización y ubicación en el inventario), en caso de encontrar inconsistencias solicita al Jefe de Almacén ubicar el bien faltante y realizar el ajuste, teniendo en cuenta los soportes de salida e ingreso del almacén. El director administrativo, verifica la vigencia y actualización de la póliza de acuerdo a los bienes que ingresan a la entidad, en caso de presentarse un siniestro adelanta las reclamaciones respectivas ante el asegurado GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 33 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Tipologías de los controles: • Control Preventivo: control accionado en la entrada del proceso y antes de que se realice la actividad originadora del riesgo, se busca establecer las condiciones que aseguren el resultado final esperado. • Control Detectivo: control accionado durante la ejecución del proceso. Estos controles detectan el riesgo, pero generan reprocesos • Control Correctivo: control accionado en la salida el proceso y después que se materializa el riesgo, estos controles tienen costos implícitos. A través de la cadena de valor de los procesos puedo establecer cuándo se activa el control y por lo tanto establecer su tipología con mayor precisión. Fuente: Presentación metodología de Riesgos DAFP Además, los controles de acuerdo con la manera cómo se ejecuten se clasifican en: • Automáticos: aquellos que son ejecutados a través de un sistema o aplicativo. • Manuales: aquellos que son operados o ejecutados por una persona. 9.7.1 Valoración de Controles Riesgos de Gestión, Fiscales y Seguridad de la Información Se analizan los atributos para el diseño del control teniendo en cuenta características relacionadas con la eficiencia y la formalización. A continuación, se presenta la descripción y el peso asociado: Tabla N° 10: Criterios de evaluación de controles riesgos de gestión, fiscales, S de la información Característica Descripción Peso Atributo de eficiencia Atributo de eficiencia Tipo Preventivo Va hacia las causas del riesgo, aseguran el resultado final esperado 25% Detectivo Detecta que algo ocurre y devuelve el proceso a los controles preventivos. Se pueden generar reprocesos. 15% Correctivo Dado que permiten reducir el impacto de la materialización del riesgo, tienen un costo en su implementación. 10% Implementación Automatización Son actividades de procesamiento o validación de información que se ejecutan por intervención de personas para su realización un sistema y/o aplicativo de manera automática sin la intervención de personas para su realización. 25% Manual Controles que son ejecutados por una persona, tiene implícito el error humano 15% Fuente: Guía para la administración del riesgo y el diseño de controles en entidades públicas. Versión 5. DAFP GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 34 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Características Descripción Peso Documentado Controles que están documentados en el proceso Documentación ya sea en manuales, procedimientos, flujogramas o Cualquier otro documento propio del proceso. 0% Atributos Informativos Sin documentar Identifica a los controles que pese a que se ejecutan en el proceso no se encuentran documentados en ningún documento propio del proceso. 0% Frecuencia Continua El control se aplica siempre que se realiza la actividad que conlleva el riesgo 0% Aleatoria El control se aplica aleatoriamente a la actividad que conlleva el riesgo 0% Evidencia Con registro El control deja un registro permite evidencia la ejecución del control 0% Sin registro El control no deja registro de la ejecución del control. 0% A partir de los criterios descritos se establece la calificación del control y en tal sentido el desplazamiento en el mapa de calor. Los controles preventivos y detectivos permiten el desplazamiento en el vector de probabilidad y los controles correctivos desplazan el vector de impacto. Grafico N° 28 Movimiento en al mapa de calor de acuerdo al control Los atributos informativos solo permiten darle formalidad al control y su fin es el de conocer el entorno del control y complementar el análisis con elementos cualitativos, sin embargo, no tienen incidencia directa en su efectividad. 9.7.2 Valoración de los Controles Riesgos de Corrupción En el criterio de diseño se incluye la evaluación de las siguientes variables: GUÍA DE ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LOS PROCESOS Naturaleza del proceso: Estratégico Código: ASIG01 Versión: 07 Página 35 de 52 Una vez impreso o descargado este documento se considera copia no controlada ASIF04- Versión 1 Tabla. N°11: Evaluación de Controles riesgos de Corrupción Elemento Aspecto para evaluar Opción de Respuesta Valor de la Calificación Responsable ¿Existe un responsable asignado a la ejecución del control? Asignado 15 No asignado 0 ¿El responsable tiene la autoridad y adecuada segregación de funciones en la ejecución del control? Adecuado 15 Inadecuado 0 Periodicidad ¿La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación del riesgo o a detectar la materialización del riesgo de manera oportuna? Oportuna 15 Inoportuna 0 Propósito ¿Las actividades que se desarrollan en
Continuar navegando
Materiales relacionados
103 pag.
61 pag.
21 pag.
21 pag.
Compartir